nf_conntrack_tcp_loose - BOOLEAN
0 - disabled not 0 - enabled (default)
If it is set to zero, we disable picking up already established connections.
Assim, a conexão já estabelecida é detectada on-the-fly (sem SYN / SYN + ACK / ACK envolvido) e adicionada novamente como uma nova entrada conntrack. Como é uma nova entrada conntrack, a tabela nat será novamente percorrida e a regra DNAT será aplicada novamente. Mesmo se um caminho não funcionar imediatamente (se não houver nenhum SNAT / MASQUERADE definido além da regra DNAT, os pacotes de saída do servidor http podem aparecer na WAN como 192.168.3.17 por um curto período e ser rejeitados / ignorados por 192.168.33.13) , assim que a outra maneira tentar novamente (ACK tente novamente a partir de 192.168.33.13 ...) isto irá corresponder.
Digite isto:
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
E tente novamente excluir a entrada conntrack com conntrack -D
...
Isso deve evitar que uma nova entrada do conntrack seja criada e cortar o download.