Grammar.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Take suggestion from Miod

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16831 from miodvallat/dnsnotupdate

auth: stricter handing of the Lua DNS update policy

rec: Add axample for rzpPrimary with defpol=Policy.Custom

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

fix(auth): check LUA record weights are > 0

feat: add `pdns::checked_conv_nonzero`

This function just calls `pdns::checked_conv` and verifies the result is
not `0`.

This commit also adds some basic tests for
`pdns::checked_conv{,nonzero}`.

rec: add a regresion test for defpol handling

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Update pgsql set-tsig-key query to handle conflicts.

This relies upon a feature introduced in PostgreSQL 9.5, 10 years ago.
We can reasonably assume that distributions people use to run
PowerDNS on those days carry at least that version (which is EOL since
five years now).

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Clarify comment documenting set-tsig-key limitations.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16942 from omoerbeek/rec-pc-ttl-docs

rec docs: fix and improve docs for packetcache.negative_ttl and packetcache.servfail_ttl

rec docs: fix and improve docs for packetcache.negative_ttl and packetcache.servfail_ttl

Currently there is a quoting issue in packetcache.servfail_ttl, making it render badly.
Also remove the ref to 4.0.0, it's *way* too old.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16939 from pieterlexis/dnsdist-rcoderatio-16934

dnsdist: fix AllowedRCodeRatio with Lua config

fix(dnsdist): Lua config DBR w/ AllowedRCodeRatio

@omoerbeek wrote the fix, I added a test.

Closes: #16934

Merge pull request #16936 from omoerbeek/rec-qr0-response

rec: drop QR=0 responses from auths

Add tests

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16920 from miodvallat/structured_recursion

plumbing: pass a Logr::logr_t down AXFRRetriever and TSIGTCPVerifier. NFC yet.

Pass a Logr::logr_t down AXFRRetriever and TSIGTCPVerifier. NFC yet.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Remove old backward compability cases for broken servers

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rec: do not treat qr=0 responses lenient

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

rec: continue processing response Policies if a discared policy is hit

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16891 from omoerbeek/rec-aggr-cache-wrap

rec: handle NSEC3 records where hash(owner) > hash(next) in aggressive cache decision

Merge pull request #16930 from omoerbeek/rec-tidy-main

Tidy rec-main.??

Merge pull request #16928 from miodvallat/trim

auth: trim labels faster

Add faster logic for trimToLabels(0)

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Tidy rec-main.??

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16927 from omoerbeek/rec-tidy-tcp

rec: tidy rec-tcp.cc and fix a type

Merge pull request #16926 from omoerbeek/rec-validate-tidy

Tidy and format valdidate.?? and validate-recursor.??

Merge pull request #16905 from omoerbeek/rec-save-tls-context

rec: save outgoing TLSContext for later re-use

rec: tidy rec-txp.cc and fix a type

Including a type fix: a negative return from parseProxyHeader() is
converted to an unsigned type. This is harmless in the sense that
such a return value will produce the wrong error message as the value
will be interpreted as a very big value, no out of bound access
or similar occurs. The type was wrong since this code was introduced in
95f851d662d5a35ff3fb74f427747f42dd857792.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Tidy and format valdidate.?? and validate-recursor.??

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Don't forget to clear saved TLS contexts on (re)load.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16921 from rgacogne/ddist210-b1

dnsdist: Update ChangeLog and security polling zone for 2.1.0-beta1

Merge pull request #16919 from miodvallat/obafgkm

auth: remove configurable random generator leftovers, take 2

dnsdist: Update ChangeLog and security polling zone for 2.1.0-beta1

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

PDNS_ENABLE_KISS is no more.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16896 from romeroalx/move-upload-package-to-action

build-packages.yml: move uploading and publishing packages to an external action

Merge pull request #16830 from miodvallat/ragel_de_bois

auth: one less infinite loop

Merge pull request #16917 from miodvallat/metaheadache

More metaprogramming sugar

Merge pull request #16870 from pieterlexis/dnsdist-ot-set-traceparent-on-send

dnsdist: Correctly set Span ID to downstreams

Merge pull request #16915 from rgacogne/coverity-20260220

Fix some performance inefficiencies reported by Coverity

Give IterLoggable the same type flexibility as Loggable.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16910 from miodvallat/chrp

auth: prepare for 4.9.13 and 5.0.3 releases

dnsdist: Fix performance ineffiency reported by Coverity as CID 501593

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

tcpiohandler: Fix performance inefficiency reported by Coverity

CID 501583 and 501584

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

auth: Fix performance inefficiency reported by Coverity (CID 1645140)

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16889 from rgacogne/ddist-add-health-check-validation-callback

dnsdist: Add a Lua callback to validate health-check responses

Do not attempt to normalize LUA records.

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16626 from romeroalx/keyroller-remove-pipfile

Keyroller: simplify package dependencies and remove pipfile

Merge pull request #16904 from romeroalx/fix-verify-pip-pulls-workflow

GH actions - verify-pinned-python-packages.yml: set a name for the service container

Merge pull request #16899 from rgacogne/ddist-fix-flaky-proxy-protocol-regression-test

dnsdist: Fix flaky Proxy Protocol regression test

chore(dnsdist): Add tests for addTraceparentEdnsOptionToPacketBuffer

chore(dnsdist): use uint16_t for TRACEPARENT option code

chore(ci): traceparent is a word

feat(dnsdist): Use only one TRACEPARENT option code for in and out

docs(dnsdist): update OpenTelemetry trace docs

tests(dnsdist): add TRACEPARENT to proxy protocol tests

feat(dnsdist): centralize the TRACEPARENT packet mangling

tests(dnsdist): Send queries for testing downstream TRACEPARENT without said option

tests(dnsdist): Test TRACEPARENT with downstream TLS

fix(dnsdist): correctly add TRACEPARENT to downstreams when PROXY protocol is in use

feat(dnsdist): Lua SetTraceAction now accepts an option table

chore(dnsdist): use makeEDNSTraceParentOption for UDP as well

feat(dnsdist): Send correct (last) SpanID to TCP downstreams

chore(dnsdist): Use TRACEPARENT nomenclature consistently

feat(dnsdist): set correct spanid in downstream TRACEPARENT

chore(dnsdist): Pack the TraceConfig struct

verify-pinned-python-packages.yml: set a name for service container

Merge pull request #16909 from rgacogne/ddist-doc-fixes-20260219

dnsdist: Fix two documentation nits

secpoll and documentation updates for Auth 4.9.13 & 5.0.3

Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16880 from rgacogne/ddist-dbrg-allowed-rcodes-ratio

dnsdist: Implement "allowed rcodes/total" ratio dynamic rule

dnsdist: Fix two documentation nits

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Apply suggestions from code review

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16907 from rgacogne/meson-missing-crypto-funcs

meson: Add missing checks for `TLS_client_method`, `gnutls_transport_set_fastopen`

Merge pull request #16903 from omoerbeek/rec-test-faster

rec: test faster

Typo in comment

Co-authored-by: Remi Gacogne <github@coredump.fr>
Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16731 from miodvallat/statbag_of_tricks

auth web: stricter control of statistics rings changes

Merge pull request #16884 from miodvallat/alias_not_aliases

auth: fix and document behaviour when multiple ALIAS records in an RRset

Drop autouse, it's redundant, zap a few print() calls

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

tcpiohandler: Some versions of GnuTLS require `gnutls/socket.h` for `gnutls_transport_set_fastopen`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

meson: Add missing checks for `TLS_client_method`, `gnutls_transport_set_fastopen`

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix typo in description reported by Mio

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Fix indentation

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

dnsdist: Implement "allowed rcodes/total" ratio dynamic rule

The existing rcode ratio rules required listing all the response codes
that were not allowed, and to compute the ratio for each rcode.
That's useful, but what we want in most cases is to set a ratio of
"unexpected"/"invalid" response codes over "allowed"/"expected" response
codes.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

rec: save outgoing TLSContext for later re-use

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Apply suggestions from code review

Co-authored-by: Miod Vallat <miod.vallat@powerdns.com>
Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Merge pull request #16902 from miodvallat/removeelse

auth: loosen check in NotificationQueue::removeIf

Commit forgotten file

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Tests with special auth working now

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Fixture to start en stop auths per session is working

A few tests that modify auth config are skipped. Next commit should fix that.

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

Ignore port numbers in removeIf() if either ComboAddress lacks one.

Fixes: #13576
Signed-off-by: Miod Vallat <miod.vallat@powerdns.com>

Merge pull request #16890 from rgacogne/ddist-fix-latency-again

dnsdist: Clean up the type mess around latency metrics (again)

dnsdist: Fix flaky Proxy Protocol regression test

We can only check that we did not open more than one new connection
compared to the connections that existed before, because connections
triggered by a different test can still be around.
This seems to be happening on a regular basis on slow runners with
few CPU cores.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16898 from rgacogne/ddist-do-no-start-network-listener-in-config-check

dnsdist: Don't start the NetworkListener thread in config check mode

Make status polls faster

Signed-off-by: Otto Moerbeek <otto.moerbeek@open-xchange.com>

dnsdist: Don't start the NetworkListener thread in config check mode

Not only is this useless, there is a risk of race if the thread is not
created quickly enough, so when the main thread reaches the end of the
configuration and exits the new thread tries to access an object that
has been freed.

Signed-off-by: Remi Gacogne <remi.gacogne@powerdns.com>

Merge pull request #16897 from milzi234/chore/docs_spog_section

chore(docs site): add single pane of glass

chore(docs site): add single pane of glass

build-packages: move uploading and publishing packages to an action

Merge pull request #16879 from rgacogne/ddist-unset-tag

dnsdist: Add actions, methods and FFI functions to unset a tag

Merge pull request #16881 from rgacogne/ddist-excluded-entries-should-not-count-toward-super-subnet-limit

dnsdist: Subnets excluded from dynamic rules should not count towards thresholds