Я помилково налаштував відкритий DNS-сервер, який невдовзі використовувався для купівлі DDOS-атак, що походять десь з / у Росію. З цієї причини я повністю заблокував порт 53 на обох серверах DNS для всіх, крім надійних IP-адрес. Це працює, я більше не в змозі підключитися до них, але те, що мені здається дивним, це те, що коли я запускаю tcpdump на eth1 (це інтерфейс на сервері з публічним Інтернетом), я бачу безліч вхідних пакетів від атакуючого до порту 53.
Чи нормально, що tcpdump відображає ці пакети, навіть якщо iptables скидає їх? Або я неправильно налаштував iptables?
З іншого боку, я не бачу жодних вихідних пакетів з мого сервера, що я робив раніше, тому я вважаю, що брандмауер працює на зразок. Мене просто дивує, що ядро не скидає пакети повністю? Або tcpdump
підключено до ядра таким чином, що воно бачить пакети ще до того, як вони дістаються до iptables?