dnsdist: Fix clang-tidy warning introduced by fixing another clang-tidy warning introduced by..

dnsdist: Fix clang-tidy's warning

Add VRF to the list of allowed words

dnsdist: Add Lua bindings for the incoming network interface

This is useful in Virtual Routing and Forwarding (VRF) environments
where the destination IP address might not be enough to identify the VRF.

Merge pull request #15387 from rgacogne/ddist-share-stek-context-identical-frontends

dnsdist: Share tickets key between identical frontends created via YAML

dnsdist: Document how STEKs are managed in frontend groups

Merge pull request #15415 from miodvallat/web_disservice

[auth] minor web service cleanup

Replace the two lists of metadata keywords with a single list of pairs.

This removes the need for a second search in order to figure out whether
the metadata is write-protected from the API.

Clean metadata lists.

- remove duplicate entries
- remove leftover mention of API-RECTIFY in readonly list.

Merge pull request #15407 from rgacogne/ddist-fix-doh3-without-doh

dnsdist: Fix compilation with DoH3 enabled and DoH disabled

Sort metada name lists.

Merge pull request #15408 from omoerbeek/rec-prep-20250409

rec: Prep for rec 20250409 releases

Typo in version

Merge pull request #15399 from miodvallat/ignoreland

.gitignore glitch

Prep for rec 20350409 releases

Merge pull request #15402 from PowerDNS/dependabot/cargo/pdns/recursordist/rec-rust-lib/rust/tokio-1.43.1

build(deps): bump tokio from 1.43.0 to 1.43.1 in /pdns/recursordist/rec-rust-lib/rust

dnsdist: Fix compilation with DoH3 enabled and DoH disabled

While unusual, this is a completely valid setup.

build(deps): bump tokio in /pdns/recursordist/rec-rust-lib/rust

Bumps [tokio](https://github.com/tokio-rs/tokio) from 1.43.0 to 1.43.1.
- [Release notes](https://github.com/tokio-rs/tokio/releases)
- [Commits](https://github.com/tokio-rs/tokio/compare/tokio-1.43.0...tokio-1.43.1)

---
updated-dependencies:
- dependency-name: tokio
  dependency-version: 1.43.1
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

Fix name of tsig_tests binary in .gitignore

Merge pull request #15397 from omoerbeek/rec-prep-5.2.1

rec: prep for rec-5.2.1

rec: prep for rec-5.2.1

Merge pull request #15396 from omoerbeek/rec-cname-to-auth

rec: rework of #14822: fix a difference between record-cache hit and miss in some ServFail results

Merge pull request #15382 from miodvallat/i_lost_at_jeopardy

[auth] Backend capabilities

Merge pull request #15375 from Habbie/ci-postgres-14

CI: bump postgres version

Better future-proof logic.

Better error report when zone creation is not possible.

Fixes #5783
Fixes #6954

Add a "can create domains" capability.

Check backend capabilities before attempting some operations.

This allows us to give better error messages to the users.

Fixes: #15006

Allow backends to report a coarse-grained capabilities mask.

The current capabilities are DNSSEC supports, comments, direct backend
commands, and zone listing (AXFR) ability.

doesDNSSEC() is rewritten as a trivial wrapper around this.

Merge pull request #15379 from miodvallat/if_i_could_only_cflags_it_down

Minor build system tweaks

Merge pull request #15392 from rgacogne/ddist-python-man-pages-not-found

dnsdist with meson: Do not try to get the version/path of Python if not found

rec: rework of #14822: fix a difference between record-cache hit and miss in some ServFail results

Fixes: CNAME with target non-existent record in auth zone causes segfault

Merge pull request #14840 from ukleinek/backend-docs

Update Backend docs

Merge pull request #15394 from rgacogne/fix-auth-apt-404

tasks: Run apt-get update before installing auth test deps

tasks: Run apt-get update before installing auth test deps

Otherwise we might be trying to install a version that is no longer
present in the repository, yielding a 404 error.

dnsdist: Do not try to get the version/path of Python if not found

Merge pull request #15385 from rgacogne/ddist-enable-quiche-sni-tests

dnsdist: Enable the DoQ and DoH3 parts of the SNI tests in our CI

dnsdist: Check identical frontends get the same STEK

dnsdist: Remove now useless comment in the SNI regression tests

dnsdist: Don't try to get TLS contexts for DoQ and DoH3 frontends

Right now the BoringSSL context is handled by Quiche and we do not
mess with it.

dnsdist: Share tickets key between identical frontends created via YAML

Using the same Session Ticket Encryption Key on identical frontends
allow TLS sessions to be resumed in a much more efficient way, reducing
the latency and CPU usage. While it was already possible to do so by
manually managing the STEK, the default behaviour was to create and use
a different STEK for each frontend, because our Lua configuration makes
it almost impossible to ensure that two frontends are identical.
This is not an issue with the new YAML configuration format, so let's
share the STEK automatically in this case.

This needs a regression test.

dnsdist: Enable the DoQ and DoH3 parts of the SNI tests in our CI

We now build with Quiche >= 0.23.2 so we can enable them.

Merge pull request #15380 from rgacogne/ddist-async-tests-unlink-exception

dnsdist: Fix a TOCTOU in the Async regression tests

dnsdist: Fix a TOCTOU in the Async regression tests

The existing code was catching all exceptions based on `OSError`
raised by a call to `os.unlink()` , and re-throwing if the file
actually existed, in an attempt to only ignore the case where
the file did not exist and still fail if the process did not
have enough rights to remove it, for example.
Unfortunately this construct introduced a TOCTOU issue, where the
initial exception might have been raised because the file did not
exist at the time of the call, resulting in a `FileNotFoundError`
exception being raised, but had been created before the existence
check, resulting in a puzzling message:
```
ready: 8/8 workersException in thread Asynchronous Responder:
Traceback (most recent call last):
  File "/usr/lib/python3.13/threading.py", line 992, in run
    self._target(*self._args, **self._kwargs)
    ~~~~~~~~~~~~^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  File "/pdns/regression-tests.dnsdist/test_Async.py", line 17, in AsyncResponder
    os.unlink(listenPath)
    ~~~~~~~~~^^^^^^^^^^^^
8 workers [816 items]
```

The new code only catches `FileNotFoundError` instead, so that
other errors are still causing a failure without needing a second
check.

Merge pull request #15306 from rgacogne/ddist-exit-callbacks

dnsdist: Add support for calling Lua methods when exiting

Pass -DPDNS_AUTH when building the authoritative server.

Put DNSDIST or RECURSOR in CPPFLAGS rather than in config.h.

This matches what the meson build does.

CI: bump postgres version

Merge pull request #15373 from omoerbeek/rec-nod-meson

rec: [meson] make nod a feature instead of a boolean

Merge pull request #15290 from franklouwers/patch-1

Update actions.rst: `SpoofAction()`

rec: make nod a feature instead of a boolean

Merge pull request #15362 from rgacogne/ddist-do-not-register-xsk-config-check-or-client

dnsdist: Do not register Xsk sockets on configuration check or client mode

Merge pull request #15361 from omoerbeek/dnsdist-trixie2

dnsdist: followup to #15326 (fix build on trixie), package name typo crept in

Merge pull request #15265 from tacerus/unixapi

Auth webserver Unix socket support

Merge pull request #15371 from jsoref/docs-nsec

Docs nsec

docs: Simplify wording

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>

docs: rewrite TTL usage NSEC note

Write note based on current behaviour, not behaviour prior to 4.3.0.

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs: nsec/nsec3 records

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

docs: nsec/nsec3

Signed-off-by: Josh Soref <2119212+jsoref@users.noreply.github.com>

Merge pull request #15369 from omoerbeek/rust-cxx-gen-location

When CARGO_TARGET_DIR is set the generated C++ files end up in a different location

Merge pull request #15368 from omoerbeek/rec-docker-startup-template

rec: fix generation of recursor config if PDNS_RECURSOR_API_KEY is set

Merge pull request #15356 from rgacogne/ddist-missing-lua-function-name

dnsdist: Better handling of non-existent Lua function name in YAML

dnsdist: Fix build on amazonlinux 2023

dnsdist: followup to #15326 (fix build on trixie), package name typo crept in

This time actually tested!

dnsdist: Do not register Xsk sockets on configuration check or client mode

It does not make sense, and in some cases might lead to a crash
because the Xsk socket is actually an empty shared pointer in client
mode.

Merge pull request #15331 from rgacogne/ddist-meson-detection

Do not auto-enable disabled features when building with meson

Merge pull request #15351 from rgacogne/fix-yaml-bindings

dnsdist: Load Lua bindings before parsing yaml configuration

Merge pull request #15357 from rgacogne/ddist-doc-yaml-lua-options

dnsdist: Document how Lua functions can be called from YAML

Merge pull request #15370 from miodvallat/strcasestr

bye bye strcasestr

No need to check for or provide strcaststr() anymore.

When CARGO_TARGET_DIR is set the generated C++ file send up in a different location

This happens on OpenBSD package build

rec: fix generation of recursor config if PDNS_RECURSOR_API_KEY is set

Fixes #15367

Merge pull request #15360 from milzi234/bugfix/add-keyblock-asc

Restores powerdns-keyblocks.asc to doc.powerdns.com

meson: Delint the DoT, DoH, DoQ and DoH3 code, as suggested by Otto

meson: Optionally enable OpenSSL engines for DNSdist

meson: DoH, DoH3, DoQ and DoT are now features, not options

meson: Make SNMP support a feature, not an option

meson: Fix a few consistency nits

dnsdist: Fix CDB being automatically picked up when disabled

dnsdist: Fix a harmless but ugly TOCTOU in the regression tests

As suggested by Miod (thanks!).

dnsdist: Load Lua bindings before parsing yaml configuration

We need the Lua bindings so that inline and loaded from a file Lua
syntax work. Our regression tests did not catch this because the
setup always created an empty Lua file, causing the Lua bindings to
be loaded. This commit also fixes that by not creating (and removing
if needed) empty Lua files in the regression tests setup.

dnsdist: Apply Miod's lua -> Lua suggestion

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>

dnsdist: Apply Miod's suggestions to the Lua Action documentation

Restores powerdns-keyblocks.asc to doc.powerdns.com

dnsdist: Document how Lua functions can be called from YAML

dnsdist: Better handling of non-existent Lua function name in YAML

This commit changes the way DNSdist handles a non-existent Lua function
name being referenced from the YAML configuration: instead of silently
ignoring the problem, it loudly complains before exiting.

Merge pull request #15197 from miodvallat/smarter_soa

[pdnsutil] Suggest increase-serial after create-zone

Merge pull request #15334 from miodvallat/zaml

[geoip] Try and be more helpful in YAML error exceptions

Merge pull request #15353 from omoerbeek/auth-prim-logstring

auth: fix log string in case there are notifies needed

auth: fix log string in case there are notifies needed

Merge pull request #15352 from omoerbeek/rec-simpedottest

rec: in test_SimpleDot.py make sure we have the root DNSKEY in cache, it might require TCP

Update regression-tests.recursor-dnssec/test_SimpleDoT.py

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>

rec: in test_SimpleDot.py make sure we have the root DNSKEY in cache, it might require TCP

Previously we assumed we didn't need TCP at all.

Merge pull request #15327 from miodvallat/mesonry_details

[autocconf] [auth] Build tsig-tests if --enable-tools

Merge pull request #15201 from jsoref/docs-allow-from

Docs: Fix allow-from markup/link

Update pdns/dnsdistdist/docs/reference/actions.rst

Merge pull request #15341 from Habbie/sort-locale

enforce LC_ALL=C for recently added sort calls

Merge pull request #15340 from zeha/mysqlbe

mysql: use MYSQL_TYPE_LONGLONG on 64bit platforms

enforce LC_ALL=C for recently added sort calls

Merge pull request #15339 from miodvallat/get_me_if_you_can

[auth] lmdb: be more robust against marked-as-deleted items