rec: check that the policy event filter is called for follow-up queries

rec: Pass the Lua context to follow up queries (follow CNAME, dns64)

Merge pull request #10626 from aj-gh/doc-dnsdist-setecsoverride

dnsdist: Document that setECSOverride has its drawbacks

Merge pull request #10623 from omoerbeek/rec-tcp-states

Rec: make all PacketIDs shared_ptr

Add test case and comments

dnsdist: Document that setECSOverride has drawbacks under certain conditions.

Merge pull request #10601 from steffann/master

Document setTag(Response)Action behaviour

Use explicit PacketIDCompare

When using equal_range with a different compare function than the one used by the index, it
should be consistent with the way the index is ordered.

In particular PacketIDBirthdayCompare did not agree with operator< for PacketIDs

Move to a shared PacketID

There is an issue with equal_range() in asendto() that I fixed with an extra
test for the moment.

Add FD to TCPLOG lines

Merge pull request #10525 from rgacogne/ddist-lmdb-range

dnsdist: Add support for range-based lookups into a Key-Value store

Merge pull request #10616 from omoerbeek/rec-prep-4.4.5-and-4.5.5

rec: Prep for rec-4.4.5 and rec-4.5.5

Merge pull request #10572 from pieterlexis/dockerignore

docker: ignore compiled files

Merge pull request #10607 from peterthomassen/patch-3

Document RFC 6742 types

Merge pull request #10610 from Habbie/auth-4.5-eol-update

auth: EOL update after 4.5 release

Merge pull request #10613 from Habbie/responsestats-type65535

auth: correct upper bounds on d_qtypecounters

Merge pull request #10595 from Habbie/auth45-upgradenotes-zonecache

auth 4.5 upgrade notes and settings: more words on the zone cache

Prep for rec-4.4.5 and rec-4.5.5

Including a few 2->3 upgrades for known vulnerability status for auth

Merge pull request #10587 from rgacogne/rec-aggressive-nsec3-ancestor

rec: Ancestor NSEC3s can only deny the existence of a DS

Merge pull request #10570 from rgacogne/rec-hunt-cuts-on-bogus

rec: Make really sure we did not miss a cut on validation failure

Merge pull request #10565 from Habbie/rec-non-apex-dnskey

rec: do not use DNSKEYs found below an apex for validation

auth 4.5.1 changelog: fix PR number

correct upper bounds on d_qtypecounters

Merge pull request #10612 from Habbie/auth-sec-2021-01

auth-4.5.1: advisory, changelog, secpoll

auth-4.5.1: advisory, changelog, secpoll

auth: EOL update after 4.5 release

auth 4.5 upgrade notes and settings: more words on the zone cache

Document RFC 6742 types

 Document setTag(Array) behaviour

Explicitly document that setTag and setTagArray do not overwrite existing tag values.

Document setTag(Response)Action behaviour

Explicitly document that setTagAction and setTagResponseAction do not overwrite existing tag values.

dnsdist: Document that range-based lookups expect addresses in network byte order

Also document that tags are always created on a lookup, even when the
key does not exist. It's a bit weird but we should probably not change
that right now.

dnsdist: Add support for range-based lookups into a Key-Value store

This feature allows doing a range-based lookup (mostly useful for IP addresses), assuming that:
- there is a key for the last element of the range (2001:0db8:ffff:ffff:ffff:ffff:ffff:ffff for 2001:db8::/32)
which contains the first element of the range (2001:0db8:0000:0000:0000:0000:0000:0000) followed by any data in the value
- AND there is no overlapping ranges in the database !!

This requires that the underlying store supports ordered keys, which is true for LMDB but not for CDB, for example.

Merge pull request #10520 from rgacogne/ddist-kvs-lmdb-dbi

dnsdist: Don't look up the LMDB dbi by name for every query

Merge pull request #10501 from rgacogne/ddist-per-thread-lua-ffi

dnsdist: Add support for Lua per-thread FFI rules and actions

rec: Fix wrong comments in the Aggressive NSEC cache unit tests

Merge pull request #10571 from Habbie/rec-warnings

rec: fix some compiler warnings

Merge branch 'master' into rec-warnings

rec: Fix formatting in test-aggressive_nsec_cc.cc

Merge pull request #10588 from jsoref/master-spelling-0.0.19

Upgrade check-spelling to v0.0.19

rec: The root denies its own DS with a NSEC(3)s from the child zone

rec: Check that NSEC(3)s from the child zone are not used to deny the DS

rec: Fix the NSEC3 ancestor check for DS in the aggressive cache

rec: Ancestor NSEC3s can only deny the existence of a DS

Before that commit, the aggressive NSEC(3) cache could have
mistakenly used NSEC3s from the parent zone to prove that a given
name in the child zone did not exist, which is incorrect.
It happened because we did not properly detect that the NSEC3 for
the closest encloser was an ancestor NSEC3 indicating a delegation,
and then in the unlikely but possible case that we found a NSEC3
from the parent zone whose hashes covered the next closer we wrongly
concluded that the name did not exist, returning a NXDomain with an
invalid proof of denial.

Merge pull request #10581 from Habbie/auth-4.5.0-secpoll-docs

auth-4.5.0: secpoll and docs

Upgrade check-spelling to v0.0.19

Signed-off-by: Josh Soref <jsoref@users.noreply.github.com>

Merge pull request #10583 from Habbie/mibs-local-range

SNMP: allocate local-use ranges for traps and trapObjects

SNMP: allocate local-use ranges for traps and trapObjects

auth-4.5.0: secpoll and docs

Merge pull request #10487 from Habbie/docs-texlive

build docs using the texlive image

Merge pull request #10568 from Habbie/auth-bind-no-sqlite3

auth: allow building bindbackend without sqlite3

Merge pull request #10578 from natesales/natesales/fix-dnsdist-docs

fix: dnsdist docs quickstart typo

fix: dnsdist docs quickstart typo

Merge pull request #10576 from omoerbeek/log-qtype-tostring

Zap a few redundant toString() method call for logging qtype names

Zap a few redundant toString() method call for logging qtype names

Merge pull request #10496 from tacerus/master

Reference pdnsutil in "Running and Operating"

Merge pull request #10557 from rgacogne/ddist-doc-ebpf

dnsdist: Documentation fixes (typo, eBPF capabilities)

dnsdist: Document what is available from per-thread Lua FFI contexts

dnsdist: Constify some members for Lua FFI rule

dnsdist: Constify some members for Lua FFI action and rule

Merge pull request #10527 from rgacogne/ddist-log-reload

dnsdist: Implement 'reload()' to rotate Log(Response)Action's log file

Merge pull request #10537 from rgacogne/ddist-exact-protocol-in-dq

dnsdist: Carry the exact incoming protocol (Do53, DNSCrypt, DoT, DoH) in DQ

Merge pull request #10550 from rgacogne/ddist-doh-load-new-certs-keys

dnsdist: Add the missing DOHFronted::loadNewCertificatesAndKeys()

Merge pull request #10560 from rgacogne/ddist-pool-metrics

dnsdist: Implement a web endpoint to get metrics for only one pool

dnsdist: Document how raising LimitMEMLOCK might be needed for eBPF

rec: Add a 'checking for missed cuts' loop unit test

rec: Avoid a loop when checking if we missed a cut

We just went Bogus because of the signer, not because of
the name currently being checked, so we only need to check
the status of zones above the signer. Moreover, if we went
Bogus because of the DS of the signer, we should even skip
the zone of the signer but check for a missed cut above that.

rec: do not use DNSKEYs found below an apex for validation, also from cache

docker: ignore compiled files

rec: move  ifdef-dependent vars to inside the ifdef

rec: Add unit tests for signed, broken but insecure zones

rec: Make really sure we did not miss a cut on validation failure

rec: silence spurious compiler warning about possibly uninited var

auth: allow building bindbackend without sqlite3

I broke this in #10549

reported by Ralf van der Enden

Merge pull request #10563 from Habbie/auth-4.5.0-rc2-secpoll-docs

auth-4.5.0-rc2: docs and secpoll

rec: Fix NSEC3 next owner in SyncRes unit tests

rec: do not use DNSKEYs found below an apex for validation

Merge pull request #10555 from rgacogne/rec-unscrew-missing-aa

rec: Work around clueless servers sending AA=0 answers

Merge pull request #10556 from pieterlexis/10548-tls-in-rec-pkgs

Rec: Enable DoT in packages

auth-4.5.0-rc2: docs and secpoll

Merge pull request #10491 from chbruyand/key-values-metadata

rec: Add bindings to set arbitrary key-value metadata in logged messages

Merge pull request #10545 from Habbie/nsec3-debugging

rec, nsec3dig: NSEC(3) debugging improvements

dnsdist: Implement a web endpoint to get metrics for only one pool

dnsdist: Fix a typo in the out-of-order documentation

dnsdist: Fix the documentation for setDropEmptyQueries()

dnsdist: Document that some capabilities are needed for eBPF

dnsdist: Add a UDP vs TCP packet cache unit test

dnsdist: Make the protocol const, simplify the TCP/UDP check

Fix versionadded in documentation

Merge pull request #10553 from Habbie/rec-dot-nits

rec: assorted improvements

rec: Add a unit test checking that DNSSEC validation is done for AA=0 answers

rec: Work around clueless servers sending AA=0 answers

Merge pull request #10539 from omoerbeek/rec-prep-4.5.3

rec: Prep rec-4.5.4

rec docs: fix warnings

remove DNS_OVER_TLS guard around applying the dot-to-port-853 setting

before this commit: pointing a forward at port 853, without DoT support, causes Recursor to attempt to do UDP over port 853 to the upstream. This rarely works.

after this commit: much swifter failure with an error log message saying `45.55.10.200:853 requested but not available`

emit error when dot-to-auth-names is set without DoT support

toTimestampStringMilli is only called from inside this file, make it static

Merge pull request #10549 from Habbie/bind-cache-nsec3param

auth bindbackend: NSEC(3) setting consistency, reload improvements

bindbackend: purge caches on zone reload

pdnsutil: add reload notes for bindbackend