O problema foi o filtro "Blat Attack". Um Blat Attack é uma especialização de um "Land Attack", mas de alguma forma o filtro evoluiu apenas para verificar a especialização, não o ataque completo. Em detalhes ...
Um "Land Attack" é quando um invasor envia um pacote TCP SYN falsificado contendo o endereço IP da vítima como o destino e o endereço IP de origem. O sistema vulnerável acaba respondendo a si mesmo em um loop de feedback. Um "Blat Attack" é uma "melhoria" no Land Attack, acrescentando que as portas de origem e de destino são idênticas e, às vezes, abusam do sinalizador URG também.
Bem, em algum lugar ao longo da linha alguém pensou que sempre era malicioso enviar um pacote IP com a mesma porta de origem e destino, então a defesa Blat Attack apenas bloqueia qualquer pacote IP com a mesma origem e porta de destino, embora não há absolutamente nada de errado com isso se os endereços de origem e destino forem diferentes.
Bonjour (mDNS) envia anúncios para e da mesma porta (5353), e a defesa Blat Attack impede que esses pacotes sejam encaminhados. Já que o filtro Blat Attack é realmente inútil em sua implementação atual (Blat Attacks seria interrompido pelo filtro Land Attack de qualquer forma), não há razão para não desligá-lo, então eu fiz, e isso resolveu o problema.