iptables を使用して禁止したい拒否された DNS クエリがいくつかあり、bind がサーバーに拡張応答を送信するのを回避します...それらは単にログに記録されて迷惑です。
(.): query (cache) './ANY/IN' denied
次のようなクエリで、
(domain.com): query (cache) 'domain.com/ANY/IN' denied
以下の方法でブロックできます:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|06|domain|03|com|0000ff0001|" --algo bm
しかし、 へのこの「一般的な」クエリについてはよくわかりません./ANY/IN。最初は次のようになります。
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm
するかもしれない...でも、クエリをブロックしないかどうかは疑問だ
(小さな注意:通常、私が使用している最後のビットについては人々は気にしません00ff0001。それはクエリの種類とクラス(興味があれば)