Fix error in test zone that auth-45 does not like

One more occurence of --local-ipv6

Fix v6 setup and start using a more modern auth on circleci

Merge pull request #11041 from omoerbeek/rec-lua-blocking-docs

rec: Warn about blocking calls from Lua

Warn about blocking calls from Lua

Merge pull request #11037 from rgacogne/ddist-healthcheck-reuse-tls-session

dnsdist: Reuse and save the TLS session tickets in DoT healthchecks

Merge pull request #11030 from omoerbeek/rec-incoming-tcp-finalize

Rec incoming tcp bookkeeping

dnsdist: Use `time()` instead of `gettimeofday()`, as suggested by Otto

typo in comment

Co-authored-by: Remi Gacogne <github@coredump.fr>

Merge pull request #11038 from omoerbeek/rec-ci-mo-tsan-for-now

rec: Disable tsan regression runs for rec for now,

dnsdist: Update the outgoing DoT tests now that we save TLS tickets during healthchecks

Disable tsan regression runs for rec for now, there is a failure
mode that if it hits makes almost all remaining test fail.  Symptom
is that the auths do not start up properly.

dnsdist: Reuse and save the TLS session tickets in DoT healthchecks

This reduces the cost of the healthchecks themselves while saving the
TLS session reduces the cost of opening of a DoT connection for actual
queries later on.
In the future a refactoring of the TCP/DoT healthcheck code to be more
like the "black box" approach used for DoH would be nice to have.

Only call setDropOnIdle() if we're actually have a tcp connection.

Also add extra consistency check, d_tcp and d_tcpcOnnection should
likely be squashed into a single thing.

If we fall through handleRunningTCPQuestion(), we neeed to keep the connection,
there are more bytes to come. handleTCPReadResult() is now a method of a guard.

Merge pull request #11028 from Habbie/auth-4.4.1-secpoll-docs

auth 4.4.2 secpoll&docs

auth 4.4.2 secpoll&docs

Merge pull request #11031 from rgacogne/ddist-fix-missing-visibility

dnsdist: Add missing visibility attribute on `dnsdist_ffi_dnsquestion_get_qname_hash`

Merge pull request #11006 from rgacogne/ddist-show-web-config

dnsdist: Add 'showWebserverConfig'

Better names

dnsdist: Fix g++/LTO warning about uninitialized dnsheaders in the unit test

dnsdist: Add missing visibility attribute on dnsdist_ffi_dnsquestion_get_qname_hash

Making it unusable from Lua FFI when dnsdist is compiled with
`-fvisibility=hidden`.

Use guard objects to do the TCP connection bookkeeping and cleanup if needed.

If a policy drop is to be handled for a TCP connection, do not
answer that query, but do handle already in-flight queries and then close.

Merge pull request #10997 from rgacogne/ddist-dump-cached-session-and-connection

dnsdist: Add a function to know how many TLS sessions are currently cached

Merge pull request #11001 from rgacogne/ddist-warn-memory-leak-gnutls

dnsdist: Warn that GnuTLS 3.7.x leaks memory when validating certs

Merge pull request #10999 from rgacogne/ddist-fix-leak-in-outgoing-tls-session-reuse

dnsdist: Fix a memory leak when reusing TLS tickets for outgoing connections

Merge pull request #10993 from rgacogne/ddist-fix-10988

dnsdist: Fix compiler/static analyzer warnings

dnsdist: Apply Charles-Henri's suggestions from code review (thanks!)

Add test for the case there was trailing data after the repy (#11018)

Merge pull request #10986 from omoerbeek/gh-check-formatting

Check formatting on GH

Merge pull request #11012 from Habbie/nsec3param-minimal

auth: new default nsec3param settings

Merge pull request #11026 from omoerbeek/rec-regr-timing1

rec: Loosen timing checks that I have seen tripping in tsan enabled tests.

Give steps a name

Merge pull request #11010 from omoerbeek/rec-zero-scope-negcache

rec: Do negcache negative results, even when wasVariable() is true

Fir error reporting when starting up fails

Loosen timing checks that I have seen tripping in tsan enabled tests.
There are likely more.

Merge pull request #11019 from omoerbeek/rec-regr-vs-libfaketime

rec: Rec regr vs libfaketime

Merge pull request #11018 from omoerbeek/rec-tcp-notify-followup

rec: Fix logic botch introduced by notify handling

Cleanup libfaketime handling in rec regression tests
- Use the MT variant for libfaketime, we are MT after all
- It is only needed for auth and LD_PRELOAD is set by the tests where it matters
- It interacts badly with libfstrm and tsan in the recursor
- No more separate run of the dnstap test is needed

When we drop a notify over TCP, terminate the connection

Fix logic botch introduced by notify handing

See #10751, some extra scrutiny review is needed to make sure no
other similat issue remains.

Merge pull request #11003 from pieterlexis/upstream-changelog

docs: Use upstream changelog package

Merge pull request #11008 from rgacogne/ddist-raise-socket-buffers

dnsdist: Add a function to set the UDP recv/snd buffer sizes

Merge pull request #11014 from kpfleming/rec-doc-improvement

rec: Add xref between allow-notify-for-file and forward-zones-file

rec: Add xref between allow-notify-for-file and forward-zones-file

Allow rmem, wmem in the spell checker

dnsdist: Keep the system default values for `SO_RCVBUF` and `SO_SNDBUF`

auth: new default nsec3param settings, fixes #10864

Merge pull request #10990 from omoerbeek/rec-notify-regrr

rec: Basic notify test

Merge pull request #11005 from omoerbeek/rec-taskq-timeval

rec: Include sys/time.h in taskqueue.hh

Do cache negcache results, even when wasVariable() is true

See https://datatracker.ietf.org/doc/html/rfc7871#section-7.4
Fixes #10994

rec: Fix the size of the UDP receive buffer

Merge pull request #11007 from rgacogne/ddist-fix-bounds-checking

dnsdist: Fix Lua parameters bound checks

dnsdist: Add a function to set the UDP recv/snd buffer sizes

And raise them to 16777216 by default.

auth,rec: Refactor the setSocket*Buffer functions

dnsdist: Fix Lua parameters bound checks

dnsdist: Add 'showWebserverConfig'

Include sys/time.h; needed on musl; fixes #11000

docs: Use upstream changelog package

Merge pull request #10996 from aerique/feature/update-debian-bullseye-for-repo-script

Add `rec-45` for Debian Bullseye to repo test script.

dnsdist: Warn that GnuTLS 3.7.x leaks memory when validating certs

In some configurations that we can't detect (PKCS11 support enabled,
with a default PKCS11 trust store), GnuTLS from 3.7.0 to at least
3.7.2 leaks memory when validating a server certificate. The issue
has been reported to GnuTLS and acknowledged, but there is no
available fix yet.

dnsdist: Fix a memory leak when reusing TLS tickets for outgoing connections

We were not properly freeing the memory of TLS session tickets reused
for outgoing TLS (DoT / DoH) connections.

Reported by Stéphane Bortzmeyer (many thanks!).

dnsdist: Add a function to know how many TLS sessions are currently cached

Also dump the number of cached (active and idle) outgoing connections
when requested.

Merge pull request #10995 from rgacogne/rec-doc-typo-allow-notify-from

rec: Fix a typo in the documentation for 'allow-notify-from'

Add `rec-45` for Debian Bullseye to repo test script.

Merge pull request #10992 from omoerbeek/rec-prep-4.6.0-beta2

rec: Prep for rec-4.6.0-beta2

rec: Fix a typo in the documentation for 'allow-notify-from'

dnsdist: Fix compiler/static analyzer warnings

Prep for rec-4.6.0-beta2

Merge pull request #10987 from rgacogne/ddist17-b1-changelog-secpoll

dnsdist: Add ChangeLog and secpoll update for 1.7.0-beta1

Positive instead of negative test

Co-authored-by: Pieter Lexis <pieter@plexis.eu>

Do not count notifies in record cache hits/misses

Basic notify test.

It turns out a notify increments cache-hits, that feel a bit strange.

dnsdist: Fix the description of 10920 in the ChangeLog, remove useless entries

spellcheck: Allow 'XDP', 'Grié'

Merge pull request #10883 from rgacogne/ddist-pinned-maps

dnsdist: Implement filesystem pinning for eBPF maps

dnsdist: Add ChangeLog and secpoll update for 1.7.0-beta1

Use clang-11

Merge pull request #10896 from omoerbeek/more-secpoll-check

More strict secpoll.zone check

dnsdist: Switch to a uint8_t for the XDP match action type

dnsdist: Apply suggestions from code review on the new eBPF map type

contrib/xdp.py: Apply the change suggested by Pieter (thanks!)

Co-authored-by: Pieter Lexis <pieter@plexis.eu>

dnsdist: Add a sample XDP program and associated python script in contrib

Both contributed by Pierre Grié <pierre.grie@nameshield.net>.

dnsdist: Add a new eBPF map format, support external eBPF programs

Supporting external eBPF programs makes it possible to populate the
eBPF tables from dnsdist, manually or via our dynamic blocking mechanisms,
but to actually do the filtering in an external program, like an XDP one.

We cannot increase the size of eBPF programs if we want to stay
below 4k instructions for older kernels, so this commit implements
a compatibility layer with the new map format.

The 4k limit for unprivileged was removed in 5.2 but the complexity limit remains:
The complexity limit was actually changed several times since the
32k value from its introduction in Linux 3.18: it was raised to 64k
in Linux 4.7, then to 96k in Linux 4.12, again to 128k in Linux 4.14,
and at last to 1M in Linux 5.2.

dnsdist: Implement filesystem pinning for eBPF maps

This makes the filter (v4, v6 and qnames) maps persistent across a
restart and allow external programs to read and update them without
the need to use dnsdist's console.

Check formatting on GH

indent

Merge pull request #10981 from Habbie/2136-rrset-ttl

auth 2136: apply new TTL to whole RRset, not only to the added record

Merge pull request #10980 from omoerbeek/rec-ede-issue

rec: Return the proper ede on validation failure

auth 2136: apply new TTL to whole RRset, not only to the added record

fixes #10921

auth 2136: improve some log messages

Merge pull request #10907 from rgacogne/ddist-handle-existing-edns-mac-setedns

dnsdist: Handle existing EDNS content for SetMacAddrAction/SetEDNSOptionAction

Merge pull request #10920 from rgacogne/ddist-cleanup-conns

dnsdist: Remove unreachable code in HTTP/2 connections cleanup

no else after exit

Co-authored-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

tweaks and undo error entry

Move check to a shell script

More strict secpoll check; hope I got the yaml quoting right

some more ()'s for readability

Co-authored-by: Remi Gacogne <github@coredump.fr>

Add a test for ede sig expired that does not rely on external servers

Merge pull request #10975 from omoerbeek/rec-fewer-circle-bulktests

rec: Run fewer CircleCI bulk tests