Você pode estar lendo mal o que o iftop está lhe dizendo. Quando você executa o iftop, ele coloca a interface no modo promíscuo e, portanto, receberá todos os pacotes visíveis no fio, independentemente de onde esses pacotes são endereçados, particularmente os pacotes de transmissão.
Os pacotes 169.254. . estão sendo transmitidos por qualquer dispositivo na mesma rede que não conseguiu obter uma resposta DHCP e acabou usando o intervalo IP auto-atribuído. Geralmente, esses pacotes não podem ser roteados de qualquer maneira.
O UFW / IPTables só vai registrar o bloqueio de um pacote quando esse pacote foi especificamente endereçado para esse host específico e, em seguida, rejeitado pelo UFW. Provavelmente existe uma regra na sua tabela que descarta ou aceita o tráfego de broadcast sem fazer login.
Se você iniciar iftop com as opções -F cidr, poderá fazê-lo ignorar os pacotes de transmissão e focar a exibição apenas no tráfego de / para seu host, por exemplo:
iftop -F 192.168.1.10/32
Os pacotes com aquele endereço IP (192.168.1.10) no campo dst ou src serão exibidos, os outros serão silenciosamente filtrados para fora da tela.