Code: Select all
45.61.184.84#37202 (pizzaseo.com): query (cache) 'pizzaseo.com/ANY/IN' denied
Code: Select all
209.141.59.224#41300 (pizzaseo.com): query (cache) 'pizzaseo.com/RRSIG/IN' denied
Jedenfalls möchte ich das jetzt doch abstellen im Lauf der nächsten Tage.
Die verlinkte URL https://www.teaparty.net/technotes/dns-fail2ban.html hatte ich auch schon gefunden. Wenn ich richtig verstanden habe was ihr hier macht, dann habt ihr den Schritt, in der named.conf das Logging in eine separate Logdatei zu aktivieren weggelassen und analysiert direkt die /var/log/syslog. Die Regex von ElonMusk käme dann in die /etc/fail2ban/filter.d/pizzaseo.conf und das Jail [named-pizzaseo] wird dann entsprechend abgeändert bzgl logpath, findtime, bantime und maxretry.
Also etwa so, wobei man maxretry, findtime und bantime passend feintunen und dann regelmäßig die syslog kontrollieren und die Werte nötigenfalls anpassen müsste:
Code: Select all
[named-pizzaseo]
enabled = true
filter = pizzaseo
action = iptables[name=named, port=53, protocol=udp, blocktype=DROP]
logpath = /var/log/syslog
maxretry = 5
findtime = 300
bantime = 1800
ignoreip = 127.0.0.1/8 ::1