Usando o iptables, perco a conexão. Após a lavagem, a conexão está de volta

A documentação do iptables sobre NFQUEUE diz:

--queue-bypass

Por padrão, se nenhum programa de espaço do usuário estiver escutando um NFQUEUE, todos os pacotes que devem ser enfileirados serão descartados . Quando esta opção é usada, a regra NFQUEUE se comporta como ACCEPT, e o pacote passará para a próxima tabela.

Isso significa que você deveria estar executando um programa recebendo pacotes enviados por essa fila, mas não existe tal processo em execução.

Aqui está um link explicando como usar NFQUEUE, incluindo código de exemplo (que não pode ser usado como está):

Para Linux e além! Usando NFQUEUE e libnetfilter_queue

Observe que algumas funções usadas no exemplo estão obsoletas .

Enquanto isso, se você não quiser perder a conectividade ao configurar esse programa ou ferramenta, mas ocorrerem erros, basta adicionar a opção --queue-bypassassim (mas pode fazer sentido usar filas diferentes dependendo da implementação):

sudo iptables -I INPUT -j NFQUEUE --queue-num 0 --queue-bypass
sudo iptables -I OUTPUT -j NFQUEUE --queue-num 0 --queue-bypass

Infelizmente, isso significa que as cadeias INPUT e OUTPUT do seu filtro seriam completamente ignoradas, pois NFQUEUE se comportaria como ACCEPT , enquanto o processo NFQUEUE tem a possibilidade de reinjetar o pacote para processamento adicional usando o veredicto NF_REPEAT e marcas, conforme descrito por exemplo neste outro link do mesmo blog:

Construindo um conjunto de regras compatível com suricata