В процессе обсуждения, всплыла интересная подробность - conntrack генерится на все соединения, а не только на NAT. Проверил, действительно используется, заинтересовался и решил сравнить скорость работы без и с conntrack'ом, результат:

concurrency501005001000req/sec, default19670.72033518343.516995.5req/sec, ip_conntrack on1826818082.217700.216580. ( Read more... )