Na minha experiência, quando você usa passthrough=yes , por exemplo, em uma regra de mangle, o pacote, se for correspondido por essa regra, é processado pelas regras subsequentes.
No caso de você usar passthrough=no , se o pacote corresponder a essa regra, ele não será processado pelas regras subsequentes, o que pode ser útil para economizar alguma CPU, conforme indicado na parte inferior da página de manual que você publicou.
Existem certos tipos de configurações que são necessários passthrough=yes , mas na maioria dos casos, acredito que seja seguro usar passthrough=no , a menos que você precise de outra forma.