Fix FTBFS with Nettle-3.0.

Build config: add -DNO_GMP for use with nettle/mini-gmp

Allow wildcard aliases in --bridge-interface option

This is useful when using dnsmasq as DHCP server for a set of VMs
whose data is routed by the host instead of being bridged.  In this
scenario:

- There is an unbounded set of TAP interfaces that have no IP address
  at the host end.

- DHCP allocation is done from an IPv4 address range associated with a
  dummy interface.

- We run dnsmasq with --interface dummy --interface tap*
  --bind-dynamic, so that it listens on all the TAP interfaces, and
  --bridge-interface=dummy,tap*, so that it will allocate IP addresses
  via the TAP interfaces from the range associated with the dummy
  interface.

Makefile typo.

Fix bug when >1 IPv6 address supplied to Dbus SetServers method.

Attribution update.

New DBus methods.

Copyright update.

Handle async notification of address changes using the event system.

Suppress re-entrant calls to dhcp_construct_contexts()

ipsets equivalent in *BSD, using pf tables.

LOG error of ARP-injection fails.

Bump Debian version.

Debian: Dynamically create /var/run/dnsmasq when systemd in use too.

Debian: Write pid-file in the correct place when using systemd.

Merge branch 'mobile-ra'

Conflicts:
CHANGELOG

Use ECC crypto in Nettle now.

Debian/rules fixes to enable hardening.

Bump Debian version.

Debian fix: Enable dnsmasq systemd unit on install.

Debian change: write pid-file even using systemd.

Fix DNS failure of cachesize set to zero.

Debian packaging fixes.

Update German translation.

Another filter_rrsigs fix.

Get packet size right when removing pseudoheader.

Fix DNSSEC validation of ANY queries.

Do SERVFAIL, therefore continue when searching for DS in TCP path too.

Handle SERVFAIL replies when looking for proven-nonexistence of DS.

ra-advrouter mode for RFC-3775 mobile IPv6 support.

Need to fixup records in the additional section when removing DNSSEC stuff.

Update doc.html - was positively antediluvian.

CHANGELOG update for 2.70 release.

Bump Debian version.

Typo.

Fix crash on TCP DNS request when DNSSEC not enabled.

Ensure request name in buffer for ipset lookup.

Add donate button to doc.html.

Update CHANGELOG/release-notes.

ipv6.arpa -> ip6.arpa

Fix NXDOMAIN RCODE in auth PTR replies.

Fix ipsets logging patch.

Log IPSET actions.

Add --dnssec-no-timecheck

Ensure ->sentto is valid for DNSSEC forwards. Otherwise retries SEGV.

Cache stats availble in CHAOS .bind domain.

Terminate DS-search when reaching the root via cache entries.

SERVFAIL is an expected error return, don't try all servers.

Handle failure of hash_questions()

Memory leak in error path.

Reorder sanity checks on UDP packet reception, to cope with failed recvfrom()

Add dnssec-check-unsigned to example config file.

CHANGELOG update.

Ignore DNS queries from port 0: http://www.ietf.org/mail-archive/web/dnsop/current/msg11441.html

Tidy uid defines.

Fix DNSSEC crash retrying to IPv6 server.

Initialise uid when creating CNAME cache record.

Make --quiet-dhcp apply to DHCPDISCOVER when client ignored.

Manpage typos.

Tidy and fix cache->uid handling.

Some CNAMES left the value of ->uid undefined.

Since there are now special values if this, for CNAMES
to interface names, that could cause a crash
if the undefined value hit the special value.

Also ensure that the special value can't arise
when the uid is encoding the source of an F_CONFIG
record, in case there's a CNAME to it.

Ensure next_uid() can never return 0.

Handle integer overflow in uid counter. Fixes rare crashes in cache code.

Warn about non-local queries once only for UDP.

Typo

OPT_LOCAL_SERVICE needs up-to-date interface list too.

Set --local-service in Debian package startup.

--local-service. Default protection from DNS amplification attacks.

Add --static to pkg-config command when appropriate.

Compiler warning.

Man page updates for DNSSEC.

KEYBLOCK LEN better as a multiple of 8.

Can have local DS records (trust anchors).

Mass edit of INSECURE->BOGUS returns for server failure/bad input.

Don't cache secure replies which we've messsed with.

Tweak tuning params.

Handle replies with no answers and no NS in validate_reply.

Don't free blockdata for negative DS cache entries.

Fix off-by-one overwrite.

Tidy.

Check that unsigned replies come from unsigned zones if --dnssec-check-unsigned set.

Negative caching for DS records.

Return INSECURE when validation fails with proved non-existent DS.

Strip DNSSEC RRs when query doesn't have DO bit set.

Speeling.

Code cleanup.

An NSEC record cannot attest to its own non-existance!

Check signer name in RRSIGs.

Bugfix for last commit.

NSEC3 validation. First pass.

Add --servers-file option.

Omit ECC from DNSSEC if nettle library is old.

More server cleanup.

Cleanup of server reading code, preparation, for dynamic reading from files.

--rev-server option. Syntactic sugar for PTR queries.

Log BOGUS validation result when upstream sends SERVFAIL.

TYpo.

No CD in forwarded queries unless dnssec-debug for TCP too.

Don't mess with the TTL of DNSSEC RRs.

Add RFC-6605 ECDSA DNSSEC verification.

Use DS records as trust anchors, not DNSKEYs.

This allows us to query for the root zone DNSKEY RRset and validate
it, thus automatically handling KSK rollover.