Allow disabled records to be fetched from the API.

Fixes #11473

Add an API-specific lookup method to DNSBackend.

This method, APILookup(), behaves similarly to lookup() but allows
disabled records to be returned to the caller. Backends with no support
for disabled records (bind, geoip, ldap, lua2, pipe, tinydns) implement
it as a by-default wrapper over lookup(). Other backends override with
their own processing.

SQL-style backends use distinct queries, api-id-query and
api-any-id-query, so as not to penalize non-API workloads.

rec: add a Lua function to get the config dir and name

Merge pull request #15429 from rgacogne/rec-fix-typo-test_FWCatz

rec: Fix a typo in the FWCatz regression tests

Allow alternate location for libssl

Needed at least on OpenBSD to get boringssl for dnsdist with quiche,
but other platforms might benefit as well

Merge pull request #15426 from rgacogne/ddist-document-how-to-remove-ecs

dnsdist: Document that `SetDisableECSAction` doesn't remove existing values

Merge pull request #15428 from rgacogne/ddist-resume-health-checks

dnsdist: Mention the lazy health-check option more often in the docs

Merge pull request #15421 from miodvallat/a_zone_by_any_other_name

Introduce ZoneName

rec: Fix a typo in the FWCatz regression tests

Observed on GH actions:
```
  test_FWCatz.py:353:
  _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

  self = <test_FWCatz.FWCatzXFRRecursorTest testMethod=testFWCatz>
  expected = {'forward_zones': [{'forwarders': ['1.2.3.4'], 'zone': 'c.'}]}

      def checkForwards(self, expected):
          attempts = 0
          tries = 10
          ex = None
          while attempts < tries:
              try:
                  with open('configs/' + self._confdir + '/catzone.forward.catz.') as file:
                      reality = yaml.safe_load(file);
                      if expected == reality:
                          return
              except Exception as e:
                  ex = e
              attempts = attempts + 1
  >           sleep(0.1)
  E           NameError: name 'sleep' is not defined
```

dnsdist: Mention the lazy health-check option more often in the docs

dnsdist: Document that `SetDisableECSAction` doesn't remove existing values

And document a possible work-around.

dnsdist: Document certificate switching support in the OpenSSL provider

dnsdist: Fix clang-tidy warnings

dnsdist: Add support for switching certificates based on SNI w/ OpenSSL

We already supported this with GnuTLS, but OpenSSL does not make it
easy: we need to keep a different `SSL_CTX` object for each certificate/key
and change the `SSL_CTX` associated with an incoming connection to
the correct one based on the Server Name Indication from the servername
callback (actually OpenSSL devs advise to use the ClientHello callback
instead when using a recent enough version of OpenSSL, but the
SNI hostname is not available is not available at this point so we
would have to parse it ourselves, which is a terrible idea, and the
drawbacks are not clear. `nginx` has been getting away with it, so
hopefully we will as well).
One additional issue is that we still need to load certificates
for the same name but different key types (RSA vs ECDSA, for example)
in the same `SSL_CTX` context, which makes the code a bit convoluted.

Fix clang-tidy warning of unnecessary std::move() for const ref

Merge pull request #15413 from romeroalx/pin-wheel

Pin the version of the python packages wheel and setuptools-git

Merge branch 'master' into master

Merge pull request #15418 from rgacogne/ddist-fix-tcp-only-cache

dnsdist: Fix cache lookup for unavailable TCP-only backends

dnsdist: Apply Otto's suggestions

Merge pull request #15423 from rgacogne/ddist-cache-tc-really

dnsdist: Add an option to cache truncated answers

clang-tidy the previous clang-tidy run

Merge pull request #15355 from rgacogne/dnsdist-better-handling-exception-when-parsing-yaml

dnsdist: Better handling of exceptions raised during YAML parsing

clang-tidy the previous clang-tidy run

dnsdist: Update outdated comment, as suggested by Miod (thanks!)

Appease clang-tidy.

Introduce ZoneName.

This is currently equivalent to DNSName and is intended to be used for,
well, zone names. This will allow specific processing later, and
currently make the areas where such names are used more visible.

This commit is mostly mechanical and introduces type changes in various
API and data fields.

dnsdist: Add an option to cache truncated answers

Merge pull request #15420 from rgacogne/ddist-add-binding-for-incoming-interface

dnsdist: Add Lua bindings for the incoming network interface

Merge pull request #15419 from rgacogne/ddist-cache-tc

dnsdist: Refactor the packet cache settings

dnsdist: Fix clang-tidy warning introduced by fixing another clang-tidy warning introduced by..

dnsdist: Make clang-tidy happy by passing the settings by value

dnsdist: Refactor the packet cache settings

dnsdist: Fix clang-tidy's warning

Add VRF to the list of allowed words

dnsdist: Add Lua bindings for the incoming network interface

This is useful in Virtual Routing and Forwarding (VRF) environments
where the destination IP address might not be enough to identify the VRF.

Document usage of timeout response rule and add defensive checks

Removed unnecessary packet buffer generation that is no value

dnsdist: Add a regression test for cache lookups w/ unavailable cache-only backends

Merge pull request #15416 from rgacogne/ddist-fix-quic-sni-meson

dnsdist: Fix two issues when building with `meson`

dnsdist: Fix cache lookup for unavailable TCP-only backends

dnsdist: Fix building with OpenSSL providers enabled

dnsdist: Fix the version check for OpenSSL when providers are enabled

dnsdist: Properly detect Quiche functions with meson

We forgot to check for the availability of `quiche_conn_server_name`
when we migrated from `autotools` to `meson`.

Merge pull request #15387 from rgacogne/ddist-share-stek-context-identical-frontends

dnsdist: Share tickets key between identical frontends created via YAML

dnsdist: Document how STEKs are managed in frontend groups

Merge pull request #15415 from miodvallat/web_disservice

[auth] minor web service cleanup

Replace the two lists of metadata keywords with a single list of pairs.

This removes the need for a second search in order to figure out whether
the metadata is write-protected from the API.

Clean metadata lists.

- remove duplicate entries
- remove leftover mention of API-RECTIFY in readonly list.

Merge pull request #15407 from rgacogne/ddist-fix-doh3-without-doh

dnsdist: Fix compilation with DoH3 enabled and DoH disabled

Sort metada name lists.

pin version of wheel and setuptools-git packages

Merge pull request #15408 from omoerbeek/rec-prep-20250409

rec: Prep for rec 20250409 releases

Typo in version

rec regr tests: allow to set moduledir using an env var

This makes picking the right modulerdir explicit instead of hard-coded.
With meson the location varies, and also I would like to use packaged
modules even when I happen to have backend .so's in the default place.

Generate timeout response packet, clang-tidy, PR comments

Generate a valid packet for timeout response rules so that other
actions that requires packet buffer would be happy. Fix a few
clang-tidy issues, address a few PR comments, i.e. revert changes
that fixed in other commit.

Merge pull request #15399 from miodvallat/ignoreland

.gitignore glitch

Prep for rec 20350409 releases

Merge pull request #15402 from PowerDNS/dependabot/cargo/pdns/recursordist/rec-rust-lib/rust/tokio-1.43.1

build(deps): bump tokio from 1.43.0 to 1.43.1 in /pdns/recursordist/rec-rust-lib/rust

dnsdist: Fix compilation with DoH3 enabled and DoH disabled

While unusual, this is a completely valid setup.

build(deps): bump tokio in /pdns/recursordist/rec-rust-lib/rust

Bumps [tokio](https://github.com/tokio-rs/tokio) from 1.43.0 to 1.43.1.
- [Release notes](https://github.com/tokio-rs/tokio/releases)
- [Commits](https://github.com/tokio-rs/tokio/compare/tokio-1.43.0...tokio-1.43.1)

---
updated-dependencies:
- dependency-name: tokio
  dependency-version: 1.43.1
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>

Fix name of tsig_tests binary in .gitignore

Merge pull request #15397 from omoerbeek/rec-prep-5.2.1

rec: prep for rec-5.2.1

rec: prep for rec-5.2.1

Merge pull request #15396 from omoerbeek/rec-cname-to-auth

rec: rework of #14822: fix a difference between record-cache hit and miss in some ServFail results

Merge pull request #15382 from miodvallat/i_lost_at_jeopardy

[auth] Backend capabilities

Merge pull request #15375 from Habbie/ci-postgres-14

CI: bump postgres version

Better future-proof logic.

Better error report when zone creation is not possible.

Fixes #5783
Fixes #6954

Add a "can create domains" capability.

Check backend capabilities before attempting some operations.

This allows us to give better error messages to the users.

Fixes: #15006

Allow backends to report a coarse-grained capabilities mask.

The current capabilities are DNSSEC supports, comments, direct backend
commands, and zone listing (AXFR) ability.

doesDNSSEC() is rewritten as a trivial wrapper around this.

Merge pull request #15379 from miodvallat/if_i_could_only_cflags_it_down

Minor build system tweaks

Merge pull request #15392 from rgacogne/ddist-python-man-pages-not-found

dnsdist with meson: Do not try to get the version/path of Python if not found

rec: rework of #14822: fix a difference between record-cache hit and miss in some ServFail results

Fixes: CNAME with target non-existent record in auth zone causes segfault

Mention which backends support search operations.

Merge pull request #14840 from ukleinek/backend-docs

Update Backend docs

Add regression test case for timeout response action

Merge pull request #15394 from rgacogne/fix-auth-apt-404

tasks: Run apt-get update before installing auth test deps

tasks: Run apt-get update before installing auth test deps

Otherwise we might be trying to install a version that is no longer
present in the repository, yielding a 404 error.

Replace nested if with switch.

Keep the retarget loop logic in one place.

Throw enough bones to clang-tidy

Split handling of Query opcode, step 2/2.

Gets rid of the "retargeted" goto label.

Split handling of Query opcode, step 1/2.

Gets rid of the "sendit" goto label.

Split PacketHandler::doQuestion into per-opcode routines.

Fix build errors with no DoH, address PR comments

dnsdist: Do not try to get the version/path of Python if not found

Allow the default ZoneParserTNG TTL to be modified.

Fixes #8494

Enhancement to support rule action for query timeout case

The dnsdist already supports all types of error response code rule action
except timeout. Users may want to use the same feature for timeout case.

Merge pull request #15385 from rgacogne/ddist-enable-quiche-sni-tests

dnsdist: Enable the DoQ and DoH3 parts of the SNI tests in our CI

dnsdist: Check identical frontends get the same STEK

dnsdist: Remove now useless comment in the SNI regression tests

dnsdist: Don't try to get TLS contexts for DoQ and DoH3 frontends

Right now the BoringSSL context is handled by Quiche and we do not
mess with it.

dnsdist: Share tickets key between identical frontends created via YAML

Using the same Session Ticket Encryption Key on identical frontends
allow TLS sessions to be resumed in a much more efficient way, reducing
the latency and CPU usage. While it was already possible to do so by
manually managing the STEK, the default behaviour was to create and use
a different STEK for each frontend, because our Lua configuration makes
it almost impossible to ensure that two frontends are identical.
This is not an issue with the new YAML configuration format, so let's
share the STEK automatically in this case.

This needs a regression test.

dnsdist: Enable the DoQ and DoH3 parts of the SNI tests in our CI

We now build with Quiche >= 0.23.2 so we can enable them.

dnsdist: Add regression tests for the new TCP/TLS DoS mitigation options

dnsdist: Add mitigations against misbehaving TCP/TLS clients

This commit adds several mitigations against misbehaving TCP/TLS clients:
- when a client is near the limit of concurrent TCP connections it is
allowed to have, the number of DNS queries over a single TCP connection
is restricted to 1 and the idle timout is reduced to 500 ms
- the same restrictions are applied to all connections if the frontend
is near the limit of concurrent TCP connections
- a limit of 50 read I/O events per query is enforced on incoming TCP
connections, to prevent a connection from continuously sending very small
packets to keep the worker busy. Clients exceeding this limit can
be prevented from opening new TCP connections for a configurable
amount of time
- three new configurable rates are introduced: new TCP connections
per second per client, new TLS sessions per second per client,
resumed TLS sessions per secondper client. Clients exceeding these
rates can be prevented from opening new TCP connections for a
configurable amount of time

Merge pull request #15380 from rgacogne/ddist-async-tests-unlink-exception

dnsdist: Fix a TOCTOU in the Async regression tests

dnsdist: Fix a TOCTOU in the Async regression tests

The existing code was catching all exceptions based on `OSError`
raised by a call to `os.unlink()` , and re-throwing if the file
actually existed, in an attempt to only ignore the case where
the file did not exist and still fail if the process did not
have enough rights to remove it, for example.
Unfortunately this construct introduced a TOCTOU issue, where the
initial exception might have been raised because the file did not
exist at the time of the call, resulting in a `FileNotFoundError`
exception being raised, but had been created before the existence
check, resulting in a puzzling message:
```
ready: 8/8 workersException in thread Asynchronous Responder:
Traceback (most recent call last):
  File "/usr/lib/python3.13/threading.py", line 992, in run
    self._target(*self._args, **self._kwargs)
    ~~~~~~~~~~~~^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  File "/pdns/regression-tests.dnsdist/test_Async.py", line 17, in AsyncResponder
    os.unlink(listenPath)
    ~~~~~~~~~^^^^^^^^^^^^
8 workers [816 items]
```

The new code only catches `FileNotFoundError` instead, so that
other errors are still causing a failure without needing a second
check.

Merge pull request #15306 from rgacogne/ddist-exit-callbacks

dnsdist: Add support for calling Lua methods when exiting

Pass -DPDNS_AUTH when building the authoritative server.