Primeiro, aqui está uma solução possível que pode ser configurada no próprio roteador ou em qualquer máquina que você queira monitorar: link
Se isso não for possível para o seu caso de uso, existe outra opção na forma de um comutador que pode ser configurado entre seu roteador e todos os clientes, o comutador deve suportar o espelhamento de portas. Em seguida, você adicionaria outra NIC ao seu host ids / docker que receberia todo o tráfego da porta "WAN" do switch espelhado, que pode ser passado para o seu contêiner suricata.