DollyPapper, IMHO, не приложение формирует TCP-соединение со всеми его параметрами, это делает сетевая подсистема. Приложение про SYN и ACK не в курсе, оно получает уже готовое, инициированное соединение. Точно так же, как приложение не управлят непосредственно роутингом пакетов через gateway-и, это работа сетевой подсистемы. И да, приложение открывает сокет или порт, и в него таки попадают пакеты, пришедшие по инициированному соединению.
DollyPapper, ну вообще-то всё логично, на стадии TCP handshake соединение ещё не создано, оно только-только создаётся, соответственно и "владелец" ещё не выбран, а значит неизвестен...
Да некоторые телефоны и просто от сети тоже работают. Идёте в магазин, просите телефон со съёмной батареей, вынимаете батарею, подключаете зарядку, и любуетесь полностью функциональным телефоном. А с разными фобиями - это вам к врачам и т.д.
maksachve, для теста сделайте ещё echo "==== $answer ====" >>log.txt, и штудируйте log.txt, там точно-точно написано "ok":false? Без пробелов где-нибудь, без кавычек?
Pifagorr, воооот, и это - правильный вопрос! Так и трафик самого сервера тоже заблочится. Разматываем ситауцию дальше. А почему трафик из локальной сети вдруг пошёл этим неожиданным путём? Наверное потому, что скрипты VPN-канала поменяли default route на себя, и весь трафик, направленный не в локальную сеть, вполне ожидаемо попёр в VPN-канал.
Поэтому: вывод ip route - в студию! А я пошёл уже спать.
Pifagorr, а блокировать простым -A OUTPUT -o tun0 -s 10.0.0.0/8 -j REJECT, разумеется в начале списка OUTPUT правил, заменив туннель и подсетку на свои.
Только встаёт вопрос - а для чего вообще нужен туннель?
Pifagorr, а чего тут мониторить абузы? Идеш на хетцнеровский сервер, запускаешь tcpdump -nni any net 10.0.0.0/8, и любуешься на трафик, который нужно блокировать. Вместо 10.0.0.0/8 подставь IP-диапазон домашней сети.