sdig: make query class selectable

use named constant instead of magic number

Merge pull request #8416 from rgacogne/ddist-dohunit-refcount

dnsdist: Implement ref counting for the DOHUnit object

Merge pull request #8447 from rgacogne/ddist-tls-error-counters

dnsdist: Add metrics about TLS handshake failures for DoH and DoT

Merge pull request #8451 from omoerbeek/auth-zonfile-generate

Basic validation of $GENERATE parameters

Merge pull request #8391 from omoerbeek/rec-out-of-order

rec: Allow multiple simultaneous incoming TCP queries over a connection

Basic validation of $GENERATE parameters

Use two auths to avoid serialization problems, as suggested by Habbie

Teask: more auth threads and prime the delay.example NS

Merge pull request #8434 from mind04/pdns-remove-mydns

auth: remove mydns backend

dnsdist: Fix missing 'thread' key on some prometheus labels

dnsdist: Add metrics about TLS handshake failures for DoH and DoT

Tests, docs and validation of OOO setting.

Test required some framework work to allow for auths having
more than 1 thread.

Merge pull request #8367 from pieterlexis/rfc8020

Implement RFC 8020 "NXDOMAIN: There Really Is Nothing Underneath"

Merge pull request #8445 from Habbie/skip-useless-unbound-call

auth ds-at-apex-noerror test: do not run unbound-host

auth ds-at-apex-noerror test: do not run unbound-host

Implement RFC 8020

This commit implements the "NXDOMAIN: There Really Is Nothing Underneath".
When enabled (the default), the SyncRes will check the negative cache if
there exists a higher denied name and uses that data to send an NXDOMAIN
to the client. In essence, it is a more aggressive version of
root-nx-trust (which could be removed in the future).

There are several advantages:

 * We potentially send fewer queries to the internet
 * The record cache is not "polluted" with useless NXDOMAINs

Merge pull request #8437 from Habbie/dnsdist-doc-nits-1.4.0

dnsdist docs: fix versionadded formatting

Merge pull request #8433 from Habbie/dns64-ptr-cname

dns64: stop hiding PTR indirection

fix versionadded formatting

dns64: stop hiding PTR indirection

Merge pull request #8432 from mind04/pdns-oracle-leftovers

pdns: oracle leftovers

Merge pull request #8420 from pieterlexis/pdnsutil-algo-7

pdnsutil: add algo 7 to add-zone-key help

pdns: oracle leftovers

auth: remove mydns backend

Merge pull request #8429 from Habbie/ubuntu-eoan

add Ubuntu eoan builder target

add Ubuntu eoan builder target

Merge pull request #8400 from pieterlexis/centos-8-pkgs

Add CentOS 8 as builder target

Merge pull request #8325 from pieterlexis/disabled-in-api

auth API: make disabled optional for Record

Merge pull request #8421 from rgacogne/ddist-fix-merge-rotation-delay

dnsdist: Fix merge issue (d_ticketsKeyRotationDelay)

pdnsutil: add algo 7 to add-zone-key help

dnsdist: Fix merge issue (d_ticketsKeyRotationDelay)

d_ticketsKeyRotationDelay is now in the TLSConfig object.

Merge pull request #8411 from rgacogne/dnsdist-better-log-action

dnsdist: Add more options to LogAction (non-verbose mode, timestamps)

Merge pull request #8383 from rgacogne/ddist-merge-doh-dot-contexts

dnsdist: Merge the setup of TLS contexts in Doh and DoT

Merge pull request #8408 from rgacogne/ddist-buffer-size-cache

dnsdist: Fix the caching of large entries

Merge pull request #8417 from rgacogne/auth-dist-unit2.test

Add regression-tests/zones/unit2.test to EXTRA_DIST

Add regression-tests/zones/unit2.test to EXTRA_DIST

Otherwise the unit tests fail.

dnsdist: Use std::max() to compute the size of the incoming buffer

dnsdist: Add regression tests for the caching of large answers

dnsdist: Don't cache entries larger than 4096 bytes

We won't be able to use them anyway.

dnsdist: Always allocate at least 4096 bytes for the cached response

dnsdist: Advertise the size really available in the query buffer

We use to advertise s_udpIncomingBufferSize (1500) but the buffer
is really 4096 bytes long. This allows much larger responses from
to be returned from the cache.

Merge pull request #8415 from rgacogne/ddist-tcp-stats-format

dnsdist: Fix formatting in showTCPStats()

dnsdist: Implement ref counting for the DOHUnit object

It turns out that, at least when testing with ASAN enabled, we
sometimes trigger use-after-free detection because we get the
response from the backend, send it to the client then delete the
object before the send() call to the backend even returned.

dnsdist: Fix formatting in showTCPStats()

Merge pull request #8413 from rgacogne/cmsg_space_osx

Work around CMSG_SPACE somehow not being a constexpr on macOS

Merge pull request #8414 from omoerbeek/test-zoneparse-more-modern

test-zoneparser_tng: more modern C++ idiom

Work around CMSG_SPACE somehow not being a constexpr on macOS

More modern C++ idiom

Merge pull request #8372 from rgacogne/ddist-vrf-itf

dnsdist: Use SO_BINDTODEVICE when available for newServer's source itf

Merge pull request #8409 from rgacogne/ddist-prometheus-descriptions-pool

dnsdist: Add missing prometheus descriptions for cache-related metrics

dnsdist: Add more options to LogAction (non-verbose mode, timestamps)

Merge pull request #8410 from franklouwers/doc/setQueryRate-fix

Fix typo in setQueryRate docs

dnsdist: Don't call SO_BINDTODEVICE with an empty interface name

dnsdist: Fix indentation in newServer()

Clarify comment

Fix typo in setQueryRate docs

dnsdist: Add missing prometheus descriptions for cache-related metrics

Merge pull request #8406 from rgacogne/ddist-tls-ticket-key-stats

dnsdist: Add metrics about unknown/inactive TLS ticket keys

Merge pull request #8407 from omoerbeek/auth-lua-records-shadowing

auth: A few shadowing cases.

A few shadowing cases.

Proper in-flight maintenance; settable setting with doc.

dnsdist: Add metrics about unknown/inactive TLS ticket keys

dnsdist: Merge the setup of TLS contexts in Doh and DoT

Merge pull request #8398 from rgacogne/ddist-fix-session-resumption-tests

dnsdist: Check that tickets have really been written in the tests, really disable tickets when asked

Merge pull request #8387 from rgacogne/dnsdist-tls-versions

dnsdist: Add metrics about TLS versions with DNS over TLS

Merge pull request #8404 from rgacogne/ddist-typo-suffixmatchnode-doc

dnsdist: Add a missing line before SuffixMatchNode's 'versionadded'

Merge pull request #8396 from omoerbeek/zoneparser-fixed-format

Do not use variable printf format strings

dnsdist: Add a missing line before SuffixMatchNode's 'versionadded'

Add CentOS 8 as builder target

Merge pull request #8395 from rgacogne/ddist-doh-concurrent-connections

dnsdist: Count the number of concurrent connections for DoH as well

dnsdist: Add TLS version metrics to the API as well

dnsdist: Check that tickets have been written when needed

But they might not have been, especially when a session has been
resumed and it was encrypted with a Session Ticket Encryption Key
still active.

dnsdist: Really disable TLS tickets for TLS 1.3 when asked

Merge pull request #8388 from rgacogne/dnsdist-doh-rotation-key-clear

dnsdist: Clear the DoH Session Ticket Encryption Key in the ctor

Add unit test for zone file with template

dnsdist: Count the number of concurrent connections for DoH as well

Using a variable format string opens up all kinds of cans of worms.

On read error we remove the fd from the set. If there are still queries in-flight
we will add it back if the in-flight condition is true.
This is not a real problem as the next handleTCPClientReadable() will take care.
Add a comment to explain that.
Also, setting the TTD might throw so handle that.
We might need a forgiving variant of removeReadFD() and setReadTTD().

- Fix multiplexer accounting in the write error case
- Use proper type for in-flight accounting

Merge pull request #7719 from Habbie/dnspython-assertequal

better assertEqual for dnspython

Allow multiple simulaneous incoming TCP queries over a connection.
Answers are sent out the moment the become available, so not
necesarily in the same order as received. There's a limit on how
many queries per TCP induced connection we may have in flight.

recursor-dnssec: use eqdnsmessage

ixfrdist: eqdnsmessage

(uselessly) add eqdnsmessage to auth testing

move assert helper out of dnsdist tests

better assertEqual for dnspython

before:
AssertionError: <DNS message, ID 38993> != <DNS message, ID 38993>

after:
AssertionError: <DNS message, ID 46818> != <DNS message, ID 46818>:
--- first
+++ second
@@ -1,10 +1,10 @@
 id 46818
-opcode 6
-rcode NOTAUTH
-flags AD CD
+opcode QUERY
+rcode NOERROR
+flags RD
 ;QUESTION
 xpf.tests.powerdns.com. IN A
 ;ANSWER
 ;AUTHORITY
 ;ADDITIONAL
-. 0 IN TYPE65422 \# 14 04117f0000017f000001f8bc14dc
+xpf.tests.powerdns.com. 60 IN TYPE65422 \# 14 04117f0000017f00000100000000

Merge pull request #8351 from Habbie/no-move-mutex

auth statbag: move to std::mutex, avoid copies

Merge pull request #8382 from rgacogne/ddist-ciphers-order

dnsdist: Add a 'preferServerCiphers' option for DoH and DoT

Merge pull request #8381 from rgacogne/ddist-prometheus-thread-number

dnsdist: Add a prometheus 'thread' label to distinguish identical frontends

Merge pull request #8375 from rgacogne/ddist-python-dns-options-print

Implement python's to_text() for Cookies and Client Subnet options

dnsdist: Clear the DoH Session Ticket Encryption Key in the ctor

dnsdist: Add metrics about TLS versions with DNS over TLS

And declare assignment operator deleted

Merge pull request #8385 from omoerbeek/more-strict-flags

More strict flags

While there is no shadowing going on for global functions, improve
consistency by calling a lua_state lua_state.

Add copy-ct, gcc C++ lib <= 4.8 seems to need it.

Some more shadowing going on

Use -Wextra -Wshadow.

This cause plenty of signed-compare warnings from clang in the unit-tests. So
fix those plus a few cases of -Wshadow.

dnsdist: Add a 'preferServerCiphers' option for DoH and DoT

It used to be that the servers had a much better configuration than
the clients, but nowadays we better rely on the clients, as they
know whether they have hardware support for a specific algorithm
which might save battery life or improve latency by a large margin.