Eu acredito que nesse caso ele deveria farejar o tráfego em br0 . No entanto, se suas regras não se importarem com os endereços de origem e você não quiser bloquear ou alertar sobre possíveis intrusões de saída (e por que não?), É muito provável que você detecte a interface WAN sem causar danos.
O sniffing é passivo, mais ou menos, e permite que você inspecione tudo que passa por uma interface.