netfilter parece permitir que o tráfego rejeitado da minha corrente INPUT passe pela minha corrente OUTPUT . Aqui estão as regras da cadeia INPUT que são aplicadas aos pacotes em questão:
LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "ICATCH:"
REJECT-PKT all -- * * 0.0.0.0/0 0.0.0.0/0
A cadeia REJECT-PKT definida pelo usuário e sua regra relevante:
REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp reject-with tcp-reset
Este é o resultado registrado:
May 15 06:41:51 li51-144 kernel: ICATCH:IN=eth0 OUT= MAC=f2:3c:91:1f:61:44:84:78:ac:0d:97:c1:08:00 SRC=188.138.135.9 DST=<my IP> LEN=40 TOS=0x00 PREC=0x00 TTL=46 ID=46841 PROTO=TCP SPT=8838 DPT=23 WINDOW=22014 RES=0x00 SYN URGP=0
May 15 06:41:51 li51-144 kernel: OCATCH:IN= OUT=eth0 SRC=<my IP> DST=188.138.135.9 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=23 DPT=8838 WINDOW=0 RES=0x00 ACK RST URGP=0
A segunda linha é produzida pela seguinte (penúltima) regra na tabela OUTPUT :
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 6 prefix "OCATCH:"
Eu estava com a impressão de que os pacotes rejeitados eram de alguma forma marcados pelo kernel e que o tráfego TCP com% flag RST resultante das regras iptables não era processado pelo firewall.
O que eu entendi mal?
Como @Aaron disse, isso é normal.
Quando o pacote de entrada atinge a regra REJECT , ele será processado pelo netfilter e responderá a um remetente com RST pacote e mensagem.
No entanto, se você definir como DROP , a fonte não receberá nenhuma mensagem.
Verifique este link: Diferença entre DROP & REJEITAR
Vale a pena executar tcpdump ou wireshark para capturar a saída e ver o que passa por baixo do hub.