Acontece que o problema estava relacionado à minha configuração. Estou executando o Suricata no IPS em linha usando nfqueue e estava usando o modo 'repeat' para reinserir os pacotes no início da cadeia se eles obtivessem o ok do IPS. Então eu tive regras para procurar a marca Suricata adicionada ao pacote e não entregar novamente ao Suricata. No entanto, a reinserção na cadeia de Suricata pareceu fazer com que o kernel esquecesse como rotear o pacote. A simples remoção da regra nfqueue resolveu o problema, mas não utilizou o IPS. Então, o que acabei fazendo foi substituir todas as minhas regras -j ACCEPT iptables para regras -j NFQUEUE iptables. Neste formulário, o Suricata não vê TODO o tráfego, particularmente ele não vê os pacotes de coisas que o firewall bloquearia. Isso é lamentável, mas funciona.