The on the same line with if, whitespace issues

Apply suggestions from code review

Co-authored-by: Remi Gacogne <github@coredump.fr>

Now use the moderen method in the example script

Log an error if pdns.DROP is used as rcode in Lua callbacks

Mention pdns.DROP is old in all places relevant and add refs to make the callback semantics
section easier to find. Also add upgrade note.

Use an existing name for CANME chasing

Fix most runtime issues, the script suffered bit-rot

Reformat to make the style more consistent

Merge pull request #11062 from Habbie/docs-filterforward-4.5

auth docs: clarify that filterForward is new in 4.5.0 and fix example

Merge pull request #11269 from omoerbeek/rec-syncres-threadlocal

rec: move two maps from thread_local to shared

Fix SNMP MIB conformance entries and a title

Merge pull request #11251 from rgacogne/ddist-outgoing-tls-sni

dnsdist: Set Server Name Indication on outgoing TLS connections (DoT, DoH)

Merge pull request #11258 from rgacogne/ddist-fix-race-in-testlua

dnsdist: Do not execute 'newThread' in client or config check modes

Merge pull request #11240 from omoerbeek/rec-tcp-ooo-docs

rec: Elaborate on TCP and OOO

Add links to relevant metrics

Move the pruning of the two now shared maps (failed servers and non-resolving ns) to the handler thread

Merge pull request #11227 from Habbie/lua-ifurlhcup

auth LUA: add ifurlextup function

rename metric name, promtool says:
pdns_recursor_non_resolving_ns_entries metric names should not contain abbreviated units

dnsdist: Do not execute 'newThread' in client and config check modes

Merge pull request #11270 from Habbie/auth-dnsdist-eol

auth/dnsdist: update EOL docs

Merge pull request #11271 from Habbie/dnsdist-doc-newthread

dnsdist: docs for newThread&friends

Merge pull request #11174 from rgacogne/ddist-poolaction-continue

dnsdist: Add a parameter to PoolAction to keep processing rules

dnsdist: docs for newThread&friends

dnsdist: Add regression tests for outgoing SNI

Merge pull request #11173 from rgacogne/ddist-proxy-proto-ffi

dnsdist: Add Lua FFI helpers for protocol and MAC address access, proxy protocol payload generation

dnsdist: Add a regression test for PoolAction's second option

dnsdist: Unbreak 'ContinueAction' regression tests

auth LUA: add ifurlextup function

Merge pull request #11267 from omoerbeek/auth-doc-ifurlup

Rewrite the section defining the behaviour of urlup.

fix formatting

dnsdist EOL docs: correct after 1.7 release

auth EOL docs: correct after 4.6 release

Fix stats for failed servers (named hosts for some historic reaon) and add non-resolving metrics.

Also, use a safe copy to dump the maps.

Merge pull request #11266 from omoerbeek/rec-fix-zonemd-test

rec: Fix zone-to-cache test by properly initing trust anchors and dnssec mode

Merge pull request #11257 from omoerbeek/rec-fix-lwres-isnew

Rec: fix lwres isnew

Rewrite the section defining the behaviour of urlup.

I could not figure out the behaviour from reading the existing text,
so it needed a rewrite.

Fix zone-to-cache test by properly initing trust anchors and dnssec mode

Merge pull request #11089 from pieterlexis/remote-dnssec-docs

Update remote docs based on experience

Merge pull request #11262 from Habbie/el8-builds

builder: migrate EL8 builds to oraclelinux, rename centos8 to el8 where possible

builder: add el-7 alias for centos-7

take centos 8-stream from quay

builder CI: switch oraclelinux-8 to el-8

cleanup

builder: archs for oraclelinux-8; el-8 symlinks

Merge pull request #11256 from rgacogne/rec-regression-test-returncode

rec: Fix the exit code when the recursor fails to start in our tests

auth LUA docs: fix ifurlup example

Merge pull request #11225 from rgacogne/rec-soa-and-ns-in-ds-denial

rec: Reject non-apex NSEC(3)s that have both the NS and SOA bits set

Merge pull request #11245 from omoerbeek/rec-ds-cname-insecure

rec: a CNAME answer on DS query should abort DS retrieval

Merge pull request #11253 from rgacogne/ddist-outgoing-doh-check-timeout

dnsdist: Fix the health-check timeout for outgoing DoH connections

Merge pull request #11255 from rgacogne/ddist-config-check

dnsdist: Fix 'inConfigCheck()'

rec: Fix the exit code when the recursor fails to start in our tests

Initialize isNew before calling a exception throwing function

Fix indent

TCPIOHandler: Handle empty TLS hostname in outgoing connections

dnsdist: Fix 'inConfigCheck()'

Move fail_t maps to global shared instead of thread local

These maps are only used or modified when we're going out on the
net, so the performance impact of the locking should be relatively
low, while other threads could benefit greatly from information
learned by other threads.

Also, pruning of these data structure is cheap, so holding the lock
while pruning should be a short period of time.

dnsdist: Fix the health-check timeout for outgoing DoH connections

The health-check timeout is in milliseconds, contrary to the other
ones that are in seconds.

dnsdist: Set Server Name Indication on outgoing TLS connections (DoT, DoH)

NSEC -> NSEC3

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

NSEC -> NSEC3

Co-authored-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Add a test for the case where an (Insecure) domain fails to get a DS
record because of a CNAME loop, avoiding a SERVFAIL.

If we get a CNAME when asking for a DS, we should give up and return vState::BogusUnableToGetDSs

Merge pull request #11189 from omoerbeek/zonemd-rec

rec: ZONEMD validation for Zone to Cache function

Merge pull request #11226 from omoerbeek/zonemd-tests

auth: pdnsutil zonemd-verify-file tests from github.com/verisign/zonemd-test-cases

Clarify docs as suggested by @Habbie

Fix the remaining test cases: our parser does not like a known type followed by a generic blob

Add pdnsutil script and do not ignore *.sh

No colors blasting to terminal; create logs dir

Mark as succeeding. pdnsutil does not validate RRSIGs

Mark as failing: we do not handle mixed TTLs

MArk as failing, unknown record type SIG

typo

Co-authored-by: Peter van Dijk <peter.van.dijk@powerdns.com>

Merge pull request #11242 from Habbie/dnsdist-upgrade-docs-1.7.1-dockercaps

dnsdist upgrade guide: move docker note to 1.7.1

Merge pull request #11241 from Habbie/lmdb-uuid

auth lmdb: add a UUID to newly created databases

dnsdist upgrade guide: move docker note to 1.7.1

auth lmdb: add a UUID to newly created databases

Elaborate on TCP and OOO

Fixes the rec part of #11238

If no supported algo was found, we still can have ZONEMD records
This fixes:
Jan 26 09:57:19 msg="No ZONEMD record, but NSEC(3) record does not deny it" subsystem="ztc" level=0 ts="1643187439.807" zone="."

auth docs: fix rendering

Merge pull request #11232 from Habbie/auth-4.6.0-docs-secpoll

auth-4.6.0: secpoll&docs

auth-4.6.0: secpoll&docs

Tweaks and typos

Apply suggestions from code review

Co-authored-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Merge pull request #11231 from Habbie/ci-socat

auth: install test deps during unit tests, so we get socat

auth: install test deps during unit tests, so we get socat

Init two bools, as they may be used uninitialized if parsing fails

Improved storage of nsec3 info and a few tweaks

Process review comments: check pointer conversions, unify record processing plus assorted small fixes

Process denial of ZONEMD in the NSEC3 case

Docs and small tweaks

If we do not find ZONEMD record(s) and the zone is DNSSEC validated, validate the denial of existence of ZONEMD

Rename config keywords to be more consistent and add ZONEMD to ZoneToCache unit tests

rec: The NSEC3 ancestor check must be done against the original owner name

rec: Reject non-apex NSEC(3)s that have both the NS and SOA bits set

Ancestor NSEC(3)s have the SOA bit clear (delegation), and the remaining
non-apex ones should not have the NS set.

Import of https://github.com/verisign/zonemd-test-cases

Proper ZTC state maintainance on Lua config change

Rework config to be better understandable: two separate config values for zonemd and zonemdDNSSEC validation,
both having values: "ignore", "process", "required"

Move ZoneToCache from a separate thread to the handler, so that we can resolve e.g. DS records.

Config and logic of ZoneMD wrt DNSSEC is too complex, needs more thought.

Add Lua config and do DNSSEC validation of ZONEMD record

Missing:
 - TA/NTA/DS processing (we assume it's in the record cache for the moment)
 - Valdition of of absense of ZONEMD records by proof of non-existence
 - Details of processing of DNSSEC validation result (depending on config)

Solving the first part likely involes running the zone-to-cache tasks in a recursorThread
context.

Add ZONEMD config processing in Lua config

Factor out ZONEMD procesing of single DNSRecord, saves having to save a vector of them