zekkerj, obrigado pela atenção mas eu já havia tentado isso.
Depois de muita luta com o tcpdump, percebi que os pacotes estavam chegando no destino e os servidores de destino estavam respondendo os pacotes com a máscara errada no cabeçalho, logo eles se perdiam na rede.
O problema é que eu tenho 3 servidores pra onde direciono esses acessos e todos eles deram o mesmo problema, ao mesmo tempo, e por coincidência, no mesmo momento em que atualizamos o Ubuntu.
No final das contas era uma atualização do driver das placas de rede dos servidores, que havia sido liberada pela microsoft e tava gerando esse erro. Desfiz as atualizações e tudo está funcionando perfeitamente.