Ich erhalte einige abgelehnte DNS-Anfragen, die ich mithilfe von iptables verbieten möchte, um zu verhindern, dass Bind erweiterte Antworten an den Server sendet … und die in meinen Protokollen einfach nur störend sind.
(.): query (cache) './ANY/IN' denied
Ich weiß, dass bei Anfragen wie
(domain.com): query (cache) 'domain.com/ANY/IN' denied
Ich kann blockieren mit nur:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|06|domain|03|com|0000ff0001|" --algo bm
Aber ich bin mir bei dieser „generischen“ Abfrage nicht sicher ./ANY/IN. Auf den ersten Blick sieht sie ungefähr so aus:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm
könnte ich tun... aber dann frage ich mich, ob ich nicht Abfragen für irgendetwas blockieren werde
(kleine Anmerkung: normalerweise interessiert es die Leute nicht, welches letzte 00ff0001Bit ich verwende, es sind die Bytes für dieAbfragetyp und -klasse, falls Sie neugierig sind)