平さん、フォローありがとうございます。tao です。 調べてみたところ、問題の ICMPは"Port unreachable" でした。 外からのアクセスに対しての返答、ということだったようです。 お騒がせ、すみませんでした。 ICMP のパケットは問題のサーバでドロップしていたつもりなんですが、 RELATED 扱いなんですね...。(RELATED のパケットは許可してた...)