Przez pomyłkę skonfigurowałem otwarty serwer rozpoznawania nazw DNS, który wkrótce został użyty do wielu ataków DDoS pochodzących z / do Rosji. Z tego powodu całkowicie zablokowałem port 53 na obu serwerach DNS dla wszystkich oprócz zaufanych adresów IP. Działa, nie mogę się już z nimi połączyć, ale wydaje mi się dziwne, że kiedy uruchamiam tcpdump na eth1 (który jest interfejsem na serwerze z publicznym Internetem), widzę wiele przychodzących pakietów od atakującego do portu 53.
Czy to normalne, że tcpdump wyświetla te pakiety, nawet jeśli iptables je upuszczą? A może źle skonfigurowałem iptables?
Z drugiej strony nie widzę żadnych wychodzących pakietów z mojego serwera, co zrobiłem wcześniej, więc przypuszczam, że zapora działa. Dziwi mnie tylko to, że jądro nie upuszcza pakietów całkowicie? A może jest tcpdump
podłączony do jądra w taki sposób, że widzi pakiety jeszcze zanim przejdą do iptables?
źródło