support multiple addresses in daf src/dst filter

This enables using syntax like "src { CIDR-a CIDR-b } deny" to specify
multiple addresses to filter. All the conditions are ORed together
like qname/ns.

daf: bugfix for rule deletion, hint for duplicated rule

modules/daf: allow multiple argument matching in filter

This looks like in nftables, e.g. `src { 127.0.0.1 192.168.1.1 }`

Original commit rolled back modules/policy/lua-aho-corasick,
probably by accident, so that change was dropped during cherry-picking.

modules/daf: case insensitive feature flags

policy: fix incompatibility with default (nil) phase

The `{ nil }` would otherwise get interpreted as an empty table.

modules/renumber: revert parts of the parent commit

policy: apply filters on outgoing queries as well

This allows blocking names with intermediate CNAMEs, e.g.

```
example.com CNAME invalid
```

Before, the policies were only applied on query name,
which can be circumvented by a layer of indirection like this.

policy: set NS set, support insecure forward in stub

This allows policy filter to modify NS set in the checkout layer.

modules/policy: fixed NYIs (vararg function call)

* fixed NYI with vararg calls in policy filter
* fixed NYI with nil returns (incompatible with type pointer returned otherwise)
* fixed tail call returns exceeding trace loop counts

modules/policy: check whether query is defined

modules/daf,renumber: fixed the modules and added tests

This fixes most of the rules in DAF that were broken in 2.0 and adds tests.
It also allows policy filter to evaluate policies in the checkout layer,
before the subrequest is sent to authoritative. This is used primarily for
negotiating features between resolver and authoritatives, or disabling transports.

The policy filter can now match on:
* NS suffix - to apply policies on any zone on given nameservers
* Query type

New actions:
* REFUSE - block query with an RCODE=REFUSED, fixes #337

The DAF can now toggle features between resolver and authoritatives.

fixes #322

Original commit amended with qsource.tcp rename.

lib/utils: removed obsoleted functions

Header flags can now be set from Lua, as well as packet payload clearing.

Merge !700: daemon TLS: increase wire-buffer size

daemon various nitpicks

- session: data length would be difference between start and end
  indices, but the function is unused so why even have it?

daemon TLS: increase wire-buffer size

When decoding large packets, gnutls gives the application chunks
of size 16kb. So that tls session wirebuffer must be at least
KNOT_WIRE_MAX_PKTSIZE + 16kb.  (message re-formatted by vcunat)

Merge !714: daemon: fix TLS rehandshake processing

daemon/io: fix insufficient error handling when receiving tls data

daemon/tls, daemon/worker: fix rehandshake processing

Merge !715: lib/resolve: fix build with -DNOVERBOSELOG

Fixes #424.

lib/resolve: fix build with -DNOVERBOSELOG

Fixes #424.

Merge !713: CI lint:clang-scan-build: make it mandatory!

CI lint:clang-scan-build: make it mandatory!

Merge !709: misc -Wpedantic fixes, including a class of bugs

disable more -Wpedantic warnings via #pragma

QRVERBOSE: move more code into a function, add docs

There's only very little that makes sense to "inline".
My understanding that it makes sense to have such heavier
optimization only for the case when no verbose logging is done.
This might actually help due to decreasing code size.

QRVERBOSE: avoid a -Wpedantic warning

It's about a hundred of them.  The price is making two printf calls
instead of one.  That seems acceptable; these warning tools can help us
in future, and the likelihood of mixing outputs from different processes
seems relatively small.

lib/utils kr_log_trace_enabled(): optimize for false

locally disable some -Wpedantic via #pragma

Function pointers and void* probably can't well interact
when using -Wpedantic.

misc -Wpedantic fixes

treewide: use more standard variadic macros

There's still an unresolved "problem" with QRVERBOSE getting
empty variadic list sometimes, and I can't see a good way around that.

zonecut, treewide: remove incorrect arrays of knot_rdata_t

To simplify this, some of the zonecut API was generalized
(API+ABI break).  Detected by -Wpedantic.

treewide nitpick: remove extraneous semicolons

Detected by -Wpedantic

Merge !704: daemon/lua: add support for resizing packets

daemon/lua: add support for resizing packets

Merge !699: changes around checkout layer from cloudflare

lib/resolve nitpick: add const to a parameter

There seems no potential for modifying this one.

lib/resolve: randomize qname in checkout layer when secret changes

This allows changing of secret in the checkout layer.

daemon/worker: move checkout layer before connect, catch checkout errors

The checkout layer was moved to where upstream address is known, but
before outbound message is sent (or connected to upstream).
The reason is to allow checkout layer to block outbound queries
without wasting time waiting for connect.

Merge !702: CI clang-scan-build fixes

We had 35 reports, now we'll have just 7
and mostly in code that's not ours (contrib/*).

lib/utils kr_inaddr_str(): avoid another copy

... and avoid a scan-build error.

daemon/ffimodule: avoid ugly casting for slots

Also simplify l_ffi_deinit().

CI lint:clang-scan-build - more error reductions

lib/resolve: eliminate more double initialization

Again, it's just a mechanical change,
looking at occurences of the identifiers.

lib/resolve: eliminate double initialization

It's just a few lines apart.  It's been generating lots of noise
in CI lint:clang-scan-build.

daemon/worker: fix easy warnings from CI lint:clang

Merge !708: misc nitpicks, see commits for details

lru: fix case when inserting value with larger size than allocated

This fixes a case when inserting into LRU, and the entry for given
key exists, but has allocated smaller value than what's requested.

engine kr_prop_cb: link to implementation details

mm_free(): accept const void *

Sometimes it's useful to express that pointed-to memory is constant,
and free-like functions then just cause extra unreadability.

kr_zonecut_move(): new function

It's more efficient for some our use cases,
and hopefully also more idiomatic.

detect_time_jump nitpick doc: note the Linux 4.17 change

nitpicks around older changes for stale-serving

nsrep: give advantage to IPv6 also for FORWARD-like

kr_nsrep_update_rtt() nitpick: reduce inaddr juggling

We have functions for this, so let's use them more.

Merge branch 'stable-date' into 'master'

doc: draw date in kresd.8 from NEWS

See merge request knot/knot-resolver!706

doc: draw date in kresd.8 from NEWS

Ideally, we'll just use the datestamp in the first line of NEWS directly.

if we can't find that, then fall back to the timestamp of the file
(which might be different on different machines because of how git
applies updates).  In any event, choose the datestamp using UTC, to
avoid building a different kresd.8 depending on the TZ of the machine.

Merge branch 'qsource-copy' into 'master'

daemon/worker: ignore KNOT_ETRAIL when saving source packet

See merge request knot/knot-resolver!705

daemon/worker: ignore KNOT_ETRAIL when saving source packet

Merge !701: CI clang tools: 5.0 -> 7.0

daemon/main: work around CI lint:c problem

CI: update clang tools for lint:*

In particular, in .gitlab-ci.yml I see no reason to hard-code
the version of clang tools - it seems easier to control that
only when generating the image.

Merge !696: travis ci: fix OS X build and link with GitLab CI

Closes #411.

modules/nsid: fix linkage on some systems

This is my mistake.  I was convinced this line wasn't needed
and I deleted it before merging the module.
Apparently we still have some deficiencies in the build system,
but let's defer that to migration (to meson probably).

travis: silence all notifications

scripts: remove obsolete bootstrap-depends.sh

ci: add OSX test via Travis CI API

ci/debian-stable: add python requests packakge

travis: clean up config

travis: install osx deps

travis: osx don't upgrade installed packages

travis: remove unused gitter webhook

Merge !694: docker: update to debian-based container + CI

Fixes #410.

README: update docker command to expose ports

gitlabci: test container in CI

doc: remove bootstrap-depends.sh example

Dockerfile: update image

- building different version of kresd is not properly supported
  (uses current directory with checked-out code instead of git master)
- based on debian:stable instead of alpine for easier dependency
  resolution
- moved both Dockerfile and config to more appropriate locations

Merge !698: http module improvements from cloudflare

modules/http: allow listening on UNIX sockets

modules/http: run prometheus collector on leader only

Metrics are collected and merged in http.prometheus, no need to be run
on every worker.

modules/http: added an error handler to HTTP streams

Instead of throwing an error in the HTTP handler, server should log it.
This covers errors like client disconnecting before reading the response
body etc.

Merge !697: network: make TCP_BACKLOG_DEFAULT a #define

network: make TCP_BACKLOG_DEFAULT a compile time define and set to default

This was previously hardcoded to 16. This makes it at least a compile time
define, with a default of 511 (as that's what Redis and Apache use).

Merge !695: two new EDNS modules, new layer

modules/nsid: new module for +NSID (server-side)

Minor changes to be blamed on Vladimir.

modules/edns_keepalive: new module, loaded by default

Minor changes to be blamed on Vladimir.

NEWS: document the module API changes

... done in the few preceding commits.
I intentionally don't mention ::daemon_context at this point.

kr_request: move ::has_tls to ::qsource.flags.tls

We were quite inconsistent here.

kr_request: move ::qsource.tcp to ::qsource.flags.tcp

prepare for adding EDNS modules

- answer_finalize: new layer
- kr_request: keep ::qsource.packet beyond the begin phase
- kr_request: add ::daemon_context

Merge !693: policy docs improvements

policy docs: move RFC-mandated defaults together

policy docs: add section about combining DNS trees

Merge branch 'release-3-1-0' into 'master'

release 3.1.0

See merge request knot/knot-resolver!692

release 3.1.0

Merge branch 'ns-cycled' into 'master'

lib/zonecut: avoid one kind of NS dependency cycles

Closes #374

See merge request knot/knot-resolver!690

lib/zonecut: verbose output tweaks

various nitpicks around the parent commit

lib/zonecut: avoid one kind of NS dependency cycles

The problem here was that we need to know which addresses are timed-out
(and not to be re-probed) much earlier than we do NS selection ATM -
that's because under some circumstances it affects the depth of NS
zone cut that we choose, i.e. if all addresses in a certain zone cut are
"bad" in a certain sense, we need to use a zone cut closer to the root,
because otherwise we'd get into a dependency cycle.

Merge branch 'packaging-update' into 'master'

packaging: updates

See merge request knot/knot-resolver!676

distro/tests: remove Fedora27