unbound: Blocklist nach Patch defekt

[mrserious]

Guten Morgen Leute,

über Nacht gab's nen Patch für bind9, seitdem funktioniert meine Blocklist unter unbound nicht mehr.
Kann das jemand bestätigen?

Ich lade per "include" in der unbound.conf eine Liste, die die u.g. Struktur besitzt.
Seit ich gepatcht habe klappt keine Namensauflösung an den Clients mehr.
Kommentiere ich das "include" aus, läuft alles einwandfrei.

Code: Alles auswählen

server:
local-zone: "." redirect
local-data: ". IN A 0.0.0.0"
local-data: ". IN AAAA ::"
local-zone: "0.0.0.0." redirect
local-data: "0.0.0.0. IN A 0.0.0.0"
local-data: "0.0.0.0. IN AAAA ::"

[mrserious]

Update:

Ich sehe folgenden Eintrag im syslog, kann mir aber noch nicht erklären, wo er her kommt.
(Taucht natürlich nur auf, wenn ich das "include" drin habe, ansonsten läuft es einwandfrei durch)

Code: Alles auswählen

systemd[1]: unbound-resolvconf.service - Unbound asyncronous resolvconf update helper was skipped because of an unmet condition check (ConditionFileIsExecutable=/sbin/resolvconf).

Unbewiesene Theorie: auf dem Server ist IPv6 im Kernel deaktiviert.
Kann es da neuerdings Probleme bekommen, wenn in meiner Blocklist bspw. auch "::"-Einträge stehen?
Ich habe bei spontaner Suche derartiges gefunden.

[chrbr]

Bei mir habe ich local-void.zones im server Block von unbound.conf mit include eingebunden. Die ersten Zeilen von der Datei sehen so aus:

Code: Alles auswählen

local-zone: "education-securiter-routiere.fr" static
local-zone: "click.silvercash.com" static
local-zone: "kilomniadst.info" static

Damit funktionieren die Namensauflösung und das Blockieren.

Ich habe aber auch keine Zeile in unbound.conf mit local-zone oder local-data aktiv.

[mrserious]

Habe mir deine Liste einfach mal kopiert... und erhalte den selben Fehler.

Ich hege den Verdacht, dass es an den bind9-Updates liegt. Am Server wurde ansonsten nichts verändert und diese unbound-Konfiguration nutze ich schon recht lange in genau dieser Form.

[chrbr]

Die bind9 Updates habe ich auch bekommen und habe damit keine Probleme. Hier ist meine unbound.conf und die Ausgabe von systemctl. Vielleicht hilft das weiter. Wenn bei dir etwas signifikant anders ist, dann kann ich das gerne mal ausprobieren.

Code: Alles auswählen

server:
	verbosity: 1
	num-threads: 1
	interface: 127.0.0.1
	port: 53
	cache-min-ttl: 60
	do-ip4: yes
	do-ip6: no
	do-udp: yes
	do-tcp: yes
	use-systemd: no
	do-daemonize: no
	access-control: 127.0.0.0/8 allow
	chroot: ""
	use-syslog: yes
	log-time-ascii: yes
	log-queries: no
	log-replies: yes
	log-tag-queryreply: no
	log-local-actions: no
	log-servfail: yes
	pidfile: "/var/run/unbound.pid"
	prefetch: no
	prefetch-key: no
	include: "/etc/unbound/local-void.zones"
python:
dynlib:
remote-control:
	control-enable: no

Etwas Diagnose, nach dem ich den Service neu gestartet habe, um im Log nach eventuallen Problemen zu schauen:

Code: Alles auswählen

# systemctl status unbound
● unbound.service - Unbound DNS server
     Loaded: loaded (/lib/systemd/system/unbound.service; enabled; preset: enabled)
     Active: active (running) since Sat 2023-09-23 21:08:19 CEST; 4min 33s ago
       Docs: man:unbound(8)
    Process: 478153 ExecStartPre=/usr/libexec/unbound-helper chroot_setup (code=exited, status=0/SUCCESS)
    Process: 478156 ExecStartPre=/usr/libexec/unbound-helper root_trust_anchor_update (code=exited, status=0/SUCCESS)
   Main PID: 478158 (unbound)
      Tasks: 1 (limit: 9152)
     Memory: 19.9M
        CPU: 170ms
     CGroup: /system.slice/unbound.service
             └─478158 /usr/sbin/unbound -d -p

[chrbr]

Einen Versuch habe ich gemacht, und die Datei aus dem ersten Post lokal abgespeichert und unter der letzten Zeile von unbound.conf per include eingebunden. Damit wird bei IPv4 wohl jeder Name zu 0.0.0.0 aufgelöst. Hier ist ein Beispiel:

Code: Alles auswählen

> dig www.obi.de

; <<>> DiG 9.18.19-1~deb12u1-Debian <<>> www.obi.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7441
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;www.obi.de.                    IN      A

;; ANSWER SECTION:
www.obi.de.             3600    IN      A       0.0.0.0

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Sat Sep 23 21:21:05 CEST 2023
;; MSG SIZE  rcvd: 55

[mrserious]

Guten Morgen!

Ah, toll, danke dir!

Ja, richtig, das Auflösen nach 0.0.0.0 ist so gedacht, damit wird quasi das Blocken realisiert.
Ich frag mal andersrum: Wie erstellst du denn deine Blocklist? Dafür hast du ja vmtl. auch ein Skript?
Ich habe mir dafür vor Urzeiten mal ein's gebaut, das die Liste entsprechend aktualisiert.

Ich habe gestern mal alle unbound Pakete- und Dateien gelöscht und sauber neu installiert, weil ich den Server vor Monaten von Debian 11 auf Debian 12 hochgezogen habe, also in-place.
Seitdem lief aber alles absolut sauber...

Hat aber auch nichts gebracht, der Fehler bleibt...


Meine config ist etwas einfacher gehalten als deine, aber im Grunde wohl identisch.
Ich habe noch einen Block drin, der dnscrypt einbindet:

Code: Alles auswählen

do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.2.1@53

[mrserious]

Edit: Oh man... ich habe wohl zu früh den Fehler bei anderen gesucht
In einer meiner Blacklists muss ein Syntaxfehler sein.
Ich habe gerade mal nur eine einzelne der Listen genommen und es funktioniert direkt alles.

Bitte entschuldige den Aufwand, aber danke für deine Hilfe!

[chrbr]

Ich frag mal andersrum: Wie erstellst du denn deine Blocklist? Dafür hast du ja vmtl. auch ein Skript?
Ich habe mir dafür vor Urzeiten mal ein's gebaut, das die Liste entsprechend aktualisiert.

Ich verwende dafür https://github.com/cyclaero/void-zones-tools. Die damit erzeugte Datei muss man zum Teil nacharbeiten, zum Beispiel weil doppelte Einträge vorkommen können. Das hält sich aber in Grenzen.

[chrbr]

In einer meiner Blacklists muss ein Syntaxfehler sein.
Ich habe gerade mal nur eine einzelne der Listen genommen und es funktioniert direkt alles.

Kein Problem, mir ist das auch schon passiert. Wichtig ist nur, das der Fehler gefunden ist.