Ok. Yo uso un constructor e injector de paquetes a medida o hping, pero lo mejor para ser paranóico del todo y testearlo todo es un packet "injected packet". Úsalo y veras lo que te ríes. Le `pones siquieres tcpdump detrás del fire para ver lo que se le escapa a este, dependiendo de como lo tengas las reglas.