近期，我互联镇江一区二区再一次被通报违规递归解析业务。

什么是递归解析业务：递归解析业务指的是DNS。递归解析是当输入域名时，在全球范围内“追问”域名的真实IP地址

客户为什么要做违规递归解析：通过搭建非法递归解析服务器，客户机可访问解析服务器获取错误的指向IP，从而破解，欺骗，获取的信息，如常见的绕授权，破解软件，更有可以配合代理，将信息流伪装成某个人特定软件的数据流，以骗过运营商，达到免流效果

DNS的默认端口是53，我们今天遇到的问题是封禁了53端口仍有客户使用其他端口tcp搭建 导致继续通报，

这种问题该怎么解决。

1.防火墙层面要求运维屏蔽此协议头。

2.使用iptables 封杀tcp协议

# 1. 封杀TCP DNS查询（包括非53端口的DNS）

iptables -A FORWARD -p tcp -m string --algo bm --hex-string "|00010000|" --from 60 --to 180 -j DROP

# 2. 封杀UDP DNS查询（防止UDP 53被绕过）

iptables -A FORWARD -p udp -m string --algo bm --hex-string "|00010000|" --from 60 --to 180 -j DROP

# 3. 封杀DNS-over-HTTPS (DoH，跑在443/TCP)

iptables -A FORWARD -p tcp --dport 443 -m string --algo bm --string "application/dns-message" -j DROP

# 4. 封杀DNS-over-TLS (DoT，跑在853/TCP)

iptables -A FORWARD -p tcp --dport 853 -j DROP

# 5. 保存规则（防止重启失效）

iptables-save > /etc/iptables.rules