Buen dia.
Ultimamente estuve revisando /var/log/messages y encontre en tiempo real *intentos *ataques de ddns a otros dominios por medio de mi servidor dns:
*shell# tail -f /var/log/messeges* Feb 27 11:34:09 linux named[20398]: client 125.161.149.111#47832: query (cache) 'cpsc.gov/ANY/IN' *denied*
Como ven los intentos estan *denied*, pero implemente una regla en fail2ban pero no funciona :(, no veo que la IP que esta haciendo el ataque recursivo pase a DROP en las reglas IPTables :S !...
*shell# cat /etc/fail2ban/jail.conf* .... [named-refused-udp] enabled = true filter = named-refused port = domain,953 protocol = udp action = iptables-multiport[name=Named, port="domain,953", protocol=udp] logpath = /var/log/messages maxretry = 3 ....
Por ejemplo ahorita veo que la ip 125.161.149.111 en menos de un minuto hace mas de 20 consultas, pero no lo veo en el iptables banneado :S...
*shell# iptables -L -n | grep 125.161.149.111* shell#
Porque ???....
*shell# /etc/init.d/fail2ban status* Se está ejecutando fail2ban-server (pid 24409)... Status |- Number of jail: 2 `- Jail list: named-refused-udp, ssh-iptables
Saludos !
-
angel jauregui