Passei um tempo significativo tentando solucionar esse problema. O envolvimento do UFW foi um sintoma do problema real e não da causa. Eu encontrei uma solução, então não queria deixar a pergunta sem resposta.
Descobri que por um motivo ainda não consigo explicar que os syncookies foram desativados nos servidores apache atrás do balanceador de carga:
# sysctl -a | grep syncookies
net.ipv4.tcp_syncookies = 0
O motivo pelo qual não consigo explicar isso é que ele está configurado para 1 no arquivo padrão Centos6 /etc/sysctl.conf. Essa é uma questão separada para eu descobrir.
Você pode ler mais sobre cookies syn aqui:
Estes são servidores relativamente ocupados que lidam com muitas conexões. Meu melhor palpite é que a habilitação do UFW (e, portanto, a habilitação do iptables) diminuiu o ritmo apenas o suficiente para o preenchimento da fila de sin e sem que os syncookies nas conexões começassem a ser recusados.