Я хочу запретить некоторые DNS-запросы, приходящие на мой сервер с именем . Обычно сервер прослушивает и TCP, и UDP-порт 53 и записывает запросы в файл /var/log/ named/query.log
. Итак, я добавил следующую запись в конец /etc/fail2ban/jail.local
:
[named-xyz]
enabled = true
port = domain
filter = xyz
logpath = /var/log/named/query.log
bantime = 1d
action = %(action_)s
Однако это запрещает только порт TCP (по умолчанию). Чтобы запретить порт UDP, мне нужно добавить еще одну запись:
[named-xyz-udp]
enabled = true
port = domain
protocol = udp
filter = xyz
logpath = /var/log/named/query.log
bantime = 1d
action = %(action_)s
Наличие подобных записей может не выглядеть излишним, однако у нее есть недостаток регистрации двойных записей для одиночного «плохого» запроса в файл fail2ban.log
примерно так:
fail2ban.filter [11619]: INFO [named-xyz-udp] Found a.b.c.d
fail2ban.filter [11619]: INFO [named-xyz] Found a.b.c.d
Как я могу просто заблокировать UDP / 53 и TCP / 53 одновременно с помощью единственного правила в jail.local
? Строка protocol = all
в моем случае не работает.
fail2ban версия v0.11.1
.