Так перед коробкой есть коммутатор, где можно отзеркалировать весь трафик с/на коробку?
Если нет, можно по идее через iptables в mangle -j TEE попробовать, но лучше до коробки отзеркалить...
И заменить nfqfilter на extFilter, чем городить костыли с ip rule/route
Еще вариант пустить весь 80/443 трафик на nfqfilter, но справится ли не знаю, нет данных ни по трафику ни по мощностям тазиков, но это опять костыли c mangle и ip rule
Есть мысль, но ход потерял пока писал пост)
На тачку с nfq абоненты попадают с серыми адресами??