ฉันตั้งใจติดตั้งเซิร์ฟเวอร์ DNS Resolver ที่เปิดซึ่งใช้ในไม่ช้าสำหรับการโจมตี DDoS ที่มีต้นกำเนิดจาก / ถึงรัสเซีย ด้วยเหตุนี้ฉันจึงปิดกั้นพอร์ต 53 บนเซิร์ฟเวอร์ DNS ทั้งสองสำหรับทุกคนยกเว้น IP ที่เชื่อถือได้ มันใช้งานได้ฉันไม่สามารถเชื่อมต่อกับพวกเขาได้อีกต่อไป แต่สิ่งที่ดูแปลกสำหรับฉันคือเมื่อฉันรัน tcpdump บน eth1 (ซึ่งเป็นอินเตอร์เฟสบนเซิร์ฟเวอร์ที่มีอินเทอร์เน็ตสาธารณะ) ฉันเห็นแพ็คเก็ตขาเข้าจำนวนมากจากผู้โจมตีถึงพอร์ต 53
เป็นเรื่องปกติหรือไม่ที่ tcpdump แสดงแพ็กเก็ตเหล่านี้แม้ว่า iptables จะปล่อยมัน หรือฉันกำหนดค่า iptables ผิดหรือเปล่า?
ในทางกลับกันฉันไม่เห็นแพ็กเก็ตขาออกใด ๆ จากเซิร์ฟเวอร์ของฉันซึ่งฉันทำมาก่อนดังนั้นฉันจึงคิดว่าไฟร์วอลล์นั้นทำงานได้ดี มันทำให้ฉันประหลาดใจที่เคอร์เนลไม่ได้ทิ้งแพ็กเก็ตทั้งหมดหรือเปล่า หรือเชื่อมtcpdump
ต่อกับเคอร์เนลในแบบที่มันเห็นแพ็คเก็ตก่อนที่มันจะไปถึง iptables?