Por que, em um roteador Linux, os clientes ainda podem se conectar mesmo depois que o adaptador de rede estiver inativo ou o roteamento do iptables estiver desativado?

Eu tenho uma máquina Linux que uso como roteador VPN sem fio. Possui uma configuração de roteador bem clássica, cujos destaques são:

• openvpnpara se conectar à VPN, que está conectada eth0e disponibiliza o tun0adaptador para tráfego em túnel.
• -t nat -A POSTROUTING -o tun0 -j MASQUERADEregra para encaminhar o tráfego para wlan0.

Eu queria bloquear totalmente o tráfego sob certas condições, mas não entendo por que os pacotes continuam fluindo mesmo se eu remover as condições acima.

Por exemplo, se em um cliente eu tiver uma sessão do Firefox aberta e eu remover a regra de roteamento do iptables ( iptables -t nat -F), algo estranho acontece - alguns sites ainda continuam funcionando, mas a grande maioria não se conecta.

Se eu usar um cliente bittorrent, novamente, algo estranho acontece - quando eu fecho a conexão VPN (que tun0cai), o cliente BT para de baixar, mas conectando iftopo roteador, depois de tun0cair, observo uma série de conexões aparecendo de a máquina cliente para vários endereços da Internet.

Por que isso acontece?

Tenho uma solução, que é terminar hostapd, mas não entendo porque o tráfego é tão "resiliente".