Пошук по сайту

привет. вот сегодня поигрался с unbound dns на убунте. днс работает, все ок. но вот хотелось чтобы нелезли всякие вирусняки и т.д. через него. на свою логики + гугл накатал несколько базовых правил. вот что получилось: #DNS MX type -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource -A INPUT -p udp --dport 53 -m state --state NEW -m string --algo kmp --hex-string "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP -A INPUT -p udp --dport 53 -m string --algo kmp --hex-string "|00 0F 00 01|" -j ACCEPT #DNS standart -A INPUT -i lo -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT -A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT блок моих ip -A INPUT -s 91.ХХХ.ХХХ.0/22 -p udp -m udp --dport 53 -j ACCEPT блок моих ip -A INPUT -s 91.ХХХ.ХХХ.0/23 -p udp -m udp --dport 53 -j ACCEPT блок моих ip -A INPUT -p udp --dport 53 -j DROP все как бы ничего, но беру : dnstop vlan2 -i 91.ХХХ.ХХХ.224 (смотри скрин) и вижу картину которая мне кажется что не такая должна быть...что На peacecorps.gov 30-40% запросов... как правильно свой ДНС защитить? дайте правильный фаервол)