Merge pull request #6782 from rgacogne/dnsdist-soaseen-broken

dnsdist: Fix detection of NoData / NXDomain answers in the cache

dnsdist: Fix detection of NoData / NXDomain answers in the cache

Checking whether the SOA record is in the right section was broken
because of a misplaced parenthesis, and the unit test checking that
case turned out to be broken too (wrong class) :'(
The broken check was reported by cppcheck (thanks!):

```
Comparison of a boolean expression with an integer.
```

Merge pull request #6764 from rgacogne/dnsdist-rotate-certs

dnsdist: Add support for rotating certificates and keys

Merge pull request #6769 from rgacogne/luawrapper-maybe-uninitialized

LuaWrapper: Disable maybe uninitialized warnings with boost optional

Merge pull request #6726 from rgacogne/dnsdist-clean-maxqpsiprule-lru

 dnsdist: Use LRU to clean the MaxQPSIPRule's store

dnsdist: Rename disableTickets to sessionTickets

Merge pull request #6734 from rgacogne/dnsdist-set-ecs

dnsdist: Add SetECSAction to set an arbitrary outgoing ECS value

Merge pull request #6773 from rgacogne/dnsdist-reuse-race

dnsdist: Fix an outstanding counter race when reusing states

dnsdist: Pass const references to SetECSAction()

Merge pull request #6754 from rgacogne/dnsdist-subnet-collision

 dnsdist: Detect ECS collisions in the packet cache

Merge pull request #6775 from rgacogne/dnsdist-none-action

dnsdist: Implement NoneAction()

Merge pull request #6776 from rgacogne/dnsdist-dynblock-noop

dnsdist: Add DNSAction.NoOp to debug Dynamic Blocks

dnsdist: Make sure that DynBlock tests do not pass when they shouldn't

dnsdist: Add DNSAction.NoOp to debug Dynamic Blocks

Setting the dynamic block action to NoOp allows the dynamic rule to
be inserted as usual and show up while looking at the rules,
while not blocking any query and not stopping subsequent rules from
being evaluated.

dnsdist: Implement NoneAction()

dnsdist: Fix a typo in the documentation of addTLSLocal()'s options

Merge pull request #6760 from rgacogne/dnsdist-dynblockrulesgroup-exclusions

dnsdist: Add netmask-based {ex,in}clusions to DynBlockRulesGroup

dnsdist: Fix an outstanding counter race when reusing states

Merge pull request #6720 from rgacogne/rec-snmp-broadcast

 rec: Allow the SNMP thread to retrieve statistics

dnsdist: Remove an unused local variable in getEDNSOptionsStart()

dnsdist: Detect ECS collisions in the packet cache

We did not detect a collision involving two queries for the same qname,
qtype, qclass and flags but with different ECS values hashing to the same key.
This commit adds an option to the packet cache to parse and keep the ECS value
in order to detect this kind of collisions.
It's not enabled by default because parsing the ECS value has a cost.

Merge pull request #6767 from rgacogne/dnsdist-dynblocks-api-lower

dnsdist: Fix duration false positive in the dynblock regression tests

Merge pull request #6762 from rgacogne/dnsdist-unorderedmap-table

dnsdist: Fix iterating over the results of exceed*() functions

Merge pull request #6749 from rgacogne/dnsdist-cache-dump

dnsdist: Add the ability to dump a summary of the cache content

LuaWrapper: Disable maybe uninitialized warnings with boost optional

GCC enables `-Wmaybe-uninitialized` by default with `-Wall`, and it
reports what looks like false positives with boost::optional types

See:
- https://svn.boost.org/trac10/ticket/12513
- https://gcc.gnu.org/bugzilla/show_bug.cgi?id=78044

dnsdist: Fix duration false positive in the dynblock regression tests

The number of remaining seconds might also be equal to the minimum
value.

Merge pull request #6765 from PowerDNS/doc-bind-api-ro

Document that BIND backend hosted zones can't be altered from the API

Document that BIND backend hosted zones can't be altered from the API

dnsdist: Fix compilation without DoT support

dnsdist: Add an option to disable TLS session resumption via tickets

dnsdist: Add support for rotating certificates and keys

Merge pull request #6747 from rgacogne/dnsdist-flags-collision

dnsdist: Check the flags to detect collisions in the packet cache

Merge pull request #6744 from rgacogne/rec-edns-options-multi-values

rec: Support multiple values for the same EDNS option in gettag

dnsdist: Test that we can iterate over the results of exceed*()

LuaWrapper: Add support for handling specialized unordered map as tables

dnsdist: Add netmask-based {ex,in}clusions to DynBlockRulesGroup

dnsdist: Check the flags to detect collisions in the packet cache

In the unlikely but quite real event two queries with the same qname,
qtype and qclass but different EDNS options or flags end up with
the same hash, the packet cache would return a answer that might
not be suitable for the query. Reduce the odds by checking the
flags present in the dns header in addition to the qname, qtype
and qclass.
For the same reason we might need to consider storing the ECS
subnet if any.

dnsdist: Use LRU to clean the MaxQPSIPRule's store

This makes it possible to remove expired entries from the store
without having to scan more than a fraction of it. Entries are
ordered by their last usage, with least recently used ones at
the front, so we can stop scanning as soon as we find an entry
still valid. Even so, we will only consider a fraction of the
store during each pass to keep the cleaning fast, even with a
large store.

dnsdist: Move rules definitions to a separate header

It makes it easier to test them.

dnsdist: Add the ability to dump a summary of the cache content

Merge pull request #6697 from jsoref/rec_control_tmp

Recursor: try to document how to handle systemd private tmp

Merge pull request #6733 from rgacogne/rec-multi-rpz

rec: Add support for multiple rpz masters as failover

Merge pull request #6740 from rgacogne/dnsdist-packetcache-neg-ttl

 dnsdist: Add a negative TTL option to the packet cache

Merge pull request #6741 from rgacogne/rec-forward-recurse-aa-cache

rec: Don't require authoritative answers for forward-recurse zones

Merge pull request #6745 from rubenk/fix-typo-in-recursor-docs

Fix a typo in the recursor docs

Merge pull request #6746 from rubenk/document-default-for-pdns-distributes-queries

pdns-distributes-queries is on by default

pdns-distributes-queries is on by default

Document this

Fix a typo in the recursor docs

Merge pull request #6495 from Habbie/parse-resolvconf-once

only parse resolv.conf once - this avoids race conditions

Merge pull request #6713 from mind04/bogus-ring

rec: add bogus ring to make it more easy to detect high profile domains with broken dnssec

rec: update the validation state when we replace an existing entry in the packet cache

rec: Add some regression tests for our Lua hooks

rec: Support multiple values for the same EDNS option in gettag

And in the FFI version of gettag.

rec: move bogus ring from packet cache to doProcessUDPQuestion()

rec: Don't require authoritative answers for forward-recurse zones

Merge pull request #6589 from chbruyand/rec-lua-maintenance

rec: Add lua maintenance callback

Merge pull request #6692 from Habbie/reorder-subdirs

auth: reorder SUBDIRS

Merge pull request #6695 from zeha/doc-dnssec-cd

Tiny Recursor dnssec doc improvements

Merge pull request #6725 from zeha/docs-table-size

docs/dnssec: improve HTML rendering of table

rec: Add regression tests for SNMP

rec: Allow the SNMP thread to retrieve statistics

Merge pull request #6739 from ahupowerdns/dedup-rhel6-fix

fix up compilation on rhel6 for dedup speedup in auth

dnsdist: Add a negative TTL option to the packet cache

Also add unit tests for the standalone functions in dnsparser.cc

dnsdist: Pass the correct section to the 'editTTLs' callback

fix up compilation on rhel6 for dedup speedup in auth

Merge pull request #6730 from ahupowerdns/dedup-speedup

Implement a smarter dedup for filling packets in auth

Merge pull request #6735 from rgacogne/rpz-ixfr-api-tests-fix

rec: Add full AXFR in the middle of IXFR, API checks in RPZ tests

speed up dedup code, use less memory

rec: Add full AXFR in the middle of IXFR, API checks in RPZ tests

rec: Add support for multiple rpz masters as failover

dnsdist: Add SetECSAction to set an arbitrary outgoing ECS value

Merge pull request #6722 from rgacogne/rec-rpz-ixfr-tests

rec: Add some regression tests for RPZ over AXFR and IXFR

improve comments, clean up code a bit

Implement a smarter dedup for filling packets in auth

Merge pull request #6715 from rgacogne/dnsdist-console-nokey

dnsdist: Refuse console connection without a proper key set

Merge pull request #6729 from rgacogne/packetcache-ttl-test-6578

auth: Increase the packet cache TTL in our unit tests

rec: Add some regression tests for RPZ over AXFR and IXFR

auth: Increase the packet cache TTL in our unit tests

Hopefully this will lower the risks of failure on slow hosts, like
our pi builder.

dnsdist: Mention earlier that libsodium is required for console encryption

dnsdist: Fix a typo in one of the console error messages

Merge pull request #6718 from rgacogne/dnsdist-web-decimals

dnsdist: Limit QPS and latency to two decimals in the web view

Merge pull request #6627 from rgacogne/rec-truncated-queries

rec: Drop queries truncated because they were larger than our buffer

docs/dnssec: improve HTML rendering of table

Merge pull request #6563 from pieterlexis/dnsdist-droprate-in-API

dnsdist: show droprate in API output

Merge pull request #6724 from setharnold/patch-7

add missing word 'impact' to the documentation

rec: Resize the incoming query buffer to 512 after each query

rec: Use a 512-byte buffer for incoming queries instead of 1500

rec: Drop queries truncated because they were larger than our buffer

add missing word 'impact'

Merge pull request #6716 from rgacogne/dnsdist-tcp-vector-size

dnsdist: Don't access the TCP buffer vector past its size

Merge pull request #6717 from phonedph1/patch-4

Update timedipsetrule.rst

dnsdist: Limit QPS and latency to two decimals in the web view

dnsdist: Clarify that local connections to the console should be encrypted too

Merge pull request #6711 from chbruyand/dnsdist-connection-close

dnsdist: default set "Connection: close" header for web requests

Merge pull request #6710 from rgacogne/dnsdist-dynblocks-duration-test

dnsdist: Test the content of dynamic blocks using the API

dnsdist: Remove left-over debug message in the console code

rec: REALLY restrict maintenance() callback to worker threads

bump version as 4.1.3 has been released

"Connection: close" is not a security header

Update timedipsetrule.rst

I think this makes more sense based on what it does and to match the overall description.

Also fix typo in differently.