Eu costumava ter (bem, eu ainda meio que faço) ter um script que espera:
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
ter sido inserido no iptables antes do meu script ser executado. Meu script é iniciado no final do script de inicialização do firewall do suse sempre que o computador é reiniciado. E parece que a linha acima para inserir algumas coisas sob ele.
Ele foi consistentemente instalado no SLES 11 SP3, mas só passou algum tempo após a reinicialização com o SLES 11 SP4. Tanto quanto eu posso dizer, suse firewall é sempre a última coisa para começar com a máquina, então não deve haver nada em execução (pelo menos sincronamente) entre iniciar o iptables e rodar meus comandos para que eu não tenha ideia do que é acontecendo no tempo intermediário.
Então, talvez eu possa dar uma olhada em algum processo que esteja colocando a linha TCPMSS no iptables e espere até que esteja pronto. Eu só não sei o que está colocando lá.