J'ai configuré par erreur un serveur DNS ouvert résolveur, qui a rapidement été utilisé pour de nombreuses attaques DDoS provenant de / vers la Russie. Pour cette raison, j'ai complètement bloqué le port 53 sur les deux serveurs DNS pour tout le monde, à l'exception des adresses IP de confiance. Cela fonctionne, je ne peux plus me connecter à eux, mais ce qui me semble bizarre, c’est que, lorsque je lance tcpdump sur eth1 (interface sur le serveur avec Internet public), je vois beaucoup de paquets entrants de l’attaquant au port 53.
Est-il normal que tcpdump affiche ces paquets même si iptables les supprime? Ou ai-je mal configuré iptables?
D'autre part, je ne vois aucun paquet sortant de mon serveur, ce que je faisais auparavant, alors je suppose que le pare-feu fonctionne en quelque sorte. Cela me surprend que le noyau ne laisse pas tomber les paquets entièrement? Ou est-ce que le tcpdump
noyau est connecté de manière à voir les paquets avant même qu’ils ne parviennent à iptables?