リモートの不正なDNSクライアントがLinux DNSサーバーの最初のiptablesルールをすり抜けることができましたか？

Ubuntu 20.04
iptables 1.8.4-1

NATルーターの背後にあるLinuxサーバーのfirst iptablesルールをリモートシステムがすり抜けることができるように見える状況を経験しました：

-A INPUT -s <remote_ip_addresses_range> -j DROP

上記のルールにもかかわらず、pktstat -tF -i <wired_ethernet_interface>を使用して次のスナップショットを見ることができました。

udp <remote_fqdn>:29937 <-> <server_fqdn>:domain
udp <remote_fqdn>:21862 <-> <server_fqdn>:domain
udp <remote_fqdn>:37097 <-> <server_fqdn>:domain
udp <remote_fqdn>:1886 <-> <server_fqdn>:domain
udp <remote_fqdn>:16824 <-> <server_fqdn>:domain
udp <remote_fqdn>:43989 <-> <server_fqdn>:domain
udp <remote_fqdn>:49939 <-> <server_fqdn>:domain
udp <remote_fqdn>:25297 <-> <server_fqdn>:domain
udp <remote_fqdn>:13319 <-> <server_fqdn>:domain
udp <remote_fqdn>:62586 <-> <server_fqdn>:domain
udp <remote_fqdn>:24825 <-> <server_fqdn>:domain
udp <remote_fqdn>:52733 <-> <server_fqdn>:domain
udp <remote_fqdn>:44866 <-> <server_fqdn>:domain
udp <remote_fqdn>:19691 <-> <server_fqdn>:domain
udp <remote_fqdn>:31634 <-> <server_fqdn>:domain
udp <remote_fqdn>:36689 <-> <server_fqdn>:domain
udp <remote_fqdn>:20213 <-> <server_fqdn>:domain
udp <remote_fqdn>:38816 <-> <server_fqdn>:domain
udp <remote_fqdn>:62049 <-> <server_fqdn>:domain
udp <remote_fqdn>:51384 <-> <server_fqdn>:domain
udp <remote_fqdn>:55557 <-> <server_fqdn>:domain
udp <remote_fqdn>:39710 <-> <server_fqdn>:domain
udp <remote_fqdn>:56031 <-> <server_fqdn>:domain
udp <remote_fqdn>:50839 <-> <server_fqdn>:domain
udp <remote_fqdn>:53202 <-> <server_fqdn>:domain
udp <remote_fqdn>:39416 <-> <server_fqdn>:domain
udp <remote_fqdn>:25693 <-> <server_fqdn>:domain
udp <remote_fqdn>:55591 <-> <server_fqdn>:domain
udp <remote_fqdn>:30182 <-> <server_fqdn>:domain

私は<remote_fqdn>が<remote_ip_addresses_range>内にあることを確信しています。

その状況について考えられる説明は2つしかありません。

• iptablesフィルタリングが行われる前にパケットのpktstatがスニッフィングします。
• iptablesにセキュリティ上の欠陥があります

Tcpdumpトレースは、すべての不正なDNSクエリが類似していることを示しています。攻撃者は、奇妙なDNSドメインの再帰的なDNS検索でサーバーをハイジャックしようとしました：packet.cf（<server_fqdn>が提供するドメインではありません）。

手がかりのある人は誰ですか？