Encontrei. Parece que o ponto de verificação mantém uma MTU separadamente para o sistema operacional, e os pacotes que violam isso são silenciosamente descartados. Isso explica por que nada estava sendo registrado no rastreador inteligente e por que as coisas estavam sendo descartadas após o estágio cinco (elas não estavam conseguindo passar a saída do Wire VM). Isso pode ser alterado com
fw ctl set int fwtcpstr_max_window <number in decimal>
Se você alterar isso, será necessário atualizar as configurações para que sejam reaplicadas na reinicialização. Estes são configurados em $ FWDIR / conf / modules / fwkern.conf, com
fwtcpstr_max_window=<number in hex>
(Obrigado ao freenode que me explicou isso)