Я получаю несколько отклоненных DNS-запросов, которые я хотел бы запретить с помощью iptables, чтобы избежать отправки расширенных ответов на сервер... и они просто раздражают в моих журналах.
(.): query (cache) './ANY/IN' denied
Я знаю, что с такими запросами, как
(domain.com): query (cache) 'domain.com/ANY/IN' denied
Я могу заблокировать только с помощью:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|06|domain|03|com|0000ff0001|" --algo bm
Но я не уверен насчет этого "общего" запроса к ./ANY/IN. Сначала это выглядит примерно так:
iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm
может быть и так... но тогда мне интересно, не буду ли я блокировать запросы на что-либо
(небольшое примечание: обычно людей не волнует последний 00ff0001бит, который я использую, это байты длятип и класс запроса, если вам это интересно)