lfd可以运行外部脚本和比如登录失败后的IP地址阻止。这是通过将配置变量BLOCK_REPORT设置为可执行的脚本。以下参数传递到脚本后变为:
ARG 1 = IP Address # 被阻止的IP地址或CIDR
ARG 2 = ports # 端口,逗号隔开的列表 或用*表示所有端口
ARG 3 = permanent # 0=临时阻止, 1=永久阻止
ARG 4 = inout # 阻止方向: 进入,传出或进出
ARG 5 = timeout # 如果是临时阻止, TTL以秒为单位, 否则为0
ARG 6 = message # 包含阻止原因的信息
ARG 7 = logs # 触发阻止的日志行(每行日志间包括# 行)
lfd在子进程启动BLOCK_REPORT,如果尚未完成也将在10秒钟内终止。它在root账户下运行,因此为了BLOCK_REPORT脚本的安全要谨慎操作。