Странная планета conntrack

Столкнулся с любопытной проблемой:

Дано:

• сервер А, посылает непрерывный поток UDP-трафика на некий порт NNNN сервера B
• сервер B - гипервизор (KVM, Linux), через простой DNAT отправляет поток дальше, на виртуальный KVM-контейнер Z

Результат неожиданный - ICMP Port Unreachable в ответ серверу А от ядра сервера B , хотя трафик на интерфейс приходит …