FreeBSD öffnet ohne bind 127.0.0.1.53

Yoda

[Linux|FreeBSD] - User
Hallo Leute,

auf FreeBSD 12.1 lief bei mir der NameD (Bind9) prima.
Dann habe ich den Rechner mit FreeBSD 13.0 RC1 neu installiert und nun startet mein NameD nicht mehr.
Im Log steht:
Code:
named[57604]: ----------------------------------------------------
named[57604]: BIND 9 is maintained by Internet Systems Consortium,
named[57604]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
named[57604]: corporation.  Support and training for BIND 9 are
named[57604]: available at https://www.isc.org/support
named[57604]: ----------------------------------------------------
named[57604]: creating IPv6 interface lo0 failed; interface ignored
named[57604]: creating IPv4 interface lo0 failed; interface ignored
named[57604]: command channel listening on 127.0.0.1#953
named[57604]: command channel listening on ::1#953
named[57604]: creating IPv6 interface lo0 failed; interface ignored
named[57604]: creating IPv4 interface lo0 failed; interface ignored
named[57604]: all zones loaded
named[57604]: running

Also, ist sein Problem, dass er den Port 53 auf lo0 nicht öffnen kann.
Dann schaue ich nach:
Code:
# netstat -an | fgrep .53
tcp4       0      0 127.0.0.1.53           *.*                    LISTEN
tcp6       0      0 ::1.53                 *.*                    LISTEN
udp4       0      0 127.0.0.1.53           *.*
udp6       0      0 ::1.53                 *.*

Und siehe da, der Port ist offen...?
Dann habe ich Bind9 deinstalliert und rebootet...
Und das sieht immernoch so aus, der Port ist auf lo0 immer noch offen...?
Warum?

Kann da einer Licht ins Dunkel bringen?
Danke!
 
auf bsd ist doch local_unbound der default dns server / forwareder. Weiß nicht ob der per default gestartet wird, aber da würd ich mal nachsehn.
 
auf bsd ist doch local_unbound der default dns server / forwareder. Weiß nicht ob der per default gestartet wird, aber da würd ich mal nachsehn.
Danke!
Das kannte ich noch nicht - hatte den Rechner vor fast 10 Jahren eingerichtet und seit dem nur "update" und fertig :-)
Ich hatte mich schon gewundert, was dieses komische "unbound" wohl ist...
 
Hab jetzt aber meinen DNS und DHCP auf den Pi-hole ausgelagert... :-)
Wozu?
Also ich frag aus Neugier. Weil ich als DNS-Server (inkl. DNS-basierter Filterung wie PiHole es ja auch macht) tatsächlich unbound einsetze was auch gut funktioniert (inkl. DNSSec und DNS-over-TLS).
 
Wozu?
Also ich frag aus Neugier. Weil ich als DNS-Server (inkl. DNS-basierter Filterung wie PiHole es ja auch macht) tatsächlich unbound einsetze was auch gut funktioniert (inkl. DNSSec und DNS-over-TLS).
Aus 2 Gründen:
1. weil ich mit unbound überhaupt nicht klar komme, aber dafür hatte ich ja 20 Jahre lang Bind9
2. weil ich dann meinen Server warten kann, wann ich will und so lange ich will, ohne das mir meine Familie auf das Dach steigt, weil die Smartphones keine DHCP-Adresse mehr bekommen
 
Am besten ists immer ne SW zu nehmen mit der man gut klar kommt. Aber ich selbst nehme auch seit einigen Jahren statt PiHole einen unbound mit Filterlisten und DoT. Sogar mit persistentem Speicher der Adressen über redis. Wenn du mal Zeit hast nur zu empfehlen im vergleich zu dem Ungetüm Bind9 (was ich leider aus beruflichen Gründen gut kenne).
 
Von Pi-Hole hört man ja öfter mal, aber wenn ich so richtig verstanden hab ist das letztlich lediglich irgendwie dnsmasq-mit-DNS-Filter-und- WebGUI-Appliance. Den WebGUI-Teil brauch ich jetzt nicht wirklich und ist nur unnötig Komplexität. Und beim Rest sehe ich jetzt irgendwie nichts was mich irgendwie vom Hocker reißt. Was aber nix bedeuten muss, weil ich es noch nie selbst benutzt hab. Genau deshalb hab ich mal so reingehorcht.

im vergleich zu dem Ungetüm Bind9
Gut. BIND9 ist das sendmail unter den DNS-Servern. Da gibts wohl auch keine zwei Meinungen. :-)
 
Gut. BIND9 ist das sendmail unter den DNS-Servern. Da gibts wohl auch keine zwei Meinungen. :-)
Im Gegensatz zu sendmail wird bind9 ordentlich gepflegt. :)

Unbound vs. Bind9 ist wie nginx vs. Apache, erstere können einen Bruchteil von dem was letztere können, decken damit aber das Gros der Anwendungsfälle ab. Sobald es etwas anspruchvoller wird müssen die "Kleinen" passen.
 
Den WebGUI-Teil brauch ich jetzt nicht wirklich und ist nur unnötig Komplexität.
Der Vorteil ist dadurch, dass man auch false-positives in Filterlisten schnell dauerhaft oder nur temporär freigeben kann. Ist vom System schon ganz gut durchdacht.

Da man mit DNS-Sperren aber eh nicht alles weggefiltert bekommt und einen lokalen Blocker braucht, wenn man vernünftig Filtern will, mach ich mir die Arbeit nicht zweimal und habe nur noch eine moderate Liste im DNS und blocke den Rest auf dem Client.
 
Zurück
Oben