Tweak last commit.

Allow T1 and T2 DHCPv4 options to be set.

Pointer to mail-archive mailing list mirror in doc.html.

Tweak Debian systemd unit file.

Tweak EDNS timeout code.

Check IPv4-mapped IPv6 addresses with --stop-rebind.

Handle UDP packet loss when fragmentation of large packets is broken.

Constify some DHCP lease management functions.

Don't remove RRSIG RR from answers to ANY queries when the do bit is not set.

Fix argument-order botch which broke DNSSEC for TCP queries.

Make get-version work when repo is a git submodule.

Logs in DHCPv6 not suppressed by dhcp6-quiet.

Tweaks to previous, DNS label charset commit.

Handle domain names with '.' or /000 within labels.

Only in DNSSEC mode, where we might need to validate or store
such names. In none-DNSSEC mode, simply don't cache these, as before.

Revert 61b838dd574c51d96fef100285a0d225824534f9 and just quieten log instead.

Check IP address command line arg in dhcp_release.c

Log domain when reporting DNSSEC validation failure.

Note CVE-2015-3294

Fix (srk induced) crash in new tftp_no_fail code.

Auth: correct replies to NS and SOA in .arpa zones.

Fix crash in auth code with odd configuration.

Fix crash on receipt of certain malformed DNS requests.

Fix crash caused by looking up servers.bind when many servers defined.

Fix compiler warning when not including DNSSEC.

Return INSECURE, rather than BOGUS when DS proved not to exist.

Return INSECURE when validating DNS replies which have RRSIGs, but
when a needed DS record in the trust chain is proved not to exist.
It's allowed for a zone to set up DNSKEY and RRSIG records first, then
add a DS later, completing the chain of trust.

Also, since we don't have the infrastructure to track that these
non-validated replies have RRSIGS, don't cache them, so we don't
provide answers with missing RRSIGS from the cache.

Whitespace fixes.

add --tftp-no-fail to ignore missing tftp root

Merge message translations.

Fix crash in last commit.

Allow control characters in names in the cache, handle when logging.

DNSSEC fix for non-ascii characters in labels.

Protect against broken DNSSEC upstreams.

Return SERVFAIL when validation abandoned.

Don't fail DNSSEC when a signed CNAME dangles into an unsigned zone.

dhcp: set outbound interface via cmsg in unicast reply

  If multiple routes to the same network exist, Linux blindly picks
  the first interface (route) based on destination address, which might not be
  the one we're actually offering leases. Rather than relying on this,
  always set the interface for outgoing unicast DHCP packets.

Make --address=/example.com/ equivalent to --server=/example.com/

Fix boilerplate code for re-running system calls on EINTR and EAGAIN etc.

The nasty code with static variable in retry_send() which
avoids looping forever needs to be called on success of the syscall,
to reset the static variable.

Tweak DNSSEC timestamp code to create file later, removing need to chown it.

New version of contrib/reverse-dns

Fix last commit to not crash if uid changing not configured.

Add --dnssec-timestamp option and facility.

Log parsing utils in contrib/reverse-dns

Fix uninitialized value used in get_client_mac()

Fix trivial memory leaks to quieten valgrind.

Make dynamic hosts files work when --no-hosts set.

Typos.

Debian systemd fixes.

Fix get-version script which returned wrong tag in some situations.

Make Debian build reproducible.

man page typo.

Extra logging for inotify code.

Fixup dhcp-configs after reading extra hostfiles with inotify.

Manpage typo fix.

Debian changelog bugfix.

Fix build failure on openBSD.

BSD make support

Fix broken ECDSA DNSSEC signatures.

inotify documentation updates.

Update copyrights for dawn of 2015.

Expand inotify code to dhcp-hostsdir, dhcp-optsdir and hostsdir.

Allow inotify to be disabled at compile time on Linux.

Don't reply to DHCPv6 SOLICIT messages when not configured for statefull DHCPv6.

Update German translation.

Add --dhcp-hostsdir config option.

Don't treat SERVFAIL as a recoverable error.....

Cope with multiple interfaces with the same LL address.

Logs for DS records consistent.

Don't answer from cache RRsets from wildcards, as we don't have NSECs.

Log port of requestor when doing extra logging.

Add --min-cache-ttl option.

Add --log-queries=extra option for more complete logging.

Merge branch 'unsigned'

DNSSEC: do top-down search for limit of secure delegation.

Fix race condition issue in makefile.

Implement makefile dependencies on COPTS variable.

Fix build failure in new inotify code on BSD.

Bad packet protection.

Add --ignore-address option.

Initialise return value.

Fix problems validating NSEC3 and wildcards.

Make caching work for CNAMEs pointing to A/AAAA records shadowed in /etc/hosts

If the answer to an upstream query is a CNAME which points to an
A/AAAA record which also exists in /etc/hosts and friends, then
caching is suppressed, to avoid inconsistent answers. This is
now modified to allow caching when the upstream and local A/AAAA
records have the same value.

Fix crash in DNSSEC code when attempting to verify large RRs.

Tweak field width in cache dump to avoid truncating IPv6 addresses.

Eliminate IPv6 privacy addresses from --interface-name answers.

Remove redundant IN6_IS_ADDR_ULA(a) macro defn.

Fix breakage of --domain=<domain>,<subnet>,local

CHANGELOG re. inotify.

Remove floor on EDNS0 packet size with DNSSEC.

Teach the new inotify code about symlinks.

Merge branch 'inotify'

Use inotify instead of polling on Linux.

This should solve problems people are seeing when a file changes
twice within a second and thus is missed for polling.

Fix conntrack with --bind-interfaces

Make sure dst_addr is assigned the correct address in receive_query when OPTNOWILD is
enabled so the assigned mark can be correctly retrieved and set in forward_query when
conntrack is enabled.

Signed-off-by: Hans Dedecker <dedeckeh@gmail.com>

Improve RFC-compliance when unable to supply addresses in DHCPv6

While testing https://github.com/sbyx/odhcp6c client I have noticed it
permanently crashes after startup.

The reason was it (odhcp6c) doesn't expect empty IA options in ADVERTISE
message without any suboptions.

Despite this validation bug of odhcp6c, dnsmasq should not generate
ADVERTISE messages with IA if there's nothing to advert per  RFC 3315
17.2.2:

   If the server will not assign any addresses to any IAs in a

   subsequent Request from the client, the server MUST send an Advertise

   message to the client that includes only a Status Code option with

   code NoAddrsAvail and a status message for the user, a Server

   Identifier option with the server's DUID, and a Client Identifier

   option with the client's DUID.

Meanwhile it's need to add status code for every IA in REPLY message per
RFC3315 18.2.1:

   If the server cannot assign any addresses to an IA in the message
   from the client, the server MUST include the IA in the Reply message
   with no addresses in the IA and a Status Code option in the IA
   containing status code NoAddrsAvail.

So, I've changed the logic to skip IA completely from ADVERTISE messages and
to add NoAddrsAvail subcode into IA of REPLY messages.

As for overhead, yes, I believe it's ok to return NoAddrsAvail twice in IA
and in global section for compatibility with all old and new clients.

Fit example conf file typo.

Fix typo in new Dbus code.

Simon's fault.

Set conntrack mark before connect() call.

SO_MARK has to be done before issuing the connect() call on the
TCP socket.

Bump Debian version.

Debian build fixes for kFreeBSD

crash at startup when an empty suffix is supplied to --conf-dir

Add newline at the end of example config file.