1. NAT ist keine Schutzfunktion. NAT ist eine Adressabbildung. Auf den "Schutz" von NAT zu vertrauen, ist fahrlässig.

2. Du schreibst leider nicht, welche Quellports bei dern Paketen eingetragen sind.

3. Du schreibst auch nicht, ob der Debian Server nochmals NAT macht oder nicht.

Ich denke, ein häufiger Grund für solche Pakete sind Verbindungsprobleme: aus irgendeinem Grund hängt eine Verbindung. Der Client in Deinem LAN gibt die Verbindung dann auf und schickt einen Reset. Da keine (oder nicht rechtzeitig) die Bestätigung des Resets kommt, wird die Verbindung aus der Firewall entfernt. Irgendwann kommt dann doch die Bestätigung des Resets, aber Deine Firewall verwirft das Paket, obwohl der NAT EIntrag noch auf dem Router vorhanden ist.

Ein anderer Grund sind vielleicht mehrfach übertragene Pakete.

Kann iptables nicht genauer protokollieren, was der Grund für das verworfene Paket ist?

Aber in der Regel wirst Du feststellen, dass das protokollierte Paket mit einer Verbindung zusammenhängt, die Du vorher aufgebaut hattest. Häufig hat ein Paket z.B. Quell-Port 80, d.h. es kommt von einem Webserver, zu dem Du Dich vermutlich gerade verbunden hattest.