Ho erroneamente configurato un server DNS open resolver, che è stato presto utilizzato per un sacco di attacchi DDoS originari da qualche parte dalla / alla Russia. Per questo motivo ho bloccato completamente la porta 53 su entrambi i server DNS per tutti tranne che per gli IP affidabili. Funziona, non sono più in grado di connettermi a loro, ma ciò che mi sembra strano è che quando eseguo tcpdump su eth1 (che è l'interfaccia sul server con internet pubblico) vedo molti pacchetti in arrivo dall'attaccante alla porta 53.
È normale che tcpdump visualizzi questi pacchetti anche se iptables li rilascia? O ho configurato iptables in modo errato?
D'altra parte non vedo alcun pacchetto in uscita dal mio server, cosa che ho fatto prima, quindi suppongo che il firewall funzioni in qualche modo. Mi sorprende solo che il kernel non rilasci completamente i pacchetti? O è tcpdump
agganciato al kernel in modo tale da vedere i pacchetti anche prima che arrivino su iptables?