如何阻止来自多个 dns 的目标 ip 拒绝使用 iptables 回复

我无法完全理解您想要实现的目标，但它失败的原因很简单，因为 DNS 响应实际上并不包含 string REFUSED。

RFC 1035定义了一个响应标头，其中在该标头中将 4 位字段设置为RCODE; 响应代码，其中的值5代表“拒绝”：

4.1.1. Header section format

The header contains the following fields:

                                1  1  1  1  1  1
  0  1  2  3  4  5  6  7  8  9  0  1  2  3  4  5
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                      ID                       |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|QR|   Opcode  |AA|TC|RD|RA|   Z    |   RCODE   |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    QDCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ANCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    NSCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+
|                    ARCOUNT                    |
+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+--+

RCODE 5- 名称服务器出于策略原因拒绝执行指定的操作。例如，名称服务器可能不希望向特定请求者提供信息，或者名称服务器可能不希望对特定数据执行特定操作（例如，区域传输）。

不要这样做。

1. 您正在创建拒绝服务向量。由于 DNS 查询很容易被欺骗，这种策略为攻击者打开了大门，可以训练您的 DNS 服务器忽略来自特定 IP 地址的流量。他们所要做的就是欺骗会产生 的响应的查询REFUSED，并且这个“智能”防火墙会很高兴地开始忽略来自受害者的流量。

2. REFUSED响应一开始对攻击者没有用处。希望利用 DNS 进行肮脏工作的攻击者通常是在寻找某种形式的放大效应，而这些查询不会产生这种效应。大多数 DNS 专业人士会认为这是不必要的过度设计。

log2ban 样式策略仅在您处理具有已确认源 IP 的流量时才有效。TCP 通过 3 次握手内置了这种保护，但 UDP 没有。

利用 HBruijn 的回答，这里将是，在 DNS 服务器上，如何使用 u32 匹配丢弃任何带有 REFUSED RCODE 的 UDP DNS 回复

iptables -I OUTPUT -p udp --sport 53 -m u32 --u32  '0>>22&0x3C@8 & 0x800F=0x8005' -j DROP

它跳过 IP 报头，然后为 UDP 报头再跳过 8 个字节，并在有效负载开始时检查第一个 u32 数据的内容：第 1 位是 1（回复），最后 4 位值 = 5（拒绝）。

正如我被提醒的那样，禁止源 IP 进行 UDP 查询是个坏主意，因为使用欺骗性 IP，这就是 DoS。没有收到拒绝回复似乎不是一个真正的问题。我刚刚从这个答案中删除了“最近的”规则。