Saya keliru men-setup DNS server resolver terbuka, yang segera digunakan untuk sekelompok serangan DDoS yang berasal dari suatu tempat dari / ke rusia. Untuk alasan itu saya sepenuhnya memblokir port 53 pada kedua server DNS untuk semua orang kecuali untuk IP tepercaya. Tidak berfungsi, saya tidak dapat terhubung lagi dengan mereka, tetapi yang aneh bagi saya adalah ketika saya menjalankan tcpdump pada eth1 (yang merupakan antarmuka pada server dengan internet publik) saya melihat banyak paket masuk dari penyerang ke port 53.
Apakah normal jika tcpdump menampilkan paket-paket ini walaupun iptables menjatuhkannya? Atau apakah saya mengkonfigurasi iptables salah?
Di sisi lain saya tidak melihat paket keluar dari server saya, yang saya lakukan sebelumnya, jadi saya kira firewall itu berfungsi. Ini hanya mengejutkan saya bahwa kernel tidak menjatuhkan paket sepenuhnya? Atau tcpdump
terhubung ke kernel dengan cara yang melihat paket bahkan sebelum mereka sampai ke iptables?
sumber