fix(unbound): restart statt reload + DNS Auto-FW-Rules dokumentiert

Bug: Unbound bindet Listen-Sockets nur beim startup. Bei einer Mutation von dns_settings.listen_addresses (z.B. neue LAN-IP für Resolver-Zugriff) hat 'systemctl reload' die Config zwar gelesen, aber nicht neu gebound — neue IPs blieben tot. Fix: Renderer ruft RestartService statt ReloadService. ~200ms Resolver-Downtime beim Save, dafür konsistentes Verhalten für jede Settings/Zone/Record-Mutation. Plus configgen.RestartService Helper neu (analog ReloadService), sudoers im postinst um systemctl restart unbound.service erweitert. NOTE für DNS-LAN-Zugang: zwei Operator-FW-Rules nötig (DNS-UDP + DNS-TCP from any to any) wenn der Resolver auf LAN-IPs lauscht. Aktuell manuell anzulegen — ein Auto-Rule-Generator (analog NAT-auto-forward) wäre die nächste Iteration. Version 1.0.36. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-11 06:32:59 +02:00
parent 979b3cfa66
commit 8357d84c7b
9 changed files with 27 additions and 7 deletions
--- a/packaging/debian/edgeguard-api/DEBIAN/postinst
+++ b/packaging/debian/edgeguard-api/DEBIAN/postinst
@@ -58,6 +58,8 @@ edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl reload squid.service
 edgeguard ALL=(root) NOPASSWD: /bin/systemctl reload squid.service
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl reload unbound.service
 edgeguard ALL=(root) NOPASSWD: /bin/systemctl reload unbound.service
+edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl restart unbound.service
+edgeguard ALL=(root) NOPASSWD: /bin/systemctl restart unbound.service
 SUDOERS

        # ── Distro-Conf-Includes für die per-Service Renderer ─────────