Parte 1:
ao tentar depurar isso com netstat i não foi capaz de ver nenhum tráfego icmp com ele, então eu tentei com ss , mas mesmo assim eu não vi nenhum aplicativo, então eu tentei executar ping para um dos meus hosts e eu pude vê-lo na saída de ss -anpw ( -w para soquete bruto)
Foi quando voltei ao wireshark e comecei a olhar mais de perto os pacotes, e então ele me atingiu ... (veja a Parte 2).
Parte 2:
Parece que eu sinto falta de entender a saída do wireshark, os pacotes eram ICMP, mas não os tipos de eco / resposta, mas sim uma resposta do meu Firewall (iptables) às conexões de entrada.
No meu iptables existe essa linha
-A INPUT -j REJECT --reject-with icmp-host-prohibited
que responderá com ICMP Tipo: 3 (Destination unreachable) e Code: 10 (Host administrativamente proibido) para qualquer conexão de entrada que não corresponda a nenhuma regra.
Parece que meu problema foi causado pela listagem em branco das portas do meu cliente de torrent, mas elas estavam na cadeia de zonas HOME e, por algum motivo, minha política padrão para minha conexão inicial foi definida como padrão / pública.
Depois de definir a zona para a interface (e ter a porta da lista de permissões na cadeia de iptables), paro de ver a mensagem ICMP acima.