O ponto mais inicial possível de descartar pacotes é a tabela iptables raw , conforme mostrado no diagrama em link
Você pode descartar pacotes na cadeia PREROUTING da seguinte forma:
iptables -t raw -A PREROUTING -p udp -j DROP
No entanto, com essa abordagem, você também está descartando respostas de DNS para as solicitações iniciadas pelo servidor, pois o processamento da tabela raw ocorre antes que o rastreamento de conexão ocorra.
Você pode adicionar hosts UDP permitidos assim:
iptables -t raw -A PREROUTING -p udp -s !nnn.nnn.nnn.nnn -j DROP
em que nnn.nnn.nnn.nnn é o endereço IP do host no qual você deseja receber o tráfego UDP.
Também pode haver outras consequências ao desativar o tráfego UDP antes do rastreamento da conexão, dependendo do servidor.