Правила nftables не блокируют трафик
Вы можете загрузить его на сайт, например, virustotal.com, чтобы проанализировать его.
Что касается того, как он туда попал, вы должны проверить журналы, использовать команду history для поиска в истории команд, запущенных для каждого пользователя, убедиться, что нет новых заданий crontab и т. д.
Если есть возможность, я бы выбросил виртуальную машину, если это виртуальная машина, или сделал бы переустановку, чтобы убедиться, что она чистая. Зависит от того, что хранит сервер и что требуется вашей компании.
Сначала я бы протестировал с другого хоста, а не с той же машины, обычно вам нужно сделать специальные настройки, чтобы правильно классифицировать трафик «того же хоста» как «входящий».
Кроме того, кажется странным, что ваша глобальная и локальная сети находятся в одном и том же сетевом диапазоне, конечно, в IP-сетях нет определения нормального, но вы используете «связанные» и «установленные», которые обычно являются частью NAT.