Ich habe fälschlicherweise einen DNS-Server mit offenem Resolver eingerichtet, der bald für eine Reihe von DDoS-Angriffen aus Russland verwendet wurde. Aus diesem Grund habe ich Port 53 auf beiden DNS-Servern für alle außer für vertrauenswürdige IP-Adressen vollständig blockiert. Es funktioniert, ich kann keine Verbindung mehr herstellen, aber was mir komisch vorkommt, ist, dass ich beim Ausführen von tcpdump auf eth1 (der Schnittstelle zwischen Server und öffentlichem Internet) viele eingehende Pakete vom Angreifer zum Port 53 sehe.
Ist es normal, dass tcpdump diese Pakete anzeigt, auch wenn iptables sie fallen lässt? Oder habe ich iptables falsch konfiguriert?
Auf der anderen Seite sehe ich keine ausgehenden Pakete von meinem Server, was ich vorher getan habe, also denke ich, dass die Firewall funktioniert. Es überrascht mich nur, dass der Kernel Pakete nicht vollständig fallen lässt? Oder ist er so tcpdump
an den Kernel gebunden, dass er die Pakete sieht, noch bevor sie zu iptables gelangen?
quelle