Hola Tiago!
He vuelto a instalar IDS/IPS y todo parece funcionar correctamente.
No es necesario recurrir a la línea de comando para habilitar la interfaz externa. Simplemente la he habilitado desde webadmin.
Zentyal configura las redes en suricata de una forma un poco sucia, pero que funciona. (Suricata mete por defecto los rangos privados de red y deja como externas las demás. Bastante sucio pero efectivo)
HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"
EXTERNAL_NET: any
He probado a provocar tráfico sospechoso desde la interfaz externa y, después de habilitarla, desde la interfaz interna:
nmap -Pn --script vuln 192.168.61.1
Y ha sido perfectamente detectado:
# /var/log/suricata/fast.log
12/26/2019-11:56:27.204859 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 192.168.61.2:51157 -> 192.168.61.1:445
...
Lo mismo desde la interfaz externa (tras desactivar el firewall):
nmap -Pn --script vuln 10.5.20.253
12/26/2019-12:05:32.603295 [**] [1:1421:11] SNMP AgentX/tcp request [**] [Classification: Attempted Information Leak] [Priority: 2] {TCP} 10.5.20.62:38937 -> 10.5.20.253:705
12/26/2019-12:05:37.175228 [**] [1:1394:5] SHELLCODE x86 NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} 10.5.20.62:58916 -> 10.5.20.253:445
...
En ningún momento he tenido pérdidas de conectividad ni en la máquina cliente ni en el servidor.
Empiezo a creer que tienes problemas con el módulo de red. ¿Lo has comprobado?
Un saludo y Feliz Navidad.