NEW и ESTABLISHED :)

Тогда пакет от ext_client за пределами сети к этому lan_srv идёт: ext_client -> ext_gw2 -> lan_srv А обратно: lan_srv -> int_gw <=> ext_gw1 -> ext_client

Суть трансляции адресов в том, что lan_srv не знает о существовании ext_client, и думает, что пакет пришёл от ext_gw2

соответственно, ответ будет отправлен на ext_gw2

Если так, то почему же я на этот самом lan_srv запускаю wireshark и вижу, что к нему коннектятся внешние адреса (мой дроидофон, ещё Yandex networks'ы ккаие-то)???

В ту сторону это всё-таки DNAT, а не SNAT, вы что-то путаете.

В этом случае, ответ пойдёт через маршрут по-умолчанию.

Нет, маршрутизация в линуксе является stateless и с соединениями никак не связана. В отличие от ната.

Чтобы все работало правильно, нужно маркировать пробрасываемые соединения через iptables -j CONNMARK --set-mark, потом для идущих обратно пакетов копировать ctmark в nfmark (-j CONNMARK --restore-mark, потому что ip rule не знает про ctmark, оно же stateless), и потом через ip rule fwmark заруливать в таблицу с нужным дефолтным гейтом.