В настоящее время я использую BIND названный на моих серверах с выходом в Интернет, чтобы отвечать на авторитетные запросы для моих доменов. Итак, я настроил /etc/bind/named.conf.local следующим образом для регистрации всех запросов, поступающих на мои DNS-серверы:
[...]
Ведение журнала {
канал query.log {
файл "/var/log/named/query.log" версии 10 размер 10м;
отладка серьезности 3;
время печати да;
};
конфигурация категории { default_syslog; };
запросы категорий { query.log; };
категория по умолчанию { ноль; };
};
Недавно мои серверы начали регистрировать множество запросов, поступающих с IP-адресов по всему миру (см. описание атак с усилением DNS на странице
https://www.linuxquestions.org/questions/linux-newbie-8/there-are-many-query-this-website-on-my-dns-server-4175676097/). я не хочу использовать фейл2бан чтобы эти IP-адреса не выполняли запросы к моим DNS-серверам просто потому, что IP-адресов слишком много (например, более 500 IP-адресов, собранных за 24 часа), и мне кажется ненужным заполнять мой iptables с такими ненужными записями.
я просто хочу названный не регистрировать запросы, соответствующие что-то вроде этого запрос.лог файл (потому что мой файл журнала начинает заполняться и вращаться очень быстро):
клиент .* (pizzaseo.com): запрос: pizzaseo.com В RRSIG .*
Есть ли конфигурация в названный это позволит мне отфильтровать некоторые записи запроса, прежде чем я войду в запрос.лог?
Я решил использовать «именованные каналы» для передачи всего вывода в запрос.лог через grep команда. Но это может отрицательно сказаться на демоне BIND, если grep команда каким-то образом умирает, и «именованный канал» становится полным.
Обратите внимание, что мне нужно регистрировать все записи (кроме этого пиццасео вещь) для каких-то других целей/нужд.
