Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Unbound 1.8.3

Als je een dns-look-up uitvoert, begint een recursor in eerste instantie met het stellen van de look-upvraag aan een dns-rootserver. Deze kan dan doorverwijzen naar andere servers, vanaf waar weer doorverwezen kan worden naar andere servers enzovoort, totdat uiteindelijk een server is bereikt die het antwoord weet of weet dat de look-up niet mogelijk is. Van dit laatste kan sprake zijn als de naam niet bestaat of de servers niet reageren. Het proces van het langslopen van verschillende authoritative servers heet recursie. Unbound is een dns-recursor met ondersteuning voor moderne standaarden, zoals Query Name Minimisation, Aggressive Use of Dnssec-Validated Cache en authority zones. De ontwikkelaars hebben onlangs versie 1.8.3 uitgebracht met de volgende veranderingen:

Version 1.8.3
  • Fix dns64 allocation in wrong region for returned internal queries.
Version 1.8.2

Features
  • Add fast-server-permil and fast-server-num options.
  • Deprecate low-rtt and low-rtt-permil options.
  • Change fast-server-num default to 3.
  • Fix #4154: make ECS_MAX_TREESIZE configurable, with the max-ecs-tree-size-ipv4 and max-ecs-tree-size-ipv6 options.
  • Fix #4190: Please create a "ANY" deny option, adds the option deny-any: yes in unbound.conf. This responds with an empty message to queries of type ANY.
  • Fix #4126: RTT_band too low on VSAT links with 600+ms latency, adds the option unknown-server-time-limit to unbound.conf that can be increased to avoid the problem.
  • Add min-client-subnet-ipv6 and min-client-subnet-ipv4 options.
  • Support SO_REUSEPORT_LB in FreeBSD 12 with the so-reuseport: yes option in unbound.conf.
  • Add unbound-control view_local_datas command, like local_datas.
Bug Fixes
  • dnscrypt.c removed sizeof to get array bounds.
  • Fix testlock code to set noreturn on error routine.
  • Remove unused variable from contrib fastrpz/rpz.c and remove unused diagnostic pragmas that themselves generate warnings
  • clang analyze test is used only when assertions are enabled.
  • Squelch EADDRNOTAVAIL errors when the interface goes away, this omits 'can't assign requested address' errors unless verbosity is set to a high value.
  • Set default for so-reuseport to no for FreeBSD. It is enabled by default for Linux and DragonFlyBSD. The setting can be configured in unbound.conf to override the default.
  • iana port update.
  • Squelch log of failed to tcp initiate after TCP Fastopen failure.
  • Fix #4192: unbound-control-setup generates keys not readable by group.
  • check that the dnstap socket file can be opened and exists, print error if not.
  • Add markdel function to ECS slabhash.
  • Limit ECS scope returned to client to the scope used for caching.
  • Fix #4191: NXDOMAIN vs SERVFAIL during dns64 PTR query.
  • Fix #4141: More randomness to rrset-roundrobin.
  • Fix #4132: Openness/closeness of RANGE intervals in rpl files.
  • remade makefile dependencies.
  • Fix #4152: Logs shows wrong time when using log-time-ascii: yes.
  • Scrub NS records from NXDOMAIN responses to stop fragmentation poisoning of the cache.
  • Scrub NS records from NODATA responses as well.
  • Add patch from Jan Vcelak for pythonmod, add sockaddr_storage getters, add support for query callbacks, allow raw address access via comm_reply and update API documentation.
  • Removed compile warnings in pythonmod sockaddr routines.
  • With ./configure --with-pyunbound --with-pythonmodule PYTHON_VERSION=3.6 or with 2.7 unbound can compile and unit tests succeed for the python module.
  • pythonmod logs the python error and traceback on failure.
  • ignore debug python module for test in doxygen output.
  • review fixes for python module.
  • Fix #4209: Crash in libunbound when called from getdns.
  • auth zone zonefiles can be in a chroot, the chroot directory components are removed before use.
  • Fix that empty zonefile means the zonefile is not set and not used.
  • Fix to not set GLOB_NOSORT so the unbound.conf include: files are sorted and in a predictable order.
  • Fix #4193: Fix that prefetch failure does not overwrite valid cache entry with SERVFAIL.
  • Fix DNS64 to not store intermediate results in cache, this avoids other threads from picking up the wrong data. The module restores the previous no_cache_store setting when the the module is finished.
  • Fix #4208: 'stub-no-cache' and 'forward-no-cache' not work.
  • New and better fix for Fix #4193: Fix that prefetch failure does not overwrite valid cache entry with SERVFAIL.
  • auth-zone give SERVFAIL when expired, fallback activates when expired, and this is documented in the man page.
  • stat count SERVFAIL downstream auth-zone queries for expired zones.
  • Put new logos into windows installer.
  • Fix windows compile for new rrset roundrobin fix.
  • Update contrib fastrpz patch for latest release.
  • Fix chroot auth-zone fix to remove chroot prefix.
  • windows icon updated.
Versienummer 1.8.3
Releasestatus Final
Besturingssystemen Linux, BSD, macOS, Solaris, Windows Server 2012, Windows Server 2016
Website NLnet Labs
Download https://nlnetlabs.nl/projects/unbound/download/
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

12-12-2018 • 12:25

16 Linkedin

Submitter: jpgview

Bron: NLnet Labs

Update-historie

Meer historie

Reacties (16)

Wijzig sortering
fresh install unbound 1.8.3 + pihole v4.1 zonder enig probleem
Mag ik vragen hoe je de nieuwste unbound versie hebt geinstalleerd op je raspberry pi.
Wil eveneens vanuit een fresh install de laatste versie draaien...
Lang verhaal. Oorspronkelijk volgde ik de procedure, zoals beschreven in de pihole documentatie. Omdat Raspbian hopeloos achterloopt op de current releases van somige, toch wel belangrijke packages, probeer ik steeds de belangrijke packages zelf te compileren. Ik ga het hele verhaal hier niet opnieuw uit de doeken doen, maar verwijs je graag door naar discourse, waar ik een en ander gedocumenteerd heb. Laat maar weten, bij voorkeur via discourse, als je extra vragen hebt.

<edit>
de Raspbian versie van unbound mag NIET reeds geinstaleerd zijn, anders werkt de beschreven procedure niet! Ook even het versie nummer aanpassen!
</edit>

[Reactie gewijzigd door jpgview op 12 december 2018 17:19]

Ik moest even zoeken, want dit leek me wel leuk op mijn PFSence doos, maar dit is sinds versie 2.2 de standaard DNS-recursor. :+
Dus zonder me er bewust van te zijn gebruik ik dit stukje software al jaren.
uit het change log van pfsense 2.4.4-RELEASE-p1:
Updated Unbound to 1.8.1 to address issues with memory leaks, especially in DNS over TLS support.
Wat is het voordeel van het draaien van unbound naast pi-hole?
Unbound cached onder andere dns aanvragen, zodat deze een volgende keer lokaal en dus sneller worden afgehandeld.
In de link, zoals hierboven reeds vermeld, werd reeds de opmerking gemaakt "The problem: Whom can you trust?"
Door unbound te gebruiken, i.p.v. de DNS service van een ISP of een gerenomeerde DNS service provider, zoals OpenDNS, wordt er voor gezorgd dat niemand nog een volledig overzicht heeft van de DNS queries die jij (jouw pihole) maakt. Een DNS query, zoals b.v. "tweakers.net", word door unbound opgedeeld in verschillende queries. Unbound vraagt eerst aan de rootservers wie de authoritive DNS server is voor "tweakers in het "net" domain. De "tweakers" DNS server weet dan dat jij "tweakers" hebt bezocht. Wanneer je daarna b.v. naar "reddit.com" browsed, word opnieuw aan de rootservers gevraagd wie, in het "com" domain de authoritive server is voor "reddit". de "reddit" DNS server weet dan dat jij "reddit" hebt bezocht maar heeft uiteraard geen idee dat jij daarvoor "tweakers" hebt bezocht.
"Privacy through obscurity", "verdeel en heers", of hoe je het wil noemen.
Voordeel is ook dat unbound een cache heeft die, na verloop van tijd, al die stukjes DNS info bevat, zodat voor bepaalde DNS searches slechts heel weinig vragen aan de buitenwereld moeten worden gesteld.

Het verhaal hierboven is technisch niet helemaal correct, maar m.i. de duidelijkste manier om een en ander uit te leggen.

Let wel, wanneer je provider dit zou wensen, kunnen ze, door de http(s) requesten te bekijken (hun logs) nog steeds een volledige history samenstellen. Nadat je het DNS request hebt gedaan, zal je browser immers steeds via je provider de content binnenhalen, alles passeert dus via hen.

<edit>
typos
</edit>

[Reactie gewijzigd door jpgview op 12 december 2018 20:38]

Thanks voor de uitleg! Heel handig!
Toch nog 2 vragen:

1. In de link staat dat de file met root domains niet heel vaak veranderd (1x per 6 maanden). Moet ik dan zelf elke 6 maanden checken of er een nieuwe file is?
2. Het lijkt alsog mijn pihole dan heel veel extra caching gaat doen. Is dat handig met de SD kaart die erin zit of kan je beter een losse schijf aansluiten om daar vanaf te draaien?
1. Klopt, maar ik doe dit gewoon wekelijks, automatisch met een cron job. je maakt een scriptje met de volgende content (wel de target location aanpassen als die verschilt van het voorbeeld):
sudo wget https://www.internic.net/domain/named.root -O /var/lib/unbound/root.hints
en een cron job die het script uitvoerd op een door jou gewenst tijdstip
2. De unbound caching gebeurd in geheugen, die wordt nooit naar SD geschreven. unbound heeft defaults die de min/max size van de cache bepalen, je kan die aanpassen (unbound.conf) maar ik heb dit niet gedaan e.g. default is in de meeste gevallen prima.
As ik jouw script volg (zoals beschreven op discourse), waar moet root.hints dan heen geschreven worden? Ik dacht zelf /etc/unbound
Er zijn twee mogelijkheden om unbound te gebruiken naast pihole
1. Je gebruikt de handleiding van de pihole developers. Je krijgt dan de huidige Raspbian unbound versie, die loopt helaas ver achter op de huidige current version.
Ik dacht (heb dit zelf niet (meer) draaien) dat, wanneer je die handleiding volgt, root.hints in /var/lib/unbound terecht komt.
2. Je compileert unbound zelf, zoals aangegeven op discourse, root.hints komt dan terecht in /etc/unbound
je vind de locatie van het bestand trouwens terug in je unbound.conf. maar let op, in de zelf gecompileerde versie word chroot gebruikt en zijn alle verwijzingen dus relatief t.o.v. /etc/unbound (in de config root-hints: "/root.hints" wil zeggen dat het bestand /etc/unbound/root.hints zal gebruikt worden)
Thanks. Wat was voor jou de reden om niet de bestaande versie te pakken maar zelf de nieuwste versie te compileren?
Goede Tweakers mentaliteit. Nice :)

Was ff benieuwd: wellicht zitten er spullen in de 1.8.3 release die nodig zijn om dit werkend te krijgen. Thanks voor alle info!

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True