O NAT no Linux é implementado através da infraestrutura de 'rastreamento de conexão'. Como o nome indica, rastreia a conexão. A regra nat apenas define o que fazer quando a conexão é iniciada - então o NAT é configurado, uma regra conntrack é criada e a regra nat do iptables não é mais usada para essa conexão.
O navegador provavelmente usa uma conexão HTTP persistente com o servidor e, depois de remover a regra, as solicitações são enviadas pela conexão já estabelecida.
O utilitário 'conntrack' ( link ) do pacote conntrack-tools pode ajudá-lo a remover a regra conntrack .
Se esse utilitário não estiver disponível para você, você pode tentar quebrar a conexão com outras regras do iptables, como esta (ele pára o todo tráfego para 200.200.200.200):
iptables -I FORWARD -d 200.200.200.200 -j REJECT
Geralmente, isso precisa ser inserido no início da tabela FORWARD ('-I'), geralmente há uma regra para aceitar todas as conexões estabelecidas em algum lugar já existente.
Eu usei o REJECT, pois isso envia uma resposta de erro ao remetente, o que pode interromper a conexão antes do DROP.