Я по ошибке настроил DNS-сервер с открытым разрешением, который вскоре был использован для множества DDoS-атак, происходящих из России или в Россию. По этой причине я полностью заблокировал порт 53 на обоих DNS-серверах для всех, кроме доверенных IP-адресов. Это работает, я больше не могу подключаться к ним, но мне кажется странным, что когда я запускаю tcpdump на eth1 (это интерфейс на сервере с общедоступным Интернетом), я вижу множество входящих пакетов от атакующего на порт 53.
Это нормально, что tcpdump отображает эти пакеты, даже если iptables их отбрасывает? Или я неправильно настроил iptables?
С другой стороны, я не вижу никаких исходящих пакетов с моего сервера, что я делал раньше, поэтому я предполагаю, что брандмауэр работает. Меня просто удивляет, что ядро не отбрасывает пакеты полностью? Или tcpdump
подключен к ядру таким образом, что он видит пакеты еще до того, как они попадают в iptables?
источник