Estou recebendo algumas consultas DNS negadas que gostaria de proibir o uso de iptables, para evitar a ligação para enviar respostas aumentadas ao servidor ... e que elas são simplesmente irritantes em meus logs.
(.): query (cache) './ANY/IN' denied
Eu sei disso, com perguntas como
(domain.com): query (cache) 'domain.com/ANY/IN' denied
Posso bloquear com apenas:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|06|domain|03|com|0000ff0001|" --algo bm
Mas não tenho certeza sobre essa consulta "genérica" para ./ANY/IN. A princípio parece algo assim:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm
pode servir... mas então me pergunto se não bloquearei consultas por nada
(pequena nota: geralmente as pessoas não se importam com o último 00ff0001bit que estou usando, eles são os bytes dotipo de consulta e classe, se você estiver curioso sobre isso)