Создание пакета TCP RST происходит по вашему правилу
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
Политика по умолчанию (ACCEPT в вашем случае) применяется только к пакетам, которые не соответствуют ни одному из правил в вашей цепочке. Если пакет соответствует вышеприведенному правилу с целью REJECT, он не будет подпадать под политику по умолчанию и будет REJECTed (и сгенерирует TCP RST), а не ACCEPTed.
Этот TCP RST не будет соответствовать вашему правилу:
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
потому что он не RELATED к другому установленному соединению и не является частью ESTABLISHED соединения. Он будет продолжаться по вашим правилам и соответствовать
-A OUTPUT -m limit -j LOG --log-prefix "UNKNOWN_OUTGOING: " --log-level 5
и закончиться в вашем лог-журнале. Если вы не хотите заносить в журнал эти RST пакеты, либо настройте это правило на несоответствие, либо вставьте более раннее правило на соответствие RST пакетам и т.д., и т.п., прежде чем они попадут сюда.
Еще кое-что я заметил, что первый пакет, который вы регистрируете, это SYN/ACK пакет с удаленного веб сервера, который выглядит как ответный пакет с удаленного веб сервера на SYN пакет, который вы бы ранее отправили, чтобы начать соединение с удаленным узлом по порту 80. Если бы вы не отправили начальную SYN, я не думаю, что соединение соответствовало бы 'ESTABLISHED', но если бы вы отправили SYN, я думаю, что соединение должно быть обработано 'ESTABLISHED'. Это может привести к ошибке с правилом, с которым ваше RST заканчивается согласованием.