]> xenbits.xensource.com Git - people/julieng/freebsd.git/commitdiff
projects / people / julieng / freebsd.git / commitdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | combined (merge: 5ef9f70 0b3e2c0)
Upgrade to Unbound 1.5.4.
authordes <des@FreeBSD.org>
Thu, 17 Sep 2015 16:10:11 +0000 (16:10 +0000)
committerdes <des@FreeBSD.org>
Thu, 17 Sep 2015 16:10:11 +0000 (16:10 +0000)
123 files changed:
1  2 
contrib/unbound/Makefile.in patch | diff1 | | blob | history
contrib/unbound/acx_nlnetlabs.m4 patch | diff1 | | blob | history
contrib/unbound/compat/getentropy_linux.c patch | diff1 | | blob | history
contrib/unbound/compat/reallocarray.c patch | | | blob
contrib/unbound/config.h patch | diff1 | | blob | history
contrib/unbound/config.h.in patch | diff1 | | blob | history
contrib/unbound/configure patch | diff1 | | blob | history
contrib/unbound/configure.ac patch | diff1 | | blob | history
contrib/unbound/daemon/cachedump.c patch | diff1 | | blob | history
contrib/unbound/daemon/daemon.c patch | diff1 | | blob | history
contrib/unbound/daemon/remote.c patch | diff1 | | blob | history
contrib/unbound/daemon/stats.c patch | diff1 | | blob | history
contrib/unbound/daemon/stats.h patch | diff1 | | blob | history
contrib/unbound/daemon/worker.c patch | diff1 | | blob | history
contrib/unbound/daemon/worker.h patch | diff1 | | blob | history
contrib/unbound/dns64/dns64.c patch | diff1 | | blob | history
contrib/unbound/dnstap/dnstap.c patch | diff1 | | blob | history
contrib/unbound/doc/Changelog patch | diff1 | | blob | history
contrib/unbound/doc/README patch | diff1 | | blob | history
contrib/unbound/doc/example.conf patch | diff1 | | blob | history
contrib/unbound/doc/example.conf.in patch | diff1 | | blob | history
contrib/unbound/doc/libunbound.3 patch | diff1 | | blob | history
contrib/unbound/doc/libunbound.3.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound-anchor.8 patch | diff1 | | blob | history
contrib/unbound/doc/unbound-anchor.8.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound-checkconf.8 patch | diff1 | | blob | history
contrib/unbound/doc/unbound-checkconf.8.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound-control.8 patch | diff1 | | blob | history
contrib/unbound/doc/unbound-control.8.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound-host.1 patch | diff1 | | blob | history
contrib/unbound/doc/unbound-host.1.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound.8 patch | diff1 | | blob | history
contrib/unbound/doc/unbound.8.in patch | diff1 | | blob | history
contrib/unbound/doc/unbound.conf.5 patch | diff1 | | blob | history
contrib/unbound/doc/unbound.conf.5.in patch | diff1 | | blob | history
contrib/unbound/freebsd-configure.sh patch | diff1 | | blob | history
contrib/unbound/iterator/iter_delegpt.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_fwd.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_hints.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_priv.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_resptype.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_scrub.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_utils.c patch | diff1 | | blob | history
contrib/unbound/iterator/iter_utils.h patch | diff1 | | blob | history
contrib/unbound/iterator/iterator.c patch | diff1 | | blob | history
contrib/unbound/iterator/iterator.h patch | diff1 | | blob | history
contrib/unbound/libunbound/context.c patch | diff1 | | blob | history
contrib/unbound/libunbound/libunbound.c patch | diff1 | | blob | history
contrib/unbound/libunbound/libworker.c patch | diff1 | | blob | history
contrib/unbound/libunbound/python/Makefile patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/async-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/dns-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/dnssec-valid.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/dnssec_test.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/example8-1.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/idn-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/mx-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/ns-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/examples/reverse-lookup.py patch | diff1 | | blob | history
contrib/unbound/libunbound/python/file_py3.i patch | | | blob
contrib/unbound/libunbound/python/libunbound.i patch | diff1 | | blob | history
contrib/unbound/libunbound/worker.h patch | diff1 | | blob | history
contrib/unbound/services/cache/dns.c patch | diff1 | | blob | history
contrib/unbound/services/cache/infra.c patch | diff1 | | blob | history
contrib/unbound/services/cache/infra.h patch | diff1 | | blob | history
contrib/unbound/services/cache/rrset.c patch | diff1 | | blob | history
contrib/unbound/services/listen_dnsport.c patch | diff1 | | blob | history
contrib/unbound/services/listen_dnsport.h patch | diff1 | | blob | history
contrib/unbound/services/localzone.c patch | diff1 | | blob | history
contrib/unbound/services/localzone.h patch | diff1 | | blob | history
contrib/unbound/services/mesh.c patch | diff1 | | blob | history
contrib/unbound/services/outside_network.c patch | diff1 | | blob | history
contrib/unbound/sldns/keyraw.c patch | | | blob
contrib/unbound/sldns/keyraw.h patch | | | blob
contrib/unbound/sldns/parse.c patch | | | blob
contrib/unbound/sldns/parse.h patch | | | blob
contrib/unbound/sldns/parseutil.c patch | | | blob
contrib/unbound/sldns/parseutil.h patch | | | blob
contrib/unbound/sldns/pkthdr.h patch | | | blob
contrib/unbound/sldns/rrdef.c patch | | | blob
contrib/unbound/sldns/rrdef.h patch | | | blob
contrib/unbound/sldns/sbuffer.c patch | | | blob
contrib/unbound/sldns/sbuffer.h patch | | | blob
contrib/unbound/sldns/str2wire.c patch | | | blob
contrib/unbound/sldns/str2wire.h patch | | | blob
contrib/unbound/sldns/wire2str.c patch | | | blob
contrib/unbound/sldns/wire2str.h patch | | | blob
contrib/unbound/smallapp/unbound-anchor.c patch | diff1 | | blob | history
contrib/unbound/smallapp/unbound-checkconf.c patch | diff1 | | blob | history
contrib/unbound/smallapp/unbound-control-setup.sh patch | diff1 | | blob | history
contrib/unbound/smallapp/unbound-control-setup.sh.in patch | diff1 | | blob | history
contrib/unbound/smallapp/unbound-control.c patch | diff1 | | blob | history
contrib/unbound/smallapp/unbound-host.c patch | diff1 | | blob | history
contrib/unbound/util/alloc.c patch | diff1 | | blob | history
contrib/unbound/util/alloc.h patch | diff1 | | blob | history
contrib/unbound/util/config_file.c patch | diff1 | | blob | history
contrib/unbound/util/config_file.h patch | diff1 | | blob | history
contrib/unbound/util/configlexer.lex patch | diff1 | | blob | history
contrib/unbound/util/configparser.y patch | diff1 | | blob | history
contrib/unbound/util/data/dname.c patch | diff1 | | blob | history
contrib/unbound/util/data/msgencode.c patch | diff1 | | blob | history
contrib/unbound/util/data/msgparse.c patch | diff1 | | blob | history
contrib/unbound/util/data/msgparse.h patch | diff1 | | blob | history
contrib/unbound/util/data/msgreply.c patch | diff1 | | blob | history
contrib/unbound/util/data/msgreply.h patch | diff1 | | blob | history
contrib/unbound/util/data/packed_rrset.c patch | diff1 | | blob | history
contrib/unbound/util/data/packed_rrset.h patch | diff1 | | blob | history
contrib/unbound/util/fptr_wlist.c patch | diff1 | | blob | history
contrib/unbound/util/iana_ports.inc patch | diff1 | | blob | history
contrib/unbound/util/log.c patch | diff1 | | blob | history
contrib/unbound/util/log.h patch | diff1 | | blob | history
contrib/unbound/util/net_help.c patch | diff1 | | blob | history
contrib/unbound/util/netevent.c patch | diff1 | | blob | history
contrib/unbound/util/netevent.h patch | diff1 | | blob | history
contrib/unbound/validator/autotrust.c patch | diff1 | | blob | history
contrib/unbound/validator/val_anchor.c patch | diff1 | | blob | history
contrib/unbound/validator/val_kentry.c patch | diff1 | | blob | history
contrib/unbound/validator/val_neg.c patch | diff1 | | blob | history
contrib/unbound/validator/val_nsec3.c patch | diff1 | | blob | history
contrib/unbound/validator/val_secalgo.c patch | diff1 | | blob | history
contrib/unbound/validator/val_sigcrypt.c patch | diff1 | | blob | history
contrib/unbound/validator/validator.c patch | diff1 | | blob | history
lib/libunbound/Makefile patch | diff1 | | blob | history

diff --cc contrib/unbound/Makefile.in
index 0c7e0c638b9cc93f004e662abea4e840a270b366,0000000000000000000000000000000000000000..40cf9a57d20836a699dce655b5409c5c8446693b
mode 100644,000000..100644
--- 1/contrib/unbound/Makefile.in
--- /dev/null
+++ b/contrib/unbound/Makefile.in
@@@ -1,1230 -1,0 +1,1240 @@@
- compat/arc4_lock.c compat/sha512.c
 +# Copyright 2007 NLnet Labs
 +# See the file LICENSE for the license
 +
 +SHELL=@SHELL@
 +VERSION=@PACKAGE_VERSION@
 +srcdir=@srcdir@
 +prefix=@prefix@
 +exec_prefix=@exec_prefix@
 +bindir=@bindir@
 +sbindir=@sbindir@
 +mandir=@mandir@
 +libdir=@libdir@
 +# datarootdir is here to please some checkers, use datadir.
 +datarootdir=@datarootdir@
 +datadir=@datadir@
 +includedir=@includedir@
 +doxygen=@doxygen@
 +libtool=@libtool@
 +staticexe=@staticexe@
 +EXEEXT=@EXEEXT@
 +configfile=@ub_conf_file@
 +CHECKLOCK_SRC=testcode/checklocks.c
 +CHECKLOCK_OBJ=@CHECKLOCK_OBJ@
 +DNSTAP_SRC=@DNSTAP_SRC@
 +DNSTAP_OBJ=@DNSTAP_OBJ@
 +WITH_PYTHONMODULE=@WITH_PYTHONMODULE@
 +WITH_PYUNBOUND=@WITH_PYUNBOUND@
++PY_MAJOR_VERSION=@PY_MAJOR_VERSION@
 +PYTHON_SITE_PKG=@PYTHON_SITE_PKG@
 +PYTHONMOD_INSTALL=@PYTHONMOD_INSTALL@
 +PYTHONMOD_UNINSTALL=@PYTHONMOD_UNINSTALL@
 +PYUNBOUND_INSTALL=@PYUNBOUND_INSTALL@
 +PYUNBOUND_UNINSTALL=@PYUNBOUND_UNINSTALL@
 +UNBOUND_EVENT_INSTALL=@UNBOUND_EVENT_INSTALL@
 +UNBOUND_EVENT_UNINSTALL=@UNBOUND_EVENT_UNINSTALL@
 +UNBOUND_VERSION_MAJOR=@UNBOUND_VERSION_MAJOR@
 +UNBOUND_VERSION_MINOR=@UNBOUND_VERSION_MINOR@
 +UNBOUND_VERSION_MICRO=@UNBOUND_VERSION_MICRO@
 +ALLTARGET=@ALLTARGET@
 +INSTALLTARGET=@INSTALLTARGET@
 +
 +# _unbound.la if pyunbound enabled.
 +PYUNBOUND_TARGET=@PYUNBOUND_TARGET@
 +
 +# override $U variable which is used by autotools for deansification (for
 +# K&R C compilers), but causes problems if $U is defined in the env).
 +U=
 +
 +PROTOC_C=@PROTOC_C@
 +SWIG=@SWIG@
 +YACC=@YACC@
 +LEX=@LEX@
 +STRIP=@STRIP@
 +CC=@CC@
 +CPPFLAGS=-I. @CPPFLAGS@
 +CFLAGS=@CFLAGS@
 +LDFLAGS=@LDFLAGS@
 +LIBS=@LIBS@
 +LIBOBJS=@LIBOBJS@
 +# filter out ctime_r from compat obj.
 +LIBOBJ_WITHOUT_CTIME=@LIBOBJ_WITHOUT_CTIME@
 +LIBOBJ_WITHOUT_CTIMEARC4=@LIBOBJ_WITHOUT_CTIMEARC4@
 +RUNTIME_PATH=@RUNTIME_PATH@
 +DEPFLAG=@DEPFLAG@
 +DATE=@CONFIG_DATE@
 +LIBTOOL=$(libtool)
 +BUILD=build/
 +UBSYMS=@UBSYMS@
 +EXTRALINK=@EXTRALINK@
 +
 +WINDRES=@WINDRES@
 +LINT=splint
 +LINTFLAGS=+quiet -weak -warnposix -unrecog -Din_addr_t=uint32_t -Du_int=unsigned -Du_char=uint8_t -preproc -Drlimit=rlimit64 -D__gnuc_va_list=va_list -formatcode
 +#-Dglob64=glob -Dglobfree64=globfree
 +# compat with openssl linux edition.
 +LINTFLAGS+="-DBN_ULONG=unsigned long" -Dkrb5_int32=int "-Dkrb5_ui_4=unsigned int" -DPQ_64BIT=uint64_t -DRC4_INT=unsigned -fixedformalarray -D"ENGINE=unsigned" -D"RSA=unsigned" -D"DSA=unsigned" -D"EVP_PKEY=unsigned" -D"EVP_MD=unsigned" -D"SSL=unsigned" -D"SSL_CTX=unsigned" -D"X509=unsigned" -D"RC4_KEY=unsigned" -D"EVP_MD_CTX=unsigned" -D"ECDSA_SIG=DSA_SIG" -Dfstrm_res=int
 +# compat with NetBSD
 +LINTFLAGS+=@NETBSD_LINTFLAGS@
 +# compat with OpenBSD
 +LINTFLAGS+="-Dsigset_t=long"
 +# FreeBSD
 +LINTFLAGS+="-D__uint16_t=uint16_t" "-DEVP_PKEY_ASN1_METHOD=int" "-D_RuneLocale=int" "-D__va_list=va_list"
 +
 +INSTALL=$(SHELL) $(srcdir)/install-sh
 +
 +#pythonmod.c is not here, it is mentioned by itself in its own rules,
 +#makedepend fails on missing interface.h otherwise.
 +PYTHONMOD_SRC=pythonmod/pythonmod_utils.c
 +# pythonmod.lo pythonmod_utils.lo if python mod enabled.
 +PYTHONMOD_OBJ=@PYTHONMOD_OBJ@
 +PYTHONMOD_HEADER=@PYTHONMOD_HEADER@
 +# libunbound/python/libunbound_wrap.c is dealt with by its own rules.
 +PYUNBOUND_SRC=
 +# libunbound_wrap.lo if python libunbound wrapper enabled.
 +PYUNBOUND_OBJ=@PYUNBOUND_OBJ@
 +COMMON_SRC=services/cache/dns.c services/cache/infra.c services/cache/rrset.c \
 +util/data/dname.c util/data/msgencode.c util/data/msgparse.c \
 +util/data/msgreply.c util/data/packed_rrset.c iterator/iterator.c \
 +iterator/iter_delegpt.c iterator/iter_donotq.c iterator/iter_fwd.c \
 +iterator/iter_hints.c iterator/iter_priv.c iterator/iter_resptype.c \
 +iterator/iter_scrub.c iterator/iter_utils.c services/listen_dnsport.c \
 +services/localzone.c services/mesh.c services/modstack.c \
 +services/outbound_list.c services/outside_network.c util/alloc.c \
 +util/config_file.c util/configlexer.c util/configparser.c \
 +util/fptr_wlist.c util/locks.c util/log.c util/mini_event.c util/module.c \
 +util/netevent.c util/net_help.c util/random.c util/rbtree.c util/regional.c \
 +util/rtt.c util/storage/dnstree.c util/storage/lookup3.c \
 +util/storage/lruhash.c util/storage/slabhash.c util/timehist.c util/tube.c \
 +util/winsock_event.c validator/autotrust.c validator/val_anchor.c \
 +validator/validator.c validator/val_kcache.c validator/val_kentry.c \
 +validator/val_neg.c validator/val_nsec3.c validator/val_nsec.c \
 +validator/val_secalgo.c validator/val_sigcrypt.c \
 +validator/val_utils.c dns64/dns64.c $(CHECKLOCK_SRC) $(DNSTAP_SRC)
 +COMMON_OBJ_WITHOUT_NETCALL=dns.lo infra.lo rrset.lo dname.lo msgencode.lo \
 +msgparse.lo msgreply.lo packed_rrset.lo iterator.lo iter_delegpt.lo \
 +iter_donotq.lo iter_fwd.lo iter_hints.lo iter_priv.lo iter_resptype.lo \
 +iter_scrub.lo iter_utils.lo localzone.lo mesh.lo modstack.lo \
 +outbound_list.lo alloc.lo config_file.lo configlexer.lo configparser.lo \
 +fptr_wlist.lo locks.lo log.lo mini_event.lo module.lo net_help.lo \
 +random.lo rbtree.lo regional.lo rtt.lo dnstree.lo lookup3.lo lruhash.lo \
 +slabhash.lo timehist.lo tube.lo winsock_event.lo autotrust.lo val_anchor.lo \
 +validator.lo val_kcache.lo val_kentry.lo val_neg.lo val_nsec3.lo val_nsec.lo \
 +val_secalgo.lo val_sigcrypt.lo val_utils.lo dns64.lo \
 +$(PYTHONMOD_OBJ) $(CHECKLOCK_OBJ) $(DNSTAP_OBJ)
 +COMMON_OBJ=$(COMMON_OBJ_WITHOUT_NETCALL) netevent.lo listen_dnsport.lo \
 +outside_network.lo
 +# set to $COMMON_OBJ or to "" if --enableallsymbols
 +COMMON_OBJ_ALL_SYMBOLS=@COMMON_OBJ_ALL_SYMBOLS@
 +COMPAT_SRC=compat/ctime_r.c compat/fake-rfc2553.c compat/gmtime_r.c \
 +compat/inet_aton.c compat/inet_ntop.c compat/inet_pton.c compat/malloc.c \
 +compat/memcmp.c compat/memmove.c compat/snprintf.c compat/strlcat.c \
 +compat/strlcpy.c compat/strptime.c compat/getentropy_linux.c \
 +compat/getentropy_osx.c compat/getentropy_solaris.c compat/getentropy_win.c \
 +compat/explicit_bzero.c compat/arc4random.c compat/arc4random_uniform.c \
- SLDNS_SRC=ldns/keyraw.c ldns/sbuffer.c ldns/wire2str.c ldns/parse.c \
- ldns/parseutil.c ldns/rrdef.c ldns/str2wire.c
++compat/arc4_lock.c compat/sha512.c compat/reallocarray.c
 +COMPAT_OBJ=$(LIBOBJS:.o=.lo)
 +COMPAT_OBJ_WITHOUT_CTIME=$(LIBOBJ_WITHOUT_CTIME:.o=.lo)
 +COMPAT_OBJ_WITHOUT_CTIMEARC4=$(LIBOBJ_WITHOUT_CTIMEARC4:.o=.lo)
-       $(SWIG) -python -o $@ $(CPPFLAGS) $(srcdir)/libunbound/python/libunbound.i
++SLDNS_SRC=sldns/keyraw.c sldns/sbuffer.c sldns/wire2str.c sldns/parse.c \
++sldns/parseutil.c sldns/rrdef.c sldns/str2wire.c
 +SLDNS_OBJ=keyraw.lo sbuffer.lo wire2str.lo parse.lo parseutil.lo rrdef.lo \
 +str2wire.lo
 +UNITTEST_SRC=testcode/unitanchor.c testcode/unitdname.c \
 +testcode/unitlruhash.c testcode/unitmain.c testcode/unitmsgparse.c \
 +testcode/unitneg.c testcode/unitregional.c testcode/unitslabhash.c \
 +testcode/unitverify.c testcode/readhex.c testcode/testpkts.c testcode/unitldns.c
 +UNITTEST_OBJ=unitanchor.lo unitdname.lo unitlruhash.lo unitmain.lo \
 +unitmsgparse.lo unitneg.lo unitregional.lo unitslabhash.lo unitverify.lo \
 +readhex.lo testpkts.lo unitldns.lo
 +UNITTEST_OBJ_LINK=$(UNITTEST_OBJ) worker_cb.lo $(COMMON_OBJ) $(SLDNS_OBJ) \
 +$(COMPAT_OBJ)
 +DAEMON_SRC=daemon/acl_list.c daemon/cachedump.c daemon/daemon.c \
 +daemon/remote.c daemon/stats.c daemon/unbound.c daemon/worker.c @WIN_DAEMON_SRC@
 +DAEMON_OBJ=acl_list.lo cachedump.lo daemon.lo remote.lo stats.lo unbound.lo \
 +worker.lo @WIN_DAEMON_OBJ@
 +DAEMON_OBJ_LINK=$(DAEMON_OBJ) $(COMMON_OBJ_ALL_SYMBOLS) $(SLDNS_OBJ) \
 +$(COMPAT_OBJ) @WIN_DAEMON_OBJ_LINK@
 +CHECKCONF_SRC=smallapp/unbound-checkconf.c smallapp/worker_cb.c
 +CHECKCONF_OBJ=unbound-checkconf.lo worker_cb.lo
 +CHECKCONF_OBJ_LINK=$(CHECKCONF_OBJ) $(COMMON_OBJ_ALL_SYMBOLS) $(SLDNS_OBJ) \
 +$(COMPAT_OBJ) @WIN_CHECKCONF_OBJ_LINK@
 +CONTROL_SRC=smallapp/unbound-control.c
 +CONTROL_OBJ=unbound-control.lo 
 +CONTROL_OBJ_LINK=$(CONTROL_OBJ) worker_cb.lo $(COMMON_OBJ_ALL_SYMBOLS) \
 +$(SLDNS_OBJ) $(COMPAT_OBJ) @WIN_CONTROL_OBJ_LINK@
 +HOST_SRC=smallapp/unbound-host.c
 +HOST_OBJ=unbound-host.lo
 +HOST_OBJ_LINK=$(HOST_OBJ) $(SLDNS_OBJ) $(COMPAT_OBJ_WITHOUT_CTIMEARC4) @WIN_HOST_OBJ_LINK@
 +UBANCHOR_SRC=smallapp/unbound-anchor.c
 +UBANCHOR_OBJ=unbound-anchor.lo
 +UBANCHOR_OBJ_LINK=$(UBANCHOR_OBJ) \
 +$(COMPAT_OBJ_WITHOUT_CTIME) @WIN_UBANCHOR_OBJ_LINK@
 +TESTBOUND_SRC=testcode/testbound.c testcode/testpkts.c \
 +daemon/worker.c daemon/acl_list.c daemon/daemon.c daemon/stats.c \
 +testcode/replay.c testcode/fake_event.c
 +TESTBOUND_OBJ=testbound.lo replay.lo fake_event.lo
 +TESTBOUND_OBJ_LINK=$(TESTBOUND_OBJ) testpkts.lo worker.lo acl_list.lo \
 +daemon.lo stats.lo $(COMMON_OBJ_WITHOUT_NETCALL) $(SLDNS_OBJ) $(COMPAT_OBJ)
 +LOCKVERIFY_SRC=testcode/lock_verify.c
 +LOCKVERIFY_OBJ=lock_verify.lo
 +LOCKVERIFY_OBJ_LINK=$(LOCKVERIFY_OBJ) worker_cb.lo $(COMMON_OBJ) $(COMPAT_OBJ) \
 +$(SLDNS_OBJ)
 +PETAL_SRC=testcode/petal.c
 +PETAL_OBJ=petal.lo
 +PETAL_OBJ_LINK=$(PETAL_OBJ) $(COMPAT_OBJ_WITHOUT_CTIMEARC4)
 +PKTVIEW_SRC=testcode/pktview.c testcode/readhex.c
 +PKTVIEW_OBJ=pktview.lo
 +PKTVIEW_OBJ_LINK=$(PKTVIEW_OBJ) worker_cb.lo readhex.lo $(COMMON_OBJ) \
 +$(COMPAT_OBJ) $(SLDNS_OBJ)
 +MEMSTATS_SRC=testcode/memstats.c
 +MEMSTATS_OBJ=memstats.lo
 +MEMSTATS_OBJ_LINK=$(MEMSTATS_OBJ) worker_cb.lo $(COMMON_OBJ) $(COMPAT_OBJ) \
 +$(SLDNS_OBJ)
 +ASYNCLOOK_SRC=testcode/asynclook.c
 +ASYNCLOOK_OBJ=asynclook.lo
 +ASYNCLOOK_OBJ_LINK=$(ASYNCLOOK_OBJ) log.lo locks.lo $(COMPAT_OBJ)
 +STREAMTCP_SRC=testcode/streamtcp.c
 +STREAMTCP_OBJ=streamtcp.lo
 +STREAMTCP_OBJ_LINK=$(STREAMTCP_OBJ) worker_cb.lo $(COMMON_OBJ) $(COMPAT_OBJ) \
 +$(SLDNS_OBJ)
 +PERF_SRC=testcode/perf.c
 +PERF_OBJ=perf.lo
 +PERF_OBJ_LINK=$(PERF_OBJ) worker_cb.lo $(COMMON_OBJ) $(COMPAT_OBJ) $(SLDNS_OBJ)
 +DELAYER_SRC=testcode/delayer.c
 +DELAYER_OBJ=delayer.lo
 +DELAYER_OBJ_LINK=$(DELAYER_OBJ) worker_cb.lo $(COMMON_OBJ) $(COMPAT_OBJ) \
 +$(SLDNS_OBJ)
 +LIBUNBOUND_SRC=libunbound/context.c libunbound/libunbound.c \
 +libunbound/libworker.c
 +LIBUNBOUND_OBJ=context.lo libunbound.lo libworker.lo
 +LIBUNBOUND_OBJ_LINK=$(LIBUNBOUND_OBJ) $(COMMON_OBJ) $(SLDNS_OBJ) $(COMPAT_OBJ)
 +
 +# win apps or "" if not on windows
 +WINAPPS=@WINAPPS@
 +WIN_DAEMON_THE_SRC=winrc/win_svc.c winrc/w_inst.c
 +SVCINST_SRC=winrc/unbound-service-install.c
 +SVCINST_OBJ=unbound-service-install.lo
 +SVCINST_OBJ_LINK=$(SVCINST_OBJ) w_inst.lo rsrc_svcinst.o $(COMPAT_OBJ_WITHOUT_CTIME)
 +SVCUNINST_SRC=winrc/unbound-service-remove.c
 +SVCUNINST_OBJ=unbound-service-remove.lo
 +SVCUNINST_OBJ_LINK=$(SVCUNINST_OBJ) w_inst.lo rsrc_svcuninst.o \
 +$(COMPAT_OBJ_WITHOUT_CTIME)
 +ANCHORUPD_SRC=winrc/anchor-update.c
 +ANCHORUPD_OBJ=anchor-update.lo
 +ANCHORUPD_OBJ_LINK=$(ANCHORUPD_OBJ) rsrc_anchorupd.o $(COMPAT_OBJ_WITHOUT_CTIME)
 +RSRC_OBJ=rsrc_svcinst.o rsrc_svcuninst.o rsrc_anchorupd.o rsrc_unbound.o \
 +      rsrc_unbound_host.o rsrc_unbound_anchor.o rsrc_unbound_control.o \
 +      rsrc_unbound_checkconf.o
 +
 +ALL_SRC=$(COMMON_SRC) $(UNITTEST_SRC) $(DAEMON_SRC) \
 +      $(TESTBOUND_SRC) $(LOCKVERIFY_SRC) $(PKTVIEW_SRC) \
 +      $(MEMSTATS_SRC) $(CHECKCONF_SRC) $(LIBUNBOUND_SRC) $(HOST_SRC) \
 +      $(ASYNCLOOK_SRC) $(STREAMTCP_SRC) $(PERF_SRC) $(DELAYER_SRC) \
 +      $(CONTROL_SRC) $(UBANCHOR_SRC) $(PETAL_SRC) \
 +      $(PYTHONMOD_SRC) $(PYUNBOUND_SRC) $(WIN_DAEMON_THE_SRC)\
 +      $(SVCINST_SRC) $(SVCUNINST_SRC) $(ANCHORUPD_SRC) $(SLDNS_SRC)
 +ALL_OBJ=$(COMMON_OBJ) $(UNITTEST_OBJ) $(DAEMON_OBJ) \
 +      $(TESTBOUND_OBJ) $(LOCKVERIFY_OBJ) $(PKTVIEW_OBJ) \
 +      $(MEMSTATS_OBJ) $(CHECKCONF_OBJ) $(LIBUNBOUND_OBJ) $(HOST_OBJ) \
 +      $(ASYNCLOOK_OBJ) $(STREAMTCP_OBJ) $(PERF_OBJ) $(DELAYER_OBJ) \
 +      $(CONTROL_OBJ) $(UBANCHOR_OBJ) $(PETAL_OBJ) \
 +      $(COMPAT_OBJ) $(PYUNBOUND_OBJ) \
 +      $(SVCINST_OBJ) $(SVCUNINST_OBJ) $(ANCHORUPD_OBJ) $(SLDNS_OBJ)
 +
 +COMPILE=$(LIBTOOL) --tag=CC --mode=compile $(CC) $(CPPFLAGS) $(CFLAGS)
 +LINK=$(LIBTOOL) --tag=CC --mode=link $(CC) $(staticexe) $(RUNTIME_PATH) $(CPPFLAGS) $(CFLAGS) $(LDFLAGS)
 +LINK_LIB=$(LIBTOOL) --tag=CC --mode=link $(CC) $(RUNTIME_PATH) $(CPPFLAGS) $(CFLAGS) $(LDFLAGS) $(staticexe) -version-info @LIBUNBOUND_CURRENT@:@LIBUNBOUND_REVISION@:@LIBUNBOUND_AGE@ -no-undefined
 +
 +.PHONY:       clean realclean doc lint all install uninstall tests test strip lib longtest longcheck check alltargets
 +
 +all:  $(COMMON_OBJ) $(ALLTARGET)
 +
 +alltargets:   unbound$(EXEEXT) unbound-checkconf$(EXEEXT) lib unbound-host$(EXEEXT) unbound-control$(EXEEXT) unbound-anchor$(EXEEXT) unbound-control-setup $(WINAPPS) $(PYUNBOUND_TARGET)
 +
 +# compat with BSD make, register suffix, and an implicit rule to actualise it.
 +.SUFFIXES: .lo
 +.c.lo:
 +      $(COMPILE) -o $@ -c $<
 +
 +$(ALL_OBJ):
 +      @@SOURCEDETERMINE@
 +      $(COMPILE) -o $@ -c @SOURCEFILE@
 +
 +$(RSRC_OBJ):
 +      @@SOURCEDETERMINE@
 +      $(WINDRES) $(CPPFLAGS) @SOURCEFILE@ $@
 +
 +rsrc_svcinst.o:       $(srcdir)/winrc/rsrc_svcinst.rc config.h
 +rsrc_svcuninst.o:     $(srcdir)/winrc/rsrc_svcuninst.rc config.h
 +rsrc_anchorupd.o:     $(srcdir)/winrc/rsrc_anchorupd.rc config.h
 +rsrc_unbound.o:       $(srcdir)/winrc/rsrc_unbound.rc config.h
 +rsrc_unbound_host.o:  $(srcdir)/winrc/rsrc_unbound_host.rc config.h
 +rsrc_unbound_anchor.o:        $(srcdir)/winrc/rsrc_unbound_anchor.rc config.h
 +rsrc_unbound_control.o:       $(srcdir)/winrc/rsrc_unbound_control.rc config.h
 +rsrc_unbound_checkconf.o:     $(srcdir)/winrc/rsrc_unbound_checkconf.rc config.h
 +
 +TEST_BIN=asynclook$(EXEEXT) delayer$(EXEEXT) \
 +      lock-verify$(EXEEXT) memstats$(EXEEXT) perf$(EXEEXT) \
 +      petal$(EXEEXT) pktview$(EXEEXT) streamtcp$(EXEEXT) \
 +      testbound$(EXEEXT) unittest$(EXEEXT)
 +tests:        all $(TEST_BIN)
 +
 +check: test
 +longcheck: longtest
 +
 +test: unittest$(EXEEXT) testbound$(EXEEXT)
 +      ./unittest$(EXEEXT)
 +      ./testbound$(EXEEXT) -s
 +      for x in testdata/*.rpl; do echo -n "$$x "; if ./testbound$(EXEEXT) -p $$x >/dev/null 2>&1; then echo OK; else echo failed; exit 1; fi done
 +      @echo test OK
 +
 +longtest:     tests
 +      if test -x "`which bash`"; then bash testcode/do-tests.sh; else sh testcode/do-tests.sh; fi
 +
 +lib:  libunbound.la unbound.h
 +
 +libunbound.la:        $(LIBUNBOUND_OBJ_LINK)
 +      $(LINK_LIB) $(UBSYMS) -o $@ $(LIBUNBOUND_OBJ_LINK) -rpath $(libdir) -lssl $(LIBS)
 +
 +unbound$(EXEEXT):     $(DAEMON_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(DAEMON_OBJ_LINK) $(EXTRALINK) -lssl $(LIBS)
 +
 +unbound-checkconf$(EXEEXT):   $(CHECKCONF_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(CHECKCONF_OBJ_LINK) $(EXTRALINK) -lssl $(LIBS)
 +
 +unbound-control$(EXEEXT):     $(CONTROL_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(CONTROL_OBJ_LINK) $(EXTRALINK) -lssl $(LIBS)
 +
 +unbound-host$(EXEEXT):        $(HOST_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(HOST_OBJ_LINK) -L. -L.libs -lunbound $(LIBS)
 +
 +unbound-anchor$(EXEEXT):      $(UBANCHOR_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(UBANCHOR_OBJ_LINK) -L. -L.libs -lunbound -lexpat -lssl $(LIBS)
 +
 +unbound-service-install$(EXEEXT):     $(SVCINST_OBJ_LINK)
 +      $(LINK) -o $@ $(SVCINST_OBJ_LINK) $(LIBS)
 +
 +unbound-service-remove$(EXEEXT):      $(SVCUNINST_OBJ_LINK)
 +      $(LINK) -o $@ $(SVCUNINST_OBJ_LINK) $(LIBS)
 +
 +anchor-update$(EXEEXT):  $(ANCHORUPD_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(ANCHORUPD_OBJ_LINK) -L. -L.libs -lunbound $(LIBS)
 +
 +unittest$(EXEEXT):    $(UNITTEST_OBJ_LINK)
 +      $(LINK) -o $@ $(UNITTEST_OBJ_LINK) -lssl $(LIBS)
 +
 +testbound$(EXEEXT):   $(TESTBOUND_OBJ_LINK)
 +      $(LINK) -o $@ $(TESTBOUND_OBJ_LINK) -lssl $(LIBS)
 +
 +lock-verify$(EXEEXT): $(LOCKVERIFY_OBJ_LINK)
 +      $(LINK) -o $@ $(LOCKVERIFY_OBJ_LINK) -lssl $(LIBS)
 +
 +petal$(EXEEXT):       $(PETAL_OBJ_LINK)
 +      $(LINK) -o $@ $(PETAL_OBJ_LINK) -lssl $(LIBS)
 +
 +pktview$(EXEEXT):     $(PKTVIEW_OBJ_LINK)
 +      $(LINK) -o $@ $(PKTVIEW_OBJ_LINK) -lssl $(LIBS)
 +
 +memstats$(EXEEXT):    $(MEMSTATS_OBJ_LINK)
 +      $(LINK) -o $@ $(MEMSTATS_OBJ_LINK) -lssl $(LIBS)
 +
 +asynclook$(EXEEXT):   $(ASYNCLOOK_OBJ_LINK) libunbound.la
 +      $(LINK) -o $@ $(ASYNCLOOK_OBJ_LINK) $(LIBS) -L. -L.libs -lunbound
 +
 +streamtcp$(EXEEXT):   $(STREAMTCP_OBJ_LINK)
 +      $(LINK) -o $@ $(STREAMTCP_OBJ_LINK) -lssl $(LIBS)
 +
 +perf$(EXEEXT):        $(PERF_OBJ_LINK)
 +      $(LINK) -o $@ $(PERF_OBJ_LINK) -lssl $(LIBS)
 +
 +delayer$(EXEEXT):     $(DELAYER_OBJ_LINK)
 +      $(LINK) -o $@ $(DELAYER_OBJ_LINK) -lssl $(LIBS)
 +
 +signit$(EXEEXT):      testcode/signit.c
 +      $(CC) $(CPPFLAGS) $(CFLAGS) -o $@ testcode/signit.c $(LDFLAGS) -lldns -lssl $(LIBS)
 +
 +unbound.h:    $(srcdir)/libunbound/unbound.h
 +      sed -e 's/@''UNBOUND_VERSION_MAJOR@/$(UNBOUND_VERSION_MAJOR)/' -e 's/@''UNBOUND_VERSION_MINOR@/$(UNBOUND_VERSION_MINOR)/' -e 's/@''UNBOUND_VERSION_MICRO@/$(UNBOUND_VERSION_MICRO)/' < $(srcdir)/libunbound/unbound.h > $@
 +
 +unbound-control-setup:        smallapp/unbound-control-setup.sh
 +      cp smallapp/unbound-control-setup.sh $@
 +      -chmod +x $@
 +
 +# dnstap
 +dnstap.lo dnstap.o: $(srcdir)/dnstap/dnstap.c config.h dnstap/dnstap_config.h \
 +      dnstap/dnstap.pb-c.c dnstap/dnstap.pb-c.h $(srcdir)/dnstap/dnstap.h \
 +      $(srcdir)/util/config_file.h $(srcdir)/util/log.h \
 +      $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h
 +
 +dnstap/dnstap.pb-c.c dnstap/dnstap.pb-c.h: $(srcdir)/dnstap/dnstap.proto
 +      @-if test ! -d dnstap; then $(INSTALL) -d dnstap; fi
 +      $(PROTOC_C) --c_out=. $(srcdir)/dnstap/dnstap.proto
 +
 +dnstap.pb-c.lo dnstap.pb-c.o: dnstap/dnstap.pb-c.c dnstap/dnstap.pb-c.h
 +
 +# Python Module
 +pythonmod.lo pythonmod.o: $(srcdir)/pythonmod/pythonmod.c config.h \
 +      pythonmod/interface.h \
 +      $(srcdir)/pythonmod/pythonmod.h $(srcdir)/util/module.h \
 +      $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 +      $(srcdir)/util/log.h $(srcdir)/util/data/msgreply.h \
 +      $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
 +      $(srcdir)/services/outbound_list.h $(srcdir)/util/config_file.h \
 +      $(srcdir)/pythonmod/pythonmod_utils.h $(srcdir)/util/netevent.h \
 +      $(srcdir)/util/regional.h $(srcdir)/util/data/dname.h \
 +      $(srcdir)/services/cache/dns.h $(srcdir)/services/mesh.h \
 +      $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h
 +
 +pythonmod/interface.h:        $(srcdir)/pythonmod/interface.i config.h
 +      @-if test ! -d pythonmod; then $(INSTALL) -d pythonmod; fi
 +      $(SWIG) $(CPPFLAGS) -o $@ -python $(srcdir)/pythonmod/interface.i
 +
 +libunbound_wrap.lo libunbound_wrap.o: libunbound/python/libunbound_wrap.c \
 +      unbound.h
 +libunbound/python/libunbound_wrap.c:  $(srcdir)/libunbound/python/libunbound.i unbound.h
 +      @-if test ! -d libunbound/python; then $(INSTALL) -d libunbound/python; fi
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/regional.h $(srcdir)/util/config_file.h $(srcdir)/ldns/sbuffer.h
- infra.lo infra.o: $(srcdir)/services/cache/infra.c config.h $(srcdir)/ldns/rrdef.h \
++      $(SWIG) -python -o $@ $(CPPFLAGS) -DPY_MAJOR_VERSION=$(PY_MAJOR_VERSION) $(srcdir)/libunbound/python/libunbound.i
 +
 +# Pyunbound python unbound wrapper
 +_unbound.la:  libunbound_wrap.lo libunbound.la
 +      $(LIBTOOL) --tag=CC --mode=link $(CC) $(RUNTIME_PATH) $(CPPFLAGS) $(CFLAGS) $(LDFLAGS) -module -avoid-version -no-undefined -shared -o $@ libunbound_wrap.lo -rpath $(PYTHON_SITE_PKG) L. -L.libs -lunbound
 +
 +util/config_file.c:   util/configparser.h
 +util/configlexer.c:  $(srcdir)/util/configlexer.lex util/configparser.h
 +      @-if test ! -d util; then $(INSTALL) -d util; fi
 +      if test "$(LEX)" != ":"; then \
 +              echo "#include \"config.h\"" > $@ ;\
 +              echo "#include \"util/configyyrename.h\"" >> $@ ;\
 +              $(LEX) -t $(srcdir)/util/configlexer.lex >> $@ ;\
 +      fi
 +
 +util/configparser.c util/configparser.h:  $(srcdir)/util/configparser.y
 +      @-if test ! -d util; then $(INSTALL) -d util; fi
 +      $(YACC) -d -o util/configparser.c $(srcdir)/util/configparser.y
 +
 +clean:
 +      rm -f *.o *.d *.lo *~ tags
 +      rm -f unbound$(EXEEXT) unbound-checkconf$(EXEEXT) unbound-host$(EXEEXT) unbound-control$(EXEEXT) unbound-anchor$(EXEEXT) unbound-control-setup libunbound.la unbound.h
 +      rm -f $(ALL_SRC:.c=.lint)
 +      rm -f _unbound.la libunbound/python/libunbound_wrap.c libunbound/python/unbound.py pythonmod/interface.h pythonmod/unboundmodule.py
 +      rm -rf autom4te.cache .libs build doc/html doc/xml
 +
 +realclean: clean
 +      rm -f config.status config.log config.h.in config.h
 +      rm -f configure config.sub config.guess ltmain.sh aclocal.m4 libtool
 +      rm -f util/configlexer.c util/configparser.c util/configparser.h
 +      rm -f doc/example.conf doc/libunbound.3 doc/unbound-anchor.8 doc/unbound-checkconf.8 doc/unbound-control.8 doc/unbound.8 doc/unbound.conf.5
 +      rm -f $(TEST_BIN)
 +      rm -f Makefile 
 +
 +.SUFFIXES: .lint
 +.c.lint:
 +      $(LINT) $(LINTFLAGS) -I. -I$(srcdir) $<
 +      touch $@
 +
 +util/configparser.lint util/configlexer.lint pythonmod/pythonmod.lint libunbound/python/libunbound_wrap.lint dnstap/dnstap.pb-c.lint:
 +      # skip lint for generated code
 +      touch $@
 +
 +winrc/win_svc.lint winrc/w_inst.lint winrc/unbound-service-install.lint winrc/unbound-service-remove.lint:
 +      # skip lint for windows types
 +      touch $@
 +
 +lint: $(ALL_SRC:.c=.lint)
 +
 +tags: $(srcdir)/*.[ch] $(srcdir)/*/*.[ch]
 +      ctags  -f $(srcdir)/tags $(srcdir)/*.[ch] $(srcdir)/*/*.[ch]
 +
 +doc:
 +      if test -n "$(doxygen)"; then \
 +              $(doxygen) $(srcdir)/doc/unbound.doxygen; fi
 +      if test "$(WITH_PYUNBOUND)" = "yes" -o "$(WITH_PYTHONMODULE)" = "yes"; \
 +          then if test -x "`which sphinx-build 2>&1`"; then \
 +              sphinx-build -b html pythonmod/doc doc/html/pythonmod; \
 +              sphinx-build -b html libunbound/python/doc doc/html/pyunbound;\
 +          fi ;\
 +      fi
 +
 +strip:
 +      $(STRIP) unbound$(EXEEXT)
 +      $(STRIP) unbound-checkconf$(EXEEXT)
 +      $(STRIP) unbound-control$(EXEEXT)
 +      $(STRIP) unbound-host$(EXEEXT) || $(STRIP) .libs/unbound-host$(EXEEXT)
 +      $(STRIP) unbound-anchor$(EXEEXT) || $(STRIP) .libs/unbound-anchor$(EXEEXT)
 +
 +pythonmod-install:
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(PYTHON_SITE_PKG)
 +      $(INSTALL) -c -m 644 pythonmod/unboundmodule.py $(DESTDIR)$(PYTHON_SITE_PKG)/unboundmodule.py
 +
 +pyunbound-install:
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(PYTHON_SITE_PKG)
 +      $(INSTALL) -c -m 644 $(srcdir)/libunbound/python/unbound.py $(DESTDIR)$(PYTHON_SITE_PKG)/unbound.py
 +      $(LIBTOOL) --mode=install cp _unbound.la $(DESTDIR)$(PYTHON_SITE_PKG)
 +      $(LIBTOOL) --mode=finish $(DESTDIR)$(PYTHON_SITE_PKG)
 +
 +unbound-event-install:
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(includedir)
 +      $(LIBTOOL) --mode=install cp $(srcdir)/libunbound/unbound-event.h $(DESTDIR)$(includedir)/unbound-event.h
 +
 +install:      $(INSTALLTARGET)
 +
 +install-lib:  lib $(UNBOUND_EVENT_INSTALL)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(libdir)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(includedir)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)/man3
 +      $(INSTALL) -c -m 644 doc/libunbound.3 $(DESTDIR)$(mandir)/man3
 +      for mpage in ub_ctx ub_result ub_ctx_create ub_ctx_delete \
 +              ub_ctx_set_option ub_ctx_get_option ub_ctx_config ub_ctx_set_fwd \
 +              ub_ctx_resolvconf ub_ctx_hosts ub_ctx_add_ta ub_ctx_add_ta_file \
 +              ub_ctx_trustedkeys ub_ctx_debugout ub_ctx_debuglevel ub_ctx_async \
 +              ub_poll ub_wait ub_fd ub_process ub_resolve ub_resolve_async ub_cancel \
 +              ub_resolve_free ub_strerror ub_ctx_print_local_zones ub_ctx_zone_add \
 +              ub_ctx_zone_remove ub_ctx_data_add ub_ctx_data_remove; \
 +      do \
 +              echo ".so man3/libunbound.3" > $(DESTDIR)$(mandir)/man3/$$mpage.3 ; \
 +      done
 +      $(LIBTOOL) --mode=install cp unbound.h $(DESTDIR)$(includedir)/unbound.h
 +      $(LIBTOOL) --mode=install cp libunbound.la $(DESTDIR)$(libdir)
 +      $(LIBTOOL) --mode=finish $(DESTDIR)$(libdir)
 +
 +install-all:  all $(PYTHONMOD_INSTALL) $(PYUNBOUND_INSTALL) $(UNBOUND_EVENT_INSTALL) install-lib
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(sbindir)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)/man8
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)/man5
 +      $(INSTALL) -m 755 -d $(DESTDIR)$(mandir)/man1
 +      $(LIBTOOL) --mode=install cp unbound$(EXEEXT) $(DESTDIR)$(sbindir)/unbound$(EXEEXT)
 +      $(LIBTOOL) --mode=install cp unbound-checkconf$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-checkconf$(EXEEXT)
 +      $(LIBTOOL) --mode=install cp unbound-control$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-control$(EXEEXT)
 +      $(LIBTOOL) --mode=install cp unbound-host$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-host$(EXEEXT)
 +      $(LIBTOOL) --mode=install cp unbound-anchor$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-anchor$(EXEEXT)
 +      $(INSTALL) -c -m 644 doc/unbound.8 $(DESTDIR)$(mandir)/man8
 +      $(INSTALL) -c -m 644 doc/unbound-checkconf.8 $(DESTDIR)$(mandir)/man8
 +      $(INSTALL) -c -m 644 doc/unbound-control.8 $(DESTDIR)$(mandir)/man8
 +      $(INSTALL) -c -m 644 doc/unbound-control.8 $(DESTDIR)$(mandir)/man8/unbound-control-setup.8
 +      $(INSTALL) -c -m 644 doc/unbound-anchor.8 $(DESTDIR)$(mandir)/man8
 +      $(INSTALL) -c -m 644 doc/unbound.conf.5 $(DESTDIR)$(mandir)/man5
 +      $(INSTALL) -c -m 644 doc/unbound-host.1 $(DESTDIR)$(mandir)/man1
 +      $(INSTALL) -c -m 755 unbound-control-setup $(DESTDIR)$(sbindir)/unbound-control-setup
 +      if test ! -e $(DESTDIR)$(configfile); then $(INSTALL) -d `dirname $(DESTDIR)$(configfile)`; $(INSTALL) -c -m 644 doc/example.conf $(DESTDIR)$(configfile); fi
 +
 +pythonmod-uninstall:
 +      rm -f -- $(DESTDIR)$(PYTHON_SITE_PKG)/unboundmodule.py
 +
 +pyunbound-uninstall:
 +      rm -f -- $(DESTDIR)$(PYTHON_SITE_PKG)/unbound.py
 +      $(LIBTOOL) --mode=uninstall rm -f $(DESTDIR)$(PYTHON_SITE_PKG)/_unbound.la
 +
 +unbound-event-uninstall:
 +      rm -f -- $(DESTDIR)$(includedir)/unbound-event.h
 +
 +uninstall:    $(PYTHONMOD_UNINSTALL) $(PYUNBOUND_UNINSTALL) $(UNBOUND_EVENT_UNINSTALL)
 +      rm -f -- $(DESTDIR)$(sbindir)/unbound$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-checkconf$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-host$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-control$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-anchor$(EXEEXT) $(DESTDIR)$(sbindir)/unbound-control-setup
 +      rm -f -- $(DESTDIR)$(mandir)/man8/unbound.8 $(DESTDIR)$(mandir)/man8/unbound-checkconf.8 $(DESTDIR)$(mandir)/man5/unbound.conf.5 $(DESTDIR)$(mandir)/man8/unbound-control.8 $(DESTDIR)$(mandir)/man8/unbound-anchor.8 $(DESTDIR)$(mandir)/man8/unbound-control-setup.8
 +      rm -f -- $(DESTDIR)$(mandir)/man1/unbound-host.1 $(DESTDIR)$(mandir)/man3/libunbound.3
 +      for mpage in ub_ctx ub_result ub_ctx_create ub_ctx_delete \
 +              ub_ctx_set_option ub_ctx_get_option ub_ctx_config ub_ctx_set_fwd \
 +              ub_ctx_resolvconf ub_ctx_hosts ub_ctx_add_ta ub_ctx_add_ta_file \
 +              ub_ctx_trustedkeys ub_ctx_debugout ub_ctx_debuglevel ub_ctx_async \
 +              ub_poll ub_wait ub_fd ub_process ub_resolve ub_resolve_async ub_cancel \
 +              ub_resolve_free ub_strerror ub_ctx_print_local_zones ub_ctx_zone_add \
 +              ub_ctx_zone_remove ub_ctx_data_add ub_ctx_data_remove; \
 +      do \
 +              rm -f -- $(DESTDIR)$(mandir)/man3/$$mpage.3 ; \
 +      done
 +      rm -f -- $(DESTDIR)$(includedir)/unbound.h
 +      $(LIBTOOL) --mode=uninstall rm -f $(DESTDIR)$(libdir)/libunbound.la
 +      @echo
 +      @echo "You still need to remove "`dirname $(DESTDIR)$(configfile)`" , $(DESTDIR)$(configfile) by hand"
 +
 +iana_update:
 +      curl -o port-numbers.tmp http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xml --compressed
 +      if file port-numbers.tmp | grep 'gzip' >/dev/null; then zcat port-numbers.tmp; else cat port-numbers.tmp; fi | awk '/<record>/ {p=0;} /<protocol>udp/ {p=1;} /<protocol>[^u]/ {p=0;} /Decomissioned|Decommissioned|Removed|De-registered|unassigned|Unassigned|Reserved/ {u=1;} /<number>/ { if(u==1) {u=0;} else { if(p==1) { match($$0,/[0-9]+/); print substr($$0, RSTART, RLENGTH) ","}}}' | sort -nu > util/iana_ports.inc  
 +      rm -f port-numbers.tmp
 +
 +# dependency generation
 +DEPEND_TMP=depend1073.tmp
 +DEPEND_TMP2=depend1074.tmp
 +DEPEND_TARGET=Makefile
 +DEPEND_TARGET2=Makefile.in
 +# actions: generate deplines from gcc,
 +# then, filter out home/xx, /usr/xx and /opt/xx lines (some cc already do this)
 +# then, remove empty " \" lines
 +# then, add srcdir before .c and .h in deps.
 +# then, remove srcdir from the (generated) parser and lexer.
 +# and mention the .lo
 +depend:
 +      (cd $(srcdir) ; $(CC) $(DEPFLAG) $(CPPFLAGS) $(CFLAGS) $(ALL_SRC) $(COMPAT_SRC)) | \
 +              sed -e 's!'$$HOME'[^ ]* !!g' -e 's!'$$HOME'[^ ]*$$!!g' \
 +                      -e 's!/usr[^ ]* !!g' -e 's!/usr[^ ]*$$!!g' \
 +                      -e 's!/opt[^ ]* !!g' -e 's!/opt[^ ]*$$!!g' | \
 +              sed -e '/^ \\$$/d' | \
 +              sed -e 's? *\([^ ]*\.[ch]\)? $$(srcdir)/\1?g' | \
 +              sed -e 's? *\([^ ]*\.inc\)? $$(srcdir)/\1?g' | \
 +              sed -e 's?$$(srcdir)/config.h?config.h?g' \
 +                      -e 's?$$(srcdir)/util/configlexer.c?util/configlexer.c?g' \
 +                      -e 's?$$(srcdir)/util/configparser.c?util/configparser.c?g' \
 +                      -e 's?$$(srcdir)/util/configparser.h?util/configparser.h?g' \
 +                      -e 's?$$(srcdir)/dnstap/dnstap_config.h??g' \
 +                      -e 's?$$(srcdir)/pythonmod/pythonmod.h?$$(PYTHONMOD_HEADER)?g' \
 +                      -e 's!\(.*\)\.o[ :]*!\1.lo \1.o: !g' \
 +                      > $(DEPEND_TMP)
 +      cp $(DEPEND_TARGET) $(DEPEND_TMP2)
 +      head -`egrep -n "# Dependencies" $(DEPEND_TARGET) | tail -1 | sed -e 's/:.*$$//'` $(DEPEND_TMP2) > $(DEPEND_TARGET)
 +      cat $(DEPEND_TMP) >> $(DEPEND_TARGET)
 +      @if diff $(DEPEND_TARGET) $(DEPEND_TMP2); then echo "   $(DEPEND_TARGET) unchanged"; else echo "        Updated $(DEPEND_TARGET))"; fi
 +      @if test -f $(DEPEND_TARGET2); then \
 +              cp $(DEPEND_TARGET2) $(DEPEND_TMP2); \
 +              head -`egrep -n "# Dependencies" $(DEPEND_TARGET2) | tail -1 | sed -e 's/:.*$$//'` $(DEPEND_TMP2) > $(DEPEND_TARGET2); \
 +              cat $(DEPEND_TMP) >> $(DEPEND_TARGET2); \
 +              if diff $(DEPEND_TARGET2) $(DEPEND_TMP2); then echo "   $(DEPEND_TARGET2) unchanged"; else echo "       Updated $(DEPEND_TARGET2))"; fi; \
 +      fi
 +      rm -f $(DEPEND_TMP) $(DEPEND_TMP2)
 +
 +# Dependencies
 +dns.lo dns.o: $(srcdir)/services/cache/dns.c config.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/util/log.h \
 + $(srcdir)/validator/val_nsec.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/services/cache/dns.h $(srcdir)/util/data/msgreply.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/data/dname.h \
-  $(srcdir)/util/rtt.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/storage/lookup3.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/iterator/iterator.h \
-  $(srcdir)/services/outbound_list.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
++ $(srcdir)/util/net_help.h $(srcdir)/util/regional.h $(srcdir)/util/config_file.h $(srcdir)/sldns/sbuffer.h
++infra.lo infra.o: $(srcdir)/services/cache/infra.c config.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/str2wire.h \
 + $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/config_file.h \
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/util/rtt.h $(srcdir)/util/storage/slabhash.h \
++ $(srcdir)/util/storage/lookup3.h $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/config_file.h $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h \
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/module.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h
 +rrset.lo rrset.o: $(srcdir)/services/cache/rrset.c config.h $(srcdir)/services/cache/rrset.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/storage/lookup3.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/config_file.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/regional.h $(srcdir)/util/alloc.h
 +dname.lo dname.o: $(srcdir)/util/data/dname.c config.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/regional.h $(srcdir)/util/net_help.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/storage/lookup3.h $(srcdir)/sldns/sbuffer.h
 +msgencode.lo msgencode.o: $(srcdir)/util/data/msgencode.c config.h $(srcdir)/util/data/msgencode.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/util/data/dname.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/storage/lookup3.h $(srcdir)/util/regional.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/parseutil.h \
-  $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/data/dname.h $(srcdir)/util/regional.h $(srcdir)/util/net_help.h \
++ $(srcdir)/sldns/sbuffer.h
 +msgparse.lo msgparse.o: $(srcdir)/util/data/msgparse.c config.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/regional.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/util/data/msgencode.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/data/dname.h $(srcdir)/util/data/packed_rrset.h \
++ $(srcdir)/util/storage/lookup3.h $(srcdir)/util/regional.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/parseutil.h \
++ $(srcdir)/sldns/wire2str.h
 +msgreply.lo msgreply.o: $(srcdir)/util/data/msgreply.c config.h $(srcdir)/util/data/msgreply.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/packed_rrset.h \
 + $(srcdir)/util/storage/lookup3.h $(srcdir)/util/alloc.h $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h \
-  $(srcdir)/util/net_help.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/data/dname.h $(srcdir)/util/regional.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/data/msgencode.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/wire2str.h
 +packed_rrset.lo packed_rrset.o: $(srcdir)/util/data/packed_rrset.c config.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lookup3.h $(srcdir)/util/alloc.h $(srcdir)/util/regional.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/iterator/iter_utils.h \
++ $(srcdir)/util/net_help.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/wire2str.h
 +iterator.lo iterator.o: $(srcdir)/iterator/iterator.c config.h $(srcdir)/iterator/iterator.h \
 + $(srcdir)/services/outbound_list.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/module.h \
-  $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h $(srcdir)/util/config_file.h $(srcdir)/ldns/wire2str.h \
-  $(srcdir)/ldns/parseutil.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/iterator/iter_utils.h \
 + $(srcdir)/iterator/iter_resptype.h $(srcdir)/iterator/iter_hints.h $(srcdir)/util/storage/dnstree.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_donotq.h \
 + $(srcdir)/iterator/iter_delegpt.h $(srcdir)/iterator/iter_scrub.h $(srcdir)/iterator/iter_priv.h \
 + $(srcdir)/validator/val_neg.h $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/infra.h \
 + $(srcdir)/util/rtt.h $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/data/msgencode.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/tube.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h $(srcdir)/util/config_file.h $(srcdir)/util/random.h \
++ $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/parseutil.h $(srcdir)/sldns/sbuffer.h
 +iter_delegpt.lo iter_delegpt.o: $(srcdir)/iterator/iter_delegpt.c config.h $(srcdir)/iterator/iter_delegpt.h \
 + $(srcdir)/util/log.h $(srcdir)/services/cache/dns.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/regional.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/str2wire.h
++ $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/sbuffer.h
 +iter_donotq.lo iter_donotq.o: $(srcdir)/iterator/iter_donotq.c config.h $(srcdir)/iterator/iter_donotq.h \
 + $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/util/regional.h $(srcdir)/util/log.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h
 +iter_fwd.lo iter_fwd.o: $(srcdir)/iterator/iter_fwd.c config.h $(srcdir)/iterator/iter_fwd.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/util/log.h $(srcdir)/util/config_file.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/str2wire.h \
-  $(srcdir)/ldns/wire2str.h
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/str2wire.h
 +iter_hints.lo iter_hints.o: $(srcdir)/iterator/iter_hints.c config.h $(srcdir)/iterator/iter_hints.h \
 + $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/util/log.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/net_help.h \
-  $(srcdir)/util/storage/dnstree.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/str2wire.h \
++ $(srcdir)/sldns/wire2str.h
 +iter_priv.lo iter_priv.o: $(srcdir)/iterator/iter_priv.c config.h $(srcdir)/iterator/iter_priv.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/util/regional.h $(srcdir)/util/log.h $(srcdir)/util/config_file.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/pkthdr.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/sbuffer.h
 +iter_resptype.lo iter_resptype.o: $(srcdir)/iterator/iter_resptype.c config.h \
 + $(srcdir)/iterator/iter_resptype.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/util/log.h \
 + $(srcdir)/services/cache/dns.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/net_help.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/util/data/dname.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/pkthdr.h
 +iter_scrub.lo iter_scrub.o: $(srcdir)/iterator/iter_scrub.c config.h $(srcdir)/iterator/iter_scrub.h \
 + $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h $(srcdir)/util/data/msgreply.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/data/dname.h $(srcdir)/util/alloc.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
 + $(srcdir)/iterator/iter_priv.h $(srcdir)/util/rbtree.h $(srcdir)/services/cache/rrset.h \
 + $(srcdir)/util/storage/slabhash.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/iterator/iter_hints.h $(srcdir)/util/storage/dnstree.h \
-  $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_donotq.h \
-  $(srcdir)/iterator/iter_delegpt.h $(srcdir)/iterator/iter_priv.h $(srcdir)/services/cache/infra.h \
-  $(srcdir)/util/rtt.h $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/rrset.h \
-  $(srcdir)/util/storage/slabhash.h $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h \
-  $(srcdir)/util/regional.h $(srcdir)/util/data/dname.h $(srcdir)/util/random.h $(srcdir)/util/fptr_wlist.h \
-  $(srcdir)/util/netevent.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h \
-  $(srcdir)/validator/val_anchor.h $(srcdir)/validator/val_kcache.h $(srcdir)/validator/val_kentry.h \
-  $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_sigcrypt.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/config_file.h $(srcdir)/util/data/dname.h $(srcdir)/util/alloc.h $(srcdir)/sldns/sbuffer.h
 +iter_utils.lo iter_utils.o: $(srcdir)/iterator/iter_utils.c config.h $(srcdir)/iterator/iter_utils.h \
 + $(srcdir)/iterator/iter_resptype.h $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/net_help.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/iterator/iter_hints.h \
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_fwd.h \
++ $(srcdir)/iterator/iter_donotq.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/iterator/iter_priv.h \
++ $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/services/cache/dns.h \
++ $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/config_file.h $(srcdir)/util/regional.h $(srcdir)/util/data/dname.h $(srcdir)/util/random.h \
++ $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h \
++ $(srcdir)/services/modstack.h $(srcdir)/validator/val_anchor.h $(srcdir)/validator/val_kcache.h \
++ $(srcdir)/validator/val_kentry.h $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_sigcrypt.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/str2wire.h
 +listen_dnsport.lo listen_dnsport.o: $(srcdir)/services/listen_dnsport.c config.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/util/netevent.h $(srcdir)/services/outside_network.h \
 + $(srcdir)/util/rbtree.h  $(srcdir)/util/log.h $(srcdir)/util/config_file.h \
-  $(srcdir)/util/rbtree.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/util/regional.h $(srcdir)/util/config_file.h $(srcdir)/util/data/dname.h \
++ $(srcdir)/util/net_help.h $(srcdir)/sldns/sbuffer.h
 +localzone.lo localzone.o: $(srcdir)/services/localzone.c config.h $(srcdir)/services/localzone.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h
++ $(srcdir)/util/rbtree.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/rrdef.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/util/regional.h $(srcdir)/util/config_file.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgencode.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/log.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/modstack.h $(srcdir)/services/outbound_list.h \
-  $(srcdir)/services/cache/dns.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
-  $(srcdir)/util/data/msgencode.h $(srcdir)/util/timehist.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/tube.h \
-  $(srcdir)/util/alloc.h $(srcdir)/util/config_file.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h
 +mesh.lo mesh.o: $(srcdir)/services/mesh.c config.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/data/msgparse.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/tube.h \
-  $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/dns64/dns64.h $(srcdir)/iterator/iterator.h \
-  $(srcdir)/services/outbound_list.h $(srcdir)/validator/validator.h $(srcdir)/validator/val_utils.h
++ $(srcdir)/util/log.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/module.h \
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/modstack.h \
++ $(srcdir)/services/outbound_list.h $(srcdir)/services/cache/dns.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/regional.h $(srcdir)/util/data/msgencode.h $(srcdir)/util/timehist.h $(srcdir)/util/fptr_wlist.h \
++ $(srcdir)/util/tube.h $(srcdir)/util/alloc.h $(srcdir)/util/config_file.h $(srcdir)/sldns/sbuffer.h
 +modstack.lo modstack.o: $(srcdir)/services/modstack.c config.h $(srcdir)/services/modstack.h \
 + $(srcdir)/util/module.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/rtt.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/dname.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/random.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h \
-  $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/dnstap/dnstap.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h \
++ $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/dns64/dns64.h \
++ $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h $(srcdir)/validator/validator.h \
++ $(srcdir)/validator/val_utils.h
 +outbound_list.lo outbound_list.o: $(srcdir)/services/outbound_list.c config.h \
 + $(srcdir)/services/outbound_list.h $(srcdir)/services/outside_network.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/netevent.h 
 +outside_network.lo outside_network.o: $(srcdir)/services/outside_network.c config.h \
 + $(srcdir)/services/outside_network.h $(srcdir)/util/rbtree.h $(srcdir)/util/netevent.h \
 +  $(srcdir)/services/listen_dnsport.h $(srcdir)/services/cache/infra.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rtt.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgencode.h \
++ $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/util/random.h $(srcdir)/util/fptr_wlist.h \
++ $(srcdir)/util/module.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/dnstap/dnstap.h \
 + 
 +alloc.lo alloc.o: $(srcdir)/util/alloc.c config.h $(srcdir)/util/alloc.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/regional.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h
 +config_file.lo config_file.o: $(srcdir)/util/config_file.c config.h $(srcdir)/util/log.h \
 + $(srcdir)/util/configyyrename.h $(srcdir)/util/config_file.h util/configparser.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/data/msgparse.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
-  $(srcdir)/services/modstack.h $(srcdir)/util/data/dname.h $(srcdir)/util/rtt.h $(srcdir)/ldns/wire2str.h \
-  $(srcdir)/ldns/parseutil.h $(srcdir)/util/iana_ports.inc
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/regional.h $(srcdir)/util/fptr_wlist.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/services/modstack.h $(srcdir)/util/data/dname.h $(srcdir)/util/rtt.h $(srcdir)/services/cache/infra.h \
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/parseutil.h \
++ $(srcdir)/util/iana_ports.inc
 +configlexer.lo configlexer.o: util/configlexer.c config.h $(srcdir)/util/configyyrename.h \
 + $(srcdir)/util/config_file.h util/configparser.h
 +configparser.lo configparser.o: util/configparser.c config.h $(srcdir)/util/configyyrename.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h $(srcdir)/util/log.h
 +fptr_wlist.lo fptr_wlist.o: $(srcdir)/util/fptr_wlist.c config.h $(srcdir)/util/fptr_wlist.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/services/localzone.h $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h \
-  $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/dns64/dns64.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h $(srcdir)/util/mini_event.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/services/outside_network.h  \
-  $(srcdir)/validator/val_neg.h $(srcdir)/validator/autotrust.h $(srcdir)/util/storage/dnstree.h \
-  $(srcdir)/libunbound/libworker.h $(srcdir)/libunbound/context.h $(srcdir)/util/alloc.h \
-  $(srcdir)/libunbound/unbound.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/util/config_file.h
++ $(srcdir)/services/localzone.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rtt.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/dns64/dns64.h \
 + $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h $(srcdir)/iterator/iter_fwd.h \
 + $(srcdir)/validator/validator.h $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_anchor.h \
 + $(srcdir)/validator/val_nsec3.h $(srcdir)/validator/val_sigcrypt.h $(srcdir)/validator/val_kentry.h \
- log.lo log.o: $(srcdir)/util/log.c config.h $(srcdir)/util/log.h $(srcdir)/util/locks.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/validator/val_neg.h $(srcdir)/validator/autotrust.h $(srcdir)/libunbound/libworker.h \
++ $(srcdir)/libunbound/context.h $(srcdir)/util/alloc.h $(srcdir)/libunbound/unbound.h \
++ $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h $(srcdir)/util/config_file.h
 +locks.lo locks.o: $(srcdir)/util/locks.c config.h $(srcdir)/util/locks.h $(srcdir)/util/log.h
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++log.lo log.o: $(srcdir)/util/log.c config.h $(srcdir)/util/log.h $(srcdir)/util/locks.h $(srcdir)/sldns/sbuffer.h
 +mini_event.lo mini_event.o: $(srcdir)/util/mini_event.c config.h $(srcdir)/util/mini_event.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/log.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h
 +module.lo module.o: $(srcdir)/util/module.c config.h $(srcdir)/util/module.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
-  $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h
 +netevent.lo netevent.o: $(srcdir)/util/netevent.c config.h $(srcdir)/util/netevent.h $(srcdir)/util/log.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/regional.h $(srcdir)/ldns/parseutil.h \
-  $(srcdir)/ldns/wire2str.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/dnstap/dnstap.h  \
 + $(srcdir)/util/mini_event.h $(srcdir)/util/rbtree.h
 +net_help.lo net_help.o: $(srcdir)/util/net_help.c config.h $(srcdir)/util/net_help.h $(srcdir)/util/log.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/module.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/regional.h $(srcdir)/sldns/parseutil.h \
++ $(srcdir)/sldns/wire2str.h \
 + 
 +random.lo random.o: $(srcdir)/util/random.c config.h $(srcdir)/util/random.h $(srcdir)/util/log.h
 +rbtree.lo rbtree.o: $(srcdir)/util/rbtree.c config.h $(srcdir)/util/log.h $(srcdir)/util/fptr_wlist.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h
 +regional.lo regional.o: $(srcdir)/util/regional.c config.h $(srcdir)/util/log.h $(srcdir)/util/regional.h
 +rtt.lo rtt.o: $(srcdir)/util/rtt.c config.h $(srcdir)/util/rtt.h
 +dnstree.lo dnstree.o: $(srcdir)/util/storage/dnstree.c config.h $(srcdir)/util/storage/dnstree.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/log.h $(srcdir)/util/net_help.h
 +lookup3.lo lookup3.o: $(srcdir)/util/storage/lookup3.c config.h $(srcdir)/util/storage/lookup3.h
 +lruhash.lo lruhash.o: $(srcdir)/util/storage/lruhash.c config.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/module.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/services/mesh.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/services/modstack.h
 +slabhash.lo slabhash.o: $(srcdir)/util/storage/slabhash.c config.h $(srcdir)/util/storage/slabhash.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h
 +timehist.lo timehist.o: $(srcdir)/util/timehist.c config.h $(srcdir)/util/timehist.h $(srcdir)/util/log.h
 +tube.lo tube.o: $(srcdir)/util/tube.c config.h $(srcdir)/util/tube.h $(srcdir)/util/log.h $(srcdir)/util/net_help.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/services/mesh.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h
 +winsock_event.lo winsock_event.o: $(srcdir)/util/winsock_event.c config.h
 +autotrust.lo autotrust.o: $(srcdir)/validator/autotrust.c config.h $(srcdir)/validator/autotrust.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/validator/val_anchor.h $(srcdir)/validator/val_utils.h \
 + $(srcdir)/validator/val_sigcrypt.h $(srcdir)/util/data/dname.h $(srcdir)/util/module.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/wire2str.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/keyraw.h \
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/util/regional.h $(srcdir)/util/random.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/netevent.h $(srcdir)/services/modstack.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/validator/val_kcache.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/str2wire.h
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/keyraw.h \
 + 
 +val_anchor.lo val_anchor.o: $(srcdir)/validator/val_anchor.c config.h $(srcdir)/validator/val_anchor.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/validator/val_sigcrypt.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/validator/autotrust.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_anchor.h \
-  $(srcdir)/util/rbtree.h $(srcdir)/validator/val_kcache.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/validator/val_kentry.h $(srcdir)/validator/val_nsec.h $(srcdir)/validator/val_nsec3.h \
-  $(srcdir)/validator/val_neg.h $(srcdir)/validator/val_sigcrypt.h $(srcdir)/validator/autotrust.h \
-  $(srcdir)/services/cache/dns.h $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/tube.h \
-  $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/data/dname.h $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/str2wire.h
 +validator.lo validator.o: $(srcdir)/validator/validator.c config.h $(srcdir)/validator/validator.h \
 + $(srcdir)/util/module.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/validator/val_utils.h \
++ $(srcdir)/validator/val_anchor.h $(srcdir)/util/rbtree.h $(srcdir)/validator/val_kcache.h \
++ $(srcdir)/util/storage/slabhash.h $(srcdir)/validator/val_kentry.h $(srcdir)/validator/val_nsec.h \
++ $(srcdir)/validator/val_nsec3.h $(srcdir)/validator/val_neg.h $(srcdir)/validator/val_sigcrypt.h \
++ $(srcdir)/validator/autotrust.h $(srcdir)/services/cache/dns.h $(srcdir)/util/data/dname.h \
++ $(srcdir)/util/net_help.h $(srcdir)/util/regional.h $(srcdir)/util/config_file.h $(srcdir)/util/fptr_wlist.h \
++ $(srcdir)/util/netevent.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h \
++ $(srcdir)/sldns/wire2str.h
 +val_kcache.lo val_kcache.o: $(srcdir)/validator/val_kcache.c config.h $(srcdir)/validator/val_kcache.h \
 + $(srcdir)/util/storage/slabhash.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/validator/val_kentry.h $(srcdir)/util/config_file.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/keyraw.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h
 +val_kentry.lo val_kentry.o: $(srcdir)/validator/val_kentry.c config.h $(srcdir)/validator/val_kentry.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/packed_rrset.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lookup3.h $(srcdir)/util/regional.h $(srcdir)/util/net_help.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/keyraw.h \
 + 
 +val_neg.lo val_neg.o: $(srcdir)/validator/val_neg.c config.h \
 + $(srcdir)/validator/val_neg.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/validator/val_nsec.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/validator/val_nsec3.h $(srcdir)/validator/val_utils.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/dns.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_kentry.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/sbuffer.h
 +val_nsec3.lo val_nsec3.o: $(srcdir)/validator/val_nsec3.c config.h \
 + $(srcdir)/validator/val_nsec3.h $(srcdir)/util/rbtree.h $(srcdir)/util/data/packed_rrset.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/validator/validator.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h $(srcdir)/validator/val_nsec.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_kentry.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/regional.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h
++ $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h $(srcdir)/validator/val_nsec.h $(srcdir)/sldns/sbuffer.h
 +val_nsec.lo val_nsec.o: $(srcdir)/validator/val_nsec.c config.h $(srcdir)/validator/val_nsec.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/validator/val_utils.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/dname.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/keyraw.h \
-  $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/net_help.h $(srcdir)/util/module.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h
 +val_secalgo.lo val_secalgo.o: $(srcdir)/validator/val_secalgo.c config.h $(srcdir)/util/data/packed_rrset.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/validator/val_secalgo.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/validator/val_utils.h $(srcdir)/util/data/dname.h $(srcdir)/util/rbtree.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/regional.h $(srcdir)/ldns/keyraw.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/parseutil.h $(srcdir)/ldns/wire2str.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/keyraw.h \
++ $(srcdir)/sldns/sbuffer.h \
 + 
 +val_sigcrypt.lo val_sigcrypt.o: $(srcdir)/validator/val_sigcrypt.c config.h \
 + $(srcdir)/validator/val_sigcrypt.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/validator/val_secalgo.h $(srcdir)/validator/validator.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/validator/val_kentry.h \
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/validator/val_utils.h $(srcdir)/util/data/dname.h $(srcdir)/util/rbtree.h \
++ $(srcdir)/util/net_help.h $(srcdir)/util/regional.h $(srcdir)/sldns/keyraw.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/parseutil.h $(srcdir)/sldns/wire2str.h \
 + 
 +val_utils.lo val_utils.o: $(srcdir)/validator/val_utils.c config.h $(srcdir)/validator/val_utils.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/validator/validator.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/tube.h \
-  $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h $(srcdir)/util/net_help.h \
-  $(srcdir)/util/regional.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/validator/val_kentry.h \
 + $(srcdir)/validator/val_sigcrypt.h $(srcdir)/validator/val_anchor.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/validator/val_nsec.h $(srcdir)/validator/val_neg.h $(srcdir)/services/cache/rrset.h \
 + $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/dns.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/regional.h
 +dns64.lo dns64.o: $(srcdir)/dns64/dns64.c config.h $(srcdir)/dns64/dns64.h $(srcdir)/util/module.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/msgreply.h \
- dnstap.lo dnstap.o: $(srcdir)/dnstap/dnstap.c  config.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/rrset.h \
++ $(srcdir)/util/storage/slabhash.h $(srcdir)/util/config_file.h $(srcdir)/util/fptr_wlist.h \
++ $(srcdir)/util/netevent.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h \
++ $(srcdir)/services/modstack.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h
 +checklocks.lo checklocks.o: $(srcdir)/testcode/checklocks.c config.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/testcode/checklocks.h
-  $(srcdir)/validator/val_anchor.h $(srcdir)/util/rbtree.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/rrdef.h
++dnstap.lo dnstap.o: $(srcdir)/dnstap/dnstap.c  config.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/util/netevent.h \
 + $(srcdir)/dnstap/dnstap.h \
 + $(srcdir)/dnstap/dnstap.pb-c.h
 +dnstap.pb-c.lo dnstap.pb-c.o: $(srcdir)/dnstap/dnstap.pb-c.c $(srcdir)/dnstap/dnstap.pb-c.h
 +unitanchor.lo unitanchor.o: $(srcdir)/testcode/unitanchor.c config.h $(srcdir)/util/log.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/testcode/unitmain.h \
-  $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/rrdef.h
++ $(srcdir)/validator/val_anchor.h $(srcdir)/util/rbtree.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/rrdef.h
 +unitdname.lo unitdname.o: $(srcdir)/testcode/unitdname.c config.h $(srcdir)/util/log.h $(srcdir)/testcode/unitmain.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/keyraw.h \
-  $(srcdir)/util/log.h \
-  $(srcdir)/testcode/unitmain.h $(srcdir)/util/alloc.h $(srcdir)/util/locks.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/data/dname.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/rrdef.h
 +unitlruhash.lo unitlruhash.o: $(srcdir)/testcode/unitlruhash.c config.h $(srcdir)/testcode/unitmain.h \
 + $(srcdir)/util/log.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/storage/slabhash.h
 +unitmain.lo unitmain.o: $(srcdir)/testcode/unitmain.c config.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/random.h
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/keyraw.h \
++ $(srcdir)/util/log.h $(srcdir)/testcode/unitmain.h $(srcdir)/util/alloc.h $(srcdir)/util/locks.h $(srcdir)/util/net_help.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/rtt.h $(srcdir)/services/cache/infra.h \
-  $(srcdir)/util/locks.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/data/msgreply.h \
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h \
++ $(srcdir)/util/random.h
 +unitmsgparse.lo unitmsgparse.o: $(srcdir)/testcode/unitmsgparse.c config.h $(srcdir)/util/log.h \
 + $(srcdir)/testcode/unitmain.h $(srcdir)/util/data/msgparse.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/testcode/testpkts.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/locks.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/data/msgreply.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/alloc.h $(srcdir)/util/regional.h $(srcdir)/util/net_help.h $(srcdir)/testcode/readhex.h \
-  $(srcdir)/ldns/rrdef.h
++ $(srcdir)/testcode/testpkts.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/wire2str.h
 +unitneg.lo unitneg.o: $(srcdir)/testcode/unitneg.c config.h $(srcdir)/util/log.h $(srcdir)/util/net_help.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/testcode/unitmain.h $(srcdir)/validator/val_neg.h $(srcdir)/util/rbtree.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/validator/val_utils.h \
++ $(srcdir)/sldns/rrdef.h
 +unitregional.lo unitregional.o: $(srcdir)/testcode/unitregional.c config.h $(srcdir)/testcode/unitmain.h \
 + $(srcdir)/util/log.h $(srcdir)/util/regional.h
 +unitslabhash.lo unitslabhash.o: $(srcdir)/testcode/unitslabhash.c config.h $(srcdir)/testcode/unitmain.h \
 + $(srcdir)/util/log.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h
 +unitverify.lo unitverify.o: $(srcdir)/testcode/unitverify.c config.h $(srcdir)/util/log.h \
 + $(srcdir)/testcode/unitmain.h $(srcdir)/validator/val_sigcrypt.h $(srcdir)/util/data/packed_rrset.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/validator/val_secalgo.h \
 + $(srcdir)/validator/val_nsec.h $(srcdir)/validator/val_nsec3.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/validator/validator.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/keyraw.h \
-  $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/validator/val_utils.h \
 + $(srcdir)/testcode/testpkts.h $(srcdir)/util/data/dname.h $(srcdir)/util/regional.h $(srcdir)/util/alloc.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/parseutil.h
++ $(srcdir)/util/net_help.h $(srcdir)/util/config_file.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/keyraw.h \
++ $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/wire2str.h
 +readhex.lo readhex.o: $(srcdir)/testcode/readhex.c config.h $(srcdir)/testcode/readhex.h $(srcdir)/util/log.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/parseutil.h
 +testpkts.lo testpkts.o: $(srcdir)/testcode/testpkts.c config.h $(srcdir)/testcode/testpkts.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/wire2str.h
 +unitldns.lo unitldns.o: $(srcdir)/testcode/unitldns.c config.h $(srcdir)/util/log.h $(srcdir)/testcode/unitmain.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/wire2str.h
 +acl_list.lo acl_list.o: $(srcdir)/daemon/acl_list.c config.h $(srcdir)/daemon/acl_list.h \
 + $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/util/regional.h $(srcdir)/util/log.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h
 +cachedump.lo cachedump.o: $(srcdir)/daemon/cachedump.c config.h \
 + $(srcdir)/daemon/cachedump.h $(srcdir)/daemon/remote.h $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h \
-  $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h \
-  $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/util/regional.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h $(srcdir)/iterator/iterator.h \
-  $(srcdir)/services/outbound_list.h $(srcdir)/iterator/iter_delegpt.h $(srcdir)/iterator/iter_utils.h \
-  $(srcdir)/iterator/iter_resptype.h $(srcdir)/iterator/iter_fwd.h $(srcdir)/util/rbtree.h \
-  $(srcdir)/iterator/iter_hints.h $(srcdir)/util/storage/dnstree.h $(srcdir)/ldns/wire2str.h \
-  $(srcdir)/ldns/str2wire.h
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
 + $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h \
 +  $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
++ $(srcdir)/services/cache/dns.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rbtree.h $(srcdir)/util/rtt.h $(srcdir)/util/regional.h $(srcdir)/util/net_help.h \
++ $(srcdir)/util/data/dname.h $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h \
++ $(srcdir)/iterator/iter_delegpt.h $(srcdir)/iterator/iter_utils.h $(srcdir)/iterator/iter_resptype.h \
++ $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h $(srcdir)/sldns/wire2str.h \
++ $(srcdir)/sldns/str2wire.h
 +daemon.lo daemon.o: $(srcdir)/daemon/daemon.c config.h \
 + $(srcdir)/daemon/daemon.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/services/modstack.h \
 +  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h \
-  $(srcdir)/util/net_help.h $(srcdir)/ldns/keyraw.h
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
++ $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
 + $(srcdir)/dnstap/dnstap.h $(srcdir)/daemon/remote.h \
 + $(srcdir)/daemon/acl_list.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/storage/lookup3.h $(srcdir)/util/storage/slabhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/services/cache/rrset.h $(srcdir)/services/cache/infra.h \
 + $(srcdir)/util/rtt.h $(srcdir)/services/localzone.h $(srcdir)/util/random.h $(srcdir)/util/tube.h \
-  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/net_help.h $(srcdir)/sldns/keyraw.h
 +remote.lo remote.o: $(srcdir)/daemon/remote.c config.h \
 + $(srcdir)/daemon/remote.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
-  $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
++ $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h \
-  $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/localzone.h $(srcdir)/util/fptr_wlist.h \
-  $(srcdir)/util/tube.h $(srcdir)/util/data/dname.h $(srcdir)/validator/validator.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h \
++ $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
 + $(srcdir)/services/modstack.h $(srcdir)/daemon/cachedump.h $(srcdir)/util/config_file.h \
 + $(srcdir)/util/net_help.h $(srcdir)/services/listen_dnsport.h $(srcdir)/services/cache/rrset.h \
-  $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h $(srcdir)/util/storage/dnstree.h \
-  $(srcdir)/iterator/iter_delegpt.h $(srcdir)/services/outside_network.h $(srcdir)/ldns/str2wire.h \
-  $(srcdir)/ldns/parseutil.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rbtree.h $(srcdir)/util/rtt.h $(srcdir)/services/mesh.h $(srcdir)/services/localzone.h \
++ $(srcdir)/util/fptr_wlist.h $(srcdir)/util/tube.h $(srcdir)/util/data/dname.h $(srcdir)/validator/validator.h \
 + $(srcdir)/validator/val_utils.h $(srcdir)/validator/val_kcache.h $(srcdir)/validator/val_kentry.h \
 + $(srcdir)/validator/val_anchor.h $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h \
-  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h $(srcdir)/iterator/iter_delegpt.h \
++ $(srcdir)/services/outside_network.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/parseutil.h \
++ $(srcdir)/sldns/wire2str.h
 +stats.lo stats.o: $(srcdir)/daemon/stats.c config.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h \
++ $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/tube.h $(srcdir)/util/net_help.h $(srcdir)/validator/validator.h \
-  $(srcdir)/validator/val_utils.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/validator/val_kcache.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h \
 +  $(srcdir)/daemon/daemon.h $(srcdir)/services/modstack.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/outside_network.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h \
-  $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
-  $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/util/net_help.h $(srcdir)/util/mini_event.h \
++ $(srcdir)/services/listen_dnsport.h $(srcdir)/util/config_file.h $(srcdir)/util/tube.h $(srcdir)/util/net_help.h \
++ $(srcdir)/validator/validator.h $(srcdir)/validator/val_utils.h $(srcdir)/services/cache/rrset.h \
++ $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rtt.h $(srcdir)/validator/val_kcache.h
 +unbound.lo unbound.o: $(srcdir)/daemon/unbound.c config.h $(srcdir)/util/log.h $(srcdir)/daemon/daemon.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/alloc.h $(srcdir)/services/modstack.h  \
 + $(srcdir)/daemon/remote.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/util/netevent.h $(srcdir)/services/cache/rrset.h \
-  $(srcdir)/util/random.h $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rbtree.h $(srcdir)/util/rtt.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h \
++ $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
++ $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/util/net_help.h $(srcdir)/util/mini_event.h \
 + $(srcdir)/util/rbtree.h
 +worker.lo worker.o: $(srcdir)/daemon/worker.c config.h $(srcdir)/util/log.h $(srcdir)/util/net_help.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
-  $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
++ $(srcdir)/util/random.h $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/config_file.h $(srcdir)/ldns/keyraw.h $(srcdir)/daemon/unbound.c $(srcdir)/util/log.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h \
++ $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
 + $(srcdir)/services/modstack.h $(srcdir)/daemon/remote.h \
 + $(srcdir)/daemon/acl_list.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/regional.h $(srcdir)/util/storage/slabhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/services/outside_network.h \
 + $(srcdir)/services/outbound_list.h $(srcdir)/services/cache/rrset.h $(srcdir)/services/cache/infra.h \
 + $(srcdir)/util/rtt.h $(srcdir)/services/cache/dns.h $(srcdir)/services/mesh.h $(srcdir)/services/localzone.h \
 + $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/dname.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/tube.h \
 + $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h $(srcdir)/validator/autotrust.h \
 + $(srcdir)/validator/val_anchor.h $(srcdir)/libunbound/context.h $(srcdir)/libunbound/unbound.h \
 + $(srcdir)/libunbound/libworker.h
 +testbound.lo testbound.o: $(srcdir)/testcode/testbound.c config.h $(srcdir)/testcode/testpkts.h \
 + $(srcdir)/testcode/replay.h $(srcdir)/util/netevent.h $(srcdir)/util/rbtree.h $(srcdir)/testcode/fake_event.h \
 + $(srcdir)/daemon/remote.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h \
-  $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/util/config_file.h $(srcdir)/sldns/keyraw.h $(srcdir)/daemon/unbound.c $(srcdir)/util/log.h \
 + $(srcdir)/daemon/daemon.h $(srcdir)/util/locks.h $(srcdir)/util/alloc.h $(srcdir)/services/modstack.h \
 +  $(srcdir)/util/storage/slabhash.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/services/cache/rrset.h \
-  $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rtt.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/net_help.h $(srcdir)/util/mini_event.h $(srcdir)/util/rbtree.h
 +testpkts.lo testpkts.o: $(srcdir)/testcode/testpkts.c config.h $(srcdir)/testcode/testpkts.h \
-  $(srcdir)/util/random.h $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/wire2str.h
 +worker.lo worker.o: $(srcdir)/daemon/worker.c config.h $(srcdir)/util/log.h $(srcdir)/util/net_help.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
-  $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
++ $(srcdir)/util/random.h $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h \
++ $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h  $(srcdir)/daemon/daemon.h \
 + $(srcdir)/services/modstack.h $(srcdir)/daemon/remote.h \
 + $(srcdir)/daemon/acl_list.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/regional.h $(srcdir)/util/storage/slabhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/services/outside_network.h \
 + $(srcdir)/services/outbound_list.h $(srcdir)/services/cache/rrset.h $(srcdir)/services/cache/infra.h \
 + $(srcdir)/util/rtt.h $(srcdir)/services/cache/dns.h $(srcdir)/services/mesh.h $(srcdir)/services/localzone.h \
 + $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/dname.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/tube.h \
 + $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h $(srcdir)/validator/autotrust.h \
 + $(srcdir)/validator/val_anchor.h $(srcdir)/libunbound/context.h $(srcdir)/libunbound/unbound.h \
 + $(srcdir)/libunbound/libworker.h
 +acl_list.lo acl_list.o: $(srcdir)/daemon/acl_list.c config.h $(srcdir)/daemon/acl_list.h \
 + $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h $(srcdir)/util/regional.h $(srcdir)/util/log.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h
 +daemon.lo daemon.o: $(srcdir)/daemon/daemon.c config.h \
 + $(srcdir)/daemon/daemon.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/services/modstack.h \
 +  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h \
-  $(srcdir)/util/net_help.h $(srcdir)/ldns/keyraw.h
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
++ $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
 + $(srcdir)/dnstap/dnstap.h $(srcdir)/daemon/remote.h \
 + $(srcdir)/daemon/acl_list.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/storage/lookup3.h $(srcdir)/util/storage/slabhash.h \
 + $(srcdir)/services/listen_dnsport.h $(srcdir)/services/cache/rrset.h $(srcdir)/services/cache/infra.h \
 + $(srcdir)/util/rtt.h $(srcdir)/services/localzone.h $(srcdir)/util/random.h $(srcdir)/util/tube.h \
-  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h \
++ $(srcdir)/util/net_help.h $(srcdir)/sldns/keyraw.h
 +stats.lo stats.o: $(srcdir)/daemon/stats.c config.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h \
++ $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/alloc.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/tube.h $(srcdir)/util/net_help.h $(srcdir)/validator/validator.h \
-  $(srcdir)/validator/val_utils.h $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h \
-  $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/validator/val_kcache.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/module.h $(srcdir)/dnstap/dnstap.h \
 +  $(srcdir)/daemon/daemon.h $(srcdir)/services/modstack.h \
 + $(srcdir)/services/mesh.h $(srcdir)/util/rbtree.h $(srcdir)/services/outside_network.h \
-  $(srcdir)/util/rbtree.h $(srcdir)/testcode/fake_event.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/rrdef.h
++ $(srcdir)/services/listen_dnsport.h $(srcdir)/util/config_file.h $(srcdir)/util/tube.h $(srcdir)/util/net_help.h \
++ $(srcdir)/validator/validator.h $(srcdir)/validator/val_utils.h $(srcdir)/services/cache/rrset.h \
++ $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h \
++ $(srcdir)/util/rtt.h $(srcdir)/validator/val_kcache.h
 +replay.lo replay.o: $(srcdir)/testcode/replay.c config.h $(srcdir)/util/log.h $(srcdir)/util/net_help.h \
 + $(srcdir)/util/config_file.h $(srcdir)/testcode/replay.h $(srcdir)/util/netevent.h $(srcdir)/testcode/testpkts.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/util/rbtree.h $(srcdir)/testcode/fake_event.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/rrdef.h
 +fake_event.lo fake_event.o: $(srcdir)/testcode/fake_event.c config.h $(srcdir)/testcode/fake_event.h \
 + $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h $(srcdir)/util/log.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/testcode/replay.h $(srcdir)/testcode/testpkts.h \
-  $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h \
-  $(srcdir)/services/modstack.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/wire2str.h $(srcdir)/ldns/str2wire.h
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgencode.h \
 + $(srcdir)/util/data/dname.h $(srcdir)/util/config_file.h $(srcdir)/services/listen_dnsport.h \
 + $(srcdir)/services/outside_network.h $(srcdir)/util/rbtree.h  \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rtt.h \
++ $(srcdir)/testcode/replay.h $(srcdir)/testcode/testpkts.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/module.h \
++ $(srcdir)/util/tube.h $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/str2wire.h
 +lock_verify.lo lock_verify.o: $(srcdir)/testcode/lock_verify.c config.h $(srcdir)/util/log.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/testcode/unitmain.h $(srcdir)/testcode/readhex.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/ldns/parseutil.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h
 +pktview.lo pktview.o: $(srcdir)/testcode/pktview.c config.h $(srcdir)/util/log.h $(srcdir)/util/data/dname.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/parseutil.h
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/testcode/unitmain.h $(srcdir)/testcode/readhex.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/parseutil.h
 +readhex.lo readhex.o: $(srcdir)/testcode/readhex.c config.h $(srcdir)/testcode/readhex.h $(srcdir)/util/log.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/parseutil.h
 +memstats.lo memstats.o: $(srcdir)/testcode/memstats.c config.h $(srcdir)/util/log.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h \
-  $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h \
 + $(srcdir)/services/mesh.h $(srcdir)/services/modstack.h
 +unbound-checkconf.lo unbound-checkconf.o: $(srcdir)/smallapp/unbound-checkconf.c config.h $(srcdir)/util/log.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/module.h $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/net_help.h $(srcdir)/util/regional.h \
 + $(srcdir)/iterator/iterator.h $(srcdir)/services/outbound_list.h $(srcdir)/iterator/iter_fwd.h \
 + $(srcdir)/util/rbtree.h $(srcdir)/iterator/iter_hints.h $(srcdir)/util/storage/dnstree.h \
 + $(srcdir)/validator/validator.h $(srcdir)/validator/val_utils.h $(srcdir)/services/localzone.h \
-  $(srcdir)/libunbound/worker.h $(srcdir)/ldns/sbuffer.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h
++ $(srcdir)/sldns/sbuffer.h
 +worker_cb.lo worker_cb.o: $(srcdir)/smallapp/worker_cb.c config.h $(srcdir)/libunbound/context.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h \
 + $(srcdir)/libunbound/unbound.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h $(srcdir)/services/localzone.h \
++ $(srcdir)/libunbound/worker.h $(srcdir)/sldns/sbuffer.h $(srcdir)/util/fptr_wlist.h $(srcdir)/util/netevent.h \
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/tube.h $(srcdir)/services/mesh.h
 +context.lo context.o: $(srcdir)/libunbound/context.c config.h $(srcdir)/libunbound/context.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h \
 + $(srcdir)/libunbound/unbound.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/rtt.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/config_file.h $(srcdir)/util/net_help.h $(srcdir)/services/localzone.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/services/cache/infra.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/regional.h \
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rtt.h $(srcdir)/sldns/sbuffer.h
 +libunbound.lo libunbound.o: $(srcdir)/libunbound/libunbound.c $(srcdir)/libunbound/unbound.h \
 + $(srcdir)/libunbound/unbound-event.h config.h $(srcdir)/libunbound/context.h $(srcdir)/util/locks.h \
 + $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/util/rbtree.h $(srcdir)/services/modstack.h \
 + $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h $(srcdir)/libunbound/libworker.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/module.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/services/cache/infra.h $(srcdir)/util/rtt.h $(srcdir)/services/cache/rrset.h \
-  $(srcdir)/util/storage/slabhash.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/regional.h \
 + $(srcdir)/util/random.h $(srcdir)/util/net_help.h $(srcdir)/util/tube.h $(srcdir)/services/localzone.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/libunbound/unbound-event.h $(srcdir)/services/outside_network.h \
++ $(srcdir)/services/cache/infra.h $(srcdir)/util/storage/dnstree.h $(srcdir)/util/rtt.h \
++ $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/sldns/sbuffer.h
 +libworker.lo libworker.o: $(srcdir)/libunbound/libworker.c config.h \
 + $(srcdir)/libunbound/libworker.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
 + $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/libunbound/context.h $(srcdir)/util/alloc.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/services/modstack.h $(srcdir)/libunbound/unbound.h $(srcdir)/libunbound/worker.h \
-  $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/module.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/libunbound/unbound-event.h $(srcdir)/services/outside_network.h \
 + $(srcdir)/util/netevent.h  $(srcdir)/services/mesh.h \
-  $(srcdir)/util/storage/dnstree.h $(srcdir)/ldns/str2wire.h
++ $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/module.h \
 + $(srcdir)/util/data/msgreply.h $(srcdir)/services/localzone.h $(srcdir)/services/cache/rrset.h \
 + $(srcdir)/util/storage/slabhash.h $(srcdir)/services/outbound_list.h $(srcdir)/util/fptr_wlist.h \
 + $(srcdir)/util/tube.h $(srcdir)/util/regional.h $(srcdir)/util/random.h $(srcdir)/util/config_file.h \
 + $(srcdir)/util/storage/lookup3.h $(srcdir)/util/net_help.h $(srcdir)/util/data/dname.h \
 + $(srcdir)/util/data/msgencode.h $(srcdir)/iterator/iter_fwd.h $(srcdir)/iterator/iter_hints.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/wire2str.h
++ $(srcdir)/util/storage/dnstree.h $(srcdir)/sldns/str2wire.h
 +unbound-host.lo unbound-host.o: $(srcdir)/smallapp/unbound-host.c config.h $(srcdir)/libunbound/unbound.h \
-  $(srcdir)/ldns/rrdef.h
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/wire2str.h
 +asynclook.lo asynclook.o: $(srcdir)/testcode/asynclook.c config.h $(srcdir)/libunbound/unbound.h \
 + $(srcdir)/libunbound/context.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/util/rbtree.h \
 + $(srcdir)/services/modstack.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/storage/lruhash.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/dname.h $(srcdir)/ldns/sbuffer.h \
-  $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/wire2str.h \
++ $(srcdir)/sldns/rrdef.h
 +streamtcp.lo streamtcp.o: $(srcdir)/testcode/streamtcp.c config.h $(srcdir)/util/locks.h $(srcdir)/util/log.h \
 + $(srcdir)/util/net_help.h $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/msgparse.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/wire2str.h $(srcdir)/ldns/str2wire.h
++ $(srcdir)/util/storage/lruhash.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/rrdef.h $(srcdir)/util/data/msgreply.h \
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/dname.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/wire2str.h \
 + 
 +perf.lo perf.o: $(srcdir)/testcode/perf.c config.h $(srcdir)/util/log.h $(srcdir)/util/locks.h $(srcdir)/util/net_help.h \
 + $(srcdir)/util/data/msgencode.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/config_file.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/str2wire.h
 +delayer.lo delayer.o: $(srcdir)/testcode/delayer.c config.h $(srcdir)/util/net_help.h $(srcdir)/util/log.h \
-  $(srcdir)/util/log.h \
-  $(srcdir)/util/config_file.h $(srcdir)/util/locks.h $(srcdir)/util/net_help.h
++ $(srcdir)/util/config_file.h $(srcdir)/sldns/sbuffer.h
 +unbound-control.lo unbound-control.o: $(srcdir)/smallapp/unbound-control.c config.h \
-  $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/util/log.h $(srcdir)/util/config_file.h $(srcdir)/util/locks.h $(srcdir)/util/net_help.h
 +unbound-anchor.lo unbound-anchor.o: $(srcdir)/smallapp/unbound-anchor.c config.h $(srcdir)/libunbound/unbound.h \
-  $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h $(srcdir)/services/cache/dns.h \
++ $(srcdir)/sldns/rrdef.h \
 + 
 +petal.lo petal.o: $(srcdir)/testcode/petal.c config.h \
 + 
 +pythonmod_utils.lo pythonmod_utils.o: $(srcdir)/pythonmod/pythonmod_utils.c config.h $(srcdir)/util/module.h \
 + $(srcdir)/util/storage/lruhash.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/data/msgreply.h \
-  $(srcdir)/iterator/iter_delegpt.h $(srcdir)/ldns/sbuffer.h
++ $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/util/netevent.h $(srcdir)/util/net_help.h $(srcdir)/services/cache/dns.h \
 + $(srcdir)/services/cache/rrset.h $(srcdir)/util/storage/slabhash.h $(srcdir)/util/regional.h \
-  $(srcdir)/ldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
-  $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/ldns/pkthdr.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
++ $(srcdir)/iterator/iter_delegpt.h $(srcdir)/sldns/sbuffer.h
 +win_svc.lo win_svc.o: $(srcdir)/winrc/win_svc.c config.h $(srcdir)/winrc/win_svc.h $(srcdir)/winrc/w_inst.h \
 + $(srcdir)/daemon/daemon.h $(srcdir)/util/locks.h $(srcdir)/util/log.h $(srcdir)/util/alloc.h $(srcdir)/services/modstack.h \
 +  $(srcdir)/daemon/worker.h $(srcdir)/libunbound/worker.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/wire2str.h
- keyraw.lo keyraw.o: $(srcdir)/ldns/keyraw.c config.h $(srcdir)/ldns/keyraw.h \
-  $(srcdir)/ldns/rrdef.h \
++ $(srcdir)/sldns/sbuffer.h $(srcdir)/util/data/packed_rrset.h $(srcdir)/util/storage/lruhash.h \
++ $(srcdir)/util/netevent.h $(srcdir)/util/data/msgreply.h $(srcdir)/util/data/msgparse.h $(srcdir)/sldns/pkthdr.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/daemon/stats.h $(srcdir)/util/timehist.h $(srcdir)/util/module.h \
 + $(srcdir)/dnstap/dnstap.h $(srcdir)/daemon/remote.h \
 + $(srcdir)/util/config_file.h $(srcdir)/util/winsock_event.h
 +w_inst.lo w_inst.o: $(srcdir)/winrc/w_inst.c config.h $(srcdir)/winrc/w_inst.h $(srcdir)/winrc/win_svc.h
 +unbound-service-install.lo unbound-service-install.o: $(srcdir)/winrc/unbound-service-install.c config.h \
 + $(srcdir)/winrc/w_inst.h
 +unbound-service-remove.lo unbound-service-remove.o: $(srcdir)/winrc/unbound-service-remove.c config.h \
 + $(srcdir)/winrc/w_inst.h
 +anchor-update.lo anchor-update.o: $(srcdir)/winrc/anchor-update.c config.h $(srcdir)/libunbound/unbound.h \
- sbuffer.lo sbuffer.o: $(srcdir)/ldns/sbuffer.c config.h $(srcdir)/ldns/sbuffer.h
- wire2str.lo wire2str.o: $(srcdir)/ldns/wire2str.c config.h $(srcdir)/ldns/wire2str.h $(srcdir)/ldns/str2wire.h \
-  $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/pkthdr.h $(srcdir)/ldns/parseutil.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/keyraw.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/wire2str.h
++keyraw.lo keyraw.o: $(srcdir)/sldns/keyraw.c config.h $(srcdir)/sldns/keyraw.h \
++ $(srcdir)/sldns/rrdef.h \
 + 
- parse.lo parse.o: $(srcdir)/ldns/parse.c config.h $(srcdir)/ldns/parse.h $(srcdir)/ldns/parseutil.h \
-  $(srcdir)/ldns/sbuffer.h
- parseutil.lo parseutil.o: $(srcdir)/ldns/parseutil.c config.h $(srcdir)/ldns/parseutil.h
- rrdef.lo rrdef.o: $(srcdir)/ldns/rrdef.c config.h $(srcdir)/ldns/rrdef.h $(srcdir)/ldns/parseutil.h
- str2wire.lo str2wire.o: $(srcdir)/ldns/str2wire.c config.h $(srcdir)/ldns/str2wire.h $(srcdir)/ldns/rrdef.h \
-  $(srcdir)/ldns/wire2str.h $(srcdir)/ldns/sbuffer.h $(srcdir)/ldns/parse.h $(srcdir)/ldns/parseutil.h
++sbuffer.lo sbuffer.o: $(srcdir)/sldns/sbuffer.c config.h $(srcdir)/sldns/sbuffer.h
++wire2str.lo wire2str.o: $(srcdir)/sldns/wire2str.c config.h $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/str2wire.h \
++ $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/pkthdr.h $(srcdir)/sldns/parseutil.h $(srcdir)/sldns/sbuffer.h \
++ $(srcdir)/sldns/keyraw.h \
 + 
++parse.lo parse.o: $(srcdir)/sldns/parse.c config.h $(srcdir)/sldns/parse.h $(srcdir)/sldns/parseutil.h \
++ $(srcdir)/sldns/sbuffer.h
++parseutil.lo parseutil.o: $(srcdir)/sldns/parseutil.c config.h $(srcdir)/sldns/parseutil.h
++rrdef.lo rrdef.o: $(srcdir)/sldns/rrdef.c config.h $(srcdir)/sldns/rrdef.h $(srcdir)/sldns/parseutil.h
++str2wire.lo str2wire.o: $(srcdir)/sldns/str2wire.c config.h $(srcdir)/sldns/str2wire.h $(srcdir)/sldns/rrdef.h \
++ $(srcdir)/sldns/wire2str.h $(srcdir)/sldns/sbuffer.h $(srcdir)/sldns/parse.h $(srcdir)/sldns/parseutil.h
 +ctime_r.lo ctime_r.o: $(srcdir)/compat/ctime_r.c config.h $(srcdir)/util/locks.h $(srcdir)/util/log.h
 +fake-rfc2553.lo fake-rfc2553.o: $(srcdir)/compat/fake-rfc2553.c $(srcdir)/compat/fake-rfc2553.h config.h
 +gmtime_r.lo gmtime_r.o: $(srcdir)/compat/gmtime_r.c config.h
 +inet_aton.lo inet_aton.o: $(srcdir)/compat/inet_aton.c config.h
 +inet_ntop.lo inet_ntop.o: $(srcdir)/compat/inet_ntop.c config.h
 +inet_pton.lo inet_pton.o: $(srcdir)/compat/inet_pton.c config.h
 +malloc.lo malloc.o: $(srcdir)/compat/malloc.c config.h
 +memcmp.lo memcmp.o: $(srcdir)/compat/memcmp.c config.h
 +memmove.lo memmove.o: $(srcdir)/compat/memmove.c config.h
 +snprintf.lo snprintf.o: $(srcdir)/compat/snprintf.c config.h
 +strlcat.lo strlcat.o: $(srcdir)/compat/strlcat.c config.h
 +strlcpy.lo strlcpy.o: $(srcdir)/compat/strlcpy.c config.h
 +strptime.lo strptime.o: $(srcdir)/compat/strptime.c config.h
 +getentropy_linux.lo getentropy_linux.o: $(srcdir)/compat/getentropy_linux.c config.h \
 + 
 +getentropy_osx.lo getentropy_osx.o: $(srcdir)/compat/getentropy_osx.c config.h
 +getentropy_solaris.lo getentropy_solaris.o: $(srcdir)/compat/getentropy_solaris.c config.h
 +getentropy_win.lo getentropy_win.o: $(srcdir)/compat/getentropy_win.c
 +explicit_bzero.lo explicit_bzero.o: $(srcdir)/compat/explicit_bzero.c config.h
 +arc4random.lo arc4random.o: $(srcdir)/compat/arc4random.c config.h $(srcdir)/compat/chacha_private.h
 +arc4random_uniform.lo arc4random_uniform.o: $(srcdir)/compat/arc4random_uniform.c config.h
 +arc4_lock.lo arc4_lock.o: $(srcdir)/compat/arc4_lock.c config.h $(srcdir)/util/locks.h
 +sha512.lo sha512.o: $(srcdir)/compat/sha512.c config.h
++reallocarray.lo reallocarray.o: $(srcdir)/compat/reallocarray.c config.h
diff --cc contrib/unbound/acx_nlnetlabs.m4
index e1cf83a70bd6d7bb3fac729bfdf69f80fe985cf8,0000000000000000000000000000000000000000..decf0f58600bf5fbb8e39693db23d6dc37a2390b
mode 100644,000000..100644
--- 1/contrib/unbound/acx_nlnetlabs.m4
--- /dev/null
+++ b/contrib/unbound/acx_nlnetlabs.m4
@@@ -1,1378 -1,0 +1,1389 @@@
- # Version 26
 +# acx_nlnetlabs.m4 - common macros for configure checks
 +# Copyright 2009, Wouter Wijngaards, NLnet Labs.   
 +# BSD licensed.
 +#
++# Version 27
++# 2015-03-17 AHX_CONFIG_REALLOCARRAY added
 +# 2013-09-19 FLTO help text improved.
 +# 2013-07-18 Enable ACX_CHECK_COMPILER_FLAG to test for -Wstrict-prototypes
 +# 2013-06-25 FLTO has --disable-flto option.
 +# 2013-05-03 Update W32_SLEEP for newer mingw that links but not defines it.
 +# 2013-03-22 Fix ACX_RSRC_VERSION for long version numbers.
 +# 2012-02-09 Fix AHX_MEMCMP_BROKEN with undef in compat/memcmp.h.
 +# 2012-01-20 Fix COMPILER_FLAGS_UNBOUND for gcc 4.6.2 assigned-not-used-warns.
 +# 2011-12-05 Fix getaddrinfowithincludes on windows with fedora16 mingw32-gcc.
 +#          Fix ACX_MALLOC for redefined malloc error.
 +#          Fix GETADDRINFO_WITH_INCLUDES to add -lws2_32
 +# 2011-11-10 Fix FLTO test to not drop a.out in current directory.
 +# 2011-11-01 Fix FLTO test for llvm on Lion.
 +# 2011-08-01 Fix nonblock test (broken at v13).
 +# 2011-08-01 Fix autoconf 2.68 warnings
 +# 2011-06-23 Add ACX_CHECK_FLTO to check -flto.
 +# 2010-08-16 Fix FLAG_OMITTED for AS_TR_CPP changes in autoconf-2.66.
 +# 2010-07-02 Add check for ss_family (for minix).
 +# 2010-04-26 Fix to use CPPFLAGS for CHECK_COMPILER_FLAGS.
 +# 2010-03-01 Fix RPATH using CONFIG_COMMANDS to run at the very end.
 +# 2010-02-18 WITH_SSL outputs the LIBSSL_LDFLAGS, LIBS, CPPFLAGS seperate, -ldl
 +# 2010-02-01 added ACX_CHECK_MEMCMP_SIGNED, AHX_MEMCMP_BROKEN
 +# 2010-01-20 added AHX_COONFIG_STRLCAT
 +# 2009-07-14 U_CHAR detection improved for windows crosscompile.
 +#            added ACX_FUNC_MALLOC
 +#            fixup some #if to #ifdef
 +#            NONBLOCKING test for mingw crosscompile.
 +# 2009-07-13 added ACX_WITH_SSL_OPTIONAL
 +# 2009-07-03 fixup LDFLAGS for empty ssl dir.
 +#
 +# Automates some of the checking constructs.  Aims at portability for POSIX.
 +# Documentation for functions is below.
 +#
 +# the following macro's are provided in this file:
 +# (see below for details on each macro).
 +#
 +# ACX_ESCAPE_BACKSLASH                - escape backslashes in var for C-preproc.
 +# ACX_RSRC_VERSION            - create windows resource version number.
 +# ACX_CHECK_COMPILER_FLAG     - see if cc supports a flag.
 +# ACX_CHECK_ERROR_FLAGS               - see which flag is -werror (used below).
 +# ACX_CHECK_COMPILER_FLAG_NEEDED - see if flags make the code compile cleanly.
 +# ACX_DEPFLAG                 - find cc dependency flags.
 +# ACX_DETERMINE_EXT_FLAGS_UNBOUND - find out which flags enable BSD and POSIX.
 +# ACX_CHECK_FORMAT_ATTRIBUTE  - find cc printf format syntax.
 +# ACX_CHECK_UNUSED_ATTRIBUTE  - find cc variable unused syntax.
 +# ACX_CHECK_FLTO              - see if cc supports -flto and use it if so.
 +# ACX_LIBTOOL_C_ONLY          - create libtool for C only, improved.
 +# ACX_TYPE_U_CHAR             - u_char type.
 +# ACX_TYPE_RLIM_T             - rlim_t type.
 +# ACX_TYPE_SOCKLEN_T          - socklen_t type.
 +# ACX_TYPE_IN_ADDR_T          - in_addr_t type.
 +# ACX_TYPE_IN_PORT_T          - in_port_t type.
 +# ACX_ARG_RPATH                       - add --disable-rpath option.
 +# ACX_WITH_SSL                        - add --with-ssl option, link -lcrypto.
 +# ACX_WITH_SSL_OPTIONAL               - add --with-ssl option, link -lcrypto,
 +#                               where --without-ssl is also accepted
 +# ACX_LIB_SSL                 - setup to link -lssl.
 +# ACX_SYS_LARGEFILE           - improved sys_largefile, fseeko, >2G files.
 +# ACX_CHECK_GETADDRINFO_WITH_INCLUDES - find getaddrinfo, portably.
 +# ACX_FUNC_DEPRECATED         - see if func is deprecated.
 +# ACX_CHECK_NONBLOCKING_BROKEN        - see if nonblocking sockets really work.
 +# ACX_MKDIR_ONE_ARG           - determine mkdir(2) number of arguments.
 +# ACX_FUNC_IOCTLSOCKET                - find ioctlsocket, portably.
 +# ACX_FUNC_MALLOC             - check malloc, define replacement .
 +# AHX_CONFIG_FORMAT_ATTRIBUTE - config.h text for format.
 +# AHX_CONFIG_UNUSED_ATTRIBUTE - config.h text for unused.
 +# AHX_CONFIG_FSEEKO           - define fseeko, ftello fallback.
 +# AHX_CONFIG_RAND_MAX         - define RAND_MAX if needed.
 +# AHX_CONFIG_MAXHOSTNAMELEN   - define MAXHOSTNAMELEN if needed.
 +# AHX_CONFIG_IPV6_MIN_MTU     - define IPV6_MIN_MTU if needed.
 +# AHX_CONFIG_SNPRINTF         - snprintf compat prototype
 +# AHX_CONFIG_INET_PTON                - inet_pton compat prototype
 +# AHX_CONFIG_INET_NTOP                - inet_ntop compat prototype
 +# AHX_CONFIG_INET_ATON                - inet_aton compat prototype
 +# AHX_CONFIG_MEMMOVE          - memmove compat prototype
 +# AHX_CONFIG_STRLCAT          - strlcat compat prototype
 +# AHX_CONFIG_STRLCPY          - strlcpy compat prototype
 +# AHX_CONFIG_GMTIME_R         - gmtime_r compat prototype
 +# AHX_CONFIG_W32_SLEEP                - w32 compat for sleep
 +# AHX_CONFIG_W32_USLEEP               - w32 compat for usleep
 +# AHX_CONFIG_W32_RANDOM               - w32 compat for random
 +# AHX_CONFIG_W32_SRANDOM      - w32 compat for srandom
 +# AHX_CONFIG_W32_FD_SET_T     - w32 detection of FD_SET_T.
 +# ACX_CFLAGS_STRIP            - strip one flag from CFLAGS
 +# ACX_STRIP_EXT_FLAGS         - strip extension flags from CFLAGS
 +# AHX_CONFIG_FLAG_OMITTED     - define omitted flag
 +# AHX_CONFIG_FLAG_EXT         - define omitted extension flag
 +# AHX_CONFIG_EXT_FLAGS                - define the stripped extension flags
 +# ACX_CHECK_MEMCMP_SIGNED     - check if memcmp uses signed characters.
 +# AHX_MEMCMP_BROKEN           - replace memcmp func for CHECK_MEMCMP_SIGNED.
 +# ACX_CHECK_SS_FAMILY           - check for sockaddr_storage.ss_family
 +#
 +
 +dnl Escape backslashes as \\, for C:\ paths, for the C preprocessor defines.
 +dnl for example, ACX_ESCAPE_BACKSLASH($from_var, to_var)
 +dnl $1: the text to change. 
 +dnl $2: the result.
 +AC_DEFUN([ACX_ESCAPE_BACKSLASH], [$2="`echo $1 | sed -e 's/\\\\/\\\\\\\\/g'`"
 +])
 +
 +dnl Calculate comma separated windows-resource numbers from package version.
 +dnl Picks the first three(,0) or four numbers out of the name.
 +dnl $1: variable for the result
 +AC_DEFUN([ACX_RSRC_VERSION], 
 +[$1=[`echo $PACKAGE_VERSION | sed -e 's/^[^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\).*$/\1,\2,\3,\4/' -e 's/^[^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9]*$/\1,\2,\3,0/' `]
 +])
 +
 +dnl Routine to help check for compiler flags.
 +dnl Checks if the compiler will accept the flag.
 +dnl $1: the flag without a - in front, so g to check -g.
 +dnl $2: executed if yes
 +dnl $3: executed if no
 +AC_DEFUN([ACX_CHECK_COMPILER_FLAG], 
 +[
 +AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(whether $CC supports -$1)
 +cache=`echo $1 | sed 'y%.=/+-%___p_%'`
 +AC_CACHE_VAL(cv_prog_cc_flag_$cache,
 +[
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -$1 -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +])
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +AC_MSG_RESULT(yes)
 +:
 +$2
 +else
 +AC_MSG_RESULT(no)
 +:
 +$3
 +fi
 +])
 +
 +dnl setup flags for ACX_CHECK_COMPILER_FLAG_NEEDED
 +dnl ERRFLAG: result, compiler flag to turn warnings into errors
 +AC_DEFUN([ACX_CHECK_ERROR_FLAGS],
 +[
 +ACX_CHECK_COMPILER_FLAG(Werror, [ERRFLAG="-Werror"], [ERRFLAG="-errwarn"])
 +ACX_CHECK_COMPILER_FLAG(Wall, [ERRFLAG="$ERRFLAG -Wall"],
 +                              [ERRFLAG="$ERRFLAG -errfmt"])
 +])
 +
 +dnl Routine to help check for needed compiler flags.
 +dnl $1: flags for CC
 +dnl $2: the includes and code
 +dnl $3: if the given code only compiles with the flag, execute argument 3
 +dnl $4: if the given code compiles without the flag, execute argument 4
 +dnl $5: with and without flag the compile fails, execute argument 5.
 +AC_DEFUN([ACX_CHECK_COMPILER_FLAG_NEEDED],
 +[
 +AC_REQUIRE([AC_PROG_CC])
 +AC_REQUIRE([ACX_CHECK_ERROR_FLAGS])
 +AC_MSG_CHECKING(whether we need $1 as a flag for $CC)
 +cache=AS_TR_SH($1)
 +dnl cache=`echo $1 | sed 'y%.=/+- %___p__%'`
 +AC_CACHE_VAL(cv_prog_cc_flag_needed_$cache,
 +[
 +echo '$2' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +[
 +if test -z "`$CC $CPPFLAGS $CFLAGS $1 $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $1 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $1 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +]
 +fi
 +rm -f conftest conftest.c conftest.o
 +])
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +AC_MSG_RESULT(yes)
 +:
 +$3
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +AC_MSG_RESULT(no)
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $1 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $1 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +$4
 +else
 +AC_MSG_RESULT(failed)
 +:
 +$5
 +fi
 +fi
 +])
 +
 +dnl Check for CC dependency flag
 +dnl DEPFLAG: set to flag that generates dependencies.
 +AC_DEFUN([ACX_DEPFLAG],
 +[
 +AC_MSG_CHECKING([$CC dependency flag])
 +echo 'void f(){}' >conftest.c
 +if test "`$CC -MM conftest.c 2>&1`" = "conftest.o: conftest.c"; then
 +      DEPFLAG="-MM"
 +else 
 +  if test "`$CC -xM1 conftest.c 2>&1`" = "conftest.o: conftest.c"; then
 +      DEPFLAG="-xM1"
 +  else
 +      DEPFLAG="-MM"  # dunno do something
 +  fi 
 +fi
 +AC_MSG_RESULT($DEPFLAG)
 +rm -f conftest.c
 +AC_SUBST(DEPFLAG)
 +])
 +
 +dnl Determine flags that gives POSIX and BSD functionality.
 +dnl CFLAGS is modified for the result.
 +AC_DEFUN([ACX_DETERMINE_EXT_FLAGS_UNBOUND],
 +[
 +ACX_CHECK_COMPILER_FLAG(std=c99, [C99FLAG="-std=c99"])
 +ACX_CHECK_COMPILER_FLAG(xc99, [C99FLAG="-xc99"])
 +
 +AC_CHECK_HEADERS([getopt.h time.h],,, [AC_INCLUDES_DEFAULT])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED($C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE,
 +[
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#include <netdb.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +      int a;
 +      char **opts = NULL;
 +      struct timeval tv;
 +      char *t;
 +      time_t time = 0;
 +      char *buf = NULL;
 +      const char* str = NULL;
 +      struct msghdr msg;
 +      msg.msg_control = 0;
 +      t = ctime_r(&time, buf);
 +      tv.tv_usec = 10;
 +      srandom(32);
 +      a = getopt(2, opts, "a");
 +      a = isascii(32);
 +      str = gai_strerror(0);
 +      if(str && t && tv.tv_usec && msg.msg_control)
 +              a = 0;
 +      return a;
 +}
 +], [CFLAGS="$CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED($C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE,
 +[
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#include <netdb.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +      int a;
 +      char **opts = NULL;
 +      struct timeval tv;
 +      char *t;
 +      time_t time = 0;
 +      char *buf = NULL;
 +      const char* str = NULL;
 +      struct msghdr msg;
 +      msg.msg_control = 0;
 +      t = ctime_r(&time, buf);
 +      tv.tv_usec = 10;
 +      srandom(32);
 +      a = getopt(2, opts, "a");
 +      a = isascii(32);
 +      str = gai_strerror(0);
 +      if(str && t && tv.tv_usec && msg.msg_control)
 +              a = 0;
 +      return a;
 +}
 +], [CFLAGS="$CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED($C99FLAG,
 +[
 +#include <stdbool.h>
 +#include <ctype.h>
 +int test() {
 +        int a = 0;
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS $C99FLAG"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D_BSD_SOURCE,
 +[
 +#include <ctype.h>
 +
 +int test() {
 +        int a;
 +        a = isascii(32);
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D_BSD_SOURCE"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D_GNU_SOURCE,
 +[
 +#include <netinet/in.h>
 +
 +int test() {
 +        struct in6_pktinfo inf;
 +      int a = (int)sizeof(inf);
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D_GNU_SOURCE"])
 +
 +# check again for GNU_SOURCE for setresgid. May fail if setresgid
 +# is not available at all. -D_FRSRESGID is to make this check unique.
 +# otherwise we would get the previous cached result.
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D_GNU_SOURCE -D_FRSRESGID,
 +[
 +#include <unistd.h>
 +
 +int test() {
 +      int a = setresgid(0,0,0);
 +      a = setresuid(0,0,0);
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D_GNU_SOURCE"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D_POSIX_C_SOURCE=200112,
 +[
 +#include "confdefs.h"
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <netdb.h>
 +
 +int test() {
 +        int a = 0;
 +        char *t;
 +        time_t time = 0;
 +        char *buf = NULL;
 +      const char* str = NULL;
 +        t = ctime_r(&time, buf);
 +      str = gai_strerror(0);
 +      if(t && str)
 +              a = 0;
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D_POSIX_C_SOURCE=200112"])
 +
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D__EXTENSIONS__,
 +[
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +        int a;
 +        char **opts = NULL;
 +        struct timeval tv;
 +        tv.tv_usec = 10;
 +        srandom(32);
 +        a = getopt(2, opts, "a");
 +        a = isascii(32);
 +      if(tv.tv_usec)
 +              a = 0;
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D__EXTENSIONS__"])
 +
 +])dnl End of ACX_DETERMINE_EXT_FLAGS_UNBOUND
 +
 +dnl Check if CC supports -flto.
 +dnl in a way that supports clang and suncc (that flag does something else,
 +dnl but fails to link).  It sets it in CFLAGS if it works.
 +AC_DEFUN([ACX_CHECK_FLTO], [
 +    AC_ARG_ENABLE([flto], AS_HELP_STRING([--disable-flto], [Disable link-time optimization (gcc specific option)]))
 +    AS_IF([test "x$enable_flto" != "xno"], [
 +        AC_MSG_CHECKING([if $CC supports -flto])
 +        BAKCFLAGS="$CFLAGS"
 +        CFLAGS="$CFLAGS -flto"
 +        AC_LINK_IFELSE([AC_LANG_PROGRAM([], [])], [
 +            if $CC $CFLAGS -o conftest conftest.c 2>&1 | grep "warning: no debug symbols in executable" >/dev/null; then
 +                CFLAGS="$BAKCFLAGS"
 +                AC_MSG_RESULT(no)
 +            else
 +                AC_MSG_RESULT(yes)
 +            fi
 +            rm -f conftest conftest.c conftest.o
 +        ], [CFLAGS="$BAKCFLAGS" ; AC_MSG_RESULT(no)])
 +    ])
 +])
 +
 +dnl Check the printf-format attribute (if any)
 +dnl result in HAVE_ATTR_FORMAT.  
 +dnl Make sure you also include the AHX_CONFIG_FORMAT_ATTRIBUTE.
 +AC_DEFUN([ACX_CHECK_FORMAT_ATTRIBUTE],
 +[AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(whether the C compiler (${CC-cc}) accepts the "format" attribute)
 +AC_CACHE_VAL(ac_cv_c_format_attribute,
 +[ac_cv_c_format_attribute=no
 +AC_TRY_COMPILE(
 +[#include <stdio.h>
 +void f (char *format, ...) __attribute__ ((format (printf, 1, 2)));
 +void (*pf) (char *format, ...) __attribute__ ((format (printf, 1, 2)));
 +], [
 +   f ("%s", "str");
 +],
 +[ac_cv_c_format_attribute="yes"],
 +[ac_cv_c_format_attribute="no"])
 +])
 +
 +AC_MSG_RESULT($ac_cv_c_format_attribute)
 +if test $ac_cv_c_format_attribute = yes; then
 +  AC_DEFINE(HAVE_ATTR_FORMAT, 1, [Whether the C compiler accepts the "format" attribute])
 +fi
 +])dnl End of ACX_CHECK_FORMAT_ATTRIBUTE
 +
 +dnl Setup ATTR_FORMAT config.h parts.
 +dnl make sure you call ACX_CHECK_FORMAT_ATTRIBUTE also.
 +AC_DEFUN([AHX_CONFIG_FORMAT_ATTRIBUTE],
 +[ 
 +#ifdef HAVE_ATTR_FORMAT
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) \
 +    __attribute__ ((format (archetype, string_index, first_to_check)))
 +#else /* !HAVE_ATTR_FORMAT */
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) /* empty */
 +#endif /* !HAVE_ATTR_FORMAT */
 +])
 +
 +dnl Check how to mark function arguments as unused.
 +dnl result in HAVE_ATTR_UNUSED.  
 +dnl Make sure you include AHX_CONFIG_UNUSED_ATTRIBUTE also.
 +AC_DEFUN([ACX_CHECK_UNUSED_ATTRIBUTE],
 +[AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(whether the C compiler (${CC-cc}) accepts the "unused" attribute)
 +AC_CACHE_VAL(ac_cv_c_unused_attribute,
 +[ac_cv_c_unused_attribute=no
 +AC_TRY_COMPILE(
 +[#include <stdio.h>
 +void f (char *u __attribute__((unused)));
 +], [
 +   f ("x");
 +],
 +[ac_cv_c_unused_attribute="yes"],
 +[ac_cv_c_unused_attribute="no"])
 +])
 +
 +dnl Setup ATTR_UNUSED config.h parts.
 +dnl make sure you call ACX_CHECK_UNUSED_ATTRIBUTE also.
 +AC_DEFUN([AHX_CONFIG_UNUSED_ATTRIBUTE],
 +[
 +#if defined(DOXYGEN)
 +#  define ATTR_UNUSED(x)  x
 +#elif defined(__cplusplus)
 +#  define ATTR_UNUSED(x)
 +#elif defined(HAVE_ATTR_UNUSED)
 +#  define ATTR_UNUSED(x)  x __attribute__((unused))
 +#else /* !HAVE_ATTR_UNUSED */
 +#  define ATTR_UNUSED(x)  x
 +#endif /* !HAVE_ATTR_UNUSED */
 +])
 +
 +AC_MSG_RESULT($ac_cv_c_unused_attribute)
 +if test $ac_cv_c_unused_attribute = yes; then
 +  AC_DEFINE(HAVE_ATTR_UNUSED, 1, [Whether the C compiler accepts the "unused" attribute])
 +fi
 +])dnl
 +
 +dnl Pre-fun for ACX_LIBTOOL_C_ONLY
 +AC_DEFUN([ACX_LIBTOOL_C_PRE], [
 +# skip these tests, we do not need them.
 +AC_DEFUN([AC_PROG_F77], [:])
 +AC_DEFUN([AC_PROG_FC], [:])
 +AC_DEFUN([AC_PROG_CXX], [:])
 +AC_DEFUN([AC_PROG_CXXCPP], [:])
 +AC_DEFUN([AC_PROG_OBJC], [:])
 +AC_DEFUN([AC_PROG_OBJCCPP], [:])
 +AC_DEFUN([AC_LIBTOOL_CXX], [:])
 +AC_DEFUN([AC_LIBTOOL_F77], [:])
 +# always use ./libtool unless override from commandline (libtool=mylibtool)
 +if test -z "$libtool"; then
 +      libtool="./libtool"
 +fi
 +AC_SUBST(libtool)
 +# avoid libtool max commandline length test on systems that fork slowly.
 +AC_CANONICAL_HOST
 +if echo "$host_os" | grep "sunos4" >/dev/null; then
 +      lt_cv_sys_max_cmd_len=32750;
 +fi
 +AC_PATH_TOOL(AR, ar, [false])
 +if test $AR = false; then
 +      AC_MSG_ERROR([Cannot find 'ar', please extend PATH to include it])
 +fi
 +])
 +
 +dnl Perform libtool check, portably, only for C
 +AC_DEFUN([ACX_LIBTOOL_C_ONLY], [
 +dnl as a requirement so that is gets called before LIBTOOL
 +dnl because libtools 'AC_REQUIRE' names are right after this one, before
 +dnl this function contents.
 +AC_REQUIRE([ACX_LIBTOOL_C_PRE])
 +AC_PROG_LIBTOOL
 +])
 +
 +dnl Detect if u_char type is defined, otherwise define it.
 +AC_DEFUN([ACX_TYPE_U_CHAR], 
 +[AC_CHECK_TYPE([u_char], ,
 +      [AC_DEFINE([u_char], [unsigned char], [Define to 'unsigned char if not defined])], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_WINSOCK2_H
 +#  include <winsock2.h>
 +#endif
 +]) ])
 +
 +dnl Detect if rlim_t type is defined, otherwise define it.
 +AC_DEFUN([ACX_TYPE_RLIM_T],
 +[AC_CHECK_TYPE(rlim_t, , 
 +      [AC_DEFINE([rlim_t], [unsigned long], [Define to 'int' if not defined])], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_SYS_RESOURCE_H
 +#  include <sys/resource.h>
 +#endif
 +]) ])
 +
 +dnl Detect if socklen_t type is defined, otherwise define it.
 +AC_DEFUN([ACX_TYPE_SOCKLEN_T],
 +[
 +AC_CHECK_TYPE(socklen_t, , 
 +      [AC_DEFINE([socklen_t], [int], [Define to 'int' if not defined])], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_SYS_SOCKET_H
 +#  include <sys/socket.h>
 +#endif
 +#ifdef HAVE_WS2TCPIP_H
 +#  include <ws2tcpip.h>
 +#endif
 +]) ])
 +
 +dnl Detect if in_addr_t type is defined, otherwise define it.
 +AC_DEFUN([ACX_TYPE_IN_ADDR_T],
 +[ AC_CHECK_TYPE(in_addr_t, [], [AC_DEFINE([in_addr_t], [uint32_t], [in_addr_t])], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_SYS_TYPES_H
 +# include <sys/types.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +# include <netinet/in.h>
 +#endif
 +]) ])
 +
 +dnl Detect if in_port_t type is defined, otherwise define it.
 +AC_DEFUN([ACX_TYPE_IN_PORT_T],
 +[ AC_CHECK_TYPE(in_port_t, [], [AC_DEFINE([in_port_t], [uint16_t], [in_port_t])], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_SYS_TYPES_H
 +# include <sys/types.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +# include <netinet/in.h>
 +#endif
 +]) ])
 +
 +dnl Add option to disable the evil rpath. Check whether to use rpath or not.
 +dnl Adds the --disable-rpath option. Uses trick to edit the ./libtool.
 +AC_DEFUN([ACX_ARG_RPATH],
 +[
 +AC_ARG_ENABLE(rpath,
 +        [  --disable-rpath         disable hardcoded rpath (default=enabled)],
 +      enable_rpath=$enableval, enable_rpath=yes)
 +if test "x$enable_rpath" = xno; then
 +      dnl AC_MSG_RESULT([Fixing libtool for -rpath problems.])
 +      AC_CONFIG_COMMANDS([disable-rpath], [
 +      sed < libtool > libtool-2 \
 +      's/^hardcode_libdir_flag_spec.*$'/'hardcode_libdir_flag_spec=" -D__LIBTOOL_RPATH_SED__ "/'
 +      mv libtool-2 libtool
 +      chmod 755 libtool
 +      libtool="./libtool"
 +      ])
 +fi
 +])
 +
 +dnl Add a -R to the RUNTIME_PATH.  Only if rpath is enabled and it is
 +dnl an absolute path.
 +dnl $1: the pathname to add.
 +AC_DEFUN([ACX_RUNTIME_PATH_ADD], [
 +      if test "x$enable_rpath" = xyes; then
 +              if echo "$1" | grep "^/" >/dev/null; then
 +                      RUNTIME_PATH="$RUNTIME_PATH -R$1"
 +              fi
 +      fi
 +])
 +
 +dnl Common code for both ACX_WITH_SSL and ACX_WITH_SSL_OPTIONAL
 +dnl Takes one argument; the withval checked in those 2 functions
 +dnl sets up the environment for the given openssl path
 +AC_DEFUN([ACX_SSL_CHECKS], [
 +    withval=$1
 +    if test x_$withval != x_no; then
 +        AC_MSG_CHECKING(for SSL)
 +        if test x_$withval = x_ -o x_$withval = x_yes; then
 +            withval="/usr/local/ssl /usr/lib/ssl /usr/ssl /usr/pkg /usr/local /opt/local /usr/sfw /usr"
 +        fi
 +        for dir in $withval; do
 +            ssldir="$dir"
 +            if test -f "$dir/include/openssl/ssl.h"; then
 +                found_ssl="yes"
 +                AC_DEFINE_UNQUOTED([HAVE_SSL], [], [Define if you have the SSL libraries installed.])
 +                dnl assume /usr/include is already in the include-path.
 +                if test "$ssldir" != "/usr"; then
 +                        CPPFLAGS="$CPPFLAGS -I$ssldir/include"
 +                        LIBSSL_CPPFLAGS="$LIBSSL_CPPFLAGS -I$ssldir/include"
 +                fi
 +                break;
 +            fi
 +        done
 +        if test x_$found_ssl != x_yes; then
 +            AC_MSG_ERROR(Cannot find the SSL libraries in $withval)
 +        else
 +            AC_MSG_RESULT(found in $ssldir)
 +            HAVE_SSL=yes
 +            dnl assume /usr is already in the lib and dynlib paths.
 +            if test "$ssldir" != "/usr" -a "$ssldir" != ""; then
 +                LDFLAGS="$LDFLAGS -L$ssldir/lib"
 +                LIBSSL_LDFLAGS="$LIBSSL_LDFLAGS -L$ssldir/lib"
 +                ACX_RUNTIME_PATH_ADD([$ssldir/lib])
 +            fi
 +        
 +            AC_MSG_CHECKING([for HMAC_CTX_init in -lcrypto])
 +            LIBS="$LIBS -lcrypto"
 +            LIBSSL_LIBS="$LIBSSL_LIBS -lcrypto"
 +            AC_TRY_LINK(, [
 +                int HMAC_CTX_init(void);
 +                (void)HMAC_CTX_init();
 +              ], [
 +                AC_MSG_RESULT(yes)
 +                AC_DEFINE([HAVE_HMAC_CTX_INIT], 1, 
 +                          [If you have HMAC_CTX_init])
 +              ], [
 +                AC_MSG_RESULT(no)
 +                # check if -lwsock32 or -lgdi32 are needed.   
 +                BAKLIBS="$LIBS"
 +                BAKSSLLIBS="$LIBSSL_LIBS"
 +                LIBS="$LIBS -lgdi32"
 +                LIBSSL_LIBS="$LIBSSL_LIBS -lgdi32"
 +                AC_MSG_CHECKING([if -lcrypto needs -lgdi32])
 +                AC_TRY_LINK([], [
 +                    int HMAC_CTX_init(void);
 +                    (void)HMAC_CTX_init();
 +                  ],[
 +                    AC_DEFINE([HAVE_HMAC_CTX_INIT], 1, 
 +                        [If you have HMAC_CTX_init])
 +                    AC_MSG_RESULT(yes) 
 +                  ],[
 +                    AC_MSG_RESULT(no)
 +                    LIBS="$BAKLIBS"
 +                    LIBSSL_LIBS="$BAKSSLLIBS"
 +                    LIBS="$LIBS -ldl"
 +                    LIBSSL_LIBS="$LIBSSL_LIBS -ldl"
 +                    AC_MSG_CHECKING([if -lcrypto needs -ldl])
 +                    AC_TRY_LINK([], [
 +                        int HMAC_CTX_init(void);
 +                        (void)HMAC_CTX_init();
 +                      ],[
 +                        AC_DEFINE([HAVE_HMAC_CTX_INIT], 1, 
 +                            [If you have HMAC_CTX_init])
 +                        AC_MSG_RESULT(yes) 
 +                      ],[
 +                        AC_MSG_RESULT(no)
 +                    AC_MSG_ERROR([OpenSSL found in $ssldir, but version 0.9.7 or higher is required])
 +                    ])
 +                ])
 +            ])
 +        fi
 +        AC_SUBST(HAVE_SSL)
 +        AC_SUBST(RUNTIME_PATH)
 +      # openssl engine functionality needs dlopen().
 +      BAKLIBS="$LIBS"
 +      AC_SEARCH_LIBS([dlopen], [dl])
 +      if test "$LIBS" != "$BAKLIBS"; then
 +              LIBSSL_LIBS="$LIBSSL_LIBS -ldl"
 +      fi
 +    fi
 +AC_CHECK_HEADERS([openssl/ssl.h],,, [AC_INCLUDES_DEFAULT])
 +AC_CHECK_HEADERS([openssl/err.h],,, [AC_INCLUDES_DEFAULT])
 +AC_CHECK_HEADERS([openssl/rand.h],,, [AC_INCLUDES_DEFAULT])
 +])dnl End of ACX_SSL_CHECKS
 +
 +dnl Check for SSL, where SSL is mandatory
 +dnl Adds --with-ssl option, searches for openssl and defines HAVE_SSL if found
 +dnl Setup of CPPFLAGS, CFLAGS.  Adds -lcrypto to LIBS. 
 +dnl Checks main header files of SSL.
 +dnl
 +AC_DEFUN([ACX_WITH_SSL],
 +[
 +AC_ARG_WITH(ssl, AC_HELP_STRING([--with-ssl=pathname],
 +                                    [enable SSL (will check /usr/local/ssl
 +                            /usr/lib/ssl /usr/ssl /usr/pkg /usr/local /opt/local /usr/sfw /usr)]),[
 +        ],[
 +            withval="yes"
 +        ])
 +    if test x_$withval = x_no; then
 +      AC_MSG_ERROR([Need SSL library to do digital signature cryptography])
 +    fi
 +    ACX_SSL_CHECKS($withval)
 +])dnl End of ACX_WITH_SSL
 +
 +dnl Check for SSL, where ssl is optional (--without-ssl is allowed)
 +dnl Adds --with-ssl option, searches for openssl and defines HAVE_SSL if found
 +dnl Setup of CPPFLAGS, CFLAGS.  Adds -lcrypto to LIBS. 
 +dnl Checks main header files of SSL.
 +dnl
 +AC_DEFUN([ACX_WITH_SSL_OPTIONAL],
 +[
 +AC_ARG_WITH(ssl, AC_HELP_STRING([--with-ssl=pathname],
 +                                [enable SSL (will check /usr/local/ssl
 +                                /usr/lib/ssl /usr/ssl /usr/pkg /usr/local /opt/local /usr/sfw /usr)]),[
 +        ],[
 +            withval="yes"
 +        ])
 +    ACX_SSL_CHECKS($withval)
 +])dnl End of ACX_WITH_SSL_OPTIONAL
 +
 +dnl Setup to use -lssl
 +dnl To use -lcrypto, use the ACX_WITH_SSL setup (before this one).
 +AC_DEFUN([ACX_LIB_SSL],
 +[
 +# check if libssl needs libdl
 +BAKLIBS="$LIBS"
 +LIBS="-lssl $LIBS"
 +AC_MSG_CHECKING([if libssl needs libdl])
 +AC_TRY_LINK_FUNC([SSL_CTX_new], [
 +      AC_MSG_RESULT([no])
 +      LIBS="$BAKLIBS"
 +] , [
 +      AC_MSG_RESULT([yes])
 +      LIBS="$BAKLIBS"
 +      AC_SEARCH_LIBS([dlopen], [dl])
 +]) ])dnl End of ACX_LIB_SSL
 +
 +dnl Setup to use very large files (>2Gb).
 +dnl setups fseeko and its own
 +AC_DEFUN([ACX_SYS_LARGEFILE],
 +[
 +AC_SYS_LARGEFILE
 +dnl try to see if an additional _LARGEFILE_SOURCE 1 is needed to get fseeko
 +ACX_CHECK_COMPILER_FLAG_NEEDED(-D_LARGEFILE_SOURCE=1,
 +[
 +#include <stdio.h>
 +int test() {
 +        int a = fseeko(stdin, 0, 0);
 +        return a;
 +}
 +], [CFLAGS="$CFLAGS -D_LARGEFILE_SOURCE=1"])
 +])
 +
 +dnl Check getaddrinfo.
 +dnl Works on linux, solaris, bsd and windows(links winsock).
 +dnl defines HAVE_GETADDRINFO, USE_WINSOCK.
 +AC_DEFUN([ACX_CHECK_GETADDRINFO_WITH_INCLUDES],
 +[AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(for getaddrinfo)
 +ac_cv_func_getaddrinfo=no
 +AC_LINK_IFELSE(
 +[AC_LANG_SOURCE([[
 +#ifdef __cplusplus
 +extern "C"
 +{
 +#endif
 +char* getaddrinfo();
 +char* (*f) () = getaddrinfo;
 +#ifdef __cplusplus
 +}
 +#endif
 +int main() {
 +        ;
 +        return 0;
 +}
 +]])],
 +dnl this case on linux, solaris, bsd
 +[ac_cv_func_getaddrinfo="yes"
 +dnl see if on windows
 +if test "$ac_cv_header_windows_h" = "yes"; then
 +      AC_DEFINE(USE_WINSOCK, 1, [Whether the windows socket API is used])
 +      USE_WINSOCK="1"
 +      LIBS="$LIBS -lws2_32"
 +fi
 +],
 +dnl no quick getaddrinfo, try mingw32 and winsock2 library.
 +ORIGLIBS="$LIBS"
 +LIBS="$LIBS -lws2_32"
 +AC_LINK_IFELSE(
 +[AC_LANG_PROGRAM(
 +[
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +],
 +[
 +        (void)getaddrinfo(NULL, NULL, NULL, NULL);
 +]
 +)],
 +[
 +ac_cv_func_getaddrinfo="yes"
 +dnl already: LIBS="$LIBS -lws2_32"
 +AC_DEFINE(USE_WINSOCK, 1, [Whether the windows socket API is used])
 +USE_WINSOCK="1"
 +],
 +[
 +ac_cv_func_getaddrinfo="no"
 +LIBS="$ORIGLIBS"
 +])
 +)
 +
 +AC_MSG_RESULT($ac_cv_func_getaddrinfo)
 +if test $ac_cv_func_getaddrinfo = yes; then
 +  AC_DEFINE(HAVE_GETADDRINFO, 1, [Whether getaddrinfo is available])
 +fi
 +])dnl Endof AC_CHECK_GETADDRINFO_WITH_INCLUDES
 +
 +dnl check if a function is deprecated. defines DEPRECATED_func in config.h.
 +dnl $1: function name
 +dnl $2: C-statement that calls the function.
 +dnl $3: includes for the program.
 +dnl $4: executes if yes
 +dnl $5: executes if no
 +AC_DEFUN([ACX_FUNC_DEPRECATED],
 +[
 +AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(if $1 is deprecated)
 +cache=`echo $1 | sed 'y%.=/+-%___p_%'`
 +AC_CACHE_VAL(cv_cc_deprecated_$cache,
 +[
 +echo '$3' >conftest.c
 +echo 'void f(){ $2 }' >>conftest.c
 +if test -z "`$CC -c conftest.c 2>&1 | grep deprecated`"; then
 +eval "cv_cc_deprecated_$cache=no"
 +else
 +eval "cv_cc_deprecated_$cache=yes"
 +fi
 +rm -f conftest conftest.o conftest.c
 +])
 +if eval "test \"`echo '$cv_cc_deprecated_'$cache`\" = yes"; then
 +AC_MSG_RESULT(yes)
 +AC_DEFINE_UNQUOTED(AS_TR_CPP([DEPRECATED_$1]), 1, [Whether $1 is deprecated])
 +:
 +$4
 +else
 +AC_MSG_RESULT(no)
 +:
 +$5
 +fi
 +])dnl end of ACX_FUNC_DEPRECATED
 +
 +dnl check if select and nonblocking sockets actually work.
 +dnl Needs fork(2) and select(2).
 +dnl defines NONBLOCKING_IS_BROKEN, and if that is true multiple reads from
 +dnl a nonblocking socket do not work, a new call to select is necessary.
 +AC_DEFUN([ACX_CHECK_NONBLOCKING_BROKEN],
 +[
 +AC_MSG_CHECKING([if nonblocking sockets work])
 +if echo $target | grep mingw32 >/dev/null; then 
 +      AC_MSG_RESULT([no (windows)])
 +      AC_DEFINE([NONBLOCKING_IS_BROKEN], 1, [Define if the network stack does not fully support nonblocking io (causes lower performance).])
 +else
 +AC_RUN_IFELSE([
 +AC_LANG_SOURCE([[
 +#include <stdio.h>
 +#include <string.h>
 +#include <stdlib.h>
 +#include <fcntl.h>
 +#include <errno.h>
 +#ifdef HAVE_SYS_TYPES_H
 +#include <sys/types.h>
 +#endif
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +#ifdef HAVE_UNISTD_H
 +#include <unistd.h>
 +#endif
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +
 +int main(void)
 +{
 +      int port;
 +      int sfd, cfd;
 +      int num = 10;
 +      int i, p;
 +      struct sockaddr_in a;
 +      /* test if select and nonblocking reads work well together */
 +      /* open port.
 +         fork child to send 10 messages.
 +         select to read.
 +         then try to nonblocking read the 10 messages
 +         then, nonblocking read must give EAGAIN
 +      */
 +
 +      port = 12345 + (time(0)%32);
 +      sfd = socket(PF_INET, SOCK_DGRAM, 0);
 +      if(sfd == -1) {
 +              perror("socket");
 +              return 1;
 +      }
 +      memset(&a, 0, sizeof(a));
 +      a.sin_family = AF_INET;
 +      a.sin_port = htons(port);
 +      a.sin_addr.s_addr = inet_addr("127.0.0.1");
 +      if(bind(sfd, (struct sockaddr*)&a, sizeof(a)) < 0) {
 +              perror("bind");
 +              return 1;
 +      }
 +      if(fcntl(sfd, F_SETFL, O_NONBLOCK) == -1) {
 +              perror("fcntl");
 +              return 1;
 +      }
 +
 +      cfd = socket(PF_INET, SOCK_DGRAM, 0);
 +      if(cfd == -1) {
 +              perror("client socket");
 +              return 1;
 +      }
 +      a.sin_port = 0;
 +      if(bind(cfd, (struct sockaddr*)&a, sizeof(a)) < 0) {
 +              perror("client bind");
 +              return 1;
 +      }
 +      a.sin_port = htons(port);
 +
 +      /* no handler, causes exit in 10 seconds */
 +      alarm(10);
 +
 +      /* send and receive on the socket */
 +      if((p=fork()) == 0) {
 +              for(i=0; i<num; i++) {
 +                      if(sendto(cfd, &i, sizeof(i), 0, 
 +                              (struct sockaddr*)&a, sizeof(a)) < 0) {
 +                              perror("sendto");
 +                              return 1;
 +                      }
 +              }
 +      } else {
 +              /* parent */
 +              fd_set rset;
 +              int x;
 +              if(p == -1) {
 +                      perror("fork");
 +                      return 1;
 +              }
 +              FD_ZERO(&rset);
 +              FD_SET(sfd, &rset);
 +              if(select(sfd+1, &rset, NULL, NULL, NULL) < 1) {
 +                      perror("select");
 +                      return 1;
 +              }
 +              i = 0;
 +              while(i < num) {
 +                      if(recv(sfd, &x, sizeof(x), 0) != sizeof(x)) {
 +                              if(errno == EAGAIN)
 +                                      continue;
 +                              perror("recv");
 +                              return 1;
 +                      }
 +                      i++;
 +              }
 +              /* now we want to get EAGAIN: nonblocking goodness */
 +              errno = 0;
 +              recv(sfd, &x, sizeof(x), 0);
 +              if(errno != EAGAIN) {
 +                      perror("trying to recv again");
 +                      return 1;
 +              }
 +              /* EAGAIN encountered */
 +      }
 +
 +      close(sfd);
 +      close(cfd);
 +      return 0;
 +}
 +]])], [
 +      AC_MSG_RESULT([yes])
 +], [
 +      AC_MSG_RESULT([no])
 +      AC_DEFINE([NONBLOCKING_IS_BROKEN], 1, [Define if the network stack does not fully support nonblocking io (causes lower performance).])
 +], [
 +      AC_MSG_RESULT([crosscompile(yes)])
 +])
 +fi
 +])dnl End of ACX_CHECK_NONBLOCKING_BROKEN
 +
 +dnl Check if mkdir has one or two arguments.
 +dnl defines MKDIR_HAS_ONE_ARG
 +AC_DEFUN([ACX_MKDIR_ONE_ARG],
 +[
 +AC_MSG_CHECKING([whether mkdir has one arg])
 +AC_TRY_COMPILE([
 +#include <stdio.h>
 +#include <unistd.h>
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +#ifdef HAVE_SYS_STAT_H
 +#include <sys/stat.h>
 +#endif
 +], [
 +      (void)mkdir("directory");
 +],
 +AC_MSG_RESULT(yes)
 +AC_DEFINE(MKDIR_HAS_ONE_ARG, 1, [Define if mkdir has one argument.])
 +,
 +AC_MSG_RESULT(no)
 +)
 +])dnl end of ACX_MKDIR_ONE_ARG
 +
 +dnl Check for ioctlsocket function. works on mingw32 too.
 +AC_DEFUN([ACX_FUNC_IOCTLSOCKET],
 +[
 +# check ioctlsocket
 +AC_MSG_CHECKING(for ioctlsocket)
 +AC_LINK_IFELSE([AC_LANG_PROGRAM([
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +], [
 +      (void)ioctlsocket(0, 0, NULL);
 +])], [
 +AC_MSG_RESULT(yes)
 +AC_DEFINE(HAVE_IOCTLSOCKET, 1, [if the function 'ioctlsocket' is available])
 +],[AC_MSG_RESULT(no)])
 +])dnl end of ACX_FUNC_IOCTLSOCKET
 +
 +dnl detect malloc and provide malloc compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([ACX_FUNC_MALLOC],
 +[
 +      AC_MSG_CHECKING([for GNU libc compatible malloc])
 +      AC_RUN_IFELSE([AC_LANG_PROGRAM(
 +[[#if defined STDC_HEADERS || defined HAVE_STDLIB_H
 +#include <stdlib.h>
 +#else
 +char *malloc ();
 +#endif
 +]], [ if(malloc(0) != 0) return 1;])
 +],
 +      [AC_MSG_RESULT([no])
 +      AC_LIBOBJ(malloc)
 +      AC_DEFINE_UNQUOTED([malloc], [rpl_malloc_$1], [Define if  replacement function should be used.])] ,
 +      [AC_MSG_RESULT([yes])
 +      AC_DEFINE([HAVE_MALLOC], 1, [If have GNU libc compatible malloc])],
 +      [AC_MSG_RESULT([no (crosscompile)])
 +      AC_LIBOBJ(malloc)
 +      AC_DEFINE_UNQUOTED([malloc], [rpl_malloc_$1], [Define if  replacement function should be used.])] )
 +])
 +
 +dnl Define fallback for fseeko and ftello if needed.
 +AC_DEFUN([AHX_CONFIG_FSEEKO],
 +[
 +#ifndef HAVE_FSEEKO
 +#define fseeko fseek
 +#define ftello ftell
 +#endif /* HAVE_FSEEKO */
 +])
 +
 +dnl Define RAND_MAX if not defined
 +AC_DEFUN([AHX_CONFIG_RAND_MAX],
 +[
 +#ifndef RAND_MAX
 +#define RAND_MAX      2147483647
 +#endif
 +])
 +
 +dnl Define MAXHOSTNAMELEN if not defined
 +AC_DEFUN([AHX_CONFIG_MAXHOSTNAMELEN],
 +[
 +#ifndef MAXHOSTNAMELEN
 +#define MAXHOSTNAMELEN 256
 +#endif
 +])
 +
 +dnl Define IPV6_MIN_MTU if not defined
 +AC_DEFUN([AHX_CONFIG_IPV6_MIN_MTU],
 +[
 +#ifndef IPV6_MIN_MTU
 +#define IPV6_MIN_MTU 1280
 +#endif /* IPV6_MIN_MTU */
 +])
 +
 +dnl provide snprintf, vsnprintf compat prototype
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_SNPRINTF],
 +[
 +#ifndef HAVE_SNPRINTF
 +#define snprintf snprintf_$1
 +#define vsnprintf vsnprintf_$1
 +#include <stdarg.h>
 +int snprintf (char *str, size_t count, const char *fmt, ...);
 +int vsnprintf (char *str, size_t count, const char *fmt, va_list arg);
 +#endif /* HAVE_SNPRINTF */
 +])
 +
 +dnl provide inet_pton compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_INET_PTON],
 +[
 +#ifndef HAVE_INET_PTON
 +#define inet_pton inet_pton_$1
 +int inet_pton(int af, const char* src, void* dst);
 +#endif /* HAVE_INET_PTON */
 +])
 +
 +dnl provide inet_ntop compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_INET_NTOP],
 +[
 +#ifndef HAVE_INET_NTOP
 +#define inet_ntop inet_ntop_$1
 +const char *inet_ntop(int af, const void *src, char *dst, size_t size);
 +#endif
 +])
 +
 +dnl provide inet_aton compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_INET_ATON],
 +[
 +#ifndef HAVE_INET_ATON
 +#define inet_aton inet_aton_$1
 +int inet_aton(const char *cp, struct in_addr *addr);
 +#endif
 +])
 +
 +dnl provide memmove compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_MEMMOVE],
 +[
 +#ifndef HAVE_MEMMOVE
 +#define memmove memmove_$1
 +void *memmove(void *dest, const void *src, size_t n);
 +#endif
 +])
 +
 +dnl provide strlcat compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_STRLCAT],
 +[
 +#ifndef HAVE_STRLCAT
 +#define strlcat strlcat_$1
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#endif
 +])
 +
 +dnl provide strlcpy compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_STRLCPY],
 +[
 +#ifndef HAVE_STRLCPY
 +#define strlcpy strlcpy_$1
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#endif
 +])
 +
 +dnl provide gmtime_r compat prototype.
 +dnl $1: unique name for compat code
 +AC_DEFUN([AHX_CONFIG_GMTIME_R],
 +[
 +#ifndef HAVE_GMTIME_R
 +#define gmtime_r gmtime_r_$1
 +struct tm *gmtime_r(const time_t *timep, struct tm *result);
 +#endif
 +])
 +
++dnl provide reallocarray compat prototype.
++dnl $1: unique name for compat code
++AC_DEFUN([AHX_CONFIG_REALLOCARRAY],
++[
++#ifndef HAVE_REALLOCARRAY
++#define reallocarray reallocarray$1
++void* reallocarray(void *ptr, size_t nmemb, size_t size);
++#endif
++])
++
 +dnl provide w32 compat definition for sleep
 +AC_DEFUN([AHX_CONFIG_W32_SLEEP],
 +[
 +#if !defined(HAVE_SLEEP) || defined(HAVE_WINDOWS_H)
 +#define sleep(x) Sleep((x)*1000) /* on win32 */
 +#endif /* HAVE_SLEEP */
 +])
 +
 +dnl provide w32 compat definition for usleep
 +AC_DEFUN([AHX_CONFIG_W32_USLEEP],
 +[
 +#ifndef HAVE_USLEEP
 +#define usleep(x) Sleep((x)/1000 + 1) /* on win32 */
 +#endif /* HAVE_USLEEP */
 +])
 +
 +dnl provide w32 compat definition for random
 +AC_DEFUN([AHX_CONFIG_W32_RANDOM],
 +[
 +#ifndef HAVE_RANDOM
 +#define random rand /* on win32, for tests only (bad random) */
 +#endif /* HAVE_RANDOM */
 +])
 +
 +dnl provide w32 compat definition for srandom
 +AC_DEFUN([AHX_CONFIG_W32_SRANDOM],
 +[
 +#ifndef HAVE_SRANDOM
 +#define srandom(x) srand(x) /* on win32, for tests only (bad random) */
 +#endif /* HAVE_SRANDOM */
 +])
 +
 +dnl provide w32 compat definition for FD_SET_T
 +AC_DEFUN([AHX_CONFIG_W32_FD_SET_T],
 +[
 +/* detect if we need to cast to unsigned int for FD_SET to avoid warnings */
 +#ifdef HAVE_WINSOCK2_H
 +#define FD_SET_T (u_int)
 +#else
 +#define FD_SET_T 
 +#endif
 +])
 +
 +dnl Remove an extension flag from CFLAGS, define replacement to be made.
 +dnl Used by ACX_STRIP_EXT_FLAGS.
 +dnl $1: the name of the flag, for example -D_GNU_SOURCE.
 +AC_DEFUN([ACX_CFLAGS_STRIP],
 +[
 +  if echo $CFLAGS | grep " $1" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ $1//g'`"
 +    AC_DEFINE(m4_bpatsubst(OMITTED_$1,[[-=]],_), 1, Put $1 define in config.h)
 +  fi
 +])
 +
 +dnl Remove EXT flags from the CFLAGS and set them to be defined in config.h
 +dnl use with ACX_DETERMINE_EXT_FLAGS.
 +AC_DEFUN([ACX_STRIP_EXT_FLAGS],
 +[
 +  AC_MSG_NOTICE([Stripping extension flags...])
 +  ACX_CFLAGS_STRIP(-D_GNU_SOURCE)
 +  ACX_CFLAGS_STRIP(-D_BSD_SOURCE)
 +  ACX_CFLAGS_STRIP(-D__EXTENSIONS__)
 +  ACX_CFLAGS_STRIP(-D_POSIX_C_SOURCE=200112)
 +  ACX_CFLAGS_STRIP(-D_XOPEN_SOURCE=600)
 +  ACX_CFLAGS_STRIP(-D_XOPEN_SOURCE_EXTENDED=1)
 +  ACX_CFLAGS_STRIP(-D_ALL_SOURCE)
 +  ACX_CFLAGS_STRIP(-D_LARGEFILE_SOURCE=1)
 +]) dnl End of ACX_STRIP_EXT_FLAGS
 +
 +dnl define one omitted flag for config.h
 +dnl $1: flag name. -D_GNU_SOURCE
 +dnl $2: replacement define. _GNU_SOURCE
 +dnl $3: define value, 1
 +AC_DEFUN([AHX_CONFIG_FLAG_OMITTED],
 +[#if defined($1) && !defined($2)
 +#define $2 $3
 +[#]endif ])
 +
 +dnl Wrapper for AHX_CONFIG_FLAG_OMITTED for -D style flags
 +dnl $1: the -DNAME or -DNAME=value string.
 +AC_DEFUN([AHX_CONFIG_FLAG_EXT],
 +[AHX_CONFIG_FLAG_OMITTED(m4_bpatsubst(OMITTED_$1,[[-=]],_),m4_bpatsubst(m4_bpatsubst($1,-D,),=.*$,),m4_if(m4_bregexp($1,=),-1,1,m4_bpatsubst($1,^.*=,)))
 +])
 +
 +dnl config.h part to define omitted cflags, use with ACX_STRIP_EXT_FLAGS.
 +AC_DEFUN([AHX_CONFIG_EXT_FLAGS],
 +[AHX_CONFIG_FLAG_EXT(-D_GNU_SOURCE)
 +AHX_CONFIG_FLAG_EXT(-D_BSD_SOURCE)
 +AHX_CONFIG_FLAG_EXT(-D__EXTENSIONS__)
 +AHX_CONFIG_FLAG_EXT(-D_POSIX_C_SOURCE=200112)
 +AHX_CONFIG_FLAG_EXT(-D_XOPEN_SOURCE=600)
 +AHX_CONFIG_FLAG_EXT(-D_XOPEN_SOURCE_EXTENDED=1)
 +AHX_CONFIG_FLAG_EXT(-D_ALL_SOURCE)
 +AHX_CONFIG_FLAG_EXT(-D_LARGEFILE_SOURCE=1)
 +])
 +
 +dnl check if memcmp is using signed characters and replace if so.
 +AC_DEFUN([ACX_CHECK_MEMCMP_SIGNED],
 +[AC_MSG_CHECKING([if memcmp compares unsigned])
 +AC_RUN_IFELSE([AC_LANG_SOURCE([[
 +#include <stdio.h>
 +#include <stdlib.h>
 +#include <string.h>
 +int main(void)
 +{
 +      char a = 255, b = 0;
 +      if(memcmp(&a, &b, 1) < 0)
 +              return 1;
 +      return 0;
 +}
 +]])], [AC_MSG_RESULT([yes]) ],
 +[ AC_MSG_RESULT([no])
 +  AC_DEFINE([MEMCMP_IS_BROKEN], [1], [Define if memcmp() does not compare unsigned bytes])
 +  AC_LIBOBJ([memcmp])
 +], [ AC_MSG_RESULT([cross-compile no])
 +  AC_DEFINE([MEMCMP_IS_BROKEN], [1], [Define if memcmp() does not compare unsigned bytes])
 +  AC_LIBOBJ([memcmp]) 
 +]) ])
 +
 +dnl define memcmp to its replacement, pass unique id for program as arg
 +AC_DEFUN([AHX_MEMCMP_BROKEN], [
 +#ifdef MEMCMP_IS_BROKEN
 +#include "compat/memcmp.h"
 +#define memcmp memcmp_$1
 +int memcmp(const void *x, const void *y, size_t n);
 +#endif
 +])
 +
 +dnl ACX_CHECK_SS_FAMILY           - check for sockaddr_storage.ss_family
 +AC_DEFUN([ACX_CHECK_SS_FAMILY],
 +[AC_CHECK_MEMBER([struct sockaddr_storage.ss_family], [], [
 +        AC_CHECK_MEMBER([struct sockaddr_storage.__ss_family], [
 +                AC_DEFINE([ss_family], [__ss_family], [Fallback member name for socket family in struct sockaddr_storage])
 +        ],, [AC_INCLUDES_DEFAULT
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +    ])
 +], [AC_INCLUDES_DEFAULT
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +]) ])
 +
 +dnl End of file
diff --cc contrib/unbound/compat/getentropy_linux.c
index d4adab2852d4ee1079de3fb0b7c21191cbca527c,0000000000000000000000000000000000000000..76f0f9df5f1b6ad286d447dbb56f895a4a0967a9
mode 100644,000000..100644
--- 1/contrib/unbound/compat/getentropy_linux.c
--- /dev/null
+++ b/contrib/unbound/compat/getentropy_linux.c
@@@ -1,514 -1,0 +1,540 @@@
-       /* try to use getrandom syscall introduced with kernel 3.17 */
-       ret = syscall(SYS_getrandom, buf, len, 0);
 +/*    $OpenBSD: getentropy_linux.c,v 1.20 2014/07/12 15:43:49 beck Exp $      */
 +
 +/*
 + * Copyright (c) 2014 Theo de Raadt <deraadt@openbsd.org>
 + * Copyright (c) 2014 Bob Beck <beck@obtuse.com>
 + *
 + * Permission to use, copy, modify, and distribute this software for any
 + * purpose with or without fee is hereby granted, provided that the above
 + * copyright notice and this permission notice appear in all copies.
 + *
 + * THE SOFTWARE IS PROVIDED "AS IS" AND THE AUTHOR DISCLAIMS ALL WARRANTIES
 + * WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF
 + * MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR
 + * ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES
 + * WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN
 + * ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
 + * OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
 + */
 +#include "config.h"
 +
 +/*
 +#define       _POSIX_C_SOURCE 199309L
 +#define       _GNU_SOURCE     1
 +*/
 +#include <sys/types.h>
 +#include <sys/param.h>
 +#include <sys/ioctl.h>
 +#include <sys/resource.h>
 +#include <sys/syscall.h>
 +#ifdef HAVE_SYS_SYSCTL_H
 +#include <sys/sysctl.h>
 +#endif
 +#include <sys/statvfs.h>
 +#include <sys/socket.h>
 +#include <sys/mount.h>
 +#include <sys/mman.h>
 +#include <sys/stat.h>
 +#include <sys/time.h>
 +#include <stdlib.h>
 +#include <stdint.h>
 +#include <stdio.h>
 +#include <termios.h>
 +#include <fcntl.h>
 +#include <signal.h>
 +#include <string.h>
 +#include <errno.h>
 +#include <unistd.h>
 +#include <time.h>
 +#include <openssl/sha.h>
 +
 +#include <linux/types.h>
 +#include <linux/random.h>
 +#include <linux/sysctl.h>
 +#ifdef HAVE_GETAUXVAL
 +#include <sys/auxv.h>
 +#endif
 +#include <sys/vfs.h>
 +
 +#define REPEAT 5
 +#define min(a, b) (((a) < (b)) ? (a) : (b))
 +
 +#define HX(a, b) \
 +      do { \
 +              if ((a)) \
 +                      HD(errno); \
 +              else \
 +                      HD(b); \
 +      } while (0)
 +
 +#define HR(x, l) (SHA512_Update(&ctx, (char *)(x), (l)))
 +#define HD(x)  (SHA512_Update(&ctx, (char *)&(x), sizeof (x)))
 +#define HF(x)    (SHA512_Update(&ctx, (char *)&(x), sizeof (void*)))
 +
 +int   getentropy(void *buf, size_t len);
 +
 +#ifdef CAN_REFERENCE_MAIN
 +extern int main(int, char *argv[]);
 +#endif
 +static int gotdata(char *buf, size_t len);
++#ifdef SYS_getrandom
++static int getentropy_getrandom(void *buf, size_t len);
++#endif
 +static int getentropy_urandom(void *buf, size_t len);
 +#ifdef SYS__sysctl
 +static int getentropy_sysctl(void *buf, size_t len);
 +#endif
 +static int getentropy_fallback(void *buf, size_t len);
 +
 +int
 +getentropy(void *buf, size_t len)
 +{
 +      int ret = -1;
 +
 +      if (len > 256) {
 +              errno = EIO;
 +              return -1;
 +      }
 +
 +#ifdef SYS_getrandom
- #endif /* SYS_getrandom */
++      /*
++       * Try descriptor-less getrandom()
++       */
++      ret = getentropy_getrandom(buf, len);
 +      if (ret != -1)
 +              return (ret);
-                       .oldval = buf + i,
++      if (errno != ENOSYS)
++              return (-1);
++#endif
 +
 +      /*
 +       * Try to get entropy with /dev/urandom
 +       *
 +       * This can fail if the process is inside a chroot or if file
 +       * descriptors are exhausted.
 +       */
 +      ret = getentropy_urandom(buf, len);
 +      if (ret != -1)
 +              return (ret);
 +
 +#ifdef SYS__sysctl
 +      /*
 +       * Try to use sysctl CTL_KERN, KERN_RANDOM, RANDOM_UUID.
 +       * sysctl is a failsafe API, so it guarantees a result.  This
 +       * should work inside a chroot, or when file descriptors are
 +       * exhuasted.
 +       *
 +       * However this can fail if the Linux kernel removes support
 +       * for sysctl.  Starting in 2007, there have been efforts to
 +       * deprecate the sysctl API/ABI, and push callers towards use
 +       * of the chroot-unavailable fd-using /proc mechanism --
 +       * essentially the same problems as /dev/urandom.
 +       *
 +       * Numerous setbacks have been encountered in their deprecation
 +       * schedule, so as of June 2014 the kernel ABI still exists on
 +       * most Linux architectures. The sysctl() stub in libc is missing
 +       * on some systems.  There are also reports that some kernels
 +       * spew messages to the console.
 +       */
 +      ret = getentropy_sysctl(buf, len);
 +      if (ret != -1)
 +              return (ret);
 +#endif /* SYS__sysctl */
 +
 +      /*
 +       * Entropy collection via /dev/urandom and sysctl have failed.
 +       *
 +       * No other API exists for collecting entropy.  See the large
 +       * comment block above.
 +       *
 +       * We have very few options:
 +       *     - Even syslog_r is unsafe to call at this low level, so
 +       *       there is no way to alert the user or program.
 +       *     - Cannot call abort() because some systems have unsafe
 +       *       corefiles.
 +       *     - Could raise(SIGKILL) resulting in silent program termination.
 +       *     - Return EIO, to hint that arc4random's stir function
 +       *       should raise(SIGKILL)
 +       *     - Do the best under the circumstances....
 +       *
 +       * This code path exists to bring light to the issue that Linux
 +       * does not provide a failsafe API for entropy collection.
 +       *
 +       * We hope this demonstrates that Linux should either retain their
 +       * sysctl ABI, or consider providing a new failsafe API which
 +       * works in a chroot or when file descriptors are exhausted.
 +       */
 +#undef FAIL_INSTEAD_OF_TRYING_FALLBACK
 +#ifdef FAIL_INSTEAD_OF_TRYING_FALLBACK
 +      raise(SIGKILL);
 +#endif
 +      ret = getentropy_fallback(buf, len);
 +      if (ret != -1)
 +              return (ret);
 +
 +      errno = EIO;
 +      return (ret);
 +}
 +
 +/*
 + * Basic sanity checking; wish we could do better.
 + */
 +static int
 +gotdata(char *buf, size_t len)
 +{
 +      char    any_set = 0;
 +      size_t  i;
 +
 +      for (i = 0; i < len; ++i)
 +              any_set |= buf[i];
 +      if (any_set == 0)
 +              return -1;
 +      return 0;
 +}
 +
++#ifdef SYS_getrandom
++static int
++getentropy_getrandom(void *buf, size_t len)
++{
++      int pre_errno = errno;
++      int ret;
++      if (len > 256)
++              return (-1);
++      do {
++              ret = syscall(SYS_getrandom, buf, len, 0);
++      } while (ret == -1 && errno == EINTR);
++
++      if (ret != (int)len)
++              return (-1);
++      errno = pre_errno;
++      return (0);
++}
++#endif
++
 +static int
 +getentropy_urandom(void *buf, size_t len)
 +{
 +      struct stat st;
 +      size_t i;
 +      int fd, cnt, flags;
 +      int save_errno = errno;
 +
 +start:
 +
 +      flags = O_RDONLY;
 +#ifdef O_NOFOLLOW
 +      flags |= O_NOFOLLOW;
 +#endif
 +#ifdef O_CLOEXEC
 +      flags |= O_CLOEXEC;
 +#endif
 +      fd = open("/dev/urandom", flags, 0);
 +      if (fd == -1) {
 +              if (errno == EINTR)
 +                      goto start;
 +              goto nodevrandom;
 +      }
 +#ifndef O_CLOEXEC
 +      fcntl(fd, F_SETFD, fcntl(fd, F_GETFD) | FD_CLOEXEC);
 +#endif
 +
 +      /* Lightly verify that the device node looks sane */
 +      if (fstat(fd, &st) == -1 || !S_ISCHR(st.st_mode)) {
 +              close(fd);
 +              goto nodevrandom;
 +      }
 +      if (ioctl(fd, RNDGETENTCNT, &cnt) == -1) {
 +              close(fd);
 +              goto nodevrandom;
 +      }
 +      for (i = 0; i < len; ) {
 +              size_t wanted = len - i;
 +              ssize_t ret = read(fd, (char*)buf + i, wanted);
 +
 +              if (ret == -1) {
 +                      if (errno == EAGAIN || errno == EINTR)
 +                              continue;
 +                      close(fd);
 +                      goto nodevrandom;
 +              }
 +              i += ret;
 +      }
 +      close(fd);
 +      if (gotdata(buf, len) == 0) {
 +              errno = save_errno;
 +              return 0;               /* satisfied */
 +      }
 +nodevrandom:
 +      errno = EIO;
 +      return -1;
 +}
 +
 +#ifdef SYS__sysctl
 +static int
 +getentropy_sysctl(void *buf, size_t len)
 +{
 +      static int mib[] = { CTL_KERN, KERN_RANDOM, RANDOM_UUID };
 +      size_t i;
 +      int save_errno = errno;
 +
 +      for (i = 0; i < len; ) {
 +              size_t chunk = min(len - i, 16);
 +
 +              /* SYS__sysctl because some systems already removed sysctl() */
 +              struct __sysctl_args args = {
 +                      .name = mib,
 +                      .nlen = 3,
++                      .oldval = (char *)buf + i,
 +                      .oldlenp = &chunk,
 +              };
 +              if (syscall(SYS__sysctl, &args) != 0)
 +                      goto sysctlfailed;
 +              i += chunk;
 +      }
 +      if (gotdata(buf, len) == 0) {
 +              errno = save_errno;
 +              return (0);                     /* satisfied */
 +      }
 +sysctlfailed:
 +      errno = EIO;
 +      return -1;
 +}
 +#endif /* SYS__sysctl */
 +
 +static int cl[] = {
 +      CLOCK_REALTIME,
 +#ifdef CLOCK_MONOTONIC
 +      CLOCK_MONOTONIC,
 +#endif
 +#ifdef CLOCK_MONOTONIC_RAW
 +      CLOCK_MONOTONIC_RAW,
 +#endif
 +#ifdef CLOCK_TAI
 +      CLOCK_TAI,
 +#endif
 +#ifdef CLOCK_VIRTUAL
 +      CLOCK_VIRTUAL,
 +#endif
 +#ifdef CLOCK_UPTIME
 +      CLOCK_UPTIME,
 +#endif
 +#ifdef CLOCK_PROCESS_CPUTIME_ID
 +      CLOCK_PROCESS_CPUTIME_ID,
 +#endif
 +#ifdef CLOCK_THREAD_CPUTIME_ID
 +      CLOCK_THREAD_CPUTIME_ID,
 +#endif
 +};
 +
 +static int
 +getentropy_fallback(void *buf, size_t len)
 +{
 +      uint8_t results[SHA512_DIGEST_LENGTH];
 +      int save_errno = errno, e, pgs = getpagesize(), faster = 0, repeat;
 +      static int cnt;
 +      struct timespec ts;
 +      struct timeval tv;
 +      struct rusage ru;
 +      sigset_t sigset;
 +      struct stat st;
 +      SHA512_CTX ctx;
 +      static pid_t lastpid;
 +      pid_t pid;
 +      size_t i, ii, m;
 +      char *p;
 +
 +      pid = getpid();
 +      if (lastpid == pid) {
 +              faster = 1;
 +              repeat = 2;
 +      } else {
 +              faster = 0;
 +              lastpid = pid;
 +              repeat = REPEAT;
 +      }
 +      for (i = 0; i < len; ) {
 +              int j;
 +              SHA512_Init(&ctx);
 +              for (j = 0; j < repeat; j++) {
 +                      HX((e = gettimeofday(&tv, NULL)) == -1, tv);
 +                      if (e != -1) {
 +                              cnt += (int)tv.tv_sec;
 +                              cnt += (int)tv.tv_usec;
 +                      }
 +
 +                      for (ii = 0; ii < sizeof(cl)/sizeof(cl[0]); ii++)
 +                              HX(clock_gettime(cl[ii], &ts) == -1, ts);
 +
 +                      HX((pid = getpid()) == -1, pid);
 +                      HX((pid = getsid(pid)) == -1, pid);
 +                      HX((pid = getppid()) == -1, pid);
 +                      HX((pid = getpgid(0)) == -1, pid);
 +                      HX((e = getpriority(0, 0)) == -1, e);
 +
 +                      if (!faster) {
 +                              ts.tv_sec = 0;
 +                              ts.tv_nsec = 1;
 +                              (void) nanosleep(&ts, NULL);
 +                      }
 +
 +                      HX(sigpending(&sigset) == -1, sigset);
 +                      HX(sigprocmask(SIG_BLOCK, NULL, &sigset) == -1,
 +                          sigset);
 +
 +#ifdef CAN_REFERENCE_MAIN
 +                      HF(main);               /* an addr in program */
 +#endif
 +                      HF(getentropy); /* an addr in this library */
 +                      HF(printf);             /* an addr in libc */
 +                      p = (char *)&p;
 +                      HD(p);          /* an addr on stack */
 +                      p = (char *)&errno;
 +                      HD(p);          /* the addr of errno */
 +
 +                      if (i == 0) {
 +                              struct sockaddr_storage ss;
 +                              struct statvfs stvfs;
 +                              struct termios tios;
 +                              struct statfs stfs;
 +                              socklen_t ssl;
 +                              off_t off;
 +
 +                              /*
 +                               * Prime-sized mappings encourage fragmentation;
 +                               * thus exposing some address entropy.
 +                               */
 +                              struct mm {
 +                                      size_t  npg;
 +                                      void    *p;
 +                              } mm[] =         {
 +                                      { 17, MAP_FAILED }, { 3, MAP_FAILED },
 +                                      { 11, MAP_FAILED }, { 2, MAP_FAILED },
 +                                      { 5, MAP_FAILED }, { 3, MAP_FAILED },
 +                                      { 7, MAP_FAILED }, { 1, MAP_FAILED },
 +                                      { 57, MAP_FAILED }, { 3, MAP_FAILED },
 +                                      { 131, MAP_FAILED }, { 1, MAP_FAILED },
 +                              };
 +
 +                              for (m = 0; m < sizeof mm/sizeof(mm[0]); m++) {
 +                                      HX(mm[m].p = mmap(NULL,
 +                                          mm[m].npg * pgs,
 +                                          PROT_READ|PROT_WRITE,
 +                                          MAP_PRIVATE|MAP_ANON, -1,
 +                                          (off_t)0), mm[m].p);
 +                                      if (mm[m].p != MAP_FAILED) {
 +                                              size_t mo;
 +
 +                                              /* Touch some memory... */
 +                                              p = mm[m].p;
 +                                              mo = cnt %
 +                                                  (mm[m].npg * pgs - 1);
 +                                              p[mo] = 1;
 +                                              cnt += (int)((long)(mm[m].p)
 +                                                  / pgs);
 +                                      }
 +
 +                                      /* Check cnts and times... */
 +                                      for (ii = 0; ii < sizeof(cl)/sizeof(cl[0]);
 +                                          ii++) {
 +                                              HX((e = clock_gettime(cl[ii],
 +                                                  &ts)) == -1, ts);
 +                                              if (e != -1)
 +                                                      cnt += (int)ts.tv_nsec;
 +                                      }
 +
 +                                      HX((e = getrusage(RUSAGE_SELF,
 +                                          &ru)) == -1, ru);
 +                                      if (e != -1) {
 +                                              cnt += (int)ru.ru_utime.tv_sec;
 +                                              cnt += (int)ru.ru_utime.tv_usec;
 +                                      }
 +                              }
 +
 +                              for (m = 0; m < sizeof mm/sizeof(mm[0]); m++) {
 +                                      if (mm[m].p != MAP_FAILED)
 +                                              munmap(mm[m].p, mm[m].npg * pgs);
 +                                      mm[m].p = MAP_FAILED;
 +                              }
 +
 +                              HX(stat(".", &st) == -1, st);
 +                              HX(statvfs(".", &stvfs) == -1, stvfs);
 +                              HX(statfs(".", &stfs) == -1, stfs);
 +
 +                              HX(stat("/", &st) == -1, st);
 +                              HX(statvfs("/", &stvfs) == -1, stvfs);
 +                              HX(statfs("/", &stfs) == -1, stfs);
 +
 +                              HX((e = fstat(0, &st)) == -1, st);
 +                              if (e == -1) {
 +                                      if (S_ISREG(st.st_mode) ||
 +                                          S_ISFIFO(st.st_mode) ||
 +                                          S_ISSOCK(st.st_mode)) {
 +                                              HX(fstatvfs(0, &stvfs) == -1,
 +                                                  stvfs);
 +                                              HX(fstatfs(0, &stfs) == -1,
 +                                                  stfs);
 +                                              HX((off = lseek(0, (off_t)0,
 +                                                  SEEK_CUR)) < 0, off);
 +                                      }
 +                                      if (S_ISCHR(st.st_mode)) {
 +                                              HX(tcgetattr(0, &tios) == -1,
 +                                                  tios);
 +                                      } else if (S_ISSOCK(st.st_mode)) {
 +                                              memset(&ss, 0, sizeof ss);
 +                                              ssl = sizeof(ss);
 +                                              HX(getpeername(0,
 +                                                  (void *)&ss, &ssl) == -1,
 +                                                  ss);
 +                                      }
 +                              }
 +
 +                              HX((e = getrusage(RUSAGE_CHILDREN,
 +                                  &ru)) == -1, ru);
 +                              if (e != -1) {
 +                                      cnt += (int)ru.ru_utime.tv_sec;
 +                                      cnt += (int)ru.ru_utime.tv_usec;
 +                              }
 +                      } else {
 +                              /* Subsequent hashes absorb previous result */
 +                              HD(results);
 +                      }
 +
 +                      HX((e = gettimeofday(&tv, NULL)) == -1, tv);
 +                      if (e != -1) {
 +                              cnt += (int)tv.tv_sec;
 +                              cnt += (int)tv.tv_usec;
 +                      }
 +
 +                      HD(cnt);
 +              }
 +#ifdef HAVE_GETAUXVAL
 +#  ifdef AT_RANDOM
 +              /* Not as random as you think but we take what we are given */
 +              p = (char *) getauxval(AT_RANDOM);
 +              if (p)
 +                      HR(p, 16);
 +#  endif
 +#  ifdef AT_SYSINFO_EHDR
 +              p = (char *) getauxval(AT_SYSINFO_EHDR);
 +              if (p)
 +                      HR(p, pgs);
 +#  endif
 +#  ifdef AT_BASE
 +              p = (char *) getauxval(AT_BASE);
 +              if (p)
 +                      HD(p);
 +#  endif
 +#endif /* HAVE_GETAUXVAL */
 +
 +              SHA512_Final(results, &ctx);
 +              memcpy((char*)buf + i, results, min(sizeof(results), len - i));
 +              i += min(sizeof(results), len - i);
 +      }
 +      memset(results, 0, sizeof results);
 +      if (gotdata(buf, len) == 0) {
 +              errno = save_errno;
 +              return 0;               /* satisfied */
 +      }
 +      errno = EIO;
 +      return -1;
 +}
diff --cc contrib/unbound/compat/reallocarray.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..04d5d71c8be67ebd9e9e65cd6badbaaf142beae3
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/compat/reallocarray.c
@@@ -1,0 -1,0 +1,39 @@@
++/*    $OpenBSD: reallocarray.c,v 1.1 2014/05/08 21:43:49 deraadt Exp $        */
++/*
++ * Copyright (c) 2008 Otto Moerbeek <otto@drijf.net>
++ *
++ * Permission to use, copy, modify, and distribute this software for any
++ * purpose with or without fee is hereby granted, provided that the above
++ * copyright notice and this permission notice appear in all copies.
++ *
++ * THE SOFTWARE IS PROVIDED "AS IS" AND THE AUTHOR DISCLAIMS ALL WARRANTIES
++ * WITH REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF
++ * MERCHANTABILITY AND FITNESS. IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR
++ * ANY SPECIAL, DIRECT, INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES
++ * WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN
++ * ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF
++ * OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.
++ */
++
++#include "config.h"
++#include <sys/types.h>
++#include <errno.h>
++#include <stdint.h>
++#include <stdlib.h>
++
++/*
++ * This is sqrt(SIZE_MAX+1), as s1*s2 <= SIZE_MAX
++ * if both s1 < MUL_NO_OVERFLOW and s2 < MUL_NO_OVERFLOW
++ */
++#define MUL_NO_OVERFLOW       ((size_t)1 << (sizeof(size_t) * 4))
++
++void *
++reallocarray(void *optr, size_t nmemb, size_t size)
++{
++      if ((nmemb >= MUL_NO_OVERFLOW || size >= MUL_NO_OVERFLOW) &&
++          nmemb > 0 && SIZE_MAX / nmemb < size) {
++              errno = ENOMEM;
++              return NULL;
++      }
++      return realloc(optr, size * nmemb);
++}
diff --cc contrib/unbound/config.h
index 641ddd32ab63292277275d325ee932bdd91995b7,0000000000000000000000000000000000000000..0d435a5b60f508edce64ac99a32b74128cc3ce48
mode 100644,000000..100644
--- 1/contrib/unbound/config.h
--- /dev/null
+++ b/contrib/unbound/config.h
@@@ -1,1037 -1,0 +1,1053 @@@
- #define PACKAGE_STRING "unbound 1.5.3"
 +/* config.h.  Generated from config.h.in by configure.  */
 +/* config.h.in.  Generated from configure.ac by autoheader.  */
 +
 +/* Directory to chroot to */
 +#define CHROOT_DIR "/var/unbound"
 +
 +/* Do sha512 definitions in config.h */
 +/* #undef COMPAT_SHA512 */
 +
 +/* Pathname to the Unbound configuration file */
 +#define CONFIGFILE "/var/unbound/unbound.conf"
 +
 +/* Define this if on macOSX10.4-darwin8 and setreuid and setregid do not work
 +   */
 +/* #undef DARWIN_BROKEN_SETREUID */
 +
 +/* Whether daemon is deprecated */
 +/* #undef DEPRECATED_DAEMON */
 +
 +/* default dnstap socket path */
 +/* #undef DNSTAP_SOCKET_PATH */
 +
 +/* Define if you want to use debug lock checking (slow). */
 +/* #undef ENABLE_LOCK_CHECKS */
 +
 +/* Define this if you enabled-allsymbols from libunbound to link binaries to
 +   it for smaller install size, but the libunbound export table is polluted by
 +   internal symbols */
 +/* #undef EXPORT_ALL_SYMBOLS */
 +
 +/* Define to 1 if you have the `arc4random' function. */
 +#define HAVE_ARC4RANDOM 1
 +
 +/* Define to 1 if you have the `arc4random_uniform' function. */
 +#define HAVE_ARC4RANDOM_UNIFORM 1
 +
 +/* Define to 1 if you have the <arpa/inet.h> header file. */
 +#define HAVE_ARPA_INET_H 1
 +
 +/* Whether the C compiler accepts the "format" attribute */
 +#define HAVE_ATTR_FORMAT 1
 +
 +/* Whether the C compiler accepts the "unused" attribute */
 +#define HAVE_ATTR_UNUSED 1
 +
 +/* Define to 1 if you have the `chown' function. */
 +#define HAVE_CHOWN 1
 +
 +/* Define to 1 if you have the `chroot' function. */
 +#define HAVE_CHROOT 1
 +
 +/* Define to 1 if you have the `ctime_r' function. */
 +#define HAVE_CTIME_R 1
 +
 +/* Define to 1 if you have the `daemon' function. */
 +#define HAVE_DAEMON 1
 +
 +/* Define to 1 if you have the declaration of `arc4random', and to 0 if you
 +   don't. */
 +/* #undef HAVE_DECL_ARC4RANDOM */
 +
 +/* Define to 1 if you have the declaration of `arc4random_uniform', and to 0
 +   if you don't. */
 +/* #undef HAVE_DECL_ARC4RANDOM_UNIFORM */
 +
 +/* Define to 1 if you have the declaration of `NID_secp384r1', and to 0 if you
 +   don't. */
 +#define HAVE_DECL_NID_SECP384R1 1
 +
 +/* Define to 1 if you have the declaration of `NID_X9_62_prime256v1', and to 0
 +   if you don't. */
 +#define HAVE_DECL_NID_X9_62_PRIME256V1 1
 +
++/* Define to 1 if you have the declaration of `reallocarray', and to 0 if you
++   don't. */
++/* #undef HAVE_DECL_REALLOCARRAY */
++
 +/* Define to 1 if you have the declaration of `sk_SSL_COMP_pop_free', and to 0
 +   if you don't. */
 +#define HAVE_DECL_SK_SSL_COMP_POP_FREE 1
 +
 +/* Define to 1 if you have the declaration of
 +   `SSL_COMP_get_compression_methods', and to 0 if you don't. */
 +#define HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS 1
 +
 +/* Define to 1 if you have the declaration of `strlcat', and to 0 if you
 +   don't. */
 +/* #undef HAVE_DECL_STRLCAT */
 +
 +/* Define to 1 if you have the declaration of `strlcpy', and to 0 if you
 +   don't. */
 +/* #undef HAVE_DECL_STRLCPY */
 +
 +/* Define to 1 if you have the <dlfcn.h> header file. */
 +#define HAVE_DLFCN_H 1
 +
 +/* Define to 1 if you have the <endian.h> header file. */
 +/* #undef HAVE_ENDIAN_H */
 +
 +/* Define to 1 if you have the `endprotoent' function. */
 +#define HAVE_ENDPROTOENT 1
 +
 +/* Define to 1 if you have the `endservent' function. */
 +#define HAVE_ENDSERVENT 1
 +
 +/* Define to 1 if you have the `event_base_free' function. */
 +/* #undef HAVE_EVENT_BASE_FREE */
 +
 +/* Define to 1 if you have the `event_base_get_method' function. */
 +/* #undef HAVE_EVENT_BASE_GET_METHOD */
 +
 +/* Define to 1 if you have the `event_base_new' function. */
 +/* #undef HAVE_EVENT_BASE_NEW */
 +
 +/* Define to 1 if you have the `event_base_once' function. */
 +/* #undef HAVE_EVENT_BASE_ONCE */
 +
 +/* Define to 1 if you have the <event.h> header file. */
 +/* #undef HAVE_EVENT_H */
 +
 +/* Define to 1 if you have the `EVP_sha1' function. */
 +#define HAVE_EVP_SHA1 1
 +
 +/* Define to 1 if you have the `EVP_sha256' function. */
 +#define HAVE_EVP_SHA256 1
 +
 +/* Define to 1 if you have the `EVP_sha512' function. */
 +#define HAVE_EVP_SHA512 1
 +
 +/* Define to 1 if you have the `ev_default_loop' function. */
 +/* #undef HAVE_EV_DEFAULT_LOOP */
 +
 +/* Define to 1 if you have the `ev_loop' function. */
 +/* #undef HAVE_EV_LOOP */
 +
 +/* Define to 1 if you have the <expat.h> header file. */
 +#define HAVE_EXPAT_H 1
 +
 +/* Define to 1 if you have the `fcntl' function. */
 +#define HAVE_FCNTL 1
 +
 +/* Define to 1 if you have the `FIPS_mode' function. */
 +#define HAVE_FIPS_MODE 1
 +
 +/* Define to 1 if you have the `fork' function. */
 +#define HAVE_FORK 1
 +
 +/* Define to 1 if fseeko (and presumably ftello) exists and is declared. */
 +#define HAVE_FSEEKO 1
 +
 +/* Whether getaddrinfo is available */
 +#define HAVE_GETADDRINFO 1
 +
 +/* Define to 1 if you have the `getauxval' function. */
 +/* #undef HAVE_GETAUXVAL */
 +
 +/* Define to 1 if you have the `getentropy' function. */
 +/* #undef HAVE_GETENTROPY */
 +
 +/* Define to 1 if you have the <getopt.h> header file. */
 +#define HAVE_GETOPT_H 1
 +
 +/* Define to 1 if you have the `getpwnam' function. */
 +#define HAVE_GETPWNAM 1
 +
 +/* Define to 1 if you have the `getrlimit' function. */
 +#define HAVE_GETRLIMIT 1
 +
 +/* Define to 1 if you have the `glob' function. */
 +#define HAVE_GLOB 1
 +
 +/* Define to 1 if you have the <glob.h> header file. */
 +#define HAVE_GLOB_H 1
 +
 +/* Define to 1 if you have the `gmtime_r' function. */
 +#define HAVE_GMTIME_R 1
 +
 +/* Define to 1 if you have the <grp.h> header file. */
 +#define HAVE_GRP_H 1
 +
 +/* If you have HMAC_CTX_init */
 +#define HAVE_HMAC_CTX_INIT 1
 +
 +/* Define to 1 if you have the `inet_aton' function. */
 +#define HAVE_INET_ATON 1
 +
 +/* Define to 1 if you have the `inet_ntop' function. */
 +#define HAVE_INET_NTOP 1
 +
 +/* Define to 1 if you have the `inet_pton' function. */
 +#define HAVE_INET_PTON 1
 +
 +/* Define to 1 if you have the `initgroups' function. */
 +#define HAVE_INITGROUPS 1
 +
 +/* Define to 1 if you have the <inttypes.h> header file. */
 +#define HAVE_INTTYPES_H 1
 +
 +/* if the function 'ioctlsocket' is available */
 +/* #undef HAVE_IOCTLSOCKET */
 +
 +/* Define to 1 if you have the <iphlpapi.h> header file. */
 +/* #undef HAVE_IPHLPAPI_H */
 +
 +/* Define to 1 if you have the `kill' function. */
 +#define HAVE_KILL 1
 +
 +/* Define if we have LibreSSL */
 +/* #undef HAVE_LIBRESSL */
 +
 +/* Define to 1 if you have the `localtime_r' function. */
 +#define HAVE_LOCALTIME_R 1
 +
 +/* Define to 1 if you have the <login_cap.h> header file. */
 +#define HAVE_LOGIN_CAP_H 1
 +
 +/* If have GNU libc compatible malloc */
 +#define HAVE_MALLOC 1
 +
 +/* Define to 1 if you have the `memmove' function. */
 +#define HAVE_MEMMOVE 1
 +
 +/* Define to 1 if you have the <memory.h> header file. */
 +#define HAVE_MEMORY_H 1
 +
 +/* Define to 1 if you have the <netdb.h> header file. */
 +#define HAVE_NETDB_H 1
 +
 +/* Define to 1 if you have the <netinet/in.h> header file. */
 +#define HAVE_NETINET_IN_H 1
 +
 +/* Use libnss for crypto */
 +/* #undef HAVE_NSS */
 +
 +/* Define to 1 if you have the `OPENSSL_config' function. */
 +#define HAVE_OPENSSL_CONFIG 1
 +
 +/* Define to 1 if you have the <openssl/conf.h> header file. */
 +#define HAVE_OPENSSL_CONF_H 1
 +
 +/* Define to 1 if you have the <openssl/engine.h> header file. */
 +#define HAVE_OPENSSL_ENGINE_H 1
 +
 +/* Define to 1 if you have the <openssl/err.h> header file. */
 +#define HAVE_OPENSSL_ERR_H 1
 +
 +/* Define to 1 if you have the <openssl/rand.h> header file. */
 +#define HAVE_OPENSSL_RAND_H 1
 +
 +/* Define to 1 if you have the <openssl/ssl.h> header file. */
 +#define HAVE_OPENSSL_SSL_H 1
 +
 +/* Define if you have POSIX threads libraries and header files. */
 +#define HAVE_PTHREAD 1
 +
 +/* Have PTHREAD_PRIO_INHERIT. */
 +#define HAVE_PTHREAD_PRIO_INHERIT 1
 +
 +/* Define to 1 if the system has the type `pthread_rwlock_t'. */
 +#define HAVE_PTHREAD_RWLOCK_T 1
 +
 +/* Define to 1 if the system has the type `pthread_spinlock_t'. */
 +#define HAVE_PTHREAD_SPINLOCK_T 1
 +
 +/* Define to 1 if you have the <pwd.h> header file. */
 +#define HAVE_PWD_H 1
 +
 +/* Define if you have Python libraries and header files. */
 +/* #undef HAVE_PYTHON */
 +
 +/* Define to 1 if you have the `random' function. */
 +#define HAVE_RANDOM 1
 +
++/* Define to 1 if you have the `reallocarray' function. */
++#define HAVE_REALLOCARRAY 1
++
 +/* Define to 1 if you have the `recvmsg' function. */
 +#define HAVE_RECVMSG 1
 +
 +/* Define to 1 if you have the `sbrk' function. */
 +/* #undef HAVE_SBRK */
 +
 +/* Define to 1 if you have the `sendmsg' function. */
 +#define HAVE_SENDMSG 1
 +
 +/* Define to 1 if you have the `setregid' function. */
 +/* #undef HAVE_SETREGID */
 +
 +/* Define to 1 if you have the `setresgid' function. */
 +#define HAVE_SETRESGID 1
 +
 +/* Define to 1 if you have the `setresuid' function. */
 +#define HAVE_SETRESUID 1
 +
 +/* Define to 1 if you have the `setreuid' function. */
 +/* #undef HAVE_SETREUID */
 +
 +/* Define to 1 if you have the `setrlimit' function. */
 +#define HAVE_SETRLIMIT 1
 +
 +/* Define to 1 if you have the `setsid' function. */
 +#define HAVE_SETSID 1
 +
 +/* Define to 1 if you have the `setusercontext' function. */
 +#define HAVE_SETUSERCONTEXT 1
 +
 +/* Define to 1 if you have the `SHA512_Update' function. */
 +/* #undef HAVE_SHA512_UPDATE */
 +
 +/* Define to 1 if you have the `sigprocmask' function. */
 +#define HAVE_SIGPROCMASK 1
 +
 +/* Define to 1 if you have the `sleep' function. */
 +#define HAVE_SLEEP 1
 +
 +/* Define to 1 if you have the `snprintf' function. */
 +#define HAVE_SNPRINTF 1
 +
 +/* Define to 1 if you have the `socketpair' function. */
 +#define HAVE_SOCKETPAIR 1
 +
 +/* Using Solaris threads */
 +/* #undef HAVE_SOLARIS_THREADS */
 +
 +/* Define to 1 if you have the `srandom' function. */
 +#define HAVE_SRANDOM 1
 +
 +/* Define if you have the SSL libraries installed. */
 +#define HAVE_SSL /**/
 +
 +/* Define to 1 if you have the <stdarg.h> header file. */
 +#define HAVE_STDARG_H 1
 +
 +/* Define to 1 if you have the <stdbool.h> header file. */
 +#define HAVE_STDBOOL_H 1
 +
 +/* Define to 1 if you have the <stdint.h> header file. */
 +#define HAVE_STDINT_H 1
 +
 +/* Define to 1 if you have the <stdlib.h> header file. */
 +#define HAVE_STDLIB_H 1
 +
 +/* Define to 1 if you have the `strftime' function. */
 +#define HAVE_STRFTIME 1
 +
 +/* Define to 1 if you have the <strings.h> header file. */
 +#define HAVE_STRINGS_H 1
 +
 +/* Define to 1 if you have the <string.h> header file. */
 +#define HAVE_STRING_H 1
 +
 +/* Define to 1 if you have the `strlcat' function. */
 +#define HAVE_STRLCAT 1
 +
 +/* Define to 1 if you have the `strlcpy' function. */
 +#define HAVE_STRLCPY 1
 +
 +/* Define to 1 if you have the `strptime' function. */
 +#define HAVE_STRPTIME 1
 +
 +/* Define to 1 if `ipi_spec_dst' is a member of `struct in_pktinfo'. */
 +/* #undef HAVE_STRUCT_IN_PKTINFO_IPI_SPEC_DST */
 +
 +/* Define to 1 if `sun_len' is a member of `struct sockaddr_un'. */
 +#define HAVE_STRUCT_SOCKADDR_UN_SUN_LEN 1
 +
 +/* Define if you have Swig libraries and header files. */
 +/* #undef HAVE_SWIG */
 +
 +/* Define to 1 if you have the <syslog.h> header file. */
 +#define HAVE_SYSLOG_H 1
 +
 +/* Define to 1 if you have the <sys/param.h> header file. */
 +#define HAVE_SYS_PARAM_H 1
 +
 +/* Define to 1 if you have the <sys/resource.h> header file. */
 +#define HAVE_SYS_RESOURCE_H 1
 +
 +/* Define to 1 if you have the <sys/sha2.h> header file. */
 +/* #undef HAVE_SYS_SHA2_H */
 +
 +/* Define to 1 if you have the <sys/socket.h> header file. */
 +#define HAVE_SYS_SOCKET_H 1
 +
 +/* Define to 1 if you have the <sys/stat.h> header file. */
 +#define HAVE_SYS_STAT_H 1
 +
 +/* Define to 1 if you have the <sys/sysctl.h> header file. */
 +/* #undef HAVE_SYS_SYSCTL_H */
 +
 +/* Define to 1 if you have the <sys/types.h> header file. */
 +#define HAVE_SYS_TYPES_H 1
 +
 +/* Define to 1 if you have the <sys/uio.h> header file. */
 +#define HAVE_SYS_UIO_H 1
 +
 +/* Define to 1 if you have the <sys/un.h> header file. */
 +#define HAVE_SYS_UN_H 1
 +
 +/* Define to 1 if you have the <sys/wait.h> header file. */
 +#define HAVE_SYS_WAIT_H 1
 +
 +/* Define to 1 if you have the <time.h> header file. */
 +#define HAVE_TIME_H 1
 +
 +/* Define to 1 if you have the `tzset' function. */
 +#define HAVE_TZSET 1
 +
 +/* Define to 1 if you have the <unistd.h> header file. */
 +#define HAVE_UNISTD_H 1
 +
 +/* Define to 1 if you have the `usleep' function. */
 +#define HAVE_USLEEP 1
 +
 +/* Define to 1 if you have the `vfork' function. */
 +#define HAVE_VFORK 1
 +
 +/* Define to 1 if you have the <vfork.h> header file. */
 +/* #undef HAVE_VFORK_H */
 +
 +/* Define to 1 if you have the <windows.h> header file. */
 +/* #undef HAVE_WINDOWS_H */
 +
 +/* Using Windows threads */
 +/* #undef HAVE_WINDOWS_THREADS */
 +
 +/* Define to 1 if you have the <winsock2.h> header file. */
 +/* #undef HAVE_WINSOCK2_H */
 +
 +/* Define to 1 if `fork' works. */
 +#define HAVE_WORKING_FORK 1
 +
 +/* Define to 1 if `vfork' works. */
 +#define HAVE_WORKING_VFORK 1
 +
 +/* Define to 1 if you have the `writev' function. */
 +#define HAVE_WRITEV 1
 +
 +/* Define to 1 if you have the <ws2tcpip.h> header file. */
 +/* #undef HAVE_WS2TCPIP_H */
 +
 +/* Define to 1 if you have the `_beginthreadex' function. */
 +/* #undef HAVE__BEGINTHREADEX */
 +
 +/* if lex has yylex_destroy */
 +#define LEX_HAS_YYLEX_DESTROY 1
 +
 +/* Define to the sub-directory in which libtool stores uninstalled libraries.
 +   */
 +#define LT_OBJDIR ".libs/"
 +
 +/* Define to the maximum message length to pass to syslog. */
 +#define MAXSYSLOGMSGLEN 10240
 +
 +/* Define if memcmp() does not compare unsigned bytes */
 +/* #undef MEMCMP_IS_BROKEN */
 +
 +/* Define if mkdir has one argument. */
 +/* #undef MKDIR_HAS_ONE_ARG */
 +
 +/* Define if the network stack does not fully support nonblocking io (causes
 +   lower performance). */
 +/* #undef NONBLOCKING_IS_BROKEN */
 +
 +/* Put -D_ALL_SOURCE define in config.h */
 +/* #undef OMITTED__D_ALL_SOURCE */
 +
 +/* Put -D_BSD_SOURCE define in config.h */
 +/* #undef OMITTED__D_BSD_SOURCE */
 +
 +/* Put -D_GNU_SOURCE define in config.h */
 +/* #undef OMITTED__D_GNU_SOURCE */
 +
 +/* Put -D_LARGEFILE_SOURCE=1 define in config.h */
 +/* #undef OMITTED__D_LARGEFILE_SOURCE_1 */
 +
 +/* Put -D_POSIX_C_SOURCE=200112 define in config.h */
 +/* #undef OMITTED__D_POSIX_C_SOURCE_200112 */
 +
 +/* Put -D_XOPEN_SOURCE=600 define in config.h */
 +/* #undef OMITTED__D_XOPEN_SOURCE_600 */
 +
 +/* Put -D_XOPEN_SOURCE_EXTENDED=1 define in config.h */
 +/* #undef OMITTED__D_XOPEN_SOURCE_EXTENDED_1 */
 +
 +/* Put -D__EXTENSIONS__ define in config.h */
 +/* #undef OMITTED__D__EXTENSIONS__ */
 +
 +/* Define to the address where bug reports for this package should be sent. */
 +#define PACKAGE_BUGREPORT "unbound-bugs@nlnetlabs.nl"
 +
 +/* Define to the full name of this package. */
 +#define PACKAGE_NAME "unbound"
 +
 +/* Define to the full name and version of this package. */
- #define PACKAGE_VERSION "1.5.3"
++#define PACKAGE_STRING "unbound 1.5.4"
 +
 +/* Define to the one symbol short name of this package. */
 +#define PACKAGE_TARNAME "unbound"
 +
 +/* Define to the home page for this package. */
 +#define PACKAGE_URL ""
 +
 +/* Define to the version of this package. */
- #define RSRC_PACKAGE_VERSION 1,5,3,0
++#define PACKAGE_VERSION "1.5.4"
 +
 +/* default pidfile location */
 +#define PIDFILE "/var/unbound/unbound.pid"
 +
 +/* Define to necessary symbol if this constant uses a non-standard name on
 +   your system. */
 +/* #undef PTHREAD_CREATE_JOINABLE */
 +
 +/* Define as the return type of signal handlers (`int' or `void'). */
 +#define RETSIGTYPE void
 +
 +/* default rootkey location */
 +#define ROOT_ANCHOR_FILE "/var/unbound/root.key"
 +
 +/* default rootcert location */
 +#define ROOT_CERT_FILE "/var/unbound/icannbundle.pem"
 +
 +/* version number for resource files */
++#define RSRC_PACKAGE_VERSION 1,5,4,0
 +
 +/* Directory to chdir to */
 +#define RUN_DIR "/var/unbound"
 +
 +/* Shared data */
 +#define SHARE_DIR "/var/unbound"
 +
 +/* The size of `time_t', as computed by sizeof. */
 +#define SIZEOF_TIME_T 8
 +
 +/* Define to 1 if you have the ANSI C header files. */
 +#define STDC_HEADERS 1
 +
 +/* use default strptime. */
 +#define STRPTIME_WORKS 1
 +
 +/* Use win32 resources and API */
 +/* #undef UB_ON_WINDOWS */
 +
 +/* default username */
 +#define UB_USERNAME "unbound"
 +
 +/* use to enable lightweight alloc assertions, for debug use */
 +/* #undef UNBOUND_ALLOC_LITE */
 +
 +/* use malloc not regions, for debug use */
 +/* #undef UNBOUND_ALLOC_NONREGIONAL */
 +
 +/* use statistics for allocs and frees, for debug use */
 +/* #undef UNBOUND_ALLOC_STATS */
 +
 +/* define this to enable debug checks. */
 +/* #undef UNBOUND_DEBUG */
 +
 +/* Define to 1 to enable dnstap support */
 +/* #undef USE_DNSTAP */
 +
 +/* Define this to enable ECDSA support. */
 +#define USE_ECDSA 1
 +
 +/* Define this to enable an EVP workaround for older openssl */
 +/* #undef USE_ECDSA_EVP_WORKAROUND */
 +
 +/* Define this to enable GOST support. */
 +/* #undef USE_GOST */
 +
 +/* Define if you want to use internal select based events */
 +#define USE_MINI_EVENT 1
 +
 +/* Define this to enable SHA256 and SHA512 support. */
 +#define USE_SHA2 1
 +
 +/* Enable extensions on AIX 3, Interix.  */
 +#ifndef _ALL_SOURCE
 +# define _ALL_SOURCE 1
 +#endif
 +/* Enable GNU extensions on systems that have them.  */
 +#ifndef _GNU_SOURCE
 +# define _GNU_SOURCE 1
 +#endif
 +/* Enable threading extensions on Solaris.  */
 +#ifndef _POSIX_PTHREAD_SEMANTICS
 +# define _POSIX_PTHREAD_SEMANTICS 1
 +#endif
 +/* Enable extensions on HP NonStop.  */
 +#ifndef _TANDEM_SOURCE
 +# define _TANDEM_SOURCE 1
 +#endif
 +/* Enable general extensions on Solaris.  */
 +#ifndef __EXTENSIONS__
 +# define __EXTENSIONS__ 1
 +#endif
 +
 +
 +/* Whether the windows socket API is used */
 +/* #undef USE_WINSOCK */
 +
 +/* the version of the windows API enabled */
 +#define WINVER 0x0502
 +
 +/* Define if you want Python module. */
 +/* #undef WITH_PYTHONMODULE */
 +
 +/* Define if you want PyUnbound. */
 +/* #undef WITH_PYUNBOUND */
 +
 +/* Define to 1 if `lex' declares `yytext' as a `char *' by default, not a
 +   `char[]'. */
 +#define YYTEXT_POINTER 1
 +
 +/* Enable large inode numbers on Mac OS X 10.5.  */
 +#ifndef _DARWIN_USE_64_BIT_INODE
 +# define _DARWIN_USE_64_BIT_INODE 1
 +#endif
 +
 +/* Number of bits in a file offset, on hosts where this is settable. */
 +/* #undef _FILE_OFFSET_BITS */
 +
 +/* Define to 1 to make fseeko visible on some hosts (e.g. glibc 2.2). */
 +/* #undef _LARGEFILE_SOURCE */
 +
 +/* Define for large files, on AIX-style hosts. */
 +/* #undef _LARGE_FILES */
 +
 +/* Define to 1 if on MINIX. */
 +/* #undef _MINIX */
 +
 +/* Enable for compile on Minix */
 +/* #undef _NETBSD_SOURCE */
 +
 +/* Define to 2 if the system does not provide POSIX.1 features except with
 +   this defined. */
 +/* #undef _POSIX_1_SOURCE */
 +
 +/* Define to 1 if you need to in order for `stat' and other things to work. */
 +/* #undef _POSIX_SOURCE */
 +
 +/* Define to empty if `const' does not conform to ANSI C. */
 +/* #undef const */
 +
 +/* Define to `int' if <sys/types.h> doesn't define. */
 +/* #undef gid_t */
 +
 +/* in_addr_t */
 +/* #undef in_addr_t */
 +
 +/* in_port_t */
 +/* #undef in_port_t */
 +
 +/* Define to `__inline__' or `__inline' if that's what the C compiler
 +   calls it, or to nothing if 'inline' is not supported under any name.  */
 +#ifndef __cplusplus
 +/* #undef inline */
 +#endif
 +
 +/* Define to `short' if <sys/types.h> does not define. */
 +/* #undef int16_t */
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +/* #undef int32_t */
 +
 +/* Define to `long long' if <sys/types.h> does not define. */
 +/* #undef int64_t */
 +
 +/* Define to `signed char' if <sys/types.h> does not define. */
 +/* #undef int8_t */
 +
 +/* Define if replacement function should be used. */
 +/* #undef malloc */
 +
 +/* Define to `long int' if <sys/types.h> does not define. */
 +/* #undef off_t */
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +/* #undef pid_t */
 +
 +/* Define to 'int' if not defined */
 +/* #undef rlim_t */
 +
 +/* Define to `unsigned int' if <sys/types.h> does not define. */
 +/* #undef size_t */
 +
 +/* Define to 'int' if not defined */
 +/* #undef socklen_t */
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +/* #undef ssize_t */
 +
 +/* Define to 'unsigned char if not defined */
 +/* #undef u_char */
 +
 +/* Define to `int' if <sys/types.h> doesn't define. */
 +/* #undef uid_t */
 +
 +/* Define to `unsigned short' if <sys/types.h> does not define. */
 +/* #undef uint16_t */
 +
 +/* Define to `unsigned int' if <sys/types.h> does not define. */
 +/* #undef uint32_t */
 +
 +/* Define to `unsigned long long' if <sys/types.h> does not define. */
 +/* #undef uint64_t */
 +
 +/* Define to `unsigned char' if <sys/types.h> does not define. */
 +/* #undef uint8_t */
 +
 +/* Define as `fork' if `vfork' does not work. */
 +/* #undef vfork */
 +
 +#if defined(OMITTED__D_GNU_SOURCE) && !defined(_GNU_SOURCE)
 +#define _GNU_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D_BSD_SOURCE) && !defined(_BSD_SOURCE)
 +#define _BSD_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D__EXTENSIONS__) && !defined(__EXTENSIONS__)
 +#define __EXTENSIONS__ 1
 +#endif 
 +
 +#if defined(OMITTED__D_POSIX_C_SOURCE_200112) && !defined(_POSIX_C_SOURCE)
 +#define _POSIX_C_SOURCE 200112
 +#endif 
 +
 +#if defined(OMITTED__D_XOPEN_SOURCE_600) && !defined(_XOPEN_SOURCE)
 +#define _XOPEN_SOURCE 600
 +#endif 
 +
 +#if defined(OMITTED__D_XOPEN_SOURCE_EXTENDED_1) && !defined(_XOPEN_SOURCE_EXTENDED)
 +#define _XOPEN_SOURCE_EXTENDED 1
 +#endif 
 +
 +#if defined(OMITTED__D_ALL_SOURCE) && !defined(_ALL_SOURCE)
 +#define _ALL_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D_LARGEFILE_SOURCE_1) && !defined(_LARGEFILE_SOURCE)
 +#define _LARGEFILE_SOURCE 1
 +#endif 
 +
 +
 +
 +
 +#ifndef UNBOUND_DEBUG
 +#  define NDEBUG
 +#endif
 +
 +/** Use small-ldns codebase */
 +#define USE_SLDNS 1
 +#ifdef HAVE_SSL
 +#  define LDNS_BUILD_CONFIG_HAVE_SSL 1
 +#endif
 +
 +#include <stdio.h>
 +#include <string.h>
 +#include <unistd.h>
 +#include <assert.h>
 +
 +#if STDC_HEADERS
 +#include <stdlib.h>
 +#include <stddef.h>
 +#endif
 +
 +#ifdef HAVE_STDARG_H
 +#include <stdarg.h>
 +#endif
 +
 +#ifdef HAVE_STDINT_H
 +#include <stdint.h>
 +#endif
 +
 +#include <errno.h>
 +
 +#if HAVE_SYS_PARAM_H
 +#include <sys/param.h>
 +#endif
 +
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +
 +#ifdef HAVE_SYS_UIO_H
 +#include <sys/uio.h>
 +#endif
 +
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +
 +#ifndef USE_WINSOCK
 +#define ARG_LL "%ll"
 +#else
 +#define ARG_LL "%I64"
 +#endif
 +
 +#ifndef AF_LOCAL
 +#define AF_LOCAL AF_UNIX
 +#endif
 +
 +
 + 
 +#ifdef HAVE_ATTR_FORMAT
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) \
 +    __attribute__ ((format (archetype, string_index, first_to_check)))
 +#else /* !HAVE_ATTR_FORMAT */
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) /* empty */
 +#endif /* !HAVE_ATTR_FORMAT */
 +
 +
 +#if defined(DOXYGEN)
 +#  define ATTR_UNUSED(x)  x
 +#elif defined(__cplusplus)
 +#  define ATTR_UNUSED(x)
 +#elif defined(HAVE_ATTR_UNUSED)
 +#  define ATTR_UNUSED(x)  x __attribute__((unused))
 +#else /* !HAVE_ATTR_UNUSED */
 +#  define ATTR_UNUSED(x)  x
 +#endif /* !HAVE_ATTR_UNUSED */
 +
 +
 +#ifndef HAVE_FSEEKO
 +#define fseeko fseek
 +#define ftello ftell
 +#endif /* HAVE_FSEEKO */
 +
 +
 +#ifndef MAXHOSTNAMELEN
 +#define MAXHOSTNAMELEN 256
 +#endif
 +
 +
 +#ifndef HAVE_SNPRINTF
 +#define snprintf snprintf_unbound
 +#define vsnprintf vsnprintf_unbound
 +#include <stdarg.h>
 +int snprintf (char *str, size_t count, const char *fmt, ...);
 +int vsnprintf (char *str, size_t count, const char *fmt, va_list arg);
 +#endif /* HAVE_SNPRINTF */
 +
 +
 +#ifndef HAVE_INET_PTON
 +#define inet_pton inet_pton_unbound
 +int inet_pton(int af, const char* src, void* dst);
 +#endif /* HAVE_INET_PTON */
 +
 +
 +#ifndef HAVE_INET_NTOP
 +#define inet_ntop inet_ntop_unbound
 +const char *inet_ntop(int af, const void *src, char *dst, size_t size);
 +#endif
 +
 +
 +#ifndef HAVE_INET_ATON
 +#define inet_aton inet_aton_unbound
 +int inet_aton(const char *cp, struct in_addr *addr);
 +#endif
 +
 +
 +#ifndef HAVE_MEMMOVE
 +#define memmove memmove_unbound
 +void *memmove(void *dest, const void *src, size_t n);
 +#endif
 +
 +
 +#ifndef HAVE_STRLCAT
 +#define strlcat strlcat_unbound
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#endif
 +
 +
 +#ifndef HAVE_STRLCPY
 +#define strlcpy strlcpy_unbound
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#endif
 +
 +
 +#ifndef HAVE_GMTIME_R
 +#define gmtime_r gmtime_r_unbound
 +struct tm *gmtime_r(const time_t *timep, struct tm *result);
 +#endif
 +
 +
++#ifndef HAVE_REALLOCARRAY
++#define reallocarray reallocarrayunbound
++void* reallocarray(void *ptr, size_t nmemb, size_t size);
++#endif
++
++
 +#if !defined(HAVE_SLEEP) || defined(HAVE_WINDOWS_H)
 +#define sleep(x) Sleep((x)*1000) /* on win32 */
 +#endif /* HAVE_SLEEP */
 +
 +
 +#ifndef HAVE_USLEEP
 +#define usleep(x) Sleep((x)/1000 + 1) /* on win32 */
 +#endif /* HAVE_USLEEP */
 +
 +
 +#ifndef HAVE_RANDOM
 +#define random rand /* on win32, for tests only (bad random) */
 +#endif /* HAVE_RANDOM */
 +
 +
 +#ifndef HAVE_SRANDOM
 +#define srandom(x) srand(x) /* on win32, for tests only (bad random) */
 +#endif /* HAVE_SRANDOM */
 +
 +
 +/* detect if we need to cast to unsigned int for FD_SET to avoid warnings */
 +#ifdef HAVE_WINSOCK2_H
 +#define FD_SET_T (u_int)
 +#else
 +#define FD_SET_T 
 +#endif
 +
 +
 +#ifndef IPV6_MIN_MTU
 +#define IPV6_MIN_MTU 1280
 +#endif /* IPV6_MIN_MTU */
 +
 +
 +#ifdef MEMCMP_IS_BROKEN
 +#include "compat/memcmp.h"
 +#define memcmp memcmp_unbound
 +int memcmp(const void *x, const void *y, size_t n);
 +#endif
 +
 +
 +
 +#ifndef HAVE_CTIME_R
 +#define ctime_r unbound_ctime_r
 +char *ctime_r(const time_t *timep, char *buf);
 +#endif
 +
 +#if !defined(HAVE_STRPTIME) || !defined(STRPTIME_WORKS)
 +#define strptime unbound_strptime
 +struct tm;
 +char *strptime(const char *s, const char *format, struct tm *tm);
 +#endif
 +
 +#ifdef HAVE_LIBRESSL
 +#  if !HAVE_DECL_STRLCPY
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_STRLCAT
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM && defined(HAVE_ARC4RANDOM)
 +uint32_t arc4random(void);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM_UNIFORM && defined(HAVE_ARC4RANDOM_UNIFORM)
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#  endif
++#  if !HAVE_DECL_REALLOCARRAY
++void *reallocarray(void *ptr, size_t nmemb, size_t size);
++#  endif
 +#endif /* HAVE_LIBRESSL */
 +#ifndef HAVE_ARC4RANDOM
 +void explicit_bzero(void* buf, size_t len);
 +int getentropy(void* buf, size_t len);
 +uint32_t arc4random(void);
 +void arc4random_buf(void* buf, size_t n);
 +void _ARC4_LOCK(void);
 +void _ARC4_UNLOCK(void);
 +#endif
 +#ifndef HAVE_ARC4RANDOM_UNIFORM
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#endif
 +#ifdef COMPAT_SHA512
 +#ifndef SHA512_DIGEST_LENGTH
 +#define SHA512_BLOCK_LENGTH           128
 +#define SHA512_DIGEST_LENGTH          64
 +#define SHA512_DIGEST_STRING_LENGTH   (SHA512_DIGEST_LENGTH * 2 + 1)
 +typedef struct _SHA512_CTX {
 +      uint64_t        state[8];
 +      uint64_t        bitcount[2];
 +      uint8_t buffer[SHA512_BLOCK_LENGTH];
 +} SHA512_CTX;
 +#endif /* SHA512_DIGEST_LENGTH */
 +void SHA512_Init(SHA512_CTX*);
 +void SHA512_Update(SHA512_CTX*, void*, size_t);
 +void SHA512_Final(uint8_t[SHA512_DIGEST_LENGTH], SHA512_CTX*);
 +unsigned char *SHA512(void* data, unsigned int data_len, unsigned char *digest);
 +#endif /* COMPAT_SHA512 */
 +
 +
 +
 +#if defined(HAVE_EVENT_H) && !defined(HAVE_EVENT_BASE_ONCE) && !(defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)) && (defined(HAVE_PTHREAD) || defined(HAVE_SOLARIS_THREADS))
 +   /* using version of libevent that is not threadsafe. */
 +#  define LIBEVENT_SIGNAL_PROBLEM 1
 +#endif
 +
 +#ifndef CHECKED_INET6
 +#  define CHECKED_INET6
 +#  ifdef AF_INET6
 +#    define INET6
 +#  else
 +#    define AF_INET6        28
 +#  endif
 +#endif /* CHECKED_INET6 */
 +
 +#ifndef HAVE_GETADDRINFO
 +struct sockaddr_storage;
 +#include "compat/fake-rfc2553.h"
 +#endif
 +
 +#ifdef UNBOUND_ALLOC_STATS
 +#  define malloc(s) unbound_stat_malloc_log(s, __FILE__, __LINE__, __func__)
 +#  define calloc(n,s) unbound_stat_calloc_log(n, s, __FILE__, __LINE__, __func__)
 +#  define free(p) unbound_stat_free_log(p, __FILE__, __LINE__, __func__)
 +#  define realloc(p,s) unbound_stat_realloc_log(p, s, __FILE__, __LINE__, __func__)
 +void *unbound_stat_malloc(size_t size);
 +void *unbound_stat_calloc(size_t nmemb, size_t size);
 +void unbound_stat_free(void *ptr);
 +void *unbound_stat_realloc(void *ptr, size_t size);
 +void *unbound_stat_malloc_log(size_t size, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_calloc_log(size_t nmemb, size_t size, const char* file,
 +      int line, const char* func);
 +void unbound_stat_free_log(void *ptr, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_realloc_log(void *ptr, size_t size, const char* file,
 +      int line, const char* func);
 +#elif defined(UNBOUND_ALLOC_LITE)
 +#  include "util/alloc.h"
 +#endif /* UNBOUND_ALLOC_LITE and UNBOUND_ALLOC_STATS */
 +
 +/** default port for DNS traffic. */
 +#define UNBOUND_DNS_PORT 53
 +/** default port for unbound control traffic, registered port with IANA,
 +    ub-dns-control  8953/tcp    unbound dns nameserver control */
 +#define UNBOUND_CONTROL_PORT 8953
 +/** the version of unbound-control that this software implements */
 +#define UNBOUND_CONTROL_VERSION 1
 +
 +
diff --cc contrib/unbound/config.h.in
index c36d4b98b0f7523d15efabcac99052f88282e457,0000000000000000000000000000000000000000..723b3ad0253f7f274e4b25a9af41f5900e52806e
mode 100644,000000..100644
--- 1/contrib/unbound/config.h.in
--- /dev/null
+++ b/contrib/unbound/config.h.in
@@@ -1,1036 -1,0 +1,1052 @@@
 +/* config.h.in.  Generated from configure.ac by autoheader.  */
 +
 +/* Directory to chroot to */
 +#undef CHROOT_DIR
 +
 +/* Do sha512 definitions in config.h */
 +#undef COMPAT_SHA512
 +
 +/* Pathname to the Unbound configuration file */
 +#undef CONFIGFILE
 +
 +/* Define this if on macOSX10.4-darwin8 and setreuid and setregid do not work
 +   */
 +#undef DARWIN_BROKEN_SETREUID
 +
 +/* Whether daemon is deprecated */
 +#undef DEPRECATED_DAEMON
 +
 +/* default dnstap socket path */
 +#undef DNSTAP_SOCKET_PATH
 +
 +/* Define if you want to use debug lock checking (slow). */
 +#undef ENABLE_LOCK_CHECKS
 +
 +/* Define this if you enabled-allsymbols from libunbound to link binaries to
 +   it for smaller install size, but the libunbound export table is polluted by
 +   internal symbols */
 +#undef EXPORT_ALL_SYMBOLS
 +
 +/* Define to 1 if you have the `arc4random' function. */
 +#undef HAVE_ARC4RANDOM
 +
 +/* Define to 1 if you have the `arc4random_uniform' function. */
 +#undef HAVE_ARC4RANDOM_UNIFORM
 +
 +/* Define to 1 if you have the <arpa/inet.h> header file. */
 +#undef HAVE_ARPA_INET_H
 +
 +/* Whether the C compiler accepts the "format" attribute */
 +#undef HAVE_ATTR_FORMAT
 +
 +/* Whether the C compiler accepts the "unused" attribute */
 +#undef HAVE_ATTR_UNUSED
 +
 +/* Define to 1 if you have the `chown' function. */
 +#undef HAVE_CHOWN
 +
 +/* Define to 1 if you have the `chroot' function. */
 +#undef HAVE_CHROOT
 +
 +/* Define to 1 if you have the `ctime_r' function. */
 +#undef HAVE_CTIME_R
 +
 +/* Define to 1 if you have the `daemon' function. */
 +#undef HAVE_DAEMON
 +
 +/* Define to 1 if you have the declaration of `arc4random', and to 0 if you
 +   don't. */
 +#undef HAVE_DECL_ARC4RANDOM
 +
 +/* Define to 1 if you have the declaration of `arc4random_uniform', and to 0
 +   if you don't. */
 +#undef HAVE_DECL_ARC4RANDOM_UNIFORM
 +
 +/* Define to 1 if you have the declaration of `NID_secp384r1', and to 0 if you
 +   don't. */
 +#undef HAVE_DECL_NID_SECP384R1
 +
 +/* Define to 1 if you have the declaration of `NID_X9_62_prime256v1', and to 0
 +   if you don't. */
 +#undef HAVE_DECL_NID_X9_62_PRIME256V1
 +
++/* Define to 1 if you have the declaration of `reallocarray', and to 0 if you
++   don't. */
++#undef HAVE_DECL_REALLOCARRAY
++
 +/* Define to 1 if you have the declaration of `sk_SSL_COMP_pop_free', and to 0
 +   if you don't. */
 +#undef HAVE_DECL_SK_SSL_COMP_POP_FREE
 +
 +/* Define to 1 if you have the declaration of
 +   `SSL_COMP_get_compression_methods', and to 0 if you don't. */
 +#undef HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS
 +
 +/* Define to 1 if you have the declaration of `strlcat', and to 0 if you
 +   don't. */
 +#undef HAVE_DECL_STRLCAT
 +
 +/* Define to 1 if you have the declaration of `strlcpy', and to 0 if you
 +   don't. */
 +#undef HAVE_DECL_STRLCPY
 +
 +/* Define to 1 if you have the <dlfcn.h> header file. */
 +#undef HAVE_DLFCN_H
 +
 +/* Define to 1 if you have the <endian.h> header file. */
 +#undef HAVE_ENDIAN_H
 +
 +/* Define to 1 if you have the `endprotoent' function. */
 +#undef HAVE_ENDPROTOENT
 +
 +/* Define to 1 if you have the `endservent' function. */
 +#undef HAVE_ENDSERVENT
 +
 +/* Define to 1 if you have the `event_base_free' function. */
 +#undef HAVE_EVENT_BASE_FREE
 +
 +/* Define to 1 if you have the `event_base_get_method' function. */
 +#undef HAVE_EVENT_BASE_GET_METHOD
 +
 +/* Define to 1 if you have the `event_base_new' function. */
 +#undef HAVE_EVENT_BASE_NEW
 +
 +/* Define to 1 if you have the `event_base_once' function. */
 +#undef HAVE_EVENT_BASE_ONCE
 +
 +/* Define to 1 if you have the <event.h> header file. */
 +#undef HAVE_EVENT_H
 +
 +/* Define to 1 if you have the `EVP_sha1' function. */
 +#undef HAVE_EVP_SHA1
 +
 +/* Define to 1 if you have the `EVP_sha256' function. */
 +#undef HAVE_EVP_SHA256
 +
 +/* Define to 1 if you have the `EVP_sha512' function. */
 +#undef HAVE_EVP_SHA512
 +
 +/* Define to 1 if you have the `ev_default_loop' function. */
 +#undef HAVE_EV_DEFAULT_LOOP
 +
 +/* Define to 1 if you have the `ev_loop' function. */
 +#undef HAVE_EV_LOOP
 +
 +/* Define to 1 if you have the <expat.h> header file. */
 +#undef HAVE_EXPAT_H
 +
 +/* Define to 1 if you have the `fcntl' function. */
 +#undef HAVE_FCNTL
 +
 +/* Define to 1 if you have the `FIPS_mode' function. */
 +#undef HAVE_FIPS_MODE
 +
 +/* Define to 1 if you have the `fork' function. */
 +#undef HAVE_FORK
 +
 +/* Define to 1 if fseeko (and presumably ftello) exists and is declared. */
 +#undef HAVE_FSEEKO
 +
 +/* Whether getaddrinfo is available */
 +#undef HAVE_GETADDRINFO
 +
 +/* Define to 1 if you have the `getauxval' function. */
 +#undef HAVE_GETAUXVAL
 +
 +/* Define to 1 if you have the `getentropy' function. */
 +#undef HAVE_GETENTROPY
 +
 +/* Define to 1 if you have the <getopt.h> header file. */
 +#undef HAVE_GETOPT_H
 +
 +/* Define to 1 if you have the `getpwnam' function. */
 +#undef HAVE_GETPWNAM
 +
 +/* Define to 1 if you have the `getrlimit' function. */
 +#undef HAVE_GETRLIMIT
 +
 +/* Define to 1 if you have the `glob' function. */
 +#undef HAVE_GLOB
 +
 +/* Define to 1 if you have the <glob.h> header file. */
 +#undef HAVE_GLOB_H
 +
 +/* Define to 1 if you have the `gmtime_r' function. */
 +#undef HAVE_GMTIME_R
 +
 +/* Define to 1 if you have the <grp.h> header file. */
 +#undef HAVE_GRP_H
 +
 +/* If you have HMAC_CTX_init */
 +#undef HAVE_HMAC_CTX_INIT
 +
 +/* Define to 1 if you have the `inet_aton' function. */
 +#undef HAVE_INET_ATON
 +
 +/* Define to 1 if you have the `inet_ntop' function. */
 +#undef HAVE_INET_NTOP
 +
 +/* Define to 1 if you have the `inet_pton' function. */
 +#undef HAVE_INET_PTON
 +
 +/* Define to 1 if you have the `initgroups' function. */
 +#undef HAVE_INITGROUPS
 +
 +/* Define to 1 if you have the <inttypes.h> header file. */
 +#undef HAVE_INTTYPES_H
 +
 +/* if the function 'ioctlsocket' is available */
 +#undef HAVE_IOCTLSOCKET
 +
 +/* Define to 1 if you have the <iphlpapi.h> header file. */
 +#undef HAVE_IPHLPAPI_H
 +
 +/* Define to 1 if you have the `kill' function. */
 +#undef HAVE_KILL
 +
 +/* Define if we have LibreSSL */
 +#undef HAVE_LIBRESSL
 +
 +/* Define to 1 if you have the `localtime_r' function. */
 +#undef HAVE_LOCALTIME_R
 +
 +/* Define to 1 if you have the <login_cap.h> header file. */
 +#undef HAVE_LOGIN_CAP_H
 +
 +/* If have GNU libc compatible malloc */
 +#undef HAVE_MALLOC
 +
 +/* Define to 1 if you have the `memmove' function. */
 +#undef HAVE_MEMMOVE
 +
 +/* Define to 1 if you have the <memory.h> header file. */
 +#undef HAVE_MEMORY_H
 +
 +/* Define to 1 if you have the <netdb.h> header file. */
 +#undef HAVE_NETDB_H
 +
 +/* Define to 1 if you have the <netinet/in.h> header file. */
 +#undef HAVE_NETINET_IN_H
 +
 +/* Use libnss for crypto */
 +#undef HAVE_NSS
 +
 +/* Define to 1 if you have the `OPENSSL_config' function. */
 +#undef HAVE_OPENSSL_CONFIG
 +
 +/* Define to 1 if you have the <openssl/conf.h> header file. */
 +#undef HAVE_OPENSSL_CONF_H
 +
 +/* Define to 1 if you have the <openssl/engine.h> header file. */
 +#undef HAVE_OPENSSL_ENGINE_H
 +
 +/* Define to 1 if you have the <openssl/err.h> header file. */
 +#undef HAVE_OPENSSL_ERR_H
 +
 +/* Define to 1 if you have the <openssl/rand.h> header file. */
 +#undef HAVE_OPENSSL_RAND_H
 +
 +/* Define to 1 if you have the <openssl/ssl.h> header file. */
 +#undef HAVE_OPENSSL_SSL_H
 +
 +/* Define if you have POSIX threads libraries and header files. */
 +#undef HAVE_PTHREAD
 +
 +/* Have PTHREAD_PRIO_INHERIT. */
 +#undef HAVE_PTHREAD_PRIO_INHERIT
 +
 +/* Define to 1 if the system has the type `pthread_rwlock_t'. */
 +#undef HAVE_PTHREAD_RWLOCK_T
 +
 +/* Define to 1 if the system has the type `pthread_spinlock_t'. */
 +#undef HAVE_PTHREAD_SPINLOCK_T
 +
 +/* Define to 1 if you have the <pwd.h> header file. */
 +#undef HAVE_PWD_H
 +
 +/* Define if you have Python libraries and header files. */
 +#undef HAVE_PYTHON
 +
 +/* Define to 1 if you have the `random' function. */
 +#undef HAVE_RANDOM
 +
++/* Define to 1 if you have the `reallocarray' function. */
++#undef HAVE_REALLOCARRAY
++
 +/* Define to 1 if you have the `recvmsg' function. */
 +#undef HAVE_RECVMSG
 +
 +/* Define to 1 if you have the `sbrk' function. */
 +#undef HAVE_SBRK
 +
 +/* Define to 1 if you have the `sendmsg' function. */
 +#undef HAVE_SENDMSG
 +
 +/* Define to 1 if you have the `setregid' function. */
 +#undef HAVE_SETREGID
 +
 +/* Define to 1 if you have the `setresgid' function. */
 +#undef HAVE_SETRESGID
 +
 +/* Define to 1 if you have the `setresuid' function. */
 +#undef HAVE_SETRESUID
 +
 +/* Define to 1 if you have the `setreuid' function. */
 +#undef HAVE_SETREUID
 +
 +/* Define to 1 if you have the `setrlimit' function. */
 +#undef HAVE_SETRLIMIT
 +
 +/* Define to 1 if you have the `setsid' function. */
 +#undef HAVE_SETSID
 +
 +/* Define to 1 if you have the `setusercontext' function. */
 +#undef HAVE_SETUSERCONTEXT
 +
 +/* Define to 1 if you have the `SHA512_Update' function. */
 +#undef HAVE_SHA512_UPDATE
 +
 +/* Define to 1 if you have the `sigprocmask' function. */
 +#undef HAVE_SIGPROCMASK
 +
 +/* Define to 1 if you have the `sleep' function. */
 +#undef HAVE_SLEEP
 +
 +/* Define to 1 if you have the `snprintf' function. */
 +#undef HAVE_SNPRINTF
 +
 +/* Define to 1 if you have the `socketpair' function. */
 +#undef HAVE_SOCKETPAIR
 +
 +/* Using Solaris threads */
 +#undef HAVE_SOLARIS_THREADS
 +
 +/* Define to 1 if you have the `srandom' function. */
 +#undef HAVE_SRANDOM
 +
 +/* Define if you have the SSL libraries installed. */
 +#undef HAVE_SSL
 +
 +/* Define to 1 if you have the <stdarg.h> header file. */
 +#undef HAVE_STDARG_H
 +
 +/* Define to 1 if you have the <stdbool.h> header file. */
 +#undef HAVE_STDBOOL_H
 +
 +/* Define to 1 if you have the <stdint.h> header file. */
 +#undef HAVE_STDINT_H
 +
 +/* Define to 1 if you have the <stdlib.h> header file. */
 +#undef HAVE_STDLIB_H
 +
 +/* Define to 1 if you have the `strftime' function. */
 +#undef HAVE_STRFTIME
 +
 +/* Define to 1 if you have the <strings.h> header file. */
 +#undef HAVE_STRINGS_H
 +
 +/* Define to 1 if you have the <string.h> header file. */
 +#undef HAVE_STRING_H
 +
 +/* Define to 1 if you have the `strlcat' function. */
 +#undef HAVE_STRLCAT
 +
 +/* Define to 1 if you have the `strlcpy' function. */
 +#undef HAVE_STRLCPY
 +
 +/* Define to 1 if you have the `strptime' function. */
 +#undef HAVE_STRPTIME
 +
 +/* Define to 1 if `ipi_spec_dst' is a member of `struct in_pktinfo'. */
 +#undef HAVE_STRUCT_IN_PKTINFO_IPI_SPEC_DST
 +
 +/* Define to 1 if `sun_len' is a member of `struct sockaddr_un'. */
 +#undef HAVE_STRUCT_SOCKADDR_UN_SUN_LEN
 +
 +/* Define if you have Swig libraries and header files. */
 +#undef HAVE_SWIG
 +
 +/* Define to 1 if you have the <syslog.h> header file. */
 +#undef HAVE_SYSLOG_H
 +
 +/* Define to 1 if you have the <sys/param.h> header file. */
 +#undef HAVE_SYS_PARAM_H
 +
 +/* Define to 1 if you have the <sys/resource.h> header file. */
 +#undef HAVE_SYS_RESOURCE_H
 +
 +/* Define to 1 if you have the <sys/sha2.h> header file. */
 +#undef HAVE_SYS_SHA2_H
 +
 +/* Define to 1 if you have the <sys/socket.h> header file. */
 +#undef HAVE_SYS_SOCKET_H
 +
 +/* Define to 1 if you have the <sys/stat.h> header file. */
 +#undef HAVE_SYS_STAT_H
 +
 +/* Define to 1 if you have the <sys/sysctl.h> header file. */
 +#undef HAVE_SYS_SYSCTL_H
 +
 +/* Define to 1 if you have the <sys/types.h> header file. */
 +#undef HAVE_SYS_TYPES_H
 +
 +/* Define to 1 if you have the <sys/uio.h> header file. */
 +#undef HAVE_SYS_UIO_H
 +
 +/* Define to 1 if you have the <sys/un.h> header file. */
 +#undef HAVE_SYS_UN_H
 +
 +/* Define to 1 if you have the <sys/wait.h> header file. */
 +#undef HAVE_SYS_WAIT_H
 +
 +/* Define to 1 if you have the <time.h> header file. */
 +#undef HAVE_TIME_H
 +
 +/* Define to 1 if you have the `tzset' function. */
 +#undef HAVE_TZSET
 +
 +/* Define to 1 if you have the <unistd.h> header file. */
 +#undef HAVE_UNISTD_H
 +
 +/* Define to 1 if you have the `usleep' function. */
 +#undef HAVE_USLEEP
 +
 +/* Define to 1 if you have the `vfork' function. */
 +#undef HAVE_VFORK
 +
 +/* Define to 1 if you have the <vfork.h> header file. */
 +#undef HAVE_VFORK_H
 +
 +/* Define to 1 if you have the <windows.h> header file. */
 +#undef HAVE_WINDOWS_H
 +
 +/* Using Windows threads */
 +#undef HAVE_WINDOWS_THREADS
 +
 +/* Define to 1 if you have the <winsock2.h> header file. */
 +#undef HAVE_WINSOCK2_H
 +
 +/* Define to 1 if `fork' works. */
 +#undef HAVE_WORKING_FORK
 +
 +/* Define to 1 if `vfork' works. */
 +#undef HAVE_WORKING_VFORK
 +
 +/* Define to 1 if you have the `writev' function. */
 +#undef HAVE_WRITEV
 +
 +/* Define to 1 if you have the <ws2tcpip.h> header file. */
 +#undef HAVE_WS2TCPIP_H
 +
 +/* Define to 1 if you have the `_beginthreadex' function. */
 +#undef HAVE__BEGINTHREADEX
 +
 +/* if lex has yylex_destroy */
 +#undef LEX_HAS_YYLEX_DESTROY
 +
 +/* Define to the sub-directory in which libtool stores uninstalled libraries.
 +   */
 +#undef LT_OBJDIR
 +
 +/* Define to the maximum message length to pass to syslog. */
 +#undef MAXSYSLOGMSGLEN
 +
 +/* Define if memcmp() does not compare unsigned bytes */
 +#undef MEMCMP_IS_BROKEN
 +
 +/* Define if mkdir has one argument. */
 +#undef MKDIR_HAS_ONE_ARG
 +
 +/* Define if the network stack does not fully support nonblocking io (causes
 +   lower performance). */
 +#undef NONBLOCKING_IS_BROKEN
 +
 +/* Put -D_ALL_SOURCE define in config.h */
 +#undef OMITTED__D_ALL_SOURCE
 +
 +/* Put -D_BSD_SOURCE define in config.h */
 +#undef OMITTED__D_BSD_SOURCE
 +
 +/* Put -D_GNU_SOURCE define in config.h */
 +#undef OMITTED__D_GNU_SOURCE
 +
 +/* Put -D_LARGEFILE_SOURCE=1 define in config.h */
 +#undef OMITTED__D_LARGEFILE_SOURCE_1
 +
 +/* Put -D_POSIX_C_SOURCE=200112 define in config.h */
 +#undef OMITTED__D_POSIX_C_SOURCE_200112
 +
 +/* Put -D_XOPEN_SOURCE=600 define in config.h */
 +#undef OMITTED__D_XOPEN_SOURCE_600
 +
 +/* Put -D_XOPEN_SOURCE_EXTENDED=1 define in config.h */
 +#undef OMITTED__D_XOPEN_SOURCE_EXTENDED_1
 +
 +/* Put -D__EXTENSIONS__ define in config.h */
 +#undef OMITTED__D__EXTENSIONS__
 +
 +/* Define to the address where bug reports for this package should be sent. */
 +#undef PACKAGE_BUGREPORT
 +
 +/* Define to the full name of this package. */
 +#undef PACKAGE_NAME
 +
 +/* Define to the full name and version of this package. */
 +#undef PACKAGE_STRING
 +
 +/* Define to the one symbol short name of this package. */
 +#undef PACKAGE_TARNAME
 +
 +/* Define to the home page for this package. */
 +#undef PACKAGE_URL
 +
 +/* Define to the version of this package. */
 +#undef PACKAGE_VERSION
 +
 +/* default pidfile location */
 +#undef PIDFILE
 +
 +/* Define to necessary symbol if this constant uses a non-standard name on
 +   your system. */
 +#undef PTHREAD_CREATE_JOINABLE
 +
 +/* Define as the return type of signal handlers (`int' or `void'). */
 +#undef RETSIGTYPE
 +
 +/* default rootkey location */
 +#undef ROOT_ANCHOR_FILE
 +
 +/* default rootcert location */
 +#undef ROOT_CERT_FILE
 +
 +/* version number for resource files */
 +#undef RSRC_PACKAGE_VERSION
 +
 +/* Directory to chdir to */
 +#undef RUN_DIR
 +
 +/* Shared data */
 +#undef SHARE_DIR
 +
 +/* The size of `time_t', as computed by sizeof. */
 +#undef SIZEOF_TIME_T
 +
 +/* Define to 1 if you have the ANSI C header files. */
 +#undef STDC_HEADERS
 +
 +/* use default strptime. */
 +#undef STRPTIME_WORKS
 +
 +/* Use win32 resources and API */
 +#undef UB_ON_WINDOWS
 +
 +/* default username */
 +#undef UB_USERNAME
 +
 +/* use to enable lightweight alloc assertions, for debug use */
 +#undef UNBOUND_ALLOC_LITE
 +
 +/* use malloc not regions, for debug use */
 +#undef UNBOUND_ALLOC_NONREGIONAL
 +
 +/* use statistics for allocs and frees, for debug use */
 +#undef UNBOUND_ALLOC_STATS
 +
 +/* define this to enable debug checks. */
 +#undef UNBOUND_DEBUG
 +
 +/* Define to 1 to enable dnstap support */
 +#undef USE_DNSTAP
 +
 +/* Define this to enable ECDSA support. */
 +#undef USE_ECDSA
 +
 +/* Define this to enable an EVP workaround for older openssl */
 +#undef USE_ECDSA_EVP_WORKAROUND
 +
 +/* Define this to enable GOST support. */
 +#undef USE_GOST
 +
 +/* Define if you want to use internal select based events */
 +#undef USE_MINI_EVENT
 +
 +/* Define this to enable SHA256 and SHA512 support. */
 +#undef USE_SHA2
 +
 +/* Enable extensions on AIX 3, Interix.  */
 +#ifndef _ALL_SOURCE
 +# undef _ALL_SOURCE
 +#endif
 +/* Enable GNU extensions on systems that have them.  */
 +#ifndef _GNU_SOURCE
 +# undef _GNU_SOURCE
 +#endif
 +/* Enable threading extensions on Solaris.  */
 +#ifndef _POSIX_PTHREAD_SEMANTICS
 +# undef _POSIX_PTHREAD_SEMANTICS
 +#endif
 +/* Enable extensions on HP NonStop.  */
 +#ifndef _TANDEM_SOURCE
 +# undef _TANDEM_SOURCE
 +#endif
 +/* Enable general extensions on Solaris.  */
 +#ifndef __EXTENSIONS__
 +# undef __EXTENSIONS__
 +#endif
 +
 +
 +/* Whether the windows socket API is used */
 +#undef USE_WINSOCK
 +
 +/* the version of the windows API enabled */
 +#undef WINVER
 +
 +/* Define if you want Python module. */
 +#undef WITH_PYTHONMODULE
 +
 +/* Define if you want PyUnbound. */
 +#undef WITH_PYUNBOUND
 +
 +/* Define to 1 if `lex' declares `yytext' as a `char *' by default, not a
 +   `char[]'. */
 +#undef YYTEXT_POINTER
 +
 +/* Enable large inode numbers on Mac OS X 10.5.  */
 +#ifndef _DARWIN_USE_64_BIT_INODE
 +# define _DARWIN_USE_64_BIT_INODE 1
 +#endif
 +
 +/* Number of bits in a file offset, on hosts where this is settable. */
 +#undef _FILE_OFFSET_BITS
 +
 +/* Define to 1 to make fseeko visible on some hosts (e.g. glibc 2.2). */
 +#undef _LARGEFILE_SOURCE
 +
 +/* Define for large files, on AIX-style hosts. */
 +#undef _LARGE_FILES
 +
 +/* Define to 1 if on MINIX. */
 +#undef _MINIX
 +
 +/* Enable for compile on Minix */
 +#undef _NETBSD_SOURCE
 +
 +/* Define to 2 if the system does not provide POSIX.1 features except with
 +   this defined. */
 +#undef _POSIX_1_SOURCE
 +
 +/* Define to 1 if you need to in order for `stat' and other things to work. */
 +#undef _POSIX_SOURCE
 +
 +/* Define to empty if `const' does not conform to ANSI C. */
 +#undef const
 +
 +/* Define to `int' if <sys/types.h> doesn't define. */
 +#undef gid_t
 +
 +/* in_addr_t */
 +#undef in_addr_t
 +
 +/* in_port_t */
 +#undef in_port_t
 +
 +/* Define to `__inline__' or `__inline' if that's what the C compiler
 +   calls it, or to nothing if 'inline' is not supported under any name.  */
 +#ifndef __cplusplus
 +#undef inline
 +#endif
 +
 +/* Define to `short' if <sys/types.h> does not define. */
 +#undef int16_t
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +#undef int32_t
 +
 +/* Define to `long long' if <sys/types.h> does not define. */
 +#undef int64_t
 +
 +/* Define to `signed char' if <sys/types.h> does not define. */
 +#undef int8_t
 +
 +/* Define if replacement function should be used. */
 +#undef malloc
 +
 +/* Define to `long int' if <sys/types.h> does not define. */
 +#undef off_t
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +#undef pid_t
 +
 +/* Define to 'int' if not defined */
 +#undef rlim_t
 +
 +/* Define to `unsigned int' if <sys/types.h> does not define. */
 +#undef size_t
 +
 +/* Define to 'int' if not defined */
 +#undef socklen_t
 +
 +/* Define to `int' if <sys/types.h> does not define. */
 +#undef ssize_t
 +
 +/* Define to 'unsigned char if not defined */
 +#undef u_char
 +
 +/* Define to `int' if <sys/types.h> doesn't define. */
 +#undef uid_t
 +
 +/* Define to `unsigned short' if <sys/types.h> does not define. */
 +#undef uint16_t
 +
 +/* Define to `unsigned int' if <sys/types.h> does not define. */
 +#undef uint32_t
 +
 +/* Define to `unsigned long long' if <sys/types.h> does not define. */
 +#undef uint64_t
 +
 +/* Define to `unsigned char' if <sys/types.h> does not define. */
 +#undef uint8_t
 +
 +/* Define as `fork' if `vfork' does not work. */
 +#undef vfork
 +
 +#if defined(OMITTED__D_GNU_SOURCE) && !defined(_GNU_SOURCE)
 +#define _GNU_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D_BSD_SOURCE) && !defined(_BSD_SOURCE)
 +#define _BSD_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D__EXTENSIONS__) && !defined(__EXTENSIONS__)
 +#define __EXTENSIONS__ 1
 +#endif 
 +
 +#if defined(OMITTED__D_POSIX_C_SOURCE_200112) && !defined(_POSIX_C_SOURCE)
 +#define _POSIX_C_SOURCE 200112
 +#endif 
 +
 +#if defined(OMITTED__D_XOPEN_SOURCE_600) && !defined(_XOPEN_SOURCE)
 +#define _XOPEN_SOURCE 600
 +#endif 
 +
 +#if defined(OMITTED__D_XOPEN_SOURCE_EXTENDED_1) && !defined(_XOPEN_SOURCE_EXTENDED)
 +#define _XOPEN_SOURCE_EXTENDED 1
 +#endif 
 +
 +#if defined(OMITTED__D_ALL_SOURCE) && !defined(_ALL_SOURCE)
 +#define _ALL_SOURCE 1
 +#endif 
 +
 +#if defined(OMITTED__D_LARGEFILE_SOURCE_1) && !defined(_LARGEFILE_SOURCE)
 +#define _LARGEFILE_SOURCE 1
 +#endif 
 +
 +
 +
 +
 +#ifndef UNBOUND_DEBUG
 +#  define NDEBUG
 +#endif
 +
 +/** Use small-ldns codebase */
 +#define USE_SLDNS 1
 +#ifdef HAVE_SSL
 +#  define LDNS_BUILD_CONFIG_HAVE_SSL 1
 +#endif
 +
 +#include <stdio.h>
 +#include <string.h>
 +#include <unistd.h>
 +#include <assert.h>
 +
 +#if STDC_HEADERS
 +#include <stdlib.h>
 +#include <stddef.h>
 +#endif
 +
 +#ifdef HAVE_STDARG_H
 +#include <stdarg.h>
 +#endif
 +
 +#ifdef HAVE_STDINT_H
 +#include <stdint.h>
 +#endif
 +
 +#include <errno.h>
 +
 +#if HAVE_SYS_PARAM_H
 +#include <sys/param.h>
 +#endif
 +
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +
 +#ifdef HAVE_SYS_UIO_H
 +#include <sys/uio.h>
 +#endif
 +
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +
 +#ifndef USE_WINSOCK
 +#define ARG_LL "%ll"
 +#else
 +#define ARG_LL "%I64"
 +#endif
 +
 +#ifndef AF_LOCAL
 +#define AF_LOCAL AF_UNIX
 +#endif
 +
 +
 + 
 +#ifdef HAVE_ATTR_FORMAT
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) \
 +    __attribute__ ((format (archetype, string_index, first_to_check)))
 +#else /* !HAVE_ATTR_FORMAT */
 +#  define ATTR_FORMAT(archetype, string_index, first_to_check) /* empty */
 +#endif /* !HAVE_ATTR_FORMAT */
 +
 +
 +#if defined(DOXYGEN)
 +#  define ATTR_UNUSED(x)  x
 +#elif defined(__cplusplus)
 +#  define ATTR_UNUSED(x)
 +#elif defined(HAVE_ATTR_UNUSED)
 +#  define ATTR_UNUSED(x)  x __attribute__((unused))
 +#else /* !HAVE_ATTR_UNUSED */
 +#  define ATTR_UNUSED(x)  x
 +#endif /* !HAVE_ATTR_UNUSED */
 +
 +
 +#ifndef HAVE_FSEEKO
 +#define fseeko fseek
 +#define ftello ftell
 +#endif /* HAVE_FSEEKO */
 +
 +
 +#ifndef MAXHOSTNAMELEN
 +#define MAXHOSTNAMELEN 256
 +#endif
 +
 +
 +#ifndef HAVE_SNPRINTF
 +#define snprintf snprintf_unbound
 +#define vsnprintf vsnprintf_unbound
 +#include <stdarg.h>
 +int snprintf (char *str, size_t count, const char *fmt, ...);
 +int vsnprintf (char *str, size_t count, const char *fmt, va_list arg);
 +#endif /* HAVE_SNPRINTF */
 +
 +
 +#ifndef HAVE_INET_PTON
 +#define inet_pton inet_pton_unbound
 +int inet_pton(int af, const char* src, void* dst);
 +#endif /* HAVE_INET_PTON */
 +
 +
 +#ifndef HAVE_INET_NTOP
 +#define inet_ntop inet_ntop_unbound
 +const char *inet_ntop(int af, const void *src, char *dst, size_t size);
 +#endif
 +
 +
 +#ifndef HAVE_INET_ATON
 +#define inet_aton inet_aton_unbound
 +int inet_aton(const char *cp, struct in_addr *addr);
 +#endif
 +
 +
 +#ifndef HAVE_MEMMOVE
 +#define memmove memmove_unbound
 +void *memmove(void *dest, const void *src, size_t n);
 +#endif
 +
 +
 +#ifndef HAVE_STRLCAT
 +#define strlcat strlcat_unbound
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#endif
 +
 +
 +#ifndef HAVE_STRLCPY
 +#define strlcpy strlcpy_unbound
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#endif
 +
 +
 +#ifndef HAVE_GMTIME_R
 +#define gmtime_r gmtime_r_unbound
 +struct tm *gmtime_r(const time_t *timep, struct tm *result);
 +#endif
 +
 +
++#ifndef HAVE_REALLOCARRAY
++#define reallocarray reallocarrayunbound
++void* reallocarray(void *ptr, size_t nmemb, size_t size);
++#endif
++
++
 +#if !defined(HAVE_SLEEP) || defined(HAVE_WINDOWS_H)
 +#define sleep(x) Sleep((x)*1000) /* on win32 */
 +#endif /* HAVE_SLEEP */
 +
 +
 +#ifndef HAVE_USLEEP
 +#define usleep(x) Sleep((x)/1000 + 1) /* on win32 */
 +#endif /* HAVE_USLEEP */
 +
 +
 +#ifndef HAVE_RANDOM
 +#define random rand /* on win32, for tests only (bad random) */
 +#endif /* HAVE_RANDOM */
 +
 +
 +#ifndef HAVE_SRANDOM
 +#define srandom(x) srand(x) /* on win32, for tests only (bad random) */
 +#endif /* HAVE_SRANDOM */
 +
 +
 +/* detect if we need to cast to unsigned int for FD_SET to avoid warnings */
 +#ifdef HAVE_WINSOCK2_H
 +#define FD_SET_T (u_int)
 +#else
 +#define FD_SET_T 
 +#endif
 +
 +
 +#ifndef IPV6_MIN_MTU
 +#define IPV6_MIN_MTU 1280
 +#endif /* IPV6_MIN_MTU */
 +
 +
 +#ifdef MEMCMP_IS_BROKEN
 +#include "compat/memcmp.h"
 +#define memcmp memcmp_unbound
 +int memcmp(const void *x, const void *y, size_t n);
 +#endif
 +
 +
 +
 +#ifndef HAVE_CTIME_R
 +#define ctime_r unbound_ctime_r
 +char *ctime_r(const time_t *timep, char *buf);
 +#endif
 +
 +#if !defined(HAVE_STRPTIME) || !defined(STRPTIME_WORKS)
 +#define strptime unbound_strptime
 +struct tm;
 +char *strptime(const char *s, const char *format, struct tm *tm);
 +#endif
 +
 +#ifdef HAVE_LIBRESSL
 +#  if !HAVE_DECL_STRLCPY
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_STRLCAT
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM && defined(HAVE_ARC4RANDOM)
 +uint32_t arc4random(void);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM_UNIFORM && defined(HAVE_ARC4RANDOM_UNIFORM)
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#  endif
++#  if !HAVE_DECL_REALLOCARRAY
++void *reallocarray(void *ptr, size_t nmemb, size_t size);
++#  endif
 +#endif /* HAVE_LIBRESSL */
 +#ifndef HAVE_ARC4RANDOM
 +void explicit_bzero(void* buf, size_t len);
 +int getentropy(void* buf, size_t len);
 +uint32_t arc4random(void);
 +void arc4random_buf(void* buf, size_t n);
 +void _ARC4_LOCK(void);
 +void _ARC4_UNLOCK(void);
 +#endif
 +#ifndef HAVE_ARC4RANDOM_UNIFORM
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#endif
 +#ifdef COMPAT_SHA512
 +#ifndef SHA512_DIGEST_LENGTH
 +#define SHA512_BLOCK_LENGTH           128
 +#define SHA512_DIGEST_LENGTH          64
 +#define SHA512_DIGEST_STRING_LENGTH   (SHA512_DIGEST_LENGTH * 2 + 1)
 +typedef struct _SHA512_CTX {
 +      uint64_t        state[8];
 +      uint64_t        bitcount[2];
 +      uint8_t buffer[SHA512_BLOCK_LENGTH];
 +} SHA512_CTX;
 +#endif /* SHA512_DIGEST_LENGTH */
 +void SHA512_Init(SHA512_CTX*);
 +void SHA512_Update(SHA512_CTX*, void*, size_t);
 +void SHA512_Final(uint8_t[SHA512_DIGEST_LENGTH], SHA512_CTX*);
 +unsigned char *SHA512(void* data, unsigned int data_len, unsigned char *digest);
 +#endif /* COMPAT_SHA512 */
 +
 +
 +
 +#if defined(HAVE_EVENT_H) && !defined(HAVE_EVENT_BASE_ONCE) && !(defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)) && (defined(HAVE_PTHREAD) || defined(HAVE_SOLARIS_THREADS))
 +   /* using version of libevent that is not threadsafe. */
 +#  define LIBEVENT_SIGNAL_PROBLEM 1
 +#endif
 +
 +#ifndef CHECKED_INET6
 +#  define CHECKED_INET6
 +#  ifdef AF_INET6
 +#    define INET6
 +#  else
 +#    define AF_INET6        28
 +#  endif
 +#endif /* CHECKED_INET6 */
 +
 +#ifndef HAVE_GETADDRINFO
 +struct sockaddr_storage;
 +#include "compat/fake-rfc2553.h"
 +#endif
 +
 +#ifdef UNBOUND_ALLOC_STATS
 +#  define malloc(s) unbound_stat_malloc_log(s, __FILE__, __LINE__, __func__)
 +#  define calloc(n,s) unbound_stat_calloc_log(n, s, __FILE__, __LINE__, __func__)
 +#  define free(p) unbound_stat_free_log(p, __FILE__, __LINE__, __func__)
 +#  define realloc(p,s) unbound_stat_realloc_log(p, s, __FILE__, __LINE__, __func__)
 +void *unbound_stat_malloc(size_t size);
 +void *unbound_stat_calloc(size_t nmemb, size_t size);
 +void unbound_stat_free(void *ptr);
 +void *unbound_stat_realloc(void *ptr, size_t size);
 +void *unbound_stat_malloc_log(size_t size, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_calloc_log(size_t nmemb, size_t size, const char* file,
 +      int line, const char* func);
 +void unbound_stat_free_log(void *ptr, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_realloc_log(void *ptr, size_t size, const char* file,
 +      int line, const char* func);
 +#elif defined(UNBOUND_ALLOC_LITE)
 +#  include "util/alloc.h"
 +#endif /* UNBOUND_ALLOC_LITE and UNBOUND_ALLOC_STATS */
 +
 +/** default port for DNS traffic. */
 +#define UNBOUND_DNS_PORT 53
 +/** default port for unbound control traffic, registered port with IANA,
 +    ub-dns-control  8953/tcp    unbound dns nameserver control */
 +#define UNBOUND_CONTROL_PORT 8953
 +/** the version of unbound-control that this software implements */
 +#define UNBOUND_CONTROL_VERSION 1
 +
 +
diff --cc contrib/unbound/configure
index 20ff33d7299028192f96da9f87712ac78d481bbc,0000000000000000000000000000000000000000..a4c011df476ee5af9160899029268d3447b9c0c3
mode 100755,000000..100755
--- 1/contrib/unbound/configure
--- /dev/null
+++ b/contrib/unbound/configure
@@@ -1,21087 -1,0 +1,21115 @@@
- # Generated by GNU Autoconf 2.69 for unbound 1.5.3.
 +#! /bin/sh
 +# Guess values for system-dependent variables and create Makefiles.
- PACKAGE_VERSION='1.5.3'
- PACKAGE_STRING='unbound 1.5.3'
++# Generated by GNU Autoconf 2.69 for unbound 1.5.4.
 +#
 +# Report bugs to <unbound-bugs@nlnetlabs.nl>.
 +#
 +#
 +# Copyright (C) 1992-1996, 1998-2012 Free Software Foundation, Inc.
 +#
 +#
 +# This configure script is free software; the Free Software Foundation
 +# gives unlimited permission to copy, distribute and modify it.
 +## -------------------- ##
 +## M4sh Initialization. ##
 +## -------------------- ##
 +
 +# Be more Bourne compatible
 +DUALCASE=1; export DUALCASE # for MKS sh
 +if test -n "${ZSH_VERSION+set}" && (emulate sh) >/dev/null 2>&1; then :
 +  emulate sh
 +  NULLCMD=:
 +  # Pre-4.2 versions of Zsh do word splitting on ${1+"$@"}, which
 +  # is contrary to our usage.  Disable this feature.
 +  alias -g '${1+"$@"}'='"$@"'
 +  setopt NO_GLOB_SUBST
 +else
 +  case `(set -o) 2>/dev/null` in #(
 +  *posix*) :
 +    set -o posix ;; #(
 +  *) :
 +     ;;
 +esac
 +fi
 +
 +
 +as_nl='
 +'
 +export as_nl
 +# Printing a long string crashes Solaris 7 /usr/bin/printf.
 +as_echo='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'
 +as_echo=$as_echo$as_echo$as_echo$as_echo$as_echo
 +as_echo=$as_echo$as_echo$as_echo$as_echo$as_echo$as_echo
 +# Prefer a ksh shell builtin over an external printf program on Solaris,
 +# but without wasting forks for bash or zsh.
 +if test -z "$BASH_VERSION$ZSH_VERSION" \
 +    && (test "X`print -r -- $as_echo`" = "X$as_echo") 2>/dev/null; then
 +  as_echo='print -r --'
 +  as_echo_n='print -rn --'
 +elif (test "X`printf %s $as_echo`" = "X$as_echo") 2>/dev/null; then
 +  as_echo='printf %s\n'
 +  as_echo_n='printf %s'
 +else
 +  if test "X`(/usr/ucb/echo -n -n $as_echo) 2>/dev/null`" = "X-n $as_echo"; then
 +    as_echo_body='eval /usr/ucb/echo -n "$1$as_nl"'
 +    as_echo_n='/usr/ucb/echo -n'
 +  else
 +    as_echo_body='eval expr "X$1" : "X\\(.*\\)"'
 +    as_echo_n_body='eval
 +      arg=$1;
 +      case $arg in #(
 +      *"$as_nl"*)
 +      expr "X$arg" : "X\\(.*\\)$as_nl";
 +      arg=`expr "X$arg" : ".*$as_nl\\(.*\\)"`;;
 +      esac;
 +      expr "X$arg" : "X\\(.*\\)" | tr -d "$as_nl"
 +    '
 +    export as_echo_n_body
 +    as_echo_n='sh -c $as_echo_n_body as_echo'
 +  fi
 +  export as_echo_body
 +  as_echo='sh -c $as_echo_body as_echo'
 +fi
 +
 +# The user is always right.
 +if test "${PATH_SEPARATOR+set}" != set; then
 +  PATH_SEPARATOR=:
 +  (PATH='/bin;/bin'; FPATH=$PATH; sh -c :) >/dev/null 2>&1 && {
 +    (PATH='/bin:/bin'; FPATH=$PATH; sh -c :) >/dev/null 2>&1 ||
 +      PATH_SEPARATOR=';'
 +  }
 +fi
 +
 +
 +# IFS
 +# We need space, tab and new line, in precisely that order.  Quoting is
 +# there to prevent editors from complaining about space-tab.
 +# (If _AS_PATH_WALK were called with IFS unset, it would disable word
 +# splitting by setting IFS to empty value.)
 +IFS=" ""      $as_nl"
 +
 +# Find who we are.  Look in the path if we contain no directory separator.
 +as_myself=
 +case $0 in #((
 +  *[\\/]* ) as_myself=$0 ;;
 +  *) as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    test -r "$as_dir/$0" && as_myself=$as_dir/$0 && break
 +  done
 +IFS=$as_save_IFS
 +
 +     ;;
 +esac
 +# We did not find ourselves, most probably we were run as `sh COMMAND'
 +# in which case we are not to be found in the path.
 +if test "x$as_myself" = x; then
 +  as_myself=$0
 +fi
 +if test ! -f "$as_myself"; then
 +  $as_echo "$as_myself: error: cannot find myself; rerun with an absolute file name" >&2
 +  exit 1
 +fi
 +
 +# Unset variables that we do not need and which cause bugs (e.g. in
 +# pre-3.0 UWIN ksh).  But do not cause bugs in bash 2.01; the "|| exit 1"
 +# suppresses any "Segmentation fault" message there.  '((' could
 +# trigger a bug in pdksh 5.2.14.
 +for as_var in BASH_ENV ENV MAIL MAILPATH
 +do eval test x\${$as_var+set} = xset \
 +  && ( (unset $as_var) || exit 1) >/dev/null 2>&1 && unset $as_var || :
 +done
 +PS1='$ '
 +PS2='> '
 +PS4='+ '
 +
 +# NLS nuisances.
 +LC_ALL=C
 +export LC_ALL
 +LANGUAGE=C
 +export LANGUAGE
 +
 +# CDPATH.
 +(unset CDPATH) >/dev/null 2>&1 && unset CDPATH
 +
 +# Use a proper internal environment variable to ensure we don't fall
 +  # into an infinite loop, continuously re-executing ourselves.
 +  if test x"${_as_can_reexec}" != xno && test "x$CONFIG_SHELL" != x; then
 +    _as_can_reexec=no; export _as_can_reexec;
 +    # We cannot yet assume a decent shell, so we have to provide a
 +# neutralization value for shells without unset; and this also
 +# works around shells that cannot unset nonexistent variables.
 +# Preserve -v and -x to the replacement shell.
 +BASH_ENV=/dev/null
 +ENV=/dev/null
 +(unset BASH_ENV) >/dev/null 2>&1 && unset BASH_ENV ENV
 +case $- in # ((((
 +  *v*x* | *x*v* ) as_opts=-vx ;;
 +  *v* ) as_opts=-v ;;
 +  *x* ) as_opts=-x ;;
 +  * ) as_opts= ;;
 +esac
 +exec $CONFIG_SHELL $as_opts "$as_myself" ${1+"$@"}
 +# Admittedly, this is quite paranoid, since all the known shells bail
 +# out after a failed `exec'.
 +$as_echo "$0: could not re-execute with $CONFIG_SHELL" >&2
 +as_fn_exit 255
 +  fi
 +  # We don't want this to propagate to other subprocesses.
 +          { _as_can_reexec=; unset _as_can_reexec;}
 +if test "x$CONFIG_SHELL" = x; then
 +  as_bourne_compatible="if test -n \"\${ZSH_VERSION+set}\" && (emulate sh) >/dev/null 2>&1; then :
 +  emulate sh
 +  NULLCMD=:
 +  # Pre-4.2 versions of Zsh do word splitting on \${1+\"\$@\"}, which
 +  # is contrary to our usage.  Disable this feature.
 +  alias -g '\${1+\"\$@\"}'='\"\$@\"'
 +  setopt NO_GLOB_SUBST
 +else
 +  case \`(set -o) 2>/dev/null\` in #(
 +  *posix*) :
 +    set -o posix ;; #(
 +  *) :
 +     ;;
 +esac
 +fi
 +"
 +  as_required="as_fn_return () { (exit \$1); }
 +as_fn_success () { as_fn_return 0; }
 +as_fn_failure () { as_fn_return 1; }
 +as_fn_ret_success () { return 0; }
 +as_fn_ret_failure () { return 1; }
 +
 +exitcode=0
 +as_fn_success || { exitcode=1; echo as_fn_success failed.; }
 +as_fn_failure && { exitcode=1; echo as_fn_failure succeeded.; }
 +as_fn_ret_success || { exitcode=1; echo as_fn_ret_success failed.; }
 +as_fn_ret_failure && { exitcode=1; echo as_fn_ret_failure succeeded.; }
 +if ( set x; as_fn_ret_success y && test x = \"\$1\" ); then :
 +
 +else
 +  exitcode=1; echo positional parameters were not saved.
 +fi
 +test x\$exitcode = x0 || exit 1
 +test -x / || exit 1"
 +  as_suggested="  as_lineno_1=";as_suggested=$as_suggested$LINENO;as_suggested=$as_suggested" as_lineno_1a=\$LINENO
 +  as_lineno_2=";as_suggested=$as_suggested$LINENO;as_suggested=$as_suggested" as_lineno_2a=\$LINENO
 +  eval 'test \"x\$as_lineno_1'\$as_run'\" != \"x\$as_lineno_2'\$as_run'\" &&
 +  test \"x\`expr \$as_lineno_1'\$as_run' + 1\`\" = \"x\$as_lineno_2'\$as_run'\"' || exit 1
 +test \$(( 1 + 1 )) = 2 || exit 1
 +
 +  test -n \"\${ZSH_VERSION+set}\${BASH_VERSION+set}\" || (
 +    ECHO='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'
 +    ECHO=\$ECHO\$ECHO\$ECHO\$ECHO\$ECHO
 +    ECHO=\$ECHO\$ECHO\$ECHO\$ECHO\$ECHO\$ECHO
 +    PATH=/empty FPATH=/empty; export PATH FPATH
 +    test \"X\`printf %s \$ECHO\`\" = \"X\$ECHO\" \\
 +      || test \"X\`print -r -- \$ECHO\`\" = \"X\$ECHO\" ) || exit 1"
 +  if (eval "$as_required") 2>/dev/null; then :
 +  as_have_required=yes
 +else
 +  as_have_required=no
 +fi
 +  if test x$as_have_required = xyes && (eval "$as_suggested") 2>/dev/null; then :
 +
 +else
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +as_found=false
 +for as_dir in /bin$PATH_SEPARATOR/usr/bin$PATH_SEPARATOR$PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +  as_found=:
 +  case $as_dir in #(
 +       /*)
 +         for as_base in sh bash ksh sh5; do
 +           # Try only shells that exist, to save several forks.
 +           as_shell=$as_dir/$as_base
 +           if { test -f "$as_shell" || test -f "$as_shell.exe"; } &&
 +                  { $as_echo "$as_bourne_compatible""$as_required" | as_run=a "$as_shell"; } 2>/dev/null; then :
 +  CONFIG_SHELL=$as_shell as_have_required=yes
 +                 if { $as_echo "$as_bourne_compatible""$as_suggested" | as_run=a "$as_shell"; } 2>/dev/null; then :
 +  break 2
 +fi
 +fi
 +         done;;
 +       esac
 +  as_found=false
 +done
 +$as_found || { if { test -f "$SHELL" || test -f "$SHELL.exe"; } &&
 +            { $as_echo "$as_bourne_compatible""$as_required" | as_run=a "$SHELL"; } 2>/dev/null; then :
 +  CONFIG_SHELL=$SHELL as_have_required=yes
 +fi; }
 +IFS=$as_save_IFS
 +
 +
 +      if test "x$CONFIG_SHELL" != x; then :
 +  export CONFIG_SHELL
 +             # We cannot yet assume a decent shell, so we have to provide a
 +# neutralization value for shells without unset; and this also
 +# works around shells that cannot unset nonexistent variables.
 +# Preserve -v and -x to the replacement shell.
 +BASH_ENV=/dev/null
 +ENV=/dev/null
 +(unset BASH_ENV) >/dev/null 2>&1 && unset BASH_ENV ENV
 +case $- in # ((((
 +  *v*x* | *x*v* ) as_opts=-vx ;;
 +  *v* ) as_opts=-v ;;
 +  *x* ) as_opts=-x ;;
 +  * ) as_opts= ;;
 +esac
 +exec $CONFIG_SHELL $as_opts "$as_myself" ${1+"$@"}
 +# Admittedly, this is quite paranoid, since all the known shells bail
 +# out after a failed `exec'.
 +$as_echo "$0: could not re-execute with $CONFIG_SHELL" >&2
 +exit 255
 +fi
 +
 +    if test x$as_have_required = xno; then :
 +  $as_echo "$0: This script requires a shell more modern than all"
 +  $as_echo "$0: the shells that I found on your system."
 +  if test x${ZSH_VERSION+set} = xset ; then
 +    $as_echo "$0: In particular, zsh $ZSH_VERSION has bugs and should"
 +    $as_echo "$0: be upgraded to zsh 4.3.4 or later."
 +  else
 +    $as_echo "$0: Please tell bug-autoconf@gnu.org and
 +$0: unbound-bugs@nlnetlabs.nl about your system, including
 +$0: any error possibly output before this message. Then
 +$0: install a modern shell, or manually run the script
 +$0: under such a shell if you do have one."
 +  fi
 +  exit 1
 +fi
 +fi
 +fi
 +SHELL=${CONFIG_SHELL-/bin/sh}
 +export SHELL
 +# Unset more variables known to interfere with behavior of common tools.
 +CLICOLOR_FORCE= GREP_OPTIONS=
 +unset CLICOLOR_FORCE GREP_OPTIONS
 +
 +## --------------------- ##
 +## M4sh Shell Functions. ##
 +## --------------------- ##
 +# as_fn_unset VAR
 +# ---------------
 +# Portably unset VAR.
 +as_fn_unset ()
 +{
 +  { eval $1=; unset $1;}
 +}
 +as_unset=as_fn_unset
 +
 +# as_fn_set_status STATUS
 +# -----------------------
 +# Set $? to STATUS, without forking.
 +as_fn_set_status ()
 +{
 +  return $1
 +} # as_fn_set_status
 +
 +# as_fn_exit STATUS
 +# -----------------
 +# Exit the shell with STATUS, even in a "trap 0" or "set -e" context.
 +as_fn_exit ()
 +{
 +  set +e
 +  as_fn_set_status $1
 +  exit $1
 +} # as_fn_exit
 +
 +# as_fn_mkdir_p
 +# -------------
 +# Create "$as_dir" as a directory, including parents if necessary.
 +as_fn_mkdir_p ()
 +{
 +
 +  case $as_dir in #(
 +  -*) as_dir=./$as_dir;;
 +  esac
 +  test -d "$as_dir" || eval $as_mkdir_p || {
 +    as_dirs=
 +    while :; do
 +      case $as_dir in #(
 +      *\'*) as_qdir=`$as_echo "$as_dir" | sed "s/'/'\\\\\\\\''/g"`;; #'(
 +      *) as_qdir=$as_dir;;
 +      esac
 +      as_dirs="'$as_qdir' $as_dirs"
 +      as_dir=`$as_dirname -- "$as_dir" ||
 +$as_expr X"$as_dir" : 'X\(.*[^/]\)//*[^/][^/]*/*$' \| \
 +       X"$as_dir" : 'X\(//\)[^/]' \| \
 +       X"$as_dir" : 'X\(//\)$' \| \
 +       X"$as_dir" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X"$as_dir" |
 +    sed '/^X\(.*[^/]\)\/\/*[^/][^/]*\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)[^/].*/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +      test -d "$as_dir" && break
 +    done
 +    test -z "$as_dirs" || eval "mkdir $as_dirs"
 +  } || test -d "$as_dir" || as_fn_error $? "cannot create directory $as_dir"
 +
 +
 +} # as_fn_mkdir_p
 +
 +# as_fn_executable_p FILE
 +# -----------------------
 +# Test if FILE is an executable regular file.
 +as_fn_executable_p ()
 +{
 +  test -f "$1" && test -x "$1"
 +} # as_fn_executable_p
 +# as_fn_append VAR VALUE
 +# ----------------------
 +# Append the text in VALUE to the end of the definition contained in VAR. Take
 +# advantage of any shell optimizations that allow amortized linear growth over
 +# repeated appends, instead of the typical quadratic growth present in naive
 +# implementations.
 +if (eval "as_var=1; as_var+=2; test x\$as_var = x12") 2>/dev/null; then :
 +  eval 'as_fn_append ()
 +  {
 +    eval $1+=\$2
 +  }'
 +else
 +  as_fn_append ()
 +  {
 +    eval $1=\$$1\$2
 +  }
 +fi # as_fn_append
 +
 +# as_fn_arith ARG...
 +# ------------------
 +# Perform arithmetic evaluation on the ARGs, and store the result in the
 +# global $as_val. Take advantage of shells that can avoid forks. The arguments
 +# must be portable across $(()) and expr.
 +if (eval "test \$(( 1 + 1 )) = 2") 2>/dev/null; then :
 +  eval 'as_fn_arith ()
 +  {
 +    as_val=$(( $* ))
 +  }'
 +else
 +  as_fn_arith ()
 +  {
 +    as_val=`expr "$@" || test $? -eq 1`
 +  }
 +fi # as_fn_arith
 +
 +
 +# as_fn_error STATUS ERROR [LINENO LOG_FD]
 +# ----------------------------------------
 +# Output "`basename $0`: error: ERROR" to stderr. If LINENO and LOG_FD are
 +# provided, also output the error to LOG_FD, referencing LINENO. Then exit the
 +# script with STATUS, using 1 if that was 0.
 +as_fn_error ()
 +{
 +  as_status=$1; test $as_status -eq 0 && as_status=1
 +  if test "$4"; then
 +    as_lineno=${as_lineno-"$3"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +    $as_echo "$as_me:${as_lineno-$LINENO}: error: $2" >&$4
 +  fi
 +  $as_echo "$as_me: error: $2" >&2
 +  as_fn_exit $as_status
 +} # as_fn_error
 +
 +if expr a : '\(a\)' >/dev/null 2>&1 &&
 +   test "X`expr 00001 : '.*\(...\)'`" = X001; then
 +  as_expr=expr
 +else
 +  as_expr=false
 +fi
 +
 +if (basename -- /) >/dev/null 2>&1 && test "X`basename -- / 2>&1`" = "X/"; then
 +  as_basename=basename
 +else
 +  as_basename=false
 +fi
 +
 +if (as_dir=`dirname -- /` && test "X$as_dir" = X/) >/dev/null 2>&1; then
 +  as_dirname=dirname
 +else
 +  as_dirname=false
 +fi
 +
 +as_me=`$as_basename -- "$0" ||
 +$as_expr X/"$0" : '.*/\([^/][^/]*\)/*$' \| \
 +       X"$0" : 'X\(//\)$' \| \
 +       X"$0" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X/"$0" |
 +    sed '/^.*\/\([^/][^/]*\)\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\/\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\/\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +
 +# Avoid depending upon Character Ranges.
 +as_cr_letters='abcdefghijklmnopqrstuvwxyz'
 +as_cr_LETTERS='ABCDEFGHIJKLMNOPQRSTUVWXYZ'
 +as_cr_Letters=$as_cr_letters$as_cr_LETTERS
 +as_cr_digits='0123456789'
 +as_cr_alnum=$as_cr_Letters$as_cr_digits
 +
 +
 +  as_lineno_1=$LINENO as_lineno_1a=$LINENO
 +  as_lineno_2=$LINENO as_lineno_2a=$LINENO
 +  eval 'test "x$as_lineno_1'$as_run'" != "x$as_lineno_2'$as_run'" &&
 +  test "x`expr $as_lineno_1'$as_run' + 1`" = "x$as_lineno_2'$as_run'"' || {
 +  # Blame Lee E. McMahon (1931-1989) for sed's syntax.  :-)
 +  sed -n '
 +    p
 +    /[$]LINENO/=
 +  ' <$as_myself |
 +    sed '
 +      s/[$]LINENO.*/&-/
 +      t lineno
 +      b
 +      :lineno
 +      N
 +      :loop
 +      s/[$]LINENO\([^'$as_cr_alnum'_].*\n\)\(.*\)/\2\1\2/
 +      t loop
 +      s/-\n.*//
 +    ' >$as_me.lineno &&
 +  chmod +x "$as_me.lineno" ||
 +    { $as_echo "$as_me: error: cannot create $as_me.lineno; rerun with a POSIX shell" >&2; as_fn_exit 1; }
 +
 +  # If we had to re-execute with $CONFIG_SHELL, we're ensured to have
 +  # already done that, so ensure we don't try to do so again and fall
 +  # in an infinite loop.  This has already happened in practice.
 +  _as_can_reexec=no; export _as_can_reexec
 +  # Don't try to exec as it changes $[0], causing all sort of problems
 +  # (the dirname of $[0] is not the place where we might find the
 +  # original and so on.  Autoconf is especially sensitive to this).
 +  . "./$as_me.lineno"
 +  # Exit status is that of the last command.
 +  exit
 +}
 +
 +ECHO_C= ECHO_N= ECHO_T=
 +case `echo -n x` in #(((((
 +-n*)
 +  case `echo 'xy\c'` in
 +  *c*) ECHO_T='       ';;     # ECHO_T is single tab character.
 +  xy)  ECHO_C='\c';;
 +  *)   echo `echo ksh88 bug on AIX 6.1` > /dev/null
 +       ECHO_T='       ';;
 +  esac;;
 +*)
 +  ECHO_N='-n';;
 +esac
 +
 +rm -f conf$$ conf$$.exe conf$$.file
 +if test -d conf$$.dir; then
 +  rm -f conf$$.dir/conf$$.file
 +else
 +  rm -f conf$$.dir
 +  mkdir conf$$.dir 2>/dev/null
 +fi
 +if (echo >conf$$.file) 2>/dev/null; then
 +  if ln -s conf$$.file conf$$ 2>/dev/null; then
 +    as_ln_s='ln -s'
 +    # ... but there are two gotchas:
 +    # 1) On MSYS, both `ln -s file dir' and `ln file dir' fail.
 +    # 2) DJGPP < 2.04 has no symlinks; `ln -s' creates a wrapper executable.
 +    # In both cases, we have to default to `cp -pR'.
 +    ln -s conf$$.file conf$$.dir 2>/dev/null && test ! -f conf$$.exe ||
 +      as_ln_s='cp -pR'
 +  elif ln conf$$.file conf$$ 2>/dev/null; then
 +    as_ln_s=ln
 +  else
 +    as_ln_s='cp -pR'
 +  fi
 +else
 +  as_ln_s='cp -pR'
 +fi
 +rm -f conf$$ conf$$.exe conf$$.dir/conf$$.file conf$$.file
 +rmdir conf$$.dir 2>/dev/null
 +
 +if mkdir -p . 2>/dev/null; then
 +  as_mkdir_p='mkdir -p "$as_dir"'
 +else
 +  test -d ./-p && rmdir ./-p
 +  as_mkdir_p=false
 +fi
 +
 +as_test_x='test -x'
 +as_executable_p=as_fn_executable_p
 +
 +# Sed expression to map a string onto a valid CPP name.
 +as_tr_cpp="eval sed 'y%*$as_cr_letters%P$as_cr_LETTERS%;s%[^_$as_cr_alnum]%_%g'"
 +
 +# Sed expression to map a string onto a valid variable name.
 +as_tr_sh="eval sed 'y%*+%pp%;s%[^_$as_cr_alnum]%_%g'"
 +
 +SHELL=${CONFIG_SHELL-/bin/sh}
 +
 +
 +test -n "$DJDIR" || exec 7<&0 </dev/null
 +exec 6>&1
 +
 +# Name of the host.
 +# hostname on some systems (SVR3.2, old GNU/Linux) returns a bogus exit status,
 +# so uname gets run too.
 +ac_hostname=`(hostname || uname -n) 2>/dev/null | sed 1q`
 +
 +#
 +# Initializations.
 +#
 +ac_default_prefix=/usr/local
 +ac_clean_files=
 +ac_config_libobj_dir=.
 +LIBOBJS=
 +cross_compiling=no
 +subdirs=
 +MFLAGS=
 +MAKEFLAGS=
 +
 +# Identity of this package.
 +PACKAGE_NAME='unbound'
 +PACKAGE_TARNAME='unbound'
- \`configure' configures unbound 1.5.3 to adapt to many kinds of systems.
++PACKAGE_VERSION='1.5.4'
++PACKAGE_STRING='unbound 1.5.4'
 +PACKAGE_BUGREPORT='unbound-bugs@nlnetlabs.nl'
 +PACKAGE_URL=''
 +
 +# Factoring default headers for most tests.
 +ac_includes_default="\
 +#include <stdio.h>
 +#ifdef HAVE_SYS_TYPES_H
 +# include <sys/types.h>
 +#endif
 +#ifdef HAVE_SYS_STAT_H
 +# include <sys/stat.h>
 +#endif
 +#ifdef STDC_HEADERS
 +# include <stdlib.h>
 +# include <stddef.h>
 +#else
 +# ifdef HAVE_STDLIB_H
 +#  include <stdlib.h>
 +# endif
 +#endif
 +#ifdef HAVE_STRING_H
 +# if !defined STDC_HEADERS && defined HAVE_MEMORY_H
 +#  include <memory.h>
 +# endif
 +# include <string.h>
 +#endif
 +#ifdef HAVE_STRINGS_H
 +# include <strings.h>
 +#endif
 +#ifdef HAVE_INTTYPES_H
 +# include <inttypes.h>
 +#endif
 +#ifdef HAVE_STDINT_H
 +# include <stdint.h>
 +#endif
 +#ifdef HAVE_UNISTD_H
 +# include <unistd.h>
 +#endif"
 +
 +ac_subst_vars='LTLIBOBJS
 +date
 +version
 +INSTALLTARGET
 +ALLTARGET
 +SOURCEFILE
 +SOURCEDETERMINE
 +DNSTAP_OBJ
 +DNSTAP_SRC
 +opt_dnstap_socket_path
 +ENABLE_DNSTAP
 +PROTOC_C
 +UBSYMS
 +EXTRALINK
 +COMMON_OBJ_ALL_SYMBOLS
 +LIBOBJ_WITHOUT_CTIME
 +LIBOBJ_WITHOUT_CTIMEARC4
 +WIN_CHECKCONF_OBJ_LINK
 +WIN_CONTROL_OBJ_LINK
 +WIN_UBANCHOR_OBJ_LINK
 +WIN_HOST_OBJ_LINK
 +WIN_DAEMON_OBJ_LINK
 +WIN_DAEMON_OBJ
 +WIN_DAEMON_SRC
 +WINAPPS
 +WINDRES
 +CHECKLOCK_OBJ
 +staticexe
 +UNBOUND_EVENT_UNINSTALL
 +UNBOUND_EVENT_INSTALL
 +HAVE_SSL
 +CONFIG_DATE
 +NETBSD_LINTFLAGS
 +PYUNBOUND_UNINSTALL
 +PYUNBOUND_INSTALL
 +PYUNBOUND_TARGET
 +PYUNBOUND_OBJ
 +WITH_PYUNBOUND
 +PYTHONMOD_UNINSTALL
 +PYTHONMOD_INSTALL
 +PYTHONMOD_HEADER
 +PYTHONMOD_OBJ
 +WITH_PYTHONMODULE
 +swig
 +SWIG_LIB
 +SWIG
++PY_MAJOR_VERSION
 +PYTHON_SITE_PKG
 +PYTHON_LDFLAGS
 +PYTHON_CPPFLAGS
 +PYTHON
 +PYTHON_VERSION
 +PTHREAD_CFLAGS
 +PTHREAD_LIBS
 +PTHREAD_CC
 +ax_pthread_config
 +RUNTIME_PATH
 +LIBOBJS
 +OTOOL64
 +OTOOL
 +LIPO
 +NMEDIT
 +DSYMUTIL
 +MANIFEST_TOOL
 +AWK
 +RANLIB
 +ac_ct_AR
 +DLLTOOL
 +OBJDUMP
 +LN_S
 +NM
 +ac_ct_DUMPBIN
 +DUMPBIN
 +LD
 +FGREP
 +SED
 +LIBTOOL
 +AR
 +host_os
 +host_vendor
 +host_cpu
 +host
 +build_os
 +build_vendor
 +build_cpu
 +build
 +libtool
 +STRIP
 +doxygen
 +YFLAGS
 +YACC
 +LEXLIB
 +LEX_OUTPUT_ROOT
 +LEX
 +debug_enabled
 +DEPFLAG
 +UNBOUND_USERNAME
 +UNBOUND_ROOTCERT_FILE
 +UNBOUND_ROOTKEY_FILE
 +UNBOUND_PIDFILE
 +UNBOUND_SHARE_DIR
 +UNBOUND_CHROOT_DIR
 +UNBOUND_RUN_DIR
 +ub_conf_dir
 +ub_conf_file
 +EGREP
 +GREP
 +CPP
 +OBJEXT
 +EXEEXT
 +ac_ct_CC
 +CPPFLAGS
 +LDFLAGS
 +CFLAGS
 +CC
 +LIBUNBOUND_AGE
 +LIBUNBOUND_REVISION
 +LIBUNBOUND_CURRENT
 +UNBOUND_VERSION_MICRO
 +UNBOUND_VERSION_MINOR
 +UNBOUND_VERSION_MAJOR
 +target_alias
 +host_alias
 +build_alias
 +LIBS
 +ECHO_T
 +ECHO_N
 +ECHO_C
 +DEFS
 +mandir
 +localedir
 +libdir
 +psdir
 +pdfdir
 +dvidir
 +htmldir
 +infodir
 +docdir
 +oldincludedir
 +includedir
 +localstatedir
 +sharedstatedir
 +sysconfdir
 +datadir
 +datarootdir
 +libexecdir
 +sbindir
 +bindir
 +program_transform_name
 +prefix
 +exec_prefix
 +PACKAGE_URL
 +PACKAGE_BUGREPORT
 +PACKAGE_STRING
 +PACKAGE_VERSION
 +PACKAGE_TARNAME
 +PACKAGE_NAME
 +PATH_SEPARATOR
 +SHELL'
 +ac_subst_files=''
 +ac_user_opts='
 +enable_option_checking
 +with_conf_file
 +with_run_dir
 +with_chroot_dir
 +with_share_dir
 +with_pidfile
 +with_rootkey_file
 +with_rootcert_file
 +with_username
 +enable_checking
 +enable_debug
 +enable_flto
 +enable_shared
 +enable_static
 +with_pic
 +enable_fast_install
 +with_gnu_ld
 +with_sysroot
 +enable_libtool_lock
 +enable_rpath
 +enable_largefile
 +enable_alloc_checks
 +enable_alloc_lite
 +enable_alloc_nonregional
 +with_pthreads
 +with_solaris_threads
 +with_pyunbound
 +with_pythonmodule
 +with_nss
 +with_ssl
 +enable_sha2
 +enable_gost
 +enable_ecdsa
 +enable_event_api
 +with_libevent
 +with_libexpat
 +enable_static_exe
 +enable_lock_checks
 +enable_allsymbols
 +enable_dnstap
 +with_dnstap_socket_path
 +with_protobuf_c
 +with_libfstrm
 +with_libunbound_only
 +'
 +      ac_precious_vars='build_alias
 +host_alias
 +target_alias
 +CC
 +CFLAGS
 +LDFLAGS
 +LIBS
 +CPPFLAGS
 +CPP
 +YACC
 +YFLAGS
 +PYTHON_VERSION'
 +
 +
 +# Initialize some variables set by options.
 +ac_init_help=
 +ac_init_version=false
 +ac_unrecognized_opts=
 +ac_unrecognized_sep=
 +# The variables have the same names as the options, with
 +# dashes changed to underlines.
 +cache_file=/dev/null
 +exec_prefix=NONE
 +no_create=
 +no_recursion=
 +prefix=NONE
 +program_prefix=NONE
 +program_suffix=NONE
 +program_transform_name=s,x,x,
 +silent=
 +site=
 +srcdir=
 +verbose=
 +x_includes=NONE
 +x_libraries=NONE
 +
 +# Installation directory options.
 +# These are left unexpanded so users can "make install exec_prefix=/foo"
 +# and all the variables that are supposed to be based on exec_prefix
 +# by default will actually change.
 +# Use braces instead of parens because sh, perl, etc. also accept them.
 +# (The list follows the same order as the GNU Coding Standards.)
 +bindir='${exec_prefix}/bin'
 +sbindir='${exec_prefix}/sbin'
 +libexecdir='${exec_prefix}/libexec'
 +datarootdir='${prefix}/share'
 +datadir='${datarootdir}'
 +sysconfdir='${prefix}/etc'
 +sharedstatedir='${prefix}/com'
 +localstatedir='${prefix}/var'
 +includedir='${prefix}/include'
 +oldincludedir='/usr/include'
 +docdir='${datarootdir}/doc/${PACKAGE_TARNAME}'
 +infodir='${datarootdir}/info'
 +htmldir='${docdir}'
 +dvidir='${docdir}'
 +pdfdir='${docdir}'
 +psdir='${docdir}'
 +libdir='${exec_prefix}/lib'
 +localedir='${datarootdir}/locale'
 +mandir='${datarootdir}/man'
 +
 +ac_prev=
 +ac_dashdash=
 +for ac_option
 +do
 +  # If the previous option needs an argument, assign it.
 +  if test -n "$ac_prev"; then
 +    eval $ac_prev=\$ac_option
 +    ac_prev=
 +    continue
 +  fi
 +
 +  case $ac_option in
 +  *=?*) ac_optarg=`expr "X$ac_option" : '[^=]*=\(.*\)'` ;;
 +  *=)   ac_optarg= ;;
 +  *)    ac_optarg=yes ;;
 +  esac
 +
 +  # Accept the important Cygnus configure options, so we can diagnose typos.
 +
 +  case $ac_dashdash$ac_option in
 +  --)
 +    ac_dashdash=yes ;;
 +
 +  -bindir | --bindir | --bindi | --bind | --bin | --bi)
 +    ac_prev=bindir ;;
 +  -bindir=* | --bindir=* | --bindi=* | --bind=* | --bin=* | --bi=*)
 +    bindir=$ac_optarg ;;
 +
 +  -build | --build | --buil | --bui | --bu)
 +    ac_prev=build_alias ;;
 +  -build=* | --build=* | --buil=* | --bui=* | --bu=*)
 +    build_alias=$ac_optarg ;;
 +
 +  -cache-file | --cache-file | --cache-fil | --cache-fi \
 +  | --cache-f | --cache- | --cache | --cach | --cac | --ca | --c)
 +    ac_prev=cache_file ;;
 +  -cache-file=* | --cache-file=* | --cache-fil=* | --cache-fi=* \
 +  | --cache-f=* | --cache-=* | --cache=* | --cach=* | --cac=* | --ca=* | --c=*)
 +    cache_file=$ac_optarg ;;
 +
 +  --config-cache | -C)
 +    cache_file=config.cache ;;
 +
 +  -datadir | --datadir | --datadi | --datad)
 +    ac_prev=datadir ;;
 +  -datadir=* | --datadir=* | --datadi=* | --datad=*)
 +    datadir=$ac_optarg ;;
 +
 +  -datarootdir | --datarootdir | --datarootdi | --datarootd | --dataroot \
 +  | --dataroo | --dataro | --datar)
 +    ac_prev=datarootdir ;;
 +  -datarootdir=* | --datarootdir=* | --datarootdi=* | --datarootd=* \
 +  | --dataroot=* | --dataroo=* | --dataro=* | --datar=*)
 +    datarootdir=$ac_optarg ;;
 +
 +  -disable-* | --disable-*)
 +    ac_useropt=`expr "x$ac_option" : 'x-*disable-\(.*\)'`
 +    # Reject names that are not valid shell variable names.
 +    expr "x$ac_useropt" : ".*[^-+._$as_cr_alnum]" >/dev/null &&
 +      as_fn_error $? "invalid feature name: $ac_useropt"
 +    ac_useropt_orig=$ac_useropt
 +    ac_useropt=`$as_echo "$ac_useropt" | sed 's/[-+.]/_/g'`
 +    case $ac_user_opts in
 +      *"
 +"enable_$ac_useropt"
 +"*) ;;
 +      *) ac_unrecognized_opts="$ac_unrecognized_opts$ac_unrecognized_sep--disable-$ac_useropt_orig"
 +       ac_unrecognized_sep=', ';;
 +    esac
 +    eval enable_$ac_useropt=no ;;
 +
 +  -docdir | --docdir | --docdi | --doc | --do)
 +    ac_prev=docdir ;;
 +  -docdir=* | --docdir=* | --docdi=* | --doc=* | --do=*)
 +    docdir=$ac_optarg ;;
 +
 +  -dvidir | --dvidir | --dvidi | --dvid | --dvi | --dv)
 +    ac_prev=dvidir ;;
 +  -dvidir=* | --dvidir=* | --dvidi=* | --dvid=* | --dvi=* | --dv=*)
 +    dvidir=$ac_optarg ;;
 +
 +  -enable-* | --enable-*)
 +    ac_useropt=`expr "x$ac_option" : 'x-*enable-\([^=]*\)'`
 +    # Reject names that are not valid shell variable names.
 +    expr "x$ac_useropt" : ".*[^-+._$as_cr_alnum]" >/dev/null &&
 +      as_fn_error $? "invalid feature name: $ac_useropt"
 +    ac_useropt_orig=$ac_useropt
 +    ac_useropt=`$as_echo "$ac_useropt" | sed 's/[-+.]/_/g'`
 +    case $ac_user_opts in
 +      *"
 +"enable_$ac_useropt"
 +"*) ;;
 +      *) ac_unrecognized_opts="$ac_unrecognized_opts$ac_unrecognized_sep--enable-$ac_useropt_orig"
 +       ac_unrecognized_sep=', ';;
 +    esac
 +    eval enable_$ac_useropt=\$ac_optarg ;;
 +
 +  -exec-prefix | --exec_prefix | --exec-prefix | --exec-prefi \
 +  | --exec-pref | --exec-pre | --exec-pr | --exec-p | --exec- \
 +  | --exec | --exe | --ex)
 +    ac_prev=exec_prefix ;;
 +  -exec-prefix=* | --exec_prefix=* | --exec-prefix=* | --exec-prefi=* \
 +  | --exec-pref=* | --exec-pre=* | --exec-pr=* | --exec-p=* | --exec-=* \
 +  | --exec=* | --exe=* | --ex=*)
 +    exec_prefix=$ac_optarg ;;
 +
 +  -gas | --gas | --ga | --g)
 +    # Obsolete; use --with-gas.
 +    with_gas=yes ;;
 +
 +  -help | --help | --hel | --he | -h)
 +    ac_init_help=long ;;
 +  -help=r* | --help=r* | --hel=r* | --he=r* | -hr*)
 +    ac_init_help=recursive ;;
 +  -help=s* | --help=s* | --hel=s* | --he=s* | -hs*)
 +    ac_init_help=short ;;
 +
 +  -host | --host | --hos | --ho)
 +    ac_prev=host_alias ;;
 +  -host=* | --host=* | --hos=* | --ho=*)
 +    host_alias=$ac_optarg ;;
 +
 +  -htmldir | --htmldir | --htmldi | --htmld | --html | --htm | --ht)
 +    ac_prev=htmldir ;;
 +  -htmldir=* | --htmldir=* | --htmldi=* | --htmld=* | --html=* | --htm=* \
 +  | --ht=*)
 +    htmldir=$ac_optarg ;;
 +
 +  -includedir | --includedir | --includedi | --included | --include \
 +  | --includ | --inclu | --incl | --inc)
 +    ac_prev=includedir ;;
 +  -includedir=* | --includedir=* | --includedi=* | --included=* | --include=* \
 +  | --includ=* | --inclu=* | --incl=* | --inc=*)
 +    includedir=$ac_optarg ;;
 +
 +  -infodir | --infodir | --infodi | --infod | --info | --inf)
 +    ac_prev=infodir ;;
 +  -infodir=* | --infodir=* | --infodi=* | --infod=* | --info=* | --inf=*)
 +    infodir=$ac_optarg ;;
 +
 +  -libdir | --libdir | --libdi | --libd)
 +    ac_prev=libdir ;;
 +  -libdir=* | --libdir=* | --libdi=* | --libd=*)
 +    libdir=$ac_optarg ;;
 +
 +  -libexecdir | --libexecdir | --libexecdi | --libexecd | --libexec \
 +  | --libexe | --libex | --libe)
 +    ac_prev=libexecdir ;;
 +  -libexecdir=* | --libexecdir=* | --libexecdi=* | --libexecd=* | --libexec=* \
 +  | --libexe=* | --libex=* | --libe=*)
 +    libexecdir=$ac_optarg ;;
 +
 +  -localedir | --localedir | --localedi | --localed | --locale)
 +    ac_prev=localedir ;;
 +  -localedir=* | --localedir=* | --localedi=* | --localed=* | --locale=*)
 +    localedir=$ac_optarg ;;
 +
 +  -localstatedir | --localstatedir | --localstatedi | --localstated \
 +  | --localstate | --localstat | --localsta | --localst | --locals)
 +    ac_prev=localstatedir ;;
 +  -localstatedir=* | --localstatedir=* | --localstatedi=* | --localstated=* \
 +  | --localstate=* | --localstat=* | --localsta=* | --localst=* | --locals=*)
 +    localstatedir=$ac_optarg ;;
 +
 +  -mandir | --mandir | --mandi | --mand | --man | --ma | --m)
 +    ac_prev=mandir ;;
 +  -mandir=* | --mandir=* | --mandi=* | --mand=* | --man=* | --ma=* | --m=*)
 +    mandir=$ac_optarg ;;
 +
 +  -nfp | --nfp | --nf)
 +    # Obsolete; use --without-fp.
 +    with_fp=no ;;
 +
 +  -no-create | --no-create | --no-creat | --no-crea | --no-cre \
 +  | --no-cr | --no-c | -n)
 +    no_create=yes ;;
 +
 +  -no-recursion | --no-recursion | --no-recursio | --no-recursi \
 +  | --no-recurs | --no-recur | --no-recu | --no-rec | --no-re | --no-r)
 +    no_recursion=yes ;;
 +
 +  -oldincludedir | --oldincludedir | --oldincludedi | --oldincluded \
 +  | --oldinclude | --oldinclud | --oldinclu | --oldincl | --oldinc \
 +  | --oldin | --oldi | --old | --ol | --o)
 +    ac_prev=oldincludedir ;;
 +  -oldincludedir=* | --oldincludedir=* | --oldincludedi=* | --oldincluded=* \
 +  | --oldinclude=* | --oldinclud=* | --oldinclu=* | --oldincl=* | --oldinc=* \
 +  | --oldin=* | --oldi=* | --old=* | --ol=* | --o=*)
 +    oldincludedir=$ac_optarg ;;
 +
 +  -prefix | --prefix | --prefi | --pref | --pre | --pr | --p)
 +    ac_prev=prefix ;;
 +  -prefix=* | --prefix=* | --prefi=* | --pref=* | --pre=* | --pr=* | --p=*)
 +    prefix=$ac_optarg ;;
 +
 +  -program-prefix | --program-prefix | --program-prefi | --program-pref \
 +  | --program-pre | --program-pr | --program-p)
 +    ac_prev=program_prefix ;;
 +  -program-prefix=* | --program-prefix=* | --program-prefi=* \
 +  | --program-pref=* | --program-pre=* | --program-pr=* | --program-p=*)
 +    program_prefix=$ac_optarg ;;
 +
 +  -program-suffix | --program-suffix | --program-suffi | --program-suff \
 +  | --program-suf | --program-su | --program-s)
 +    ac_prev=program_suffix ;;
 +  -program-suffix=* | --program-suffix=* | --program-suffi=* \
 +  | --program-suff=* | --program-suf=* | --program-su=* | --program-s=*)
 +    program_suffix=$ac_optarg ;;
 +
 +  -program-transform-name | --program-transform-name \
 +  | --program-transform-nam | --program-transform-na \
 +  | --program-transform-n | --program-transform- \
 +  | --program-transform | --program-transfor \
 +  | --program-transfo | --program-transf \
 +  | --program-trans | --program-tran \
 +  | --progr-tra | --program-tr | --program-t)
 +    ac_prev=program_transform_name ;;
 +  -program-transform-name=* | --program-transform-name=* \
 +  | --program-transform-nam=* | --program-transform-na=* \
 +  | --program-transform-n=* | --program-transform-=* \
 +  | --program-transform=* | --program-transfor=* \
 +  | --program-transfo=* | --program-transf=* \
 +  | --program-trans=* | --program-tran=* \
 +  | --progr-tra=* | --program-tr=* | --program-t=*)
 +    program_transform_name=$ac_optarg ;;
 +
 +  -pdfdir | --pdfdir | --pdfdi | --pdfd | --pdf | --pd)
 +    ac_prev=pdfdir ;;
 +  -pdfdir=* | --pdfdir=* | --pdfdi=* | --pdfd=* | --pdf=* | --pd=*)
 +    pdfdir=$ac_optarg ;;
 +
 +  -psdir | --psdir | --psdi | --psd | --ps)
 +    ac_prev=psdir ;;
 +  -psdir=* | --psdir=* | --psdi=* | --psd=* | --ps=*)
 +    psdir=$ac_optarg ;;
 +
 +  -q | -quiet | --quiet | --quie | --qui | --qu | --q \
 +  | -silent | --silent | --silen | --sile | --sil)
 +    silent=yes ;;
 +
 +  -sbindir | --sbindir | --sbindi | --sbind | --sbin | --sbi | --sb)
 +    ac_prev=sbindir ;;
 +  -sbindir=* | --sbindir=* | --sbindi=* | --sbind=* | --sbin=* \
 +  | --sbi=* | --sb=*)
 +    sbindir=$ac_optarg ;;
 +
 +  -sharedstatedir | --sharedstatedir | --sharedstatedi \
 +  | --sharedstated | --sharedstate | --sharedstat | --sharedsta \
 +  | --sharedst | --shareds | --shared | --share | --shar \
 +  | --sha | --sh)
 +    ac_prev=sharedstatedir ;;
 +  -sharedstatedir=* | --sharedstatedir=* | --sharedstatedi=* \
 +  | --sharedstated=* | --sharedstate=* | --sharedstat=* | --sharedsta=* \
 +  | --sharedst=* | --shareds=* | --shared=* | --share=* | --shar=* \
 +  | --sha=* | --sh=*)
 +    sharedstatedir=$ac_optarg ;;
 +
 +  -site | --site | --sit)
 +    ac_prev=site ;;
 +  -site=* | --site=* | --sit=*)
 +    site=$ac_optarg ;;
 +
 +  -srcdir | --srcdir | --srcdi | --srcd | --src | --sr)
 +    ac_prev=srcdir ;;
 +  -srcdir=* | --srcdir=* | --srcdi=* | --srcd=* | --src=* | --sr=*)
 +    srcdir=$ac_optarg ;;
 +
 +  -sysconfdir | --sysconfdir | --sysconfdi | --sysconfd | --sysconf \
 +  | --syscon | --sysco | --sysc | --sys | --sy)
 +    ac_prev=sysconfdir ;;
 +  -sysconfdir=* | --sysconfdir=* | --sysconfdi=* | --sysconfd=* | --sysconf=* \
 +  | --syscon=* | --sysco=* | --sysc=* | --sys=* | --sy=*)
 +    sysconfdir=$ac_optarg ;;
 +
 +  -target | --target | --targe | --targ | --tar | --ta | --t)
 +    ac_prev=target_alias ;;
 +  -target=* | --target=* | --targe=* | --targ=* | --tar=* | --ta=* | --t=*)
 +    target_alias=$ac_optarg ;;
 +
 +  -v | -verbose | --verbose | --verbos | --verbo | --verb)
 +    verbose=yes ;;
 +
 +  -version | --version | --versio | --versi | --vers | -V)
 +    ac_init_version=: ;;
 +
 +  -with-* | --with-*)
 +    ac_useropt=`expr "x$ac_option" : 'x-*with-\([^=]*\)'`
 +    # Reject names that are not valid shell variable names.
 +    expr "x$ac_useropt" : ".*[^-+._$as_cr_alnum]" >/dev/null &&
 +      as_fn_error $? "invalid package name: $ac_useropt"
 +    ac_useropt_orig=$ac_useropt
 +    ac_useropt=`$as_echo "$ac_useropt" | sed 's/[-+.]/_/g'`
 +    case $ac_user_opts in
 +      *"
 +"with_$ac_useropt"
 +"*) ;;
 +      *) ac_unrecognized_opts="$ac_unrecognized_opts$ac_unrecognized_sep--with-$ac_useropt_orig"
 +       ac_unrecognized_sep=', ';;
 +    esac
 +    eval with_$ac_useropt=\$ac_optarg ;;
 +
 +  -without-* | --without-*)
 +    ac_useropt=`expr "x$ac_option" : 'x-*without-\(.*\)'`
 +    # Reject names that are not valid shell variable names.
 +    expr "x$ac_useropt" : ".*[^-+._$as_cr_alnum]" >/dev/null &&
 +      as_fn_error $? "invalid package name: $ac_useropt"
 +    ac_useropt_orig=$ac_useropt
 +    ac_useropt=`$as_echo "$ac_useropt" | sed 's/[-+.]/_/g'`
 +    case $ac_user_opts in
 +      *"
 +"with_$ac_useropt"
 +"*) ;;
 +      *) ac_unrecognized_opts="$ac_unrecognized_opts$ac_unrecognized_sep--without-$ac_useropt_orig"
 +       ac_unrecognized_sep=', ';;
 +    esac
 +    eval with_$ac_useropt=no ;;
 +
 +  --x)
 +    # Obsolete; use --with-x.
 +    with_x=yes ;;
 +
 +  -x-includes | --x-includes | --x-include | --x-includ | --x-inclu \
 +  | --x-incl | --x-inc | --x-in | --x-i)
 +    ac_prev=x_includes ;;
 +  -x-includes=* | --x-includes=* | --x-include=* | --x-includ=* | --x-inclu=* \
 +  | --x-incl=* | --x-inc=* | --x-in=* | --x-i=*)
 +    x_includes=$ac_optarg ;;
 +
 +  -x-libraries | --x-libraries | --x-librarie | --x-librari \
 +  | --x-librar | --x-libra | --x-libr | --x-lib | --x-li | --x-l)
 +    ac_prev=x_libraries ;;
 +  -x-libraries=* | --x-libraries=* | --x-librarie=* | --x-librari=* \
 +  | --x-librar=* | --x-libra=* | --x-libr=* | --x-lib=* | --x-li=* | --x-l=*)
 +    x_libraries=$ac_optarg ;;
 +
 +  -*) as_fn_error $? "unrecognized option: \`$ac_option'
 +Try \`$0 --help' for more information"
 +    ;;
 +
 +  *=*)
 +    ac_envvar=`expr "x$ac_option" : 'x\([^=]*\)='`
 +    # Reject names that are not valid shell variable names.
 +    case $ac_envvar in #(
 +      '' | [0-9]* | *[!_$as_cr_alnum]* )
 +      as_fn_error $? "invalid variable name: \`$ac_envvar'" ;;
 +    esac
 +    eval $ac_envvar=\$ac_optarg
 +    export $ac_envvar ;;
 +
 +  *)
 +    # FIXME: should be removed in autoconf 3.0.
 +    $as_echo "$as_me: WARNING: you should use --build, --host, --target" >&2
 +    expr "x$ac_option" : ".*[^-._$as_cr_alnum]" >/dev/null &&
 +      $as_echo "$as_me: WARNING: invalid host type: $ac_option" >&2
 +    : "${build_alias=$ac_option} ${host_alias=$ac_option} ${target_alias=$ac_option}"
 +    ;;
 +
 +  esac
 +done
 +
 +if test -n "$ac_prev"; then
 +  ac_option=--`echo $ac_prev | sed 's/_/-/g'`
 +  as_fn_error $? "missing argument to $ac_option"
 +fi
 +
 +if test -n "$ac_unrecognized_opts"; then
 +  case $enable_option_checking in
 +    no) ;;
 +    fatal) as_fn_error $? "unrecognized options: $ac_unrecognized_opts" ;;
 +    *)     $as_echo "$as_me: WARNING: unrecognized options: $ac_unrecognized_opts" >&2 ;;
 +  esac
 +fi
 +
 +# Check all directory arguments for consistency.
 +for ac_var in exec_prefix prefix bindir sbindir libexecdir datarootdir \
 +              datadir sysconfdir sharedstatedir localstatedir includedir \
 +              oldincludedir docdir infodir htmldir dvidir pdfdir psdir \
 +              libdir localedir mandir
 +do
 +  eval ac_val=\$$ac_var
 +  # Remove trailing slashes.
 +  case $ac_val in
 +    */ )
 +      ac_val=`expr "X$ac_val" : 'X\(.*[^/]\)' \| "X$ac_val" : 'X\(.*\)'`
 +      eval $ac_var=\$ac_val;;
 +  esac
 +  # Be sure to have absolute directory names.
 +  case $ac_val in
 +    [\\/$]* | ?:[\\/]* )  continue;;
 +    NONE | '' ) case $ac_var in *prefix ) continue;; esac;;
 +  esac
 +  as_fn_error $? "expected an absolute directory name for --$ac_var: $ac_val"
 +done
 +
 +# There might be people who depend on the old broken behavior: `$host'
 +# used to hold the argument of --host etc.
 +# FIXME: To remove some day.
 +build=$build_alias
 +host=$host_alias
 +target=$target_alias
 +
 +# FIXME: To remove some day.
 +if test "x$host_alias" != x; then
 +  if test "x$build_alias" = x; then
 +    cross_compiling=maybe
 +  elif test "x$build_alias" != "x$host_alias"; then
 +    cross_compiling=yes
 +  fi
 +fi
 +
 +ac_tool_prefix=
 +test -n "$host_alias" && ac_tool_prefix=$host_alias-
 +
 +test "$silent" = yes && exec 6>/dev/null
 +
 +
 +ac_pwd=`pwd` && test -n "$ac_pwd" &&
 +ac_ls_di=`ls -di .` &&
 +ac_pwd_ls_di=`cd "$ac_pwd" && ls -di .` ||
 +  as_fn_error $? "working directory cannot be determined"
 +test "X$ac_ls_di" = "X$ac_pwd_ls_di" ||
 +  as_fn_error $? "pwd does not report name of working directory"
 +
 +
 +# Find the source files, if location was not specified.
 +if test -z "$srcdir"; then
 +  ac_srcdir_defaulted=yes
 +  # Try the directory containing this script, then the parent directory.
 +  ac_confdir=`$as_dirname -- "$as_myself" ||
 +$as_expr X"$as_myself" : 'X\(.*[^/]\)//*[^/][^/]*/*$' \| \
 +       X"$as_myself" : 'X\(//\)[^/]' \| \
 +       X"$as_myself" : 'X\(//\)$' \| \
 +       X"$as_myself" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X"$as_myself" |
 +    sed '/^X\(.*[^/]\)\/\/*[^/][^/]*\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)[^/].*/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +  srcdir=$ac_confdir
 +  if test ! -r "$srcdir/$ac_unique_file"; then
 +    srcdir=..
 +  fi
 +else
 +  ac_srcdir_defaulted=no
 +fi
 +if test ! -r "$srcdir/$ac_unique_file"; then
 +  test "$ac_srcdir_defaulted" = yes && srcdir="$ac_confdir or .."
 +  as_fn_error $? "cannot find sources ($ac_unique_file) in $srcdir"
 +fi
 +ac_msg="sources are in $srcdir, but \`cd $srcdir' does not work"
 +ac_abs_confdir=`(
 +      cd "$srcdir" && test -r "./$ac_unique_file" || as_fn_error $? "$ac_msg"
 +      pwd)`
 +# When building in place, set srcdir=.
 +if test "$ac_abs_confdir" = "$ac_pwd"; then
 +  srcdir=.
 +fi
 +# Remove unnecessary trailing slashes from srcdir.
 +# Double slashes in file names in object file debugging info
 +# mess up M-x gdb in Emacs.
 +case $srcdir in
 +*/) srcdir=`expr "X$srcdir" : 'X\(.*[^/]\)' \| "X$srcdir" : 'X\(.*\)'`;;
 +esac
 +for ac_var in $ac_precious_vars; do
 +  eval ac_env_${ac_var}_set=\${${ac_var}+set}
 +  eval ac_env_${ac_var}_value=\$${ac_var}
 +  eval ac_cv_env_${ac_var}_set=\${${ac_var}+set}
 +  eval ac_cv_env_${ac_var}_value=\$${ac_var}
 +done
 +
 +#
 +# Report the --help message.
 +#
 +if test "$ac_init_help" = "long"; then
 +  # Omit some internal or obsolete options to make the list less imposing.
 +  # This message is too long to be a string in the A/UX 3.1 sh.
 +  cat <<_ACEOF
-      short | recursive ) echo "Configuration of unbound 1.5.3:";;
++\`configure' configures unbound 1.5.4 to adapt to many kinds of systems.
 +
 +Usage: $0 [OPTION]... [VAR=VALUE]...
 +
 +To assign environment variables (e.g., CC, CFLAGS...), specify them as
 +VAR=VALUE.  See below for descriptions of some of the useful variables.
 +
 +Defaults for the options are specified in brackets.
 +
 +Configuration:
 +  -h, --help              display this help and exit
 +      --help=short        display options specific to this package
 +      --help=recursive    display the short help of all the included packages
 +  -V, --version           display version information and exit
 +  -q, --quiet, --silent   do not print \`checking ...' messages
 +      --cache-file=FILE   cache test results in FILE [disabled]
 +  -C, --config-cache      alias for \`--cache-file=config.cache'
 +  -n, --no-create         do not create output files
 +      --srcdir=DIR        find the sources in DIR [configure dir or \`..']
 +
 +Installation directories:
 +  --prefix=PREFIX         install architecture-independent files in PREFIX
 +                          [$ac_default_prefix]
 +  --exec-prefix=EPREFIX   install architecture-dependent files in EPREFIX
 +                          [PREFIX]
 +
 +By default, \`make install' will install all the files in
 +\`$ac_default_prefix/bin', \`$ac_default_prefix/lib' etc.  You can specify
 +an installation prefix other than \`$ac_default_prefix' using \`--prefix',
 +for instance \`--prefix=\$HOME'.
 +
 +For better control, use the options below.
 +
 +Fine tuning of the installation directories:
 +  --bindir=DIR            user executables [EPREFIX/bin]
 +  --sbindir=DIR           system admin executables [EPREFIX/sbin]
 +  --libexecdir=DIR        program executables [EPREFIX/libexec]
 +  --sysconfdir=DIR        read-only single-machine data [PREFIX/etc]
 +  --sharedstatedir=DIR    modifiable architecture-independent data [PREFIX/com]
 +  --localstatedir=DIR     modifiable single-machine data [PREFIX/var]
 +  --libdir=DIR            object code libraries [EPREFIX/lib]
 +  --includedir=DIR        C header files [PREFIX/include]
 +  --oldincludedir=DIR     C header files for non-gcc [/usr/include]
 +  --datarootdir=DIR       read-only arch.-independent data root [PREFIX/share]
 +  --datadir=DIR           read-only architecture-independent data [DATAROOTDIR]
 +  --infodir=DIR           info documentation [DATAROOTDIR/info]
 +  --localedir=DIR         locale-dependent data [DATAROOTDIR/locale]
 +  --mandir=DIR            man documentation [DATAROOTDIR/man]
 +  --docdir=DIR            documentation root [DATAROOTDIR/doc/unbound]
 +  --htmldir=DIR           html documentation [DOCDIR]
 +  --dvidir=DIR            dvi documentation [DOCDIR]
 +  --pdfdir=DIR            pdf documentation [DOCDIR]
 +  --psdir=DIR             ps documentation [DOCDIR]
 +_ACEOF
 +
 +  cat <<\_ACEOF
 +
 +System types:
 +  --build=BUILD     configure for building on BUILD [guessed]
 +  --host=HOST       cross-compile to build programs to run on HOST [BUILD]
 +_ACEOF
 +fi
 +
 +if test -n "$ac_init_help"; then
 +  case $ac_init_help in
- unbound configure 1.5.3
++     short | recursive ) echo "Configuration of unbound 1.5.4:";;
 +   esac
 +  cat <<\_ACEOF
 +
 +Optional Features:
 +  --disable-option-checking  ignore unrecognized --enable/--with options
 +  --disable-FEATURE       do not include FEATURE (same as --enable-FEATURE=no)
 +  --enable-FEATURE[=ARG]  include FEATURE [ARG=yes]
 +  --enable-checking       Enable warnings, asserts, makefile-dependencies
 +  --enable-debug          same as enable-checking
 +  --disable-flto          Disable link-time optimization (gcc specific option)
 +  --enable-shared[=PKGS]  build shared libraries [default=yes]
 +  --enable-static[=PKGS]  build static libraries [default=yes]
 +  --enable-fast-install[=PKGS]
 +                          optimize for fast installation [default=yes]
 +  --disable-libtool-lock  avoid locking (might break parallel builds)
 +  --disable-rpath         disable hardcoded rpath (default=enabled)
 +  --disable-largefile     omit support for large files
 +  --enable-alloc-checks   enable to memory allocation statistics, for debug
 +                          purposes
 +  --enable-alloc-lite     enable for lightweight alloc assertions, for debug
 +                          purposes
 +  --enable-alloc-nonregional
 +                          enable nonregional allocs, slow but exposes regional
 +                          allocations to other memory purifiers, for debug
 +                          purposes
 +  --disable-sha2          Disable SHA256 and SHA512 RRSIG support
 +  --disable-gost          Disable GOST support
 +  --disable-ecdsa         Disable ECDSA support
 +  --enable-event-api      Enable (experimental) libevent-based libunbound API
 +                          installed to unbound-event.h
 +  --enable-static-exe     enable to compile executables statically against
 +                          (event) libs, for debug purposes
 +  --enable-lock-checks    enable to check lock and unlock calls, for debug
 +                          purposes
 +  --enable-allsymbols     export all symbols from libunbound and link binaries
 +                          to it, smaller install size but libunbound export
 +                          table is polluted by internal symbols
 +  --enable-dnstap         Enable dnstap support (requires fstrm, protobuf-c)
 +
 +Optional Packages:
 +  --with-PACKAGE[=ARG]    use PACKAGE [ARG=yes]
 +  --without-PACKAGE       do not use PACKAGE (same as --with-PACKAGE=no)
 +  --with-conf-file=path   Pathname to the Unbound configuration file
 +  --with-run-dir=path     set default directory to chdir to (by default dir
 +                          part of cfg file)
 +  --with-chroot-dir=path  set default directory to chroot to (by default same
 +                          as run-dir)
 +  --with-share-dir=path   set default directory with shared data (by default
 +                          same as share/unbound)
 +  --with-pidfile=filename set default pathname to unbound pidfile (default
 +                          run-dir/unbound.pid)
 +  --with-rootkey-file=filename
 +                          set default pathname to root key file (default
 +                          run-dir/root.key). This file is read and written.
 +  --with-rootcert-file=filename
 +                          set default pathname to root update certificate file
 +                          (default run-dir/icannbundle.pem). This file need
 +                          not exist if you are content with the builtin.
 +  --with-username=user    set default user that unbound changes to (default
 +                          user is unbound)
 +  --with-pic[=PKGS]       try to use only PIC/non-PIC objects [default=use
 +                          both]
 +  --with-gnu-ld           assume the C compiler uses GNU ld [default=no]
 +  --with-sysroot=DIR Search for dependent libraries within DIR
 +                        (or the compiler's sysroot if not specified).
 +  --with-pthreads         use pthreads library, or --without-pthreads to
 +                          disable threading support.
 +  --with-solaris-threads  use solaris native thread library.
 +  --with-pyunbound        build PyUnbound, or --without-pyunbound to skip it.
 +                          (default=no)
 +  --with-pythonmodule     build Python module, or --without-pythonmodule to
 +                          disable script engine. (default=no)
 +  --with-nss=path         use libnss instead of openssl, installed at path.
 +  --with-ssl=pathname     enable SSL (will check /usr/local/ssl /usr/lib/ssl
 +                          /usr/ssl /usr/pkg /usr/local /opt/local /usr/sfw
 +                          /usr)
 +  --with-libevent=pathname
 +                          use libevent (will check /usr/local /opt/local
 +                          /usr/lib /usr/pkg /usr/sfw /usr or you can specify
 +                          an explicit path). Slower, but allows use of large
 +                          outgoing port ranges.
 +  --with-libexpat=path    specify explicit path for libexpat.
 +  --with-dnstap-socket-path=pathname
 +                          set default dnstap socket path
 +  --with-protobuf-c=path  Path where protobuf-c is installed, for dnstap
 +  --with-libfstrm=path    Path where libfstrm is installed, for dnstap
 +  --with-libunbound-only  do not build daemon and tool programs
 +
 +Some influential environment variables:
 +  CC          C compiler command
 +  CFLAGS      C compiler flags
 +  LDFLAGS     linker flags, e.g. -L<lib dir> if you have libraries in a
 +              nonstandard directory <lib dir>
 +  LIBS        libraries to pass to the linker, e.g. -l<library>
 +  CPPFLAGS    (Objective) C/C++ preprocessor flags, e.g. -I<include dir> if
 +              you have headers in a nonstandard directory <include dir>
 +  CPP         C preprocessor
 +  YACC        The `Yet Another Compiler Compiler' implementation to use.
 +              Defaults to the first program found out of: `bison -y', `byacc',
 +              `yacc'.
 +  YFLAGS      The list of arguments that will be passed by default to $YACC.
 +              This script will default YFLAGS to the empty string to avoid a
 +              default value of `-d' given by some make applications.
 +  PYTHON_VERSION
 +              The installed Python version to use, for example '2.3'. This
 +              string will be appended to the Python interpreter canonical
 +              name.
 +
 +Use these variables to override the choices made by `configure' or to help
 +it to find libraries and programs with nonstandard names/locations.
 +
 +Report bugs to <unbound-bugs@nlnetlabs.nl>.
 +_ACEOF
 +ac_status=$?
 +fi
 +
 +if test "$ac_init_help" = "recursive"; then
 +  # If there are subdirs, report their specific --help.
 +  for ac_dir in : $ac_subdirs_all; do test "x$ac_dir" = x: && continue
 +    test -d "$ac_dir" ||
 +      { cd "$srcdir" && ac_pwd=`pwd` && srcdir=. && test -d "$ac_dir"; } ||
 +      continue
 +    ac_builddir=.
 +
 +case "$ac_dir" in
 +.) ac_dir_suffix= ac_top_builddir_sub=. ac_top_build_prefix= ;;
 +*)
 +  ac_dir_suffix=/`$as_echo "$ac_dir" | sed 's|^\.[\\/]||'`
 +  # A ".." for each directory in $ac_dir_suffix.
 +  ac_top_builddir_sub=`$as_echo "$ac_dir_suffix" | sed 's|/[^\\/]*|/..|g;s|/||'`
 +  case $ac_top_builddir_sub in
 +  "") ac_top_builddir_sub=. ac_top_build_prefix= ;;
 +  *)  ac_top_build_prefix=$ac_top_builddir_sub/ ;;
 +  esac ;;
 +esac
 +ac_abs_top_builddir=$ac_pwd
 +ac_abs_builddir=$ac_pwd$ac_dir_suffix
 +# for backward compatibility:
 +ac_top_builddir=$ac_top_build_prefix
 +
 +case $srcdir in
 +  .)  # We are building in place.
 +    ac_srcdir=.
 +    ac_top_srcdir=$ac_top_builddir_sub
 +    ac_abs_top_srcdir=$ac_pwd ;;
 +  [\\/]* | ?:[\\/]* )  # Absolute name.
 +    ac_srcdir=$srcdir$ac_dir_suffix;
 +    ac_top_srcdir=$srcdir
 +    ac_abs_top_srcdir=$srcdir ;;
 +  *) # Relative name.
 +    ac_srcdir=$ac_top_build_prefix$srcdir$ac_dir_suffix
 +    ac_top_srcdir=$ac_top_build_prefix$srcdir
 +    ac_abs_top_srcdir=$ac_pwd/$srcdir ;;
 +esac
 +ac_abs_srcdir=$ac_abs_top_srcdir$ac_dir_suffix
 +
 +    cd "$ac_dir" || { ac_status=$?; continue; }
 +    # Check for guested configure.
 +    if test -f "$ac_srcdir/configure.gnu"; then
 +      echo &&
 +      $SHELL "$ac_srcdir/configure.gnu" --help=recursive
 +    elif test -f "$ac_srcdir/configure"; then
 +      echo &&
 +      $SHELL "$ac_srcdir/configure" --help=recursive
 +    else
 +      $as_echo "$as_me: WARNING: no configuration information is in $ac_dir" >&2
 +    fi || ac_status=$?
 +    cd "$ac_pwd" || { ac_status=$?; break; }
 +  done
 +fi
 +
 +test -n "$ac_init_help" && exit $ac_status
 +if $ac_init_version; then
 +  cat <<\_ACEOF
- It was created by unbound $as_me 1.5.3, which was
++unbound configure 1.5.4
 +generated by GNU Autoconf 2.69
 +
 +Copyright (C) 2012 Free Software Foundation, Inc.
 +This configure script is free software; the Free Software Foundation
 +gives unlimited permission to copy, distribute and modify it.
 +_ACEOF
 +  exit
 +fi
 +
 +## ------------------------ ##
 +## Autoconf initialization. ##
 +## ------------------------ ##
 +
 +# ac_fn_c_try_compile LINENO
 +# --------------------------
 +# Try to compile conftest.$ac_ext, and return whether this succeeded.
 +ac_fn_c_try_compile ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  rm -f conftest.$ac_objext
 +  if { { ac_try="$ac_compile"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_compile") 2>conftest.err
 +  ac_status=$?
 +  if test -s conftest.err; then
 +    grep -v '^ *+' conftest.err >conftest.er1
 +    cat conftest.er1 >&5
 +    mv -f conftest.er1 conftest.err
 +  fi
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && {
 +       test -z "$ac_c_werror_flag" ||
 +       test ! -s conftest.err
 +       } && test -s conftest.$ac_objext; then :
 +  ac_retval=0
 +else
 +  $as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +      ac_retval=1
 +fi
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +  as_fn_set_status $ac_retval
 +
 +} # ac_fn_c_try_compile
 +
 +# ac_fn_c_try_cpp LINENO
 +# ----------------------
 +# Try to preprocess conftest.$ac_ext, and return whether this succeeded.
 +ac_fn_c_try_cpp ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  if { { ac_try="$ac_cpp conftest.$ac_ext"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_cpp conftest.$ac_ext") 2>conftest.err
 +  ac_status=$?
 +  if test -s conftest.err; then
 +    grep -v '^ *+' conftest.err >conftest.er1
 +    cat conftest.er1 >&5
 +    mv -f conftest.er1 conftest.err
 +  fi
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } > conftest.i && {
 +       test -z "$ac_c_preproc_warn_flag$ac_c_werror_flag" ||
 +       test ! -s conftest.err
 +       }; then :
 +  ac_retval=0
 +else
 +  $as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +    ac_retval=1
 +fi
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +  as_fn_set_status $ac_retval
 +
 +} # ac_fn_c_try_cpp
 +
 +# ac_fn_c_check_header_mongrel LINENO HEADER VAR INCLUDES
 +# -------------------------------------------------------
 +# Tests whether HEADER exists, giving a warning if it cannot be compiled using
 +# the include files in INCLUDES and setting the cache variable VAR
 +# accordingly.
 +ac_fn_c_check_header_mongrel ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  if eval \${$3+:} false; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2" >&5
 +$as_echo_n "checking for $2... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +else
 +  # Is the header compilable?
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking $2 usability" >&5
 +$as_echo_n "checking $2 usability... " >&6; }
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +#include <$2>
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_header_compiler=yes
 +else
 +  ac_header_compiler=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_header_compiler" >&5
 +$as_echo "$ac_header_compiler" >&6; }
 +
 +# Is the header present?
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking $2 presence" >&5
 +$as_echo_n "checking $2 presence... " >&6; }
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <$2>
 +_ACEOF
 +if ac_fn_c_try_cpp "$LINENO"; then :
 +  ac_header_preproc=yes
 +else
 +  ac_header_preproc=no
 +fi
 +rm -f conftest.err conftest.i conftest.$ac_ext
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_header_preproc" >&5
 +$as_echo "$ac_header_preproc" >&6; }
 +
 +# So?  What about this header?
 +case $ac_header_compiler:$ac_header_preproc:$ac_c_preproc_warn_flag in #((
 +  yes:no: )
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2: accepted by the compiler, rejected by the preprocessor!" >&5
 +$as_echo "$as_me: WARNING: $2: accepted by the compiler, rejected by the preprocessor!" >&2;}
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2: proceeding with the compiler's result" >&5
 +$as_echo "$as_me: WARNING: $2: proceeding with the compiler's result" >&2;}
 +    ;;
 +  no:yes:* )
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2: present but cannot be compiled" >&5
 +$as_echo "$as_me: WARNING: $2: present but cannot be compiled" >&2;}
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2:     check for missing prerequisite headers?" >&5
 +$as_echo "$as_me: WARNING: $2:     check for missing prerequisite headers?" >&2;}
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2: see the Autoconf documentation" >&5
 +$as_echo "$as_me: WARNING: $2: see the Autoconf documentation" >&2;}
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2:     section \"Present But Cannot Be Compiled\"" >&5
 +$as_echo "$as_me: WARNING: $2:     section \"Present But Cannot Be Compiled\"" >&2;}
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $2: proceeding with the compiler's result" >&5
 +$as_echo "$as_me: WARNING: $2: proceeding with the compiler's result" >&2;}
 +( $as_echo "## ---------------------------------------- ##
 +## Report this to unbound-bugs@nlnetlabs.nl ##
 +## ---------------------------------------- ##"
 +     ) | sed "s/^/$as_me: WARNING:     /" >&2
 +    ;;
 +esac
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2" >&5
 +$as_echo_n "checking for $2... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  eval "$3=\$ac_header_compiler"
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +fi
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_header_mongrel
 +
 +# ac_fn_c_try_run LINENO
 +# ----------------------
 +# Try to link conftest.$ac_ext, and return whether this succeeded. Assumes
 +# that executables *can* be run.
 +ac_fn_c_try_run ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  if { { ac_try="$ac_link"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_link") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && { ac_try='./conftest$ac_exeext'
 +  { { case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_try") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; }; then :
 +  ac_retval=0
 +else
 +  $as_echo "$as_me: program exited with status $ac_status" >&5
 +       $as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +       ac_retval=$ac_status
 +fi
 +  rm -rf conftest.dSYM conftest_ipa8_conftest.oo
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +  as_fn_set_status $ac_retval
 +
 +} # ac_fn_c_try_run
 +
 +# ac_fn_c_check_header_compile LINENO HEADER VAR INCLUDES
 +# -------------------------------------------------------
 +# Tests whether HEADER exists and can be compiled using the include files in
 +# INCLUDES, setting the cache variable VAR accordingly.
 +ac_fn_c_check_header_compile ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2" >&5
 +$as_echo_n "checking for $2... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +#include <$2>
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  eval "$3=yes"
 +else
 +  eval "$3=no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_header_compile
 +
 +# ac_fn_c_try_link LINENO
 +# -----------------------
 +# Try to link conftest.$ac_ext, and return whether this succeeded.
 +ac_fn_c_try_link ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  rm -f conftest.$ac_objext conftest$ac_exeext
 +  if { { ac_try="$ac_link"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_link") 2>conftest.err
 +  ac_status=$?
 +  if test -s conftest.err; then
 +    grep -v '^ *+' conftest.err >conftest.er1
 +    cat conftest.er1 >&5
 +    mv -f conftest.er1 conftest.err
 +  fi
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && {
 +       test -z "$ac_c_werror_flag" ||
 +       test ! -s conftest.err
 +       } && test -s conftest$ac_exeext && {
 +       test "$cross_compiling" = yes ||
 +       test -x conftest$ac_exeext
 +       }; then :
 +  ac_retval=0
 +else
 +  $as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +      ac_retval=1
 +fi
 +  # Delete the IPA/IPO (Inter Procedural Analysis/Optimization) information
 +  # created by the PGI compiler (conftest_ipa8_conftest.oo), as it would
 +  # interfere with the next link command; also delete a directory that is
 +  # left behind by Apple's compiler.  We do this before executing the actions.
 +  rm -rf conftest.dSYM conftest_ipa8_conftest.oo
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +  as_fn_set_status $ac_retval
 +
 +} # ac_fn_c_try_link
 +
 +# ac_fn_c_check_func LINENO FUNC VAR
 +# ----------------------------------
 +# Tests whether FUNC exists, setting the cache variable VAR accordingly
 +ac_fn_c_check_func ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2" >&5
 +$as_echo_n "checking for $2... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +/* Define $2 to an innocuous variant, in case <limits.h> declares $2.
 +   For example, HP-UX 11i <limits.h> declares gettimeofday.  */
 +#define $2 innocuous_$2
 +
 +/* System header to define __stub macros and hopefully few prototypes,
 +    which can conflict with char $2 (); below.
 +    Prefer <limits.h> to <assert.h> if __STDC__ is defined, since
 +    <limits.h> exists even on freestanding compilers.  */
 +
 +#ifdef __STDC__
 +# include <limits.h>
 +#else
 +# include <assert.h>
 +#endif
 +
 +#undef $2
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char $2 ();
 +/* The GNU C library defines this for functions which it implements
 +    to always fail with ENOSYS.  Some functions are actually named
 +    something starting with __ and the normal name is an alias.  */
 +#if defined __stub_$2 || defined __stub___$2
 +choke me
 +#endif
 +
 +int
 +main ()
 +{
 +return $2 ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  eval "$3=yes"
 +else
 +  eval "$3=no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_func
 +
 +# ac_fn_c_check_type LINENO TYPE VAR INCLUDES
 +# -------------------------------------------
 +# Tests whether TYPE exists after having included INCLUDES, setting cache
 +# variable VAR accordingly.
 +ac_fn_c_check_type ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2" >&5
 +$as_echo_n "checking for $2... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  eval "$3=no"
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +if (sizeof ($2))
 +       return 0;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +if (sizeof (($2)))
 +          return 0;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +
 +else
 +  eval "$3=yes"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_type
 +
 +# ac_fn_c_compute_int LINENO EXPR VAR INCLUDES
 +# --------------------------------------------
 +# Tries to find the compile-time value of EXPR in a program that includes
 +# INCLUDES, setting VAR accordingly. Returns whether the value could be
 +# computed
 +ac_fn_c_compute_int ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  if test "$cross_compiling" = yes; then
 +    # Depending upon the size, compute the lo and hi bounds.
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +static int test_array [1 - 2 * !(($2) >= 0)];
 +test_array [0] = 0;
 +return test_array [0];
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_lo=0 ac_mid=0
 +  while :; do
 +    cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +static int test_array [1 - 2 * !(($2) <= $ac_mid)];
 +test_array [0] = 0;
 +return test_array [0];
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_hi=$ac_mid; break
 +else
 +  as_fn_arith $ac_mid + 1 && ac_lo=$as_val
 +                      if test $ac_lo -le $ac_mid; then
 +                        ac_lo= ac_hi=
 +                        break
 +                      fi
 +                      as_fn_arith 2 '*' $ac_mid + 1 && ac_mid=$as_val
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  done
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +static int test_array [1 - 2 * !(($2) < 0)];
 +test_array [0] = 0;
 +return test_array [0];
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_hi=-1 ac_mid=-1
 +  while :; do
 +    cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +static int test_array [1 - 2 * !(($2) >= $ac_mid)];
 +test_array [0] = 0;
 +return test_array [0];
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_lo=$ac_mid; break
 +else
 +  as_fn_arith '(' $ac_mid ')' - 1 && ac_hi=$as_val
 +                      if test $ac_mid -le $ac_hi; then
 +                        ac_lo= ac_hi=
 +                        break
 +                      fi
 +                      as_fn_arith 2 '*' $ac_mid && ac_mid=$as_val
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  done
 +else
 +  ac_lo= ac_hi=
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +# Binary search between lo and hi bounds.
 +while test "x$ac_lo" != "x$ac_hi"; do
 +  as_fn_arith '(' $ac_hi - $ac_lo ')' / 2 + $ac_lo && ac_mid=$as_val
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +static int test_array [1 - 2 * !(($2) <= $ac_mid)];
 +test_array [0] = 0;
 +return test_array [0];
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_hi=$ac_mid
 +else
 +  as_fn_arith '(' $ac_mid ')' + 1 && ac_lo=$as_val
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +done
 +case $ac_lo in #((
 +?*) eval "$3=\$ac_lo"; ac_retval=0 ;;
 +'') ac_retval=1 ;;
 +esac
 +  else
 +    cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +static long int longval () { return $2; }
 +static unsigned long int ulongval () { return $2; }
 +#include <stdio.h>
 +#include <stdlib.h>
 +int
 +main ()
 +{
 +
 +  FILE *f = fopen ("conftest.val", "w");
 +  if (! f)
 +    return 1;
 +  if (($2) < 0)
 +    {
 +      long int i = longval ();
 +      if (i != ($2))
 +      return 1;
 +      fprintf (f, "%ld", i);
 +    }
 +  else
 +    {
 +      unsigned long int i = ulongval ();
 +      if (i != ($2))
 +      return 1;
 +      fprintf (f, "%lu", i);
 +    }
 +  /* Do not output a trailing newline, as this causes \r\n confusion
 +     on some platforms.  */
 +  return ferror (f) || fclose (f) != 0;
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  echo >>conftest.val; read $3 <conftest.val; ac_retval=0
 +else
 +  ac_retval=1
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +rm -f conftest.val
 +
 +  fi
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +  as_fn_set_status $ac_retval
 +
 +} # ac_fn_c_compute_int
 +
 +# ac_fn_c_check_decl LINENO SYMBOL VAR INCLUDES
 +# ---------------------------------------------
 +# Tests whether SYMBOL is declared in INCLUDES, setting cache variable VAR
 +# accordingly.
 +ac_fn_c_check_decl ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  as_decl_name=`echo $2|sed 's/ *(.*//'`
 +  as_decl_use=`echo $2|sed -e 's/(/((/' -e 's/)/) 0&/' -e 's/,/) 0& (/g'`
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $as_decl_name is declared" >&5
 +$as_echo_n "checking whether $as_decl_name is declared... " >&6; }
 +if eval \${$3+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$4
 +int
 +main ()
 +{
 +#ifndef $as_decl_name
 +#ifdef __cplusplus
 +  (void) $as_decl_use;
 +#else
 +  (void) $as_decl_name;
 +#endif
 +#endif
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  eval "$3=yes"
 +else
 +  eval "$3=no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +eval ac_res=\$$3
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_decl
 +
 +# ac_fn_c_check_member LINENO AGGR MEMBER VAR INCLUDES
 +# ----------------------------------------------------
 +# Tries to find if the field MEMBER exists in type AGGR, after including
 +# INCLUDES, setting cache variable VAR accordingly.
 +ac_fn_c_check_member ()
 +{
 +  as_lineno=${as_lineno-"$1"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for $2.$3" >&5
 +$as_echo_n "checking for $2.$3... " >&6; }
 +if eval \${$4+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$5
 +int
 +main ()
 +{
 +static $2 ac_aggr;
 +if (ac_aggr.$3)
 +return 0;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  eval "$4=yes"
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$5
 +int
 +main ()
 +{
 +static $2 ac_aggr;
 +if (sizeof ac_aggr.$3)
 +return 0;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  eval "$4=yes"
 +else
 +  eval "$4=no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +eval ac_res=\$$4
 +             { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_res" >&5
 +$as_echo "$ac_res" >&6; }
 +  eval $as_lineno_stack; ${as_lineno_stack:+:} unset as_lineno
 +
 +} # ac_fn_c_check_member
 +cat >config.log <<_ACEOF
 +This file contains any messages produced by compilers while
 +running configure, to aid debugging if configure makes a mistake.
 +
- UNBOUND_VERSION_MICRO=3
++It was created by unbound $as_me 1.5.4, which was
 +generated by GNU Autoconf 2.69.  Invocation command line was
 +
 +  $ $0 $@
 +
 +_ACEOF
 +exec 5>>config.log
 +{
 +cat <<_ASUNAME
 +## --------- ##
 +## Platform. ##
 +## --------- ##
 +
 +hostname = `(hostname || uname -n) 2>/dev/null | sed 1q`
 +uname -m = `(uname -m) 2>/dev/null || echo unknown`
 +uname -r = `(uname -r) 2>/dev/null || echo unknown`
 +uname -s = `(uname -s) 2>/dev/null || echo unknown`
 +uname -v = `(uname -v) 2>/dev/null || echo unknown`
 +
 +/usr/bin/uname -p = `(/usr/bin/uname -p) 2>/dev/null || echo unknown`
 +/bin/uname -X     = `(/bin/uname -X) 2>/dev/null     || echo unknown`
 +
 +/bin/arch              = `(/bin/arch) 2>/dev/null              || echo unknown`
 +/usr/bin/arch -k       = `(/usr/bin/arch -k) 2>/dev/null       || echo unknown`
 +/usr/convex/getsysinfo = `(/usr/convex/getsysinfo) 2>/dev/null || echo unknown`
 +/usr/bin/hostinfo      = `(/usr/bin/hostinfo) 2>/dev/null      || echo unknown`
 +/bin/machine           = `(/bin/machine) 2>/dev/null           || echo unknown`
 +/usr/bin/oslevel       = `(/usr/bin/oslevel) 2>/dev/null       || echo unknown`
 +/bin/universe          = `(/bin/universe) 2>/dev/null          || echo unknown`
 +
 +_ASUNAME
 +
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    $as_echo "PATH: $as_dir"
 +  done
 +IFS=$as_save_IFS
 +
 +} >&5
 +
 +cat >&5 <<_ACEOF
 +
 +
 +## ----------- ##
 +## Core tests. ##
 +## ----------- ##
 +
 +_ACEOF
 +
 +
 +# Keep a trace of the command line.
 +# Strip out --no-create and --no-recursion so they do not pile up.
 +# Strip out --silent because we don't want to record it for future runs.
 +# Also quote any args containing shell meta-characters.
 +# Make two passes to allow for proper duplicate-argument suppression.
 +ac_configure_args=
 +ac_configure_args0=
 +ac_configure_args1=
 +ac_must_keep_next=false
 +for ac_pass in 1 2
 +do
 +  for ac_arg
 +  do
 +    case $ac_arg in
 +    -no-create | --no-c* | -n | -no-recursion | --no-r*) continue ;;
 +    -q | -quiet | --quiet | --quie | --qui | --qu | --q \
 +    | -silent | --silent | --silen | --sile | --sil)
 +      continue ;;
 +    *\'*)
 +      ac_arg=`$as_echo "$ac_arg" | sed "s/'/'\\\\\\\\''/g"` ;;
 +    esac
 +    case $ac_pass in
 +    1) as_fn_append ac_configure_args0 " '$ac_arg'" ;;
 +    2)
 +      as_fn_append ac_configure_args1 " '$ac_arg'"
 +      if test $ac_must_keep_next = true; then
 +      ac_must_keep_next=false # Got value, back to normal.
 +      else
 +      case $ac_arg in
 +        *=* | --config-cache | -C | -disable-* | --disable-* \
 +        | -enable-* | --enable-* | -gas | --g* | -nfp | --nf* \
 +        | -q | -quiet | --q* | -silent | --sil* | -v | -verb* \
 +        | -with-* | --with-* | -without-* | --without-* | --x)
 +          case "$ac_configure_args0 " in
 +            "$ac_configure_args1"*" '$ac_arg' "* ) continue ;;
 +          esac
 +          ;;
 +        -* ) ac_must_keep_next=true ;;
 +      esac
 +      fi
 +      as_fn_append ac_configure_args " '$ac_arg'"
 +      ;;
 +    esac
 +  done
 +done
 +{ ac_configure_args0=; unset ac_configure_args0;}
 +{ ac_configure_args1=; unset ac_configure_args1;}
 +
 +# When interrupted or exit'd, cleanup temporary files, and complete
 +# config.log.  We remove comments because anyway the quotes in there
 +# would cause problems or look ugly.
 +# WARNING: Use '\'' to represent an apostrophe within the trap.
 +# WARNING: Do not start the trap code with a newline, due to a FreeBSD 4.0 bug.
 +trap 'exit_status=$?
 +  # Save into config.log some information that might help in debugging.
 +  {
 +    echo
 +
 +    $as_echo "## ---------------- ##
 +## Cache variables. ##
 +## ---------------- ##"
 +    echo
 +    # The following way of writing the cache mishandles newlines in values,
 +(
 +  for ac_var in `(set) 2>&1 | sed -n '\''s/^\([a-zA-Z_][a-zA-Z0-9_]*\)=.*/\1/p'\''`; do
 +    eval ac_val=\$$ac_var
 +    case $ac_val in #(
 +    *${as_nl}*)
 +      case $ac_var in #(
 +      *_cv_*) { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: cache variable $ac_var contains a newline" >&5
 +$as_echo "$as_me: WARNING: cache variable $ac_var contains a newline" >&2;} ;;
 +      esac
 +      case $ac_var in #(
 +      _ | IFS | as_nl) ;; #(
 +      BASH_ARGV | BASH_SOURCE) eval $ac_var= ;; #(
 +      *) { eval $ac_var=; unset $ac_var;} ;;
 +      esac ;;
 +    esac
 +  done
 +  (set) 2>&1 |
 +    case $as_nl`(ac_space='\'' '\''; set) 2>&1` in #(
 +    *${as_nl}ac_space=\ *)
 +      sed -n \
 +      "s/'\''/'\''\\\\'\'''\''/g;
 +        s/^\\([_$as_cr_alnum]*_cv_[_$as_cr_alnum]*\\)=\\(.*\\)/\\1='\''\\2'\''/p"
 +      ;; #(
 +    *)
 +      sed -n "/^[_$as_cr_alnum]*_cv_[_$as_cr_alnum]*=/p"
 +      ;;
 +    esac |
 +    sort
 +)
 +    echo
 +
 +    $as_echo "## ----------------- ##
 +## Output variables. ##
 +## ----------------- ##"
 +    echo
 +    for ac_var in $ac_subst_vars
 +    do
 +      eval ac_val=\$$ac_var
 +      case $ac_val in
 +      *\'\''*) ac_val=`$as_echo "$ac_val" | sed "s/'\''/'\''\\\\\\\\'\'''\''/g"`;;
 +      esac
 +      $as_echo "$ac_var='\''$ac_val'\''"
 +    done | sort
 +    echo
 +
 +    if test -n "$ac_subst_files"; then
 +      $as_echo "## ------------------- ##
 +## File substitutions. ##
 +## ------------------- ##"
 +      echo
 +      for ac_var in $ac_subst_files
 +      do
 +      eval ac_val=\$$ac_var
 +      case $ac_val in
 +      *\'\''*) ac_val=`$as_echo "$ac_val" | sed "s/'\''/'\''\\\\\\\\'\'''\''/g"`;;
 +      esac
 +      $as_echo "$ac_var='\''$ac_val'\''"
 +      done | sort
 +      echo
 +    fi
 +
 +    if test -s confdefs.h; then
 +      $as_echo "## ----------- ##
 +## confdefs.h. ##
 +## ----------- ##"
 +      echo
 +      cat confdefs.h
 +      echo
 +    fi
 +    test "$ac_signal" != 0 &&
 +      $as_echo "$as_me: caught signal $ac_signal"
 +    $as_echo "$as_me: exit $exit_status"
 +  } >&5
 +  rm -f core *.core core.conftest.* &&
 +    rm -f -r conftest* confdefs* conf$$* $ac_clean_files &&
 +    exit $exit_status
 +' 0
 +for ac_signal in 1 2 13 15; do
 +  trap 'ac_signal='$ac_signal'; as_fn_exit 1' $ac_signal
 +done
 +ac_signal=0
 +
 +# confdefs.h avoids OS command line length limits that DEFS can exceed.
 +rm -f -r conftest* confdefs.h
 +
 +$as_echo "/* confdefs.h */" > confdefs.h
 +
 +# Predefined preprocessor variables.
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_NAME "$PACKAGE_NAME"
 +_ACEOF
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_TARNAME "$PACKAGE_TARNAME"
 +_ACEOF
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_VERSION "$PACKAGE_VERSION"
 +_ACEOF
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_STRING "$PACKAGE_STRING"
 +_ACEOF
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_BUGREPORT "$PACKAGE_BUGREPORT"
 +_ACEOF
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PACKAGE_URL "$PACKAGE_URL"
 +_ACEOF
 +
 +
 +# Let the site file select an alternate cache file if it wants to.
 +# Prefer an explicitly selected file to automatically selected ones.
 +ac_site_file1=NONE
 +ac_site_file2=NONE
 +if test -n "$CONFIG_SITE"; then
 +  # We do not want a PATH search for config.site.
 +  case $CONFIG_SITE in #((
 +    -*)  ac_site_file1=./$CONFIG_SITE;;
 +    */*) ac_site_file1=$CONFIG_SITE;;
 +    *)   ac_site_file1=./$CONFIG_SITE;;
 +  esac
 +elif test "x$prefix" != xNONE; then
 +  ac_site_file1=$prefix/share/config.site
 +  ac_site_file2=$prefix/etc/config.site
 +else
 +  ac_site_file1=$ac_default_prefix/share/config.site
 +  ac_site_file2=$ac_default_prefix/etc/config.site
 +fi
 +for ac_site_file in "$ac_site_file1" "$ac_site_file2"
 +do
 +  test "x$ac_site_file" = xNONE && continue
 +  if test /dev/null != "$ac_site_file" && test -r "$ac_site_file"; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: loading site script $ac_site_file" >&5
 +$as_echo "$as_me: loading site script $ac_site_file" >&6;}
 +    sed 's/^/| /' "$ac_site_file" >&5
 +    . "$ac_site_file" \
 +      || { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "failed to load site script $ac_site_file
 +See \`config.log' for more details" "$LINENO" 5; }
 +  fi
 +done
 +
 +if test -r "$cache_file"; then
 +  # Some versions of bash will fail to source /dev/null (special files
 +  # actually), so we avoid doing that.  DJGPP emulates it as a regular file.
 +  if test /dev/null != "$cache_file" && test -f "$cache_file"; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: loading cache $cache_file" >&5
 +$as_echo "$as_me: loading cache $cache_file" >&6;}
 +    case $cache_file in
 +      [\\/]* | ?:[\\/]* ) . "$cache_file";;
 +      *)                      . "./$cache_file";;
 +    esac
 +  fi
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: creating cache $cache_file" >&5
 +$as_echo "$as_me: creating cache $cache_file" >&6;}
 +  >$cache_file
 +fi
 +
 +# Check that the precious variables saved in the cache have kept the same
 +# value.
 +ac_cache_corrupted=false
 +for ac_var in $ac_precious_vars; do
 +  eval ac_old_set=\$ac_cv_env_${ac_var}_set
 +  eval ac_new_set=\$ac_env_${ac_var}_set
 +  eval ac_old_val=\$ac_cv_env_${ac_var}_value
 +  eval ac_new_val=\$ac_env_${ac_var}_value
 +  case $ac_old_set,$ac_new_set in
 +    set,)
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: error: \`$ac_var' was set to \`$ac_old_val' in the previous run" >&5
 +$as_echo "$as_me: error: \`$ac_var' was set to \`$ac_old_val' in the previous run" >&2;}
 +      ac_cache_corrupted=: ;;
 +    ,set)
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: error: \`$ac_var' was not set in the previous run" >&5
 +$as_echo "$as_me: error: \`$ac_var' was not set in the previous run" >&2;}
 +      ac_cache_corrupted=: ;;
 +    ,);;
 +    *)
 +      if test "x$ac_old_val" != "x$ac_new_val"; then
 +      # differences in whitespace do not lead to failure.
 +      ac_old_val_w=`echo x $ac_old_val`
 +      ac_new_val_w=`echo x $ac_new_val`
 +      if test "$ac_old_val_w" != "$ac_new_val_w"; then
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: error: \`$ac_var' has changed since the previous run:" >&5
 +$as_echo "$as_me: error: \`$ac_var' has changed since the previous run:" >&2;}
 +        ac_cache_corrupted=:
 +      else
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: warning: ignoring whitespace changes in \`$ac_var' since the previous run:" >&5
 +$as_echo "$as_me: warning: ignoring whitespace changes in \`$ac_var' since the previous run:" >&2;}
 +        eval $ac_var=\$ac_old_val
 +      fi
 +      { $as_echo "$as_me:${as_lineno-$LINENO}:   former value:  \`$ac_old_val'" >&5
 +$as_echo "$as_me:   former value:  \`$ac_old_val'" >&2;}
 +      { $as_echo "$as_me:${as_lineno-$LINENO}:   current value: \`$ac_new_val'" >&5
 +$as_echo "$as_me:   current value: \`$ac_new_val'" >&2;}
 +      fi;;
 +  esac
 +  # Pass precious variables to config.status.
 +  if test "$ac_new_set" = set; then
 +    case $ac_new_val in
 +    *\'*) ac_arg=$ac_var=`$as_echo "$ac_new_val" | sed "s/'/'\\\\\\\\''/g"` ;;
 +    *) ac_arg=$ac_var=$ac_new_val ;;
 +    esac
 +    case " $ac_configure_args " in
 +      *" '$ac_arg' "*) ;; # Avoid dups.  Use of quotes ensures accuracy.
 +      *) as_fn_append ac_configure_args " '$ac_arg'" ;;
 +    esac
 +  fi
 +done
 +if $ac_cache_corrupted; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: error: changes in the environment can compromise the build" >&5
 +$as_echo "$as_me: error: changes in the environment can compromise the build" >&2;}
 +  as_fn_error $? "run \`make distclean' and/or \`rm $cache_file' and start over" "$LINENO" 5
 +fi
 +## -------------------- ##
 +## Main body of script. ##
 +## -------------------- ##
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +UNBOUND_VERSION_MAJOR=1
 +
 +UNBOUND_VERSION_MINOR=5
 +
- LIBUNBOUND_REVISION=6
++UNBOUND_VERSION_MICRO=4
 +
 +
 +LIBUNBOUND_CURRENT=5
- version=1.5.3
++LIBUNBOUND_REVISION=7
 +LIBUNBOUND_AGE=3
 +# 1.0.0 had 0:12:0
 +# 1.0.1 had 0:13:0
 +# 1.0.2 had 0:14:0
 +# 1.1.0 had 0:15:0
 +# 1.1.1 had 0:16:0
 +# 1.2.0 had 0:17:0
 +# 1.2.1 had 0:18:0
 +# 1.3.0 had 1:0:0   # ub_cancel and -export-symbols.
 +# 1.3.1 had 1:1:0
 +# 1.3.2 had 1:2:0
 +# 1.3.3 had 1:3:0
 +# 1.3.4 had 1:4:0
 +# 1.4.0-snapshots had 1:5:0
 +# 1.4.0 had 1:5:0 (not 2:0:0)   # ub_result.why_bogus
 +# 1.4.1 had 2:1:0
 +# 1.4.2 had 2:2:0
 +# 1.4.3 had 2:3:0
 +# 1.4.4 had 2:4:0
 +# 1.4.5 had 2:5:0
 +# 1.4.6 had 2:6:0
 +# 1.4.7 had 2:7:0
 +# 1.4.8 had 2:8:0
 +# 1.4.9 had 2:9:0
 +# 1.4.10 had 2:10:0
 +# 1.4.11 had 2:11:0
 +# 1.4.12 had 2:12:0
 +# 1.4.13 had 2:13:0
 +# and 1.4.13p1 and 1.4.13.p2
 +# 1.4.14 had 2:14:0
 +# 1.4.15 had 3:0:1 # adds ub_version()
 +# 1.4.16 had 3:1:1
 +# 1.4.17 had 3:2:1
 +# 1.4.18 had 3:3:1
 +# 1.4.19 had 3:4:1
 +# 1.4.20 had 4:0:2 # adds libunbound.ttl # but shipped 3:5:1
 +# 1.4.21 had 4:1:2
 +# 1.4.22 had 4:1:2
 +# 1.5.0 had 5:3:3 # adds ub_ctx_add_ta_autr
 +# 1.5.1 had 5:3:3
 +# 1.5.2 had 5:5:3
 +# 1.5.3 had 5:6:3
++# 1.5.4 had 5:7:3
 +
 +#   Current  -- the number of the binary API that we're implementing
 +#   Revision -- which iteration of the implementation of the binary
 +#               API are we supplying?
 +#   Age      -- How many previous binary API versions do we also
 +#               support?
 +#
 +# If we release a new version that does not change the binary API,
 +# increment Revision.
 +#
 +# If we release a new version that changes the binary API, but does
 +# not break programs compiled against the old binary API, increment
 +# Current and Age.  Set Revision to 0, since this is the first
 +# implementation of the new API.
 +#
 +# Otherwise, we're changing the binary API and breaking bakward
 +# compatibility with old binaries.  Increment Current.  Set Age to 0,
 +# since we're backward compatible with no previous APIs.  Set Revision
 +# to 0 too.
 +
 +
 +
 +
 +CFLAGS="$CFLAGS"
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}gcc", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}gcc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="${ac_tool_prefix}gcc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_CC"; then
 +  ac_ct_CC=$CC
 +  # Extract the first word of "gcc", so it can be a program name with args.
 +set dummy gcc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_CC"; then
 +  ac_cv_prog_ac_ct_CC="$ac_ct_CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_CC="gcc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_CC=$ac_cv_prog_ac_ct_CC
 +if test -n "$ac_ct_CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_CC" >&5
 +$as_echo "$ac_ct_CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_CC" = x; then
 +    CC=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    CC=$ac_ct_CC
 +  fi
 +else
 +  CC="$ac_cv_prog_CC"
 +fi
 +
 +if test -z "$CC"; then
 +          if test -n "$ac_tool_prefix"; then
 +    # Extract the first word of "${ac_tool_prefix}cc", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}cc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="${ac_tool_prefix}cc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  fi
 +fi
 +if test -z "$CC"; then
 +  # Extract the first word of "cc", so it can be a program name with args.
 +set dummy cc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +  ac_prog_rejected=no
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    if test "$as_dir/$ac_word$ac_exec_ext" = "/usr/ucb/cc"; then
 +       ac_prog_rejected=yes
 +       continue
 +     fi
 +    ac_cv_prog_CC="cc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +if test $ac_prog_rejected = yes; then
 +  # We found a bogon in the path, so make sure we never use it.
 +  set dummy $ac_cv_prog_CC
 +  shift
 +  if test $# != 0; then
 +    # We chose a different compiler from the bogus one.
 +    # However, it has the same basename, so the bogon will be chosen
 +    # first if we set CC to just the basename; use the full file name.
 +    shift
 +    ac_cv_prog_CC="$as_dir/$ac_word${1+' '}$@"
 +  fi
 +fi
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$CC"; then
 +  if test -n "$ac_tool_prefix"; then
 +  for ac_prog in cl.exe
 +  do
 +    # Extract the first word of "$ac_tool_prefix$ac_prog", so it can be a program name with args.
 +set dummy $ac_tool_prefix$ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="$ac_tool_prefix$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +    test -n "$CC" && break
 +  done
 +fi
 +if test -z "$CC"; then
 +  ac_ct_CC=$CC
 +  for ac_prog in cl.exe
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_CC"; then
 +  ac_cv_prog_ac_ct_CC="$ac_ct_CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_CC="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_CC=$ac_cv_prog_ac_ct_CC
 +if test -n "$ac_ct_CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_CC" >&5
 +$as_echo "$ac_ct_CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$ac_ct_CC" && break
 +done
 +
 +  if test "x$ac_ct_CC" = x; then
 +    CC=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    CC=$ac_ct_CC
 +  fi
 +fi
 +
 +fi
 +
 +
 +test -z "$CC" && { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "no acceptable C compiler found in \$PATH
 +See \`config.log' for more details" "$LINENO" 5; }
 +
 +# Provide some information about the compiler.
 +$as_echo "$as_me:${as_lineno-$LINENO}: checking for C compiler version" >&5
 +set X $ac_compile
 +ac_compiler=$2
 +for ac_option in --version -v -V -qversion; do
 +  { { ac_try="$ac_compiler $ac_option >&5"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_compiler $ac_option >&5") 2>conftest.err
 +  ac_status=$?
 +  if test -s conftest.err; then
 +    sed '10a\
 +... rest of stderr output deleted ...
 +         10q' conftest.err >conftest.er1
 +    cat conftest.er1 >&5
 +  fi
 +  rm -f conftest.er1 conftest.err
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +done
 +
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +ac_clean_files_save=$ac_clean_files
 +ac_clean_files="$ac_clean_files a.out a.out.dSYM a.exe b.out"
 +# Try to create an executable without -o first, disregard a.out.
 +# It will help us diagnose broken compilers, and finding out an intuition
 +# of exeext.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the C compiler works" >&5
 +$as_echo_n "checking whether the C compiler works... " >&6; }
 +ac_link_default=`$as_echo "$ac_link" | sed 's/ -o *conftest[^ ]*//'`
 +
 +# The possible output files:
 +ac_files="a.out conftest.exe conftest a.exe a_out.exe b.out conftest.*"
 +
 +ac_rmfiles=
 +for ac_file in $ac_files
 +do
 +  case $ac_file in
 +    *.$ac_ext | *.xcoff | *.tds | *.d | *.pdb | *.xSYM | *.bb | *.bbg | *.map | *.inf | *.dSYM | *.o | *.obj ) ;;
 +    * ) ac_rmfiles="$ac_rmfiles $ac_file";;
 +  esac
 +done
 +rm -f $ac_rmfiles
 +
 +if { { ac_try="$ac_link_default"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_link_default") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then :
 +  # Autoconf-2.13 could set the ac_cv_exeext variable to `no'.
 +# So ignore a value of `no', otherwise this would lead to `EXEEXT = no'
 +# in a Makefile.  We should not override ac_cv_exeext if it was cached,
 +# so that the user can short-circuit this test for compilers unknown to
 +# Autoconf.
 +for ac_file in $ac_files ''
 +do
 +  test -f "$ac_file" || continue
 +  case $ac_file in
 +    *.$ac_ext | *.xcoff | *.tds | *.d | *.pdb | *.xSYM | *.bb | *.bbg | *.map | *.inf | *.dSYM | *.o | *.obj )
 +      ;;
 +    [ab].out )
 +      # We found the default executable, but exeext='' is most
 +      # certainly right.
 +      break;;
 +    *.* )
 +      if test "${ac_cv_exeext+set}" = set && test "$ac_cv_exeext" != no;
 +      then :; else
 +         ac_cv_exeext=`expr "$ac_file" : '[^.]*\(\..*\)'`
 +      fi
 +      # We set ac_cv_exeext here because the later test for it is not
 +      # safe: cross compilers may not add the suffix if given an `-o'
 +      # argument, so we may need to know it at that point already.
 +      # Even if this section looks crufty: it has the advantage of
 +      # actually working.
 +      break;;
 +    * )
 +      break;;
 +  esac
 +done
 +test "$ac_cv_exeext" = no && ac_cv_exeext=
 +
 +else
 +  ac_file=''
 +fi
 +if test -z "$ac_file"; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +$as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +{ { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error 77 "C compiler cannot create executables
 +See \`config.log' for more details" "$LINENO" 5; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for C compiler default output file name" >&5
 +$as_echo_n "checking for C compiler default output file name... " >&6; }
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_file" >&5
 +$as_echo "$ac_file" >&6; }
 +ac_exeext=$ac_cv_exeext
 +
 +rm -f -r a.out a.out.dSYM a.exe conftest$ac_cv_exeext b.out
 +ac_clean_files=$ac_clean_files_save
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for suffix of executables" >&5
 +$as_echo_n "checking for suffix of executables... " >&6; }
 +if { { ac_try="$ac_link"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_link") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then :
 +  # If both `conftest.exe' and `conftest' are `present' (well, observable)
 +# catch `conftest.exe'.  For instance with Cygwin, `ls conftest' will
 +# work properly (i.e., refer to `conftest.exe'), while it won't with
 +# `rm'.
 +for ac_file in conftest.exe conftest conftest.*; do
 +  test -f "$ac_file" || continue
 +  case $ac_file in
 +    *.$ac_ext | *.xcoff | *.tds | *.d | *.pdb | *.xSYM | *.bb | *.bbg | *.map | *.inf | *.dSYM | *.o | *.obj ) ;;
 +    *.* ) ac_cv_exeext=`expr "$ac_file" : '[^.]*\(\..*\)'`
 +        break;;
 +    * ) break;;
 +  esac
 +done
 +else
 +  { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "cannot compute suffix of executables: cannot compile and link
 +See \`config.log' for more details" "$LINENO" 5; }
 +fi
 +rm -f conftest conftest$ac_cv_exeext
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_exeext" >&5
 +$as_echo "$ac_cv_exeext" >&6; }
 +
 +rm -f conftest.$ac_ext
 +EXEEXT=$ac_cv_exeext
 +ac_exeext=$EXEEXT
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdio.h>
 +int
 +main ()
 +{
 +FILE *f = fopen ("conftest.out", "w");
 + return ferror (f) || fclose (f) != 0;
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +ac_clean_files="$ac_clean_files conftest.out"
 +# Check that the compiler produces executables we can run.  If not, either
 +# the compiler is broken, or we cross compile.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we are cross compiling" >&5
 +$as_echo_n "checking whether we are cross compiling... " >&6; }
 +if test "$cross_compiling" != yes; then
 +  { { ac_try="$ac_link"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_link") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +  if { ac_try='./conftest$ac_cv_exeext'
 +  { { case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_try") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; }; then
 +    cross_compiling=no
 +  else
 +    if test "$cross_compiling" = maybe; then
 +      cross_compiling=yes
 +    else
 +      { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "cannot run C compiled programs.
 +If you meant to cross compile, use \`--host'.
 +See \`config.log' for more details" "$LINENO" 5; }
 +    fi
 +  fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $cross_compiling" >&5
 +$as_echo "$cross_compiling" >&6; }
 +
 +rm -f conftest.$ac_ext conftest$ac_cv_exeext conftest.out
 +ac_clean_files=$ac_clean_files_save
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for suffix of object files" >&5
 +$as_echo_n "checking for suffix of object files... " >&6; }
 +if ${ac_cv_objext+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +rm -f conftest.o conftest.obj
 +if { { ac_try="$ac_compile"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_compile") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then :
 +  for ac_file in conftest.o conftest.obj conftest.*; do
 +  test -f "$ac_file" || continue;
 +  case $ac_file in
 +    *.$ac_ext | *.xcoff | *.tds | *.d | *.pdb | *.xSYM | *.bb | *.bbg | *.map | *.inf | *.dSYM ) ;;
 +    *) ac_cv_objext=`expr "$ac_file" : '.*\.\(.*\)'`
 +       break;;
 +  esac
 +done
 +else
 +  $as_echo "$as_me: failed program was:" >&5
 +sed 's/^/| /' conftest.$ac_ext >&5
 +
 +{ { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "cannot compute suffix of object files: cannot compile
 +See \`config.log' for more details" "$LINENO" 5; }
 +fi
 +rm -f conftest.$ac_cv_objext conftest.$ac_ext
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_objext" >&5
 +$as_echo "$ac_cv_objext" >&6; }
 +OBJEXT=$ac_cv_objext
 +ac_objext=$OBJEXT
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we are using the GNU C compiler" >&5
 +$as_echo_n "checking whether we are using the GNU C compiler... " >&6; }
 +if ${ac_cv_c_compiler_gnu+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +#ifndef __GNUC__
 +       choke me
 +#endif
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_compiler_gnu=yes
 +else
 +  ac_compiler_gnu=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +ac_cv_c_compiler_gnu=$ac_compiler_gnu
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_compiler_gnu" >&5
 +$as_echo "$ac_cv_c_compiler_gnu" >&6; }
 +if test $ac_compiler_gnu = yes; then
 +  GCC=yes
 +else
 +  GCC=
 +fi
 +ac_test_CFLAGS=${CFLAGS+set}
 +ac_save_CFLAGS=$CFLAGS
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC accepts -g" >&5
 +$as_echo_n "checking whether $CC accepts -g... " >&6; }
 +if ${ac_cv_prog_cc_g+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_save_c_werror_flag=$ac_c_werror_flag
 +   ac_c_werror_flag=yes
 +   ac_cv_prog_cc_g=no
 +   CFLAGS="-g"
 +   cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_g=yes
 +else
 +  CFLAGS=""
 +      cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +
 +else
 +  ac_c_werror_flag=$ac_save_c_werror_flag
 +       CFLAGS="-g"
 +       cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_g=yes
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +   ac_c_werror_flag=$ac_save_c_werror_flag
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_cc_g" >&5
 +$as_echo "$ac_cv_prog_cc_g" >&6; }
 +if test "$ac_test_CFLAGS" = set; then
 +  CFLAGS=$ac_save_CFLAGS
 +elif test $ac_cv_prog_cc_g = yes; then
 +  if test "$GCC" = yes; then
 +    CFLAGS="-g -O2"
 +  else
 +    CFLAGS="-g"
 +  fi
 +else
 +  if test "$GCC" = yes; then
 +    CFLAGS="-O2"
 +  else
 +    CFLAGS=
 +  fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $CC option to accept ISO C89" >&5
 +$as_echo_n "checking for $CC option to accept ISO C89... " >&6; }
 +if ${ac_cv_prog_cc_c89+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_prog_cc_c89=no
 +ac_save_CC=$CC
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdarg.h>
 +#include <stdio.h>
 +struct stat;
 +/* Most of the following tests are stolen from RCS 5.7's src/conf.sh.  */
 +struct buf { int x; };
 +FILE * (*rcsopen) (struct buf *, struct stat *, int);
 +static char *e (p, i)
 +     char **p;
 +     int i;
 +{
 +  return p[i];
 +}
 +static char *f (char * (*g) (char **, int), char **p, ...)
 +{
 +  char *s;
 +  va_list v;
 +  va_start (v,p);
 +  s = g (p, va_arg (v,int));
 +  va_end (v);
 +  return s;
 +}
 +
 +/* OSF 4.0 Compaq cc is some sort of almost-ANSI by default.  It has
 +   function prototypes and stuff, but not '\xHH' hex character constants.
 +   These don't provoke an error unfortunately, instead are silently treated
 +   as 'x'.  The following induces an error, until -std is added to get
 +   proper ANSI mode.  Curiously '\x00'!='x' always comes out true, for an
 +   array size at least.  It's necessary to write '\x00'==0 to get something
 +   that's true only with -std.  */
 +int osf4_cc_array ['\x00' == 0 ? 1 : -1];
 +
 +/* IBM C 6 for AIX is almost-ANSI by default, but it replaces macro parameters
 +   inside strings and character constants.  */
 +#define FOO(x) 'x'
 +int xlc6_cc_array[FOO(a) == 'x' ? 1 : -1];
 +
 +int test (int i, double x);
 +struct s1 {int (*f) (int a);};
 +struct s2 {int (*f) (double a);};
 +int pairnames (int, char **, FILE *(*)(struct buf *, struct stat *, int), int, int);
 +int argc;
 +char **argv;
 +int
 +main ()
 +{
 +return f (e, argv, 0) != argv[0]  ||  f (e, argv, 1) != argv[1];
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_arg in '' -qlanglvl=extc89 -qlanglvl=ansi -std \
 +      -Ae "-Aa -D_HPUX_SOURCE" "-Xc -D__EXTENSIONS__"
 +do
 +  CC="$ac_save_CC $ac_arg"
 +  if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_c89=$ac_arg
 +fi
 +rm -f core conftest.err conftest.$ac_objext
 +  test "x$ac_cv_prog_cc_c89" != "xno" && break
 +done
 +rm -f conftest.$ac_ext
 +CC=$ac_save_CC
 +
 +fi
 +# AC_CACHE_VAL
 +case "x$ac_cv_prog_cc_c89" in
 +  x)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: none needed" >&5
 +$as_echo "none needed" >&6; } ;;
 +  xno)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: unsupported" >&5
 +$as_echo "unsupported" >&6; } ;;
 +  *)
 +    CC="$CC $ac_cv_prog_cc_c89"
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_cc_c89" >&5
 +$as_echo "$ac_cv_prog_cc_c89" >&6; } ;;
 +esac
 +if test "x$ac_cv_prog_cc_c89" != xno; then :
 +
 +fi
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to run the C preprocessor" >&5
 +$as_echo_n "checking how to run the C preprocessor... " >&6; }
 +# On Suns, sometimes $CPP names a directory.
 +if test -n "$CPP" && test -d "$CPP"; then
 +  CPP=
 +fi
 +if test -z "$CPP"; then
 +  if ${ac_cv_prog_CPP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +      # Double quotes because CPP needs to be expanded
 +    for CPP in "$CC -E" "$CC -E -traditional-cpp" "/lib/cpp"
 +    do
 +      ac_preproc_ok=false
 +for ac_c_preproc_warn_flag in '' yes
 +do
 +  # Use a header file that comes with gcc, so configuring glibc
 +  # with a fresh cross-compiler works.
 +  # Prefer <limits.h> to <assert.h> if __STDC__ is defined, since
 +  # <limits.h> exists even on freestanding compilers.
 +  # On the NeXT, cc -E runs the code through the compiler's parser,
 +  # not just through cpp. "Syntax error" is here to catch this case.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#ifdef __STDC__
 +# include <limits.h>
 +#else
 +# include <assert.h>
 +#endif
 +                   Syntax error
 +_ACEOF
 +if ac_fn_c_try_cpp "$LINENO"; then :
 +
 +else
 +  # Broken: fails on valid input.
 +continue
 +fi
 +rm -f conftest.err conftest.i conftest.$ac_ext
 +
 +  # OK, works on sane cases.  Now check whether nonexistent headers
 +  # can be detected and how.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <ac_nonexistent.h>
 +_ACEOF
 +if ac_fn_c_try_cpp "$LINENO"; then :
 +  # Broken: success on invalid input.
 +continue
 +else
 +  # Passes both tests.
 +ac_preproc_ok=:
 +break
 +fi
 +rm -f conftest.err conftest.i conftest.$ac_ext
 +
 +done
 +# Because of `break', _AC_PREPROC_IFELSE's cleaning code was skipped.
 +rm -f conftest.i conftest.err conftest.$ac_ext
 +if $ac_preproc_ok; then :
 +  break
 +fi
 +
 +    done
 +    ac_cv_prog_CPP=$CPP
 +
 +fi
 +  CPP=$ac_cv_prog_CPP
 +else
 +  ac_cv_prog_CPP=$CPP
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $CPP" >&5
 +$as_echo "$CPP" >&6; }
 +ac_preproc_ok=false
 +for ac_c_preproc_warn_flag in '' yes
 +do
 +  # Use a header file that comes with gcc, so configuring glibc
 +  # with a fresh cross-compiler works.
 +  # Prefer <limits.h> to <assert.h> if __STDC__ is defined, since
 +  # <limits.h> exists even on freestanding compilers.
 +  # On the NeXT, cc -E runs the code through the compiler's parser,
 +  # not just through cpp. "Syntax error" is here to catch this case.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#ifdef __STDC__
 +# include <limits.h>
 +#else
 +# include <assert.h>
 +#endif
 +                   Syntax error
 +_ACEOF
 +if ac_fn_c_try_cpp "$LINENO"; then :
 +
 +else
 +  # Broken: fails on valid input.
 +continue
 +fi
 +rm -f conftest.err conftest.i conftest.$ac_ext
 +
 +  # OK, works on sane cases.  Now check whether nonexistent headers
 +  # can be detected and how.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <ac_nonexistent.h>
 +_ACEOF
 +if ac_fn_c_try_cpp "$LINENO"; then :
 +  # Broken: success on invalid input.
 +continue
 +else
 +  # Passes both tests.
 +ac_preproc_ok=:
 +break
 +fi
 +rm -f conftest.err conftest.i conftest.$ac_ext
 +
 +done
 +# Because of `break', _AC_PREPROC_IFELSE's cleaning code was skipped.
 +rm -f conftest.i conftest.err conftest.$ac_ext
 +if $ac_preproc_ok; then :
 +
 +else
 +  { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "C preprocessor \"$CPP\" fails sanity check
 +See \`config.log' for more details" "$LINENO" 5; }
 +fi
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for grep that handles long lines and -e" >&5
 +$as_echo_n "checking for grep that handles long lines and -e... " >&6; }
 +if ${ac_cv_path_GREP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -z "$GREP"; then
 +  ac_path_GREP_found=false
 +  # Loop through the user's path and test for each of PROGNAME-LIST
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH$PATH_SEPARATOR/usr/xpg4/bin
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_prog in grep ggrep; do
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +      ac_path_GREP="$as_dir/$ac_prog$ac_exec_ext"
 +      as_fn_executable_p "$ac_path_GREP" || continue
 +# Check for GNU ac_path_GREP and select it if it is found.
 +  # Check for GNU $ac_path_GREP
 +case `"$ac_path_GREP" --version 2>&1` in
 +*GNU*)
 +  ac_cv_path_GREP="$ac_path_GREP" ac_path_GREP_found=:;;
 +*)
 +  ac_count=0
 +  $as_echo_n 0123456789 >"conftest.in"
 +  while :
 +  do
 +    cat "conftest.in" "conftest.in" >"conftest.tmp"
 +    mv "conftest.tmp" "conftest.in"
 +    cp "conftest.in" "conftest.nl"
 +    $as_echo 'GREP' >> "conftest.nl"
 +    "$ac_path_GREP" -e 'GREP$' -e '-(cannot match)-' < "conftest.nl" >"conftest.out" 2>/dev/null || break
 +    diff "conftest.out" "conftest.nl" >/dev/null 2>&1 || break
 +    as_fn_arith $ac_count + 1 && ac_count=$as_val
 +    if test $ac_count -gt ${ac_path_GREP_max-0}; then
 +      # Best one so far, save it but keep looking for a better one
 +      ac_cv_path_GREP="$ac_path_GREP"
 +      ac_path_GREP_max=$ac_count
 +    fi
 +    # 10*(2^10) chars as input seems more than enough
 +    test $ac_count -gt 10 && break
 +  done
 +  rm -f conftest.in conftest.tmp conftest.nl conftest.out;;
 +esac
 +
 +      $ac_path_GREP_found && break 3
 +    done
 +  done
 +  done
 +IFS=$as_save_IFS
 +  if test -z "$ac_cv_path_GREP"; then
 +    as_fn_error $? "no acceptable grep could be found in $PATH$PATH_SEPARATOR/usr/xpg4/bin" "$LINENO" 5
 +  fi
 +else
 +  ac_cv_path_GREP=$GREP
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_path_GREP" >&5
 +$as_echo "$ac_cv_path_GREP" >&6; }
 + GREP="$ac_cv_path_GREP"
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for egrep" >&5
 +$as_echo_n "checking for egrep... " >&6; }
 +if ${ac_cv_path_EGREP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if echo a | $GREP -E '(a|b)' >/dev/null 2>&1
 +   then ac_cv_path_EGREP="$GREP -E"
 +   else
 +     if test -z "$EGREP"; then
 +  ac_path_EGREP_found=false
 +  # Loop through the user's path and test for each of PROGNAME-LIST
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH$PATH_SEPARATOR/usr/xpg4/bin
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_prog in egrep; do
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +      ac_path_EGREP="$as_dir/$ac_prog$ac_exec_ext"
 +      as_fn_executable_p "$ac_path_EGREP" || continue
 +# Check for GNU ac_path_EGREP and select it if it is found.
 +  # Check for GNU $ac_path_EGREP
 +case `"$ac_path_EGREP" --version 2>&1` in
 +*GNU*)
 +  ac_cv_path_EGREP="$ac_path_EGREP" ac_path_EGREP_found=:;;
 +*)
 +  ac_count=0
 +  $as_echo_n 0123456789 >"conftest.in"
 +  while :
 +  do
 +    cat "conftest.in" "conftest.in" >"conftest.tmp"
 +    mv "conftest.tmp" "conftest.in"
 +    cp "conftest.in" "conftest.nl"
 +    $as_echo 'EGREP' >> "conftest.nl"
 +    "$ac_path_EGREP" 'EGREP$' < "conftest.nl" >"conftest.out" 2>/dev/null || break
 +    diff "conftest.out" "conftest.nl" >/dev/null 2>&1 || break
 +    as_fn_arith $ac_count + 1 && ac_count=$as_val
 +    if test $ac_count -gt ${ac_path_EGREP_max-0}; then
 +      # Best one so far, save it but keep looking for a better one
 +      ac_cv_path_EGREP="$ac_path_EGREP"
 +      ac_path_EGREP_max=$ac_count
 +    fi
 +    # 10*(2^10) chars as input seems more than enough
 +    test $ac_count -gt 10 && break
 +  done
 +  rm -f conftest.in conftest.tmp conftest.nl conftest.out;;
 +esac
 +
 +      $ac_path_EGREP_found && break 3
 +    done
 +  done
 +  done
 +IFS=$as_save_IFS
 +  if test -z "$ac_cv_path_EGREP"; then
 +    as_fn_error $? "no acceptable egrep could be found in $PATH$PATH_SEPARATOR/usr/xpg4/bin" "$LINENO" 5
 +  fi
 +else
 +  ac_cv_path_EGREP=$EGREP
 +fi
 +
 +   fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_path_EGREP" >&5
 +$as_echo "$ac_cv_path_EGREP" >&6; }
 + EGREP="$ac_cv_path_EGREP"
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for ANSI C header files" >&5
 +$as_echo_n "checking for ANSI C header files... " >&6; }
 +if ${ac_cv_header_stdc+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdlib.h>
 +#include <stdarg.h>
 +#include <string.h>
 +#include <float.h>
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_header_stdc=yes
 +else
 +  ac_cv_header_stdc=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +if test $ac_cv_header_stdc = yes; then
 +  # SunOS 4.x string.h does not declare mem*, contrary to ANSI.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <string.h>
 +
 +_ACEOF
 +if (eval "$ac_cpp conftest.$ac_ext") 2>&5 |
 +  $EGREP "memchr" >/dev/null 2>&1; then :
 +
 +else
 +  ac_cv_header_stdc=no
 +fi
 +rm -f conftest*
 +
 +fi
 +
 +if test $ac_cv_header_stdc = yes; then
 +  # ISC 2.0.2 stdlib.h does not declare free, contrary to ANSI.
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdlib.h>
 +
 +_ACEOF
 +if (eval "$ac_cpp conftest.$ac_ext") 2>&5 |
 +  $EGREP "free" >/dev/null 2>&1; then :
 +
 +else
 +  ac_cv_header_stdc=no
 +fi
 +rm -f conftest*
 +
 +fi
 +
 +if test $ac_cv_header_stdc = yes; then
 +  # /bin/cc in Irix-4.0.5 gets non-ANSI ctype macros unless using -ansi.
 +  if test "$cross_compiling" = yes; then :
 +  :
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <ctype.h>
 +#include <stdlib.h>
 +#if ((' ' & 0x0FF) == 0x020)
 +# define ISLOWER(c) ('a' <= (c) && (c) <= 'z')
 +# define TOUPPER(c) (ISLOWER(c) ? 'A' + ((c) - 'a') : (c))
 +#else
 +# define ISLOWER(c) \
 +                 (('a' <= (c) && (c) <= 'i') \
 +                   || ('j' <= (c) && (c) <= 'r') \
 +                   || ('s' <= (c) && (c) <= 'z'))
 +# define TOUPPER(c) (ISLOWER(c) ? ((c) | 0x40) : (c))
 +#endif
 +
 +#define XOR(e, f) (((e) && !(f)) || (!(e) && (f)))
 +int
 +main ()
 +{
 +  int i;
 +  for (i = 0; i < 256; i++)
 +    if (XOR (islower (i), ISLOWER (i))
 +      || toupper (i) != TOUPPER (i))
 +      return 2;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +
 +else
 +  ac_cv_header_stdc=no
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_header_stdc" >&5
 +$as_echo "$ac_cv_header_stdc" >&6; }
 +if test $ac_cv_header_stdc = yes; then
 +
 +$as_echo "#define STDC_HEADERS 1" >>confdefs.h
 +
 +fi
 +
 +# On IRIX 5.3, sys/types and inttypes.h are conflicting.
 +for ac_header in sys/types.h sys/stat.h stdlib.h string.h memory.h strings.h \
 +                inttypes.h stdint.h unistd.h
 +do :
 +  as_ac_Header=`$as_echo "ac_cv_header_$ac_header" | $as_tr_sh`
 +ac_fn_c_check_header_compile "$LINENO" "$ac_header" "$as_ac_Header" "$ac_includes_default
 +"
 +if eval test \"x\$"$as_ac_Header"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_header" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +
 +  ac_fn_c_check_header_mongrel "$LINENO" "minix/config.h" "ac_cv_header_minix_config_h" "$ac_includes_default"
 +if test "x$ac_cv_header_minix_config_h" = xyes; then :
 +  MINIX=yes
 +else
 +  MINIX=
 +fi
 +
 +
 +  if test "$MINIX" = yes; then
 +
 +$as_echo "#define _POSIX_SOURCE 1" >>confdefs.h
 +
 +
 +$as_echo "#define _POSIX_1_SOURCE 2" >>confdefs.h
 +
 +
 +$as_echo "#define _MINIX 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether it is safe to define __EXTENSIONS__" >&5
 +$as_echo_n "checking whether it is safe to define __EXTENSIONS__... " >&6; }
 +if ${ac_cv_safe_to_define___extensions__+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#         define __EXTENSIONS__ 1
 +          $ac_includes_default
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_safe_to_define___extensions__=yes
 +else
 +  ac_cv_safe_to_define___extensions__=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_safe_to_define___extensions__" >&5
 +$as_echo "$ac_cv_safe_to_define___extensions__" >&6; }
 +  test $ac_cv_safe_to_define___extensions__ = yes &&
 +    $as_echo "#define __EXTENSIONS__ 1" >>confdefs.h
 +
 +  $as_echo "#define _ALL_SOURCE 1" >>confdefs.h
 +
 +  $as_echo "#define _GNU_SOURCE 1" >>confdefs.h
 +
 +  $as_echo "#define _POSIX_PTHREAD_SEMANTICS 1" >>confdefs.h
 +
 +  $as_echo "#define _TANDEM_SOURCE 1" >>confdefs.h
 +
 +
 +
 +if test "$ac_cv_header_minix_config_h" = "yes"; then
 +
 +$as_echo "#define _NETBSD_SOURCE 1" >>confdefs.h
 +
 +fi
 +
 +case "$prefix" in
 +        NONE)
 +              prefix="/usr/local"
 +        ;;
 +esac
 +
 +# are we on MinGW?
 +if uname -s 2>&1 | grep MINGW32 >/dev/null; then on_mingw="yes"
 +else
 +      if echo $target | grep mingw32 >/dev/null; then on_mingw="yes"
 +      else on_mingw="no"; fi
 +fi
 +
 +#
 +# Determine configuration file
 +# the eval is to evaluate shell expansion twice
 +if test $on_mingw = "no"; then
 +  ub_conf_file=`eval echo "${sysconfdir}/unbound/unbound.conf"`
 +else
 +  ub_conf_file="C:\\Program Files\\Unbound\\service.conf"
 +fi
 +
 +# Check whether --with-conf_file was given.
 +if test "${with_conf_file+set}" = set; then :
 +  withval=$with_conf_file; ub_conf_file="$withval"
 +fi
 +
 +
 +hdr_config="`echo $ub_conf_file | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define CONFIGFILE "$hdr_config"
 +_ACEOF
 +
 +ub_conf_dir=`$as_dirname -- "$ub_conf_file" ||
 +$as_expr X"$ub_conf_file" : 'X\(.*[^/]\)//*[^/][^/]*/*$' \| \
 +       X"$ub_conf_file" : 'X\(//\)[^/]' \| \
 +       X"$ub_conf_file" : 'X\(//\)$' \| \
 +       X"$ub_conf_file" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X"$ub_conf_file" |
 +    sed '/^X\(.*[^/]\)\/\/*[^/][^/]*\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)[^/].*/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +
 +
 +# Determine run, chroot directory and pidfile locations
 +
 +# Check whether --with-run-dir was given.
 +if test "${with_run_dir+set}" = set; then :
 +  withval=$with_run_dir; UNBOUND_RUN_DIR="$withval"
 +else
 +  if test $on_mingw = no; then
 +    UNBOUND_RUN_DIR=`dirname "$ub_conf_file"`
 +else
 +    UNBOUND_RUN_DIR=""
 +fi
 +
 +fi
 +
 +
 +hdr_run="`echo $UNBOUND_RUN_DIR | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define RUN_DIR "$hdr_run"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-chroot-dir was given.
 +if test "${with_chroot_dir+set}" = set; then :
 +  withval=$with_chroot_dir; UNBOUND_CHROOT_DIR="$withval"
 +else
 +  if test $on_mingw = no; then
 +    UNBOUND_CHROOT_DIR="$UNBOUND_RUN_DIR"
 +else
 +    UNBOUND_CHROOT_DIR=""
 +fi
 +
 +fi
 +
 +
 +hdr_chroot="`echo $UNBOUND_CHROOT_DIR | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define CHROOT_DIR "$hdr_chroot"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-share-dir was given.
 +if test "${with_share_dir+set}" = set; then :
 +  withval=$with_share_dir; UNBOUND_SHARE_DIR="$withval"
 +else
 +  UNBOUND_SHARE_DIR="$UNBOUND_RUN_DIR"
 +fi
 +
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define SHARE_DIR "$UNBOUND_SHARE_DIR"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-pidfile was given.
 +if test "${with_pidfile+set}" = set; then :
 +  withval=$with_pidfile; UNBOUND_PIDFILE="$withval"
 +else
 +  if test $on_mingw = no; then
 +    UNBOUND_PIDFILE="$UNBOUND_RUN_DIR/unbound.pid"
 +else
 +    UNBOUND_PIDFILE=""
 +fi
 +
 +fi
 +
 +
 +hdr_pid="`echo $UNBOUND_PIDFILE | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PIDFILE "$hdr_pid"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-rootkey-file was given.
 +if test "${with_rootkey_file+set}" = set; then :
 +  withval=$with_rootkey_file; UNBOUND_ROOTKEY_FILE="$withval"
 +else
 +  if test $on_mingw = no; then
 +    UNBOUND_ROOTKEY_FILE="$UNBOUND_RUN_DIR/root.key"
 +else
 +    UNBOUND_ROOTKEY_FILE="C:\\Program Files\\Unbound\\root.key"
 +fi
 +
 +fi
 +
 +
 +hdr_rkey="`echo $UNBOUND_ROOTKEY_FILE | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define ROOT_ANCHOR_FILE "$hdr_rkey"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-rootcert-file was given.
 +if test "${with_rootcert_file+set}" = set; then :
 +  withval=$with_rootcert_file; UNBOUND_ROOTCERT_FILE="$withval"
 +else
 +  if test $on_mingw = no; then
 +    UNBOUND_ROOTCERT_FILE="$UNBOUND_RUN_DIR/icannbundle.pem"
 +else
 +    UNBOUND_ROOTCERT_FILE="C:\\Program Files\\Unbound\\icannbundle.pem"
 +fi
 +
 +fi
 +
 +
 +hdr_rpem="`echo $UNBOUND_ROOTCERT_FILE | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define ROOT_CERT_FILE "$hdr_rpem"
 +_ACEOF
 +
 +
 +
 +# Check whether --with-username was given.
 +if test "${with_username+set}" = set; then :
 +  withval=$with_username; UNBOUND_USERNAME="$withval"
 +else
 +  UNBOUND_USERNAME="unbound"
 +fi
 +
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define UB_USERNAME "$UNBOUND_USERNAME"
 +_ACEOF
 +
 +
 +
 +$as_echo "#define WINVER 0x0502" >>confdefs.h
 +
 +wnvs=`echo $PACKAGE_VERSION | sed -e 's/^[^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\).*$/\1,\2,\3,\4/' -e 's/^[^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9][^0-9]*\([0-9][0-9]*\)[^0-9]*$/\1,\2,\3,0/' `
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define RSRC_PACKAGE_VERSION $wnvs
 +_ACEOF
 +
 +
 +# Checks for typedefs, structures, and compiler characteristics.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for an ANSI C-conforming const" >&5
 +$as_echo_n "checking for an ANSI C-conforming const... " >&6; }
 +if ${ac_cv_c_const+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +#ifndef __cplusplus
 +  /* Ultrix mips cc rejects this sort of thing.  */
 +  typedef int charset[2];
 +  const charset cs = { 0, 0 };
 +  /* SunOS 4.1.1 cc rejects this.  */
 +  char const *const *pcpcc;
 +  char **ppc;
 +  /* NEC SVR4.0.2 mips cc rejects this.  */
 +  struct point {int x, y;};
 +  static struct point const zero = {0,0};
 +  /* AIX XL C 1.02.0.0 rejects this.
 +     It does not let you subtract one const X* pointer from another in
 +     an arm of an if-expression whose if-part is not a constant
 +     expression */
 +  const char *g = "string";
 +  pcpcc = &g + (g ? g-g : 0);
 +  /* HPUX 7.0 cc rejects these. */
 +  ++pcpcc;
 +  ppc = (char**) pcpcc;
 +  pcpcc = (char const *const *) ppc;
 +  { /* SCO 3.2v4 cc rejects this sort of thing.  */
 +    char tx;
 +    char *t = &tx;
 +    char const *s = 0 ? (char *) 0 : (char const *) 0;
 +
 +    *t++ = 0;
 +    if (s) return 0;
 +  }
 +  { /* Someone thinks the Sun supposedly-ANSI compiler will reject this.  */
 +    int x[] = {25, 17};
 +    const int *foo = &x[0];
 +    ++foo;
 +  }
 +  { /* Sun SC1.0 ANSI compiler rejects this -- but not the above. */
 +    typedef const int *iptr;
 +    iptr p = 0;
 +    ++p;
 +  }
 +  { /* AIX XL C 1.02.0.0 rejects this sort of thing, saying
 +       "k.c", line 2.27: 1506-025 (S) Operand must be a modifiable lvalue. */
 +    struct s { int j; const int *ap[3]; } bx;
 +    struct s *b = &bx; b->j = 5;
 +  }
 +  { /* ULTRIX-32 V3.1 (Rev 9) vcc rejects this */
 +    const int foo = 10;
 +    if (!foo) return 0;
 +  }
 +  return !cs[0] && !zero.x;
 +#endif
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_c_const=yes
 +else
 +  ac_cv_c_const=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_const" >&5
 +$as_echo "$ac_cv_c_const" >&6; }
 +if test $ac_cv_c_const = no; then
 +
 +$as_echo "#define const /**/" >>confdefs.h
 +
 +fi
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +# allow user to override the -g -O2 flags.
 +if test "x$CFLAGS" = "x" ; then
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -g" >&5
 +$as_echo_n "checking whether $CC supports -g... " >&6; }
 +cache=`echo g | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -g -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -g"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -O2" >&5
 +$as_echo_n "checking whether $CC supports -O2... " >&6; }
 +cache=`echo O2 | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -O2 -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -O2"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +fi
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}gcc", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}gcc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="${ac_tool_prefix}gcc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_CC"; then
 +  ac_ct_CC=$CC
 +  # Extract the first word of "gcc", so it can be a program name with args.
 +set dummy gcc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_CC"; then
 +  ac_cv_prog_ac_ct_CC="$ac_ct_CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_CC="gcc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_CC=$ac_cv_prog_ac_ct_CC
 +if test -n "$ac_ct_CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_CC" >&5
 +$as_echo "$ac_ct_CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_CC" = x; then
 +    CC=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    CC=$ac_ct_CC
 +  fi
 +else
 +  CC="$ac_cv_prog_CC"
 +fi
 +
 +if test -z "$CC"; then
 +          if test -n "$ac_tool_prefix"; then
 +    # Extract the first word of "${ac_tool_prefix}cc", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}cc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="${ac_tool_prefix}cc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  fi
 +fi
 +if test -z "$CC"; then
 +  # Extract the first word of "cc", so it can be a program name with args.
 +set dummy cc; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +  ac_prog_rejected=no
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    if test "$as_dir/$ac_word$ac_exec_ext" = "/usr/ucb/cc"; then
 +       ac_prog_rejected=yes
 +       continue
 +     fi
 +    ac_cv_prog_CC="cc"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +if test $ac_prog_rejected = yes; then
 +  # We found a bogon in the path, so make sure we never use it.
 +  set dummy $ac_cv_prog_CC
 +  shift
 +  if test $# != 0; then
 +    # We chose a different compiler from the bogus one.
 +    # However, it has the same basename, so the bogon will be chosen
 +    # first if we set CC to just the basename; use the full file name.
 +    shift
 +    ac_cv_prog_CC="$as_dir/$ac_word${1+' '}$@"
 +  fi
 +fi
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$CC"; then
 +  if test -n "$ac_tool_prefix"; then
 +  for ac_prog in cl.exe
 +  do
 +    # Extract the first word of "$ac_tool_prefix$ac_prog", so it can be a program name with args.
 +set dummy $ac_tool_prefix$ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$CC"; then
 +  ac_cv_prog_CC="$CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_CC="$ac_tool_prefix$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +CC=$ac_cv_prog_CC
 +if test -n "$CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $CC" >&5
 +$as_echo "$CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +    test -n "$CC" && break
 +  done
 +fi
 +if test -z "$CC"; then
 +  ac_ct_CC=$CC
 +  for ac_prog in cl.exe
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_CC"; then
 +  ac_cv_prog_ac_ct_CC="$ac_ct_CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_CC="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_CC=$ac_cv_prog_ac_ct_CC
 +if test -n "$ac_ct_CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_CC" >&5
 +$as_echo "$ac_ct_CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$ac_ct_CC" && break
 +done
 +
 +  if test "x$ac_ct_CC" = x; then
 +    CC=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    CC=$ac_ct_CC
 +  fi
 +fi
 +
 +fi
 +
 +
 +test -z "$CC" && { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "no acceptable C compiler found in \$PATH
 +See \`config.log' for more details" "$LINENO" 5; }
 +
 +# Provide some information about the compiler.
 +$as_echo "$as_me:${as_lineno-$LINENO}: checking for C compiler version" >&5
 +set X $ac_compile
 +ac_compiler=$2
 +for ac_option in --version -v -V -qversion; do
 +  { { ac_try="$ac_compiler $ac_option >&5"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$ac_compiler $ac_option >&5") 2>conftest.err
 +  ac_status=$?
 +  if test -s conftest.err; then
 +    sed '10a\
 +... rest of stderr output deleted ...
 +         10q' conftest.err >conftest.er1
 +    cat conftest.er1 >&5
 +  fi
 +  rm -f conftest.er1 conftest.err
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +done
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we are using the GNU C compiler" >&5
 +$as_echo_n "checking whether we are using the GNU C compiler... " >&6; }
 +if ${ac_cv_c_compiler_gnu+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +#ifndef __GNUC__
 +       choke me
 +#endif
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_compiler_gnu=yes
 +else
 +  ac_compiler_gnu=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +ac_cv_c_compiler_gnu=$ac_compiler_gnu
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_compiler_gnu" >&5
 +$as_echo "$ac_cv_c_compiler_gnu" >&6; }
 +if test $ac_compiler_gnu = yes; then
 +  GCC=yes
 +else
 +  GCC=
 +fi
 +ac_test_CFLAGS=${CFLAGS+set}
 +ac_save_CFLAGS=$CFLAGS
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC accepts -g" >&5
 +$as_echo_n "checking whether $CC accepts -g... " >&6; }
 +if ${ac_cv_prog_cc_g+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_save_c_werror_flag=$ac_c_werror_flag
 +   ac_c_werror_flag=yes
 +   ac_cv_prog_cc_g=no
 +   CFLAGS="-g"
 +   cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_g=yes
 +else
 +  CFLAGS=""
 +      cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +
 +else
 +  ac_c_werror_flag=$ac_save_c_werror_flag
 +       CFLAGS="-g"
 +       cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_g=yes
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +   ac_c_werror_flag=$ac_save_c_werror_flag
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_cc_g" >&5
 +$as_echo "$ac_cv_prog_cc_g" >&6; }
 +if test "$ac_test_CFLAGS" = set; then
 +  CFLAGS=$ac_save_CFLAGS
 +elif test $ac_cv_prog_cc_g = yes; then
 +  if test "$GCC" = yes; then
 +    CFLAGS="-g -O2"
 +  else
 +    CFLAGS="-g"
 +  fi
 +else
 +  if test "$GCC" = yes; then
 +    CFLAGS="-O2"
 +  else
 +    CFLAGS=
 +  fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $CC option to accept ISO C89" >&5
 +$as_echo_n "checking for $CC option to accept ISO C89... " >&6; }
 +if ${ac_cv_prog_cc_c89+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_prog_cc_c89=no
 +ac_save_CC=$CC
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdarg.h>
 +#include <stdio.h>
 +struct stat;
 +/* Most of the following tests are stolen from RCS 5.7's src/conf.sh.  */
 +struct buf { int x; };
 +FILE * (*rcsopen) (struct buf *, struct stat *, int);
 +static char *e (p, i)
 +     char **p;
 +     int i;
 +{
 +  return p[i];
 +}
 +static char *f (char * (*g) (char **, int), char **p, ...)
 +{
 +  char *s;
 +  va_list v;
 +  va_start (v,p);
 +  s = g (p, va_arg (v,int));
 +  va_end (v);
 +  return s;
 +}
 +
 +/* OSF 4.0 Compaq cc is some sort of almost-ANSI by default.  It has
 +   function prototypes and stuff, but not '\xHH' hex character constants.
 +   These don't provoke an error unfortunately, instead are silently treated
 +   as 'x'.  The following induces an error, until -std is added to get
 +   proper ANSI mode.  Curiously '\x00'!='x' always comes out true, for an
 +   array size at least.  It's necessary to write '\x00'==0 to get something
 +   that's true only with -std.  */
 +int osf4_cc_array ['\x00' == 0 ? 1 : -1];
 +
 +/* IBM C 6 for AIX is almost-ANSI by default, but it replaces macro parameters
 +   inside strings and character constants.  */
 +#define FOO(x) 'x'
 +int xlc6_cc_array[FOO(a) == 'x' ? 1 : -1];
 +
 +int test (int i, double x);
 +struct s1 {int (*f) (int a);};
 +struct s2 {int (*f) (double a);};
 +int pairnames (int, char **, FILE *(*)(struct buf *, struct stat *, int), int, int);
 +int argc;
 +char **argv;
 +int
 +main ()
 +{
 +return f (e, argv, 0) != argv[0]  ||  f (e, argv, 1) != argv[1];
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_arg in '' -qlanglvl=extc89 -qlanglvl=ansi -std \
 +      -Ae "-Aa -D_HPUX_SOURCE" "-Xc -D__EXTENSIONS__"
 +do
 +  CC="$ac_save_CC $ac_arg"
 +  if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_prog_cc_c89=$ac_arg
 +fi
 +rm -f core conftest.err conftest.$ac_objext
 +  test "x$ac_cv_prog_cc_c89" != "xno" && break
 +done
 +rm -f conftest.$ac_ext
 +CC=$ac_save_CC
 +
 +fi
 +# AC_CACHE_VAL
 +case "x$ac_cv_prog_cc_c89" in
 +  x)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: none needed" >&5
 +$as_echo "none needed" >&6; } ;;
 +  xno)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: unsupported" >&5
 +$as_echo "unsupported" >&6; } ;;
 +  *)
 +    CC="$CC $ac_cv_prog_cc_c89"
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_cc_c89" >&5
 +$as_echo "$ac_cv_prog_cc_c89" >&6; } ;;
 +esac
 +if test "x$ac_cv_prog_cc_c89" != xno; then :
 +
 +fi
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking $CC dependency flag" >&5
 +$as_echo_n "checking $CC dependency flag... " >&6; }
 +echo 'void f(){}' >conftest.c
 +if test "`$CC -MM conftest.c 2>&1`" = "conftest.o: conftest.c"; then
 +      DEPFLAG="-MM"
 +else
 +  if test "`$CC -xM1 conftest.c 2>&1`" = "conftest.o: conftest.c"; then
 +      DEPFLAG="-xM1"
 +  else
 +      DEPFLAG="-MM"  # dunno do something
 +  fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $DEPFLAG" >&5
 +$as_echo "$DEPFLAG" >&6; }
 +rm -f conftest.c
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -Werror" >&5
 +$as_echo_n "checking whether $CC supports -Werror... " >&6; }
 +cache=`echo Werror | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -Werror -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +ERRFLAG="-Werror"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +ERRFLAG="-errwarn"
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -Wall" >&5
 +$as_echo_n "checking whether $CC supports -Wall... " >&6; }
 +cache=`echo Wall | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -Wall -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +ERRFLAG="$ERRFLAG -Wall"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +ERRFLAG="$ERRFLAG -errfmt"
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -std=c99" >&5
 +$as_echo_n "checking whether $CC supports -std=c99... " >&6; }
 +cache=`echo std=c99 | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -std=c99 -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +C99FLAG="-std=c99"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -xc99" >&5
 +$as_echo_n "checking whether $CC supports -xc99... " >&6; }
 +cache=`echo xc99 | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -xc99 -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +C99FLAG="-xc99"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +for ac_header in getopt.h time.h
 +do :
 +  as_ac_Header=`$as_echo "ac_cv_header_$ac_header" | $as_tr_sh`
 +ac_fn_c_check_header_compile "$LINENO" "$ac_header" "$as_ac_Header" "$ac_includes_default
 +"
 +if eval test \"x\$"$as_ac_Header"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_header" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE as a flag for $CC" >&5
 +$as_echo_n "checking whether we need $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE as a flag for $CC... " >&6; }
 +cache=`$as_echo "$C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE" | $as_tr_sh`
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#include <netdb.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +      int a;
 +      char **opts = NULL;
 +      struct timeval tv;
 +      char *t;
 +      time_t time = 0;
 +      char *buf = NULL;
 +      const char* str = NULL;
 +      struct msghdr msg;
 +      msg.msg_control = 0;
 +      t = ctime_r(&time, buf);
 +      tv.tv_usec = 10;
 +      srandom(32);
 +      a = getopt(2, opts, "a");
 +      a = isascii(32);
 +      str = gai_strerror(0);
 +      if(str && t && tv.tv_usec && msg.msg_control)
 +              a = 0;
 +      return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_XOPEN_SOURCE_EXTENDED=1 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE as a flag for $CC" >&5
 +$as_echo_n "checking whether we need $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE as a flag for $CC... " >&6; }
 +cache=`$as_echo "$C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE" | $as_tr_sh`
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#include <netdb.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +      int a;
 +      char **opts = NULL;
 +      struct timeval tv;
 +      char *t;
 +      time_t time = 0;
 +      char *buf = NULL;
 +      const char* str = NULL;
 +      struct msghdr msg;
 +      msg.msg_control = 0;
 +      t = ctime_r(&time, buf);
 +      tv.tv_usec = 10;
 +      srandom(32);
 +      a = getopt(2, opts, "a");
 +      a = isascii(32);
 +      str = gai_strerror(0);
 +      if(str && t && tv.tv_usec && msg.msg_control)
 +              a = 0;
 +      return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG -D__EXTENSIONS__ -D_BSD_SOURCE -D_POSIX_C_SOURCE=200112 -D_XOPEN_SOURCE=600 -D_ALL_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need $C99FLAG as a flag for $CC" >&5
 +$as_echo_n "checking whether we need $C99FLAG as a flag for $CC... " >&6; }
 +cache=`$as_echo "$C99FLAG" | $as_tr_sh`
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <stdbool.h>
 +#include <ctype.h>
 +int test() {
 +        int a = 0;
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS $C99FLAG $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS $C99FLAG"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS $C99FLAG $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS $C99FLAG $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D_BSD_SOURCE as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D_BSD_SOURCE as a flag for $CC... " >&6; }
 +cache=_D_BSD_SOURCE
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <ctype.h>
 +
 +int test() {
 +        int a;
 +        a = isascii(32);
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D_BSD_SOURCE $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_BSD_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_BSD_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_BSD_SOURCE"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_BSD_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_BSD_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D_GNU_SOURCE as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D_GNU_SOURCE as a flag for $CC... " >&6; }
 +cache=_D_GNU_SOURCE
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <netinet/in.h>
 +
 +int test() {
 +        struct in6_pktinfo inf;
 +      int a = (int)sizeof(inf);
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_GNU_SOURCE"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +# check again for GNU_SOURCE for setresgid. May fail if setresgid
 +# is not available at all. -D_FRSRESGID is to make this check unique.
 +# otherwise we would get the previous cached result.
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D_GNU_SOURCE -D_FRSRESGID as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D_GNU_SOURCE -D_FRSRESGID as a flag for $CC... " >&6; }
 +cache=_D_GNU_SOURCE__D_FRSRESGID
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <unistd.h>
 +
 +int test() {
 +      int a = setresgid(0,0,0);
 +      a = setresuid(0,0,0);
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE -D_FRSRESGID $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE -D_FRSRESGID $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE -D_FRSRESGID $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_GNU_SOURCE"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE -D_FRSRESGID $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_GNU_SOURCE -D_FRSRESGID $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D_POSIX_C_SOURCE=200112 as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D_POSIX_C_SOURCE=200112 as a flag for $CC... " >&6; }
 +cache=_D_POSIX_C_SOURCE_200112
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include "confdefs.h"
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <netdb.h>
 +
 +int test() {
 +        int a = 0;
 +        char *t;
 +        time_t time = 0;
 +        char *buf = NULL;
 +      const char* str = NULL;
 +        t = ctime_r(&time, buf);
 +      str = gai_strerror(0);
 +      if(t && str)
 +              a = 0;
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D_POSIX_C_SOURCE=200112 $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_POSIX_C_SOURCE=200112 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_POSIX_C_SOURCE=200112 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_POSIX_C_SOURCE=200112"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_POSIX_C_SOURCE=200112 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_POSIX_C_SOURCE=200112 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D__EXTENSIONS__ as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D__EXTENSIONS__ as a flag for $CC... " >&6; }
 +cache=_D__EXTENSIONS__
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include "confdefs.h"
 +#include <stdlib.h>
 +#include <ctype.h>
 +#include <sys/time.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <unistd.h>
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +
 +int test() {
 +        int a;
 +        char **opts = NULL;
 +        struct timeval tv;
 +        tv.tv_usec = 10;
 +        srandom(32);
 +        a = getopt(2, opts, "a");
 +        a = isascii(32);
 +      if(tv.tv_usec)
 +              a = 0;
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D__EXTENSIONS__ $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D__EXTENSIONS__ $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D__EXTENSIONS__ $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D__EXTENSIONS__"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D__EXTENSIONS__ $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D__EXTENSIONS__ $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +
 +# debug mode flags warnings
 +# Check whether --enable-checking was given.
 +if test "${enable_checking+set}" = set; then :
 +  enableval=$enable_checking;
 +fi
 +
 +# Check whether --enable-debug was given.
 +if test "${enable_debug+set}" = set; then :
 +  enableval=$enable_debug;
 +fi
 +
 +if test "$enable_debug" = "yes"; then debug_enabled="$enable_debug";
 +else debug_enabled="$enable_checking"; fi
 +
 +case "$debug_enabled" in
 +        yes)
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -W" >&5
 +$as_echo_n "checking whether $CC supports -W... " >&6; }
 +cache=`echo W | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -W -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -W"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -Wall" >&5
 +$as_echo_n "checking whether $CC supports -Wall... " >&6; }
 +cache=`echo Wall | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -Wall -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -Wall"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -Wextra" >&5
 +$as_echo_n "checking whether $CC supports -Wextra... " >&6; }
 +cache=`echo Wextra | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -Wextra -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -Wextra"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -Wdeclaration-after-statement" >&5
 +$as_echo_n "checking whether $CC supports -Wdeclaration-after-statement... " >&6; }
 +cache=`echo Wdeclaration-after-statement | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -Wdeclaration-after-statement -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -Wdeclaration-after-statement"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +
 +$as_echo "#define UNBOUND_DEBUG /**/" >>confdefs.h
 +
 +              ;;
 +      no|*)
 +              # nothing to do.
 +              ;;
 +esac
 +
 +    # Check whether --enable-flto was given.
 +if test "${enable_flto+set}" = set; then :
 +  enableval=$enable_flto;
 +fi
 +
 +    if test "x$enable_flto" != "xno"; then :
 +
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $CC supports -flto" >&5
 +$as_echo_n "checking if $CC supports -flto... " >&6; }
 +        BAKCFLAGS="$CFLAGS"
 +        CFLAGS="$CFLAGS -flto"
 +        cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +            if $CC $CFLAGS -o conftest conftest.c 2>&1 | grep "warning: no debug symbols in executable" >/dev/null; then
 +                CFLAGS="$BAKCFLAGS"
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +            else
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +            fi
 +            rm -f conftest conftest.c conftest.o
 +
 +else
 +  CFLAGS="$BAKCFLAGS" ; { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for inline" >&5
 +$as_echo_n "checking for inline... " >&6; }
 +if ${ac_cv_c_inline+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_c_inline=no
 +for ac_kw in inline __inline__ __inline; do
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#ifndef __cplusplus
 +typedef int foo_t;
 +static $ac_kw foo_t static_foo () {return 0; }
 +$ac_kw foo_t foo () {return 0; }
 +#endif
 +
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_c_inline=$ac_kw
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  test "$ac_cv_c_inline" != no && break
 +done
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_inline" >&5
 +$as_echo "$ac_cv_c_inline" >&6; }
 +
 +case $ac_cv_c_inline in
 +  inline | yes) ;;
 +  *)
 +    case $ac_cv_c_inline in
 +      no) ac_val=;;
 +      *) ac_val=$ac_cv_c_inline;;
 +    esac
 +    cat >>confdefs.h <<_ACEOF
 +#ifndef __cplusplus
 +#define inline $ac_val
 +#endif
 +_ACEOF
 +    ;;
 +esac
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the C compiler (${CC-cc}) accepts the \"format\" attribute" >&5
 +$as_echo_n "checking whether the C compiler (${CC-cc}) accepts the \"format\" attribute... " >&6; }
 +if ${ac_cv_c_format_attribute+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_c_format_attribute=no
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdio.h>
 +void f (char *format, ...) __attribute__ ((format (printf, 1, 2)));
 +void (*pf) (char *format, ...) __attribute__ ((format (printf, 1, 2)));
 +
 +int
 +main ()
 +{
 +
 +   f ("%s", "str");
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_c_format_attribute="yes"
 +else
 +  ac_cv_c_format_attribute="no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_format_attribute" >&5
 +$as_echo "$ac_cv_c_format_attribute" >&6; }
 +if test $ac_cv_c_format_attribute = yes; then
 +
 +$as_echo "#define HAVE_ATTR_FORMAT 1" >>confdefs.h
 +
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the C compiler (${CC-cc}) accepts the \"unused\" attribute" >&5
 +$as_echo_n "checking whether the C compiler (${CC-cc}) accepts the \"unused\" attribute... " >&6; }
 +if ${ac_cv_c_unused_attribute+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_c_unused_attribute=no
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <stdio.h>
 +void f (char *u __attribute__((unused)));
 +
 +int
 +main ()
 +{
 +
 +   f ("x");
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_c_unused_attribute="yes"
 +else
 +  ac_cv_c_unused_attribute="no"
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +fi
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_unused_attribute" >&5
 +$as_echo "$ac_cv_c_unused_attribute" >&6; }
 +if test $ac_cv_c_unused_attribute = yes; then
 +
 +$as_echo "#define HAVE_ATTR_UNUSED 1" >>confdefs.h
 +
 +fi
 +
 +
 +if test "$srcdir" != "."; then
 +      CPPFLAGS="$CPPFLAGS -I$srcdir"
 +fi
 +
 +
 +
 +for ac_prog in flex lex
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_LEX+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$LEX"; then
 +  ac_cv_prog_LEX="$LEX" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_LEX="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +LEX=$ac_cv_prog_LEX
 +if test -n "$LEX"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $LEX" >&5
 +$as_echo "$LEX" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$LEX" && break
 +done
 +test -n "$LEX" || LEX=":"
 +
 +if test "x$LEX" != "x:"; then
 +  cat >conftest.l <<_ACEOF
 +%%
 +a { ECHO; }
 +b { REJECT; }
 +c { yymore (); }
 +d { yyless (1); }
 +e { /* IRIX 6.5 flex 2.5.4 underquotes its yyless argument.  */
 +    yyless ((input () != 0)); }
 +f { unput (yytext[0]); }
 +. { BEGIN INITIAL; }
 +%%
 +#ifdef YYTEXT_POINTER
 +extern char *yytext;
 +#endif
 +int
 +main (void)
 +{
 +  return ! yylex () + ! yywrap ();
 +}
 +_ACEOF
 +{ { ac_try="$LEX conftest.l"
 +case "(($ac_try" in
 +  *\"* | *\`* | *\\*) ac_try_echo=\$ac_try;;
 +  *) ac_try_echo=$ac_try;;
 +esac
 +eval ac_try_echo="\"\$as_me:${as_lineno-$LINENO}: $ac_try_echo\""
 +$as_echo "$ac_try_echo"; } >&5
 +  (eval "$LEX conftest.l") 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking lex output file root" >&5
 +$as_echo_n "checking lex output file root... " >&6; }
 +if ${ac_cv_prog_lex_root+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +if test -f lex.yy.c; then
 +  ac_cv_prog_lex_root=lex.yy
 +elif test -f lexyy.c; then
 +  ac_cv_prog_lex_root=lexyy
 +else
 +  as_fn_error $? "cannot find output from $LEX; giving up" "$LINENO" 5
 +fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_lex_root" >&5
 +$as_echo "$ac_cv_prog_lex_root" >&6; }
 +LEX_OUTPUT_ROOT=$ac_cv_prog_lex_root
 +
 +if test -z "${LEXLIB+set}"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking lex library" >&5
 +$as_echo_n "checking lex library... " >&6; }
 +if ${ac_cv_lib_lex+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +    ac_save_LIBS=$LIBS
 +    ac_cv_lib_lex='none needed'
 +    for ac_lib in '' -lfl -ll; do
 +      LIBS="$ac_lib $ac_save_LIBS"
 +      cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +`cat $LEX_OUTPUT_ROOT.c`
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_lex=$ac_lib
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +      test "$ac_cv_lib_lex" != 'none needed' && break
 +    done
 +    LIBS=$ac_save_LIBS
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_lex" >&5
 +$as_echo "$ac_cv_lib_lex" >&6; }
 +  test "$ac_cv_lib_lex" != 'none needed' && LEXLIB=$ac_cv_lib_lex
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether yytext is a pointer" >&5
 +$as_echo_n "checking whether yytext is a pointer... " >&6; }
 +if ${ac_cv_prog_lex_yytext_pointer+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  # POSIX says lex can declare yytext either as a pointer or an array; the
 +# default is implementation-dependent.  Figure out which it is, since
 +# not all implementations provide the %pointer and %array declarations.
 +ac_cv_prog_lex_yytext_pointer=no
 +ac_save_LIBS=$LIBS
 +LIBS="$LEXLIB $ac_save_LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +  #define YYTEXT_POINTER 1
 +`cat $LEX_OUTPUT_ROOT.c`
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_prog_lex_yytext_pointer=yes
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_save_LIBS
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_prog_lex_yytext_pointer" >&5
 +$as_echo "$ac_cv_prog_lex_yytext_pointer" >&6; }
 +if test $ac_cv_prog_lex_yytext_pointer = yes; then
 +
 +$as_echo "#define YYTEXT_POINTER 1" >>confdefs.h
 +
 +fi
 +rm -f conftest.l $LEX_OUTPUT_ROOT.c
 +
 +fi
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for yylex_destroy" >&5
 +$as_echo_n "checking for yylex_destroy... " >&6; }
 +      if echo %% | $LEX -t 2>&1 | grep yylex_destroy >/dev/null 2>&1; then
 +
 +$as_echo "#define LEX_HAS_YYLEX_DESTROY 1" >>confdefs.h
 +
 +              { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +      else { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }; fi
 +
 +for ac_prog in 'bison -y' byacc
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_YACC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$YACC"; then
 +  ac_cv_prog_YACC="$YACC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_YACC="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +YACC=$ac_cv_prog_YACC
 +if test -n "$YACC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $YACC" >&5
 +$as_echo "$YACC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$YACC" && break
 +done
 +test -n "$YACC" || YACC="yacc"
 +
 +# Extract the first word of "doxygen", so it can be a program name with args.
 +set dummy doxygen; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_doxygen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$doxygen"; then
 +  ac_cv_prog_doxygen="$doxygen" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_doxygen="doxygen"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +doxygen=$ac_cv_prog_doxygen
 +if test -n "$doxygen"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $doxygen" >&5
 +$as_echo "$doxygen" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}strip", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}strip; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_STRIP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$STRIP"; then
 +  ac_cv_prog_STRIP="$STRIP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_STRIP="${ac_tool_prefix}strip"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +STRIP=$ac_cv_prog_STRIP
 +if test -n "$STRIP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $STRIP" >&5
 +$as_echo "$STRIP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_STRIP"; then
 +  ac_ct_STRIP=$STRIP
 +  # Extract the first word of "strip", so it can be a program name with args.
 +set dummy strip; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_STRIP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_STRIP"; then
 +  ac_cv_prog_ac_ct_STRIP="$ac_ct_STRIP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_STRIP="strip"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_STRIP=$ac_cv_prog_ac_ct_STRIP
 +if test -n "$ac_ct_STRIP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_STRIP" >&5
 +$as_echo "$ac_ct_STRIP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_STRIP" = x; then
 +    STRIP=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    STRIP=$ac_ct_STRIP
 +  fi
 +else
 +  STRIP="$ac_cv_prog_STRIP"
 +fi
 +
 +ac_aux_dir=
 +for ac_dir in "$srcdir" "$srcdir/.." "$srcdir/../.."; do
 +  if test -f "$ac_dir/install-sh"; then
 +    ac_aux_dir=$ac_dir
 +    ac_install_sh="$ac_aux_dir/install-sh -c"
 +    break
 +  elif test -f "$ac_dir/install.sh"; then
 +    ac_aux_dir=$ac_dir
 +    ac_install_sh="$ac_aux_dir/install.sh -c"
 +    break
 +  elif test -f "$ac_dir/shtool"; then
 +    ac_aux_dir=$ac_dir
 +    ac_install_sh="$ac_aux_dir/shtool install -c"
 +    break
 +  fi
 +done
 +if test -z "$ac_aux_dir"; then
 +  as_fn_error $? "cannot find install-sh, install.sh, or shtool in \"$srcdir\" \"$srcdir/..\" \"$srcdir/../..\"" "$LINENO" 5
 +fi
 +
 +# These three variables are undocumented and unsupported,
 +# and are intended to be withdrawn in a future Autoconf release.
 +# They can cause serious problems if a builder's source tree is in a directory
 +# whose full name contains unusual characters.
 +ac_config_guess="$SHELL $ac_aux_dir/config.guess"  # Please don't use this var.
 +ac_config_sub="$SHELL $ac_aux_dir/config.sub"  # Please don't use this var.
 +ac_configure="$SHELL $ac_aux_dir/configure"  # Please don't use this var.
 +
 +
 +# Make sure we can run config.sub.
 +$SHELL "$ac_aux_dir/config.sub" sun4 >/dev/null 2>&1 ||
 +  as_fn_error $? "cannot run $SHELL $ac_aux_dir/config.sub" "$LINENO" 5
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking build system type" >&5
 +$as_echo_n "checking build system type... " >&6; }
 +if ${ac_cv_build+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_build_alias=$build_alias
 +test "x$ac_build_alias" = x &&
 +  ac_build_alias=`$SHELL "$ac_aux_dir/config.guess"`
 +test "x$ac_build_alias" = x &&
 +  as_fn_error $? "cannot guess build type; you must specify one" "$LINENO" 5
 +ac_cv_build=`$SHELL "$ac_aux_dir/config.sub" $ac_build_alias` ||
 +  as_fn_error $? "$SHELL $ac_aux_dir/config.sub $ac_build_alias failed" "$LINENO" 5
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_build" >&5
 +$as_echo "$ac_cv_build" >&6; }
 +case $ac_cv_build in
 +*-*-*) ;;
 +*) as_fn_error $? "invalid value of canonical build" "$LINENO" 5;;
 +esac
 +build=$ac_cv_build
 +ac_save_IFS=$IFS; IFS='-'
 +set x $ac_cv_build
 +shift
 +build_cpu=$1
 +build_vendor=$2
 +shift; shift
 +# Remember, the first character of IFS is used to create $*,
 +# except with old shells:
 +build_os=$*
 +IFS=$ac_save_IFS
 +case $build_os in *\ *) build_os=`echo "$build_os" | sed 's/ /-/g'`;; esac
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking host system type" >&5
 +$as_echo_n "checking host system type... " >&6; }
 +if ${ac_cv_host+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test "x$host_alias" = x; then
 +  ac_cv_host=$ac_cv_build
 +else
 +  ac_cv_host=`$SHELL "$ac_aux_dir/config.sub" $host_alias` ||
 +    as_fn_error $? "$SHELL $ac_aux_dir/config.sub $host_alias failed" "$LINENO" 5
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_host" >&5
 +$as_echo "$ac_cv_host" >&6; }
 +case $ac_cv_host in
 +*-*-*) ;;
 +*) as_fn_error $? "invalid value of canonical host" "$LINENO" 5;;
 +esac
 +host=$ac_cv_host
 +ac_save_IFS=$IFS; IFS='-'
 +set x $ac_cv_host
 +shift
 +host_cpu=$1
 +host_vendor=$2
 +shift; shift
 +# Remember, the first character of IFS is used to create $*,
 +# except with old shells:
 +host_os=$*
 +IFS=$ac_save_IFS
 +case $host_os in *\ *) host_os=`echo "$host_os" | sed 's/ /-/g'`;; esac
 +
 +
 +
 +# skip these tests, we do not need them.
 +
 +
 +
 +
 +
 +
 +
 +
 +# always use ./libtool unless override from commandline (libtool=mylibtool)
 +if test -z "$libtool"; then
 +      libtool="./libtool"
 +fi
 +
 +# avoid libtool max commandline length test on systems that fork slowly.
 +
 +if echo "$host_os" | grep "sunos4" >/dev/null; then
 +      lt_cv_sys_max_cmd_len=32750;
 +fi
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}ar", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}ar; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_path_AR+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $AR in
 +  [\\/]* | ?:[\\/]*)
 +  ac_cv_path_AR="$AR" # Let the user override the test with a path.
 +  ;;
 +  *)
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_path_AR="$as_dir/$ac_word$ac_exec_ext"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  ;;
 +esac
 +fi
 +AR=$ac_cv_path_AR
 +if test -n "$AR"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $AR" >&5
 +$as_echo "$AR" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_path_AR"; then
 +  ac_pt_AR=$AR
 +  # Extract the first word of "ar", so it can be a program name with args.
 +set dummy ar; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_path_ac_pt_AR+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $ac_pt_AR in
 +  [\\/]* | ?:[\\/]*)
 +  ac_cv_path_ac_pt_AR="$ac_pt_AR" # Let the user override the test with a path.
 +  ;;
 +  *)
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_path_ac_pt_AR="$as_dir/$ac_word$ac_exec_ext"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  ;;
 +esac
 +fi
 +ac_pt_AR=$ac_cv_path_ac_pt_AR
 +if test -n "$ac_pt_AR"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_pt_AR" >&5
 +$as_echo "$ac_pt_AR" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_pt_AR" = x; then
 +    AR="false"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    AR=$ac_pt_AR
 +  fi
 +else
 +  AR="$ac_cv_path_AR"
 +fi
 +
 +if test $AR = false; then
 +      as_fn_error $? "Cannot find 'ar', please extend PATH to include it" "$LINENO" 5
 +fi
 +
 +case `pwd` in
 +  *\ * | *\   *)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: Libtool does not cope well with whitespace in \`pwd\`" >&5
 +$as_echo "$as_me: WARNING: Libtool does not cope well with whitespace in \`pwd\`" >&2;} ;;
 +esac
 +
 +
 +
 +macro_version='2.4.2'
 +macro_revision='1.3337'
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +ltmain="$ac_aux_dir/ltmain.sh"
 +
 +# Backslashify metacharacters that are still active within
 +# double-quoted strings.
 +sed_quote_subst='s/\(["`$\\]\)/\\\1/g'
 +
 +# Same as above, but do not quote variable references.
 +double_quote_subst='s/\(["`\\]\)/\\\1/g'
 +
 +# Sed substitution to delay expansion of an escaped shell variable in a
 +# double_quote_subst'ed string.
 +delay_variable_subst='s/\\\\\\\\\\\$/\\\\\\$/g'
 +
 +# Sed substitution to delay expansion of an escaped single quote.
 +delay_single_quote_subst='s/'\''/'\'\\\\\\\'\''/g'
 +
 +# Sed substitution to avoid accidental globbing in evaled expressions
 +no_glob_subst='s/\*/\\\*/g'
 +
 +ECHO='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'
 +ECHO=$ECHO$ECHO$ECHO$ECHO$ECHO
 +ECHO=$ECHO$ECHO$ECHO$ECHO$ECHO$ECHO
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to print strings" >&5
 +$as_echo_n "checking how to print strings... " >&6; }
 +# Test print first, because it will be a builtin if present.
 +if test "X`( print -r -- -n ) 2>/dev/null`" = X-n && \
 +   test "X`print -r -- $ECHO 2>/dev/null`" = "X$ECHO"; then
 +  ECHO='print -r --'
 +elif test "X`printf %s $ECHO 2>/dev/null`" = "X$ECHO"; then
 +  ECHO='printf %s\n'
 +else
 +  # Use this function as a fallback that always works.
 +  func_fallback_echo ()
 +  {
 +    eval 'cat <<_LTECHO_EOF
 +$1
 +_LTECHO_EOF'
 +  }
 +  ECHO='func_fallback_echo'
 +fi
 +
 +# func_echo_all arg...
 +# Invoke $ECHO with all args, space-separated.
 +func_echo_all ()
 +{
 +    $ECHO ""
 +}
 +
 +case "$ECHO" in
 +  printf*) { $as_echo "$as_me:${as_lineno-$LINENO}: result: printf" >&5
 +$as_echo "printf" >&6; } ;;
 +  print*) { $as_echo "$as_me:${as_lineno-$LINENO}: result: print -r" >&5
 +$as_echo "print -r" >&6; } ;;
 +  *) { $as_echo "$as_me:${as_lineno-$LINENO}: result: cat" >&5
 +$as_echo "cat" >&6; } ;;
 +esac
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for a sed that does not truncate output" >&5
 +$as_echo_n "checking for a sed that does not truncate output... " >&6; }
 +if ${ac_cv_path_SED+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +            ac_script=s/aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa/bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb/
 +     for ac_i in 1 2 3 4 5 6 7; do
 +       ac_script="$ac_script$as_nl$ac_script"
 +     done
 +     echo "$ac_script" 2>/dev/null | sed 99q >conftest.sed
 +     { ac_script=; unset ac_script;}
 +     if test -z "$SED"; then
 +  ac_path_SED_found=false
 +  # Loop through the user's path and test for each of PROGNAME-LIST
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_prog in sed gsed; do
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +      ac_path_SED="$as_dir/$ac_prog$ac_exec_ext"
 +      as_fn_executable_p "$ac_path_SED" || continue
 +# Check for GNU ac_path_SED and select it if it is found.
 +  # Check for GNU $ac_path_SED
 +case `"$ac_path_SED" --version 2>&1` in
 +*GNU*)
 +  ac_cv_path_SED="$ac_path_SED" ac_path_SED_found=:;;
 +*)
 +  ac_count=0
 +  $as_echo_n 0123456789 >"conftest.in"
 +  while :
 +  do
 +    cat "conftest.in" "conftest.in" >"conftest.tmp"
 +    mv "conftest.tmp" "conftest.in"
 +    cp "conftest.in" "conftest.nl"
 +    $as_echo '' >> "conftest.nl"
 +    "$ac_path_SED" -f conftest.sed < "conftest.nl" >"conftest.out" 2>/dev/null || break
 +    diff "conftest.out" "conftest.nl" >/dev/null 2>&1 || break
 +    as_fn_arith $ac_count + 1 && ac_count=$as_val
 +    if test $ac_count -gt ${ac_path_SED_max-0}; then
 +      # Best one so far, save it but keep looking for a better one
 +      ac_cv_path_SED="$ac_path_SED"
 +      ac_path_SED_max=$ac_count
 +    fi
 +    # 10*(2^10) chars as input seems more than enough
 +    test $ac_count -gt 10 && break
 +  done
 +  rm -f conftest.in conftest.tmp conftest.nl conftest.out;;
 +esac
 +
 +      $ac_path_SED_found && break 3
 +    done
 +  done
 +  done
 +IFS=$as_save_IFS
 +  if test -z "$ac_cv_path_SED"; then
 +    as_fn_error $? "no acceptable sed could be found in \$PATH" "$LINENO" 5
 +  fi
 +else
 +  ac_cv_path_SED=$SED
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_path_SED" >&5
 +$as_echo "$ac_cv_path_SED" >&6; }
 + SED="$ac_cv_path_SED"
 +  rm -f conftest.sed
 +
 +test -z "$SED" && SED=sed
 +Xsed="$SED -e 1s/^X//"
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for fgrep" >&5
 +$as_echo_n "checking for fgrep... " >&6; }
 +if ${ac_cv_path_FGREP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if echo 'ab*c' | $GREP -F 'ab*c' >/dev/null 2>&1
 +   then ac_cv_path_FGREP="$GREP -F"
 +   else
 +     if test -z "$FGREP"; then
 +  ac_path_FGREP_found=false
 +  # Loop through the user's path and test for each of PROGNAME-LIST
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH$PATH_SEPARATOR/usr/xpg4/bin
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_prog in fgrep; do
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +      ac_path_FGREP="$as_dir/$ac_prog$ac_exec_ext"
 +      as_fn_executable_p "$ac_path_FGREP" || continue
 +# Check for GNU ac_path_FGREP and select it if it is found.
 +  # Check for GNU $ac_path_FGREP
 +case `"$ac_path_FGREP" --version 2>&1` in
 +*GNU*)
 +  ac_cv_path_FGREP="$ac_path_FGREP" ac_path_FGREP_found=:;;
 +*)
 +  ac_count=0
 +  $as_echo_n 0123456789 >"conftest.in"
 +  while :
 +  do
 +    cat "conftest.in" "conftest.in" >"conftest.tmp"
 +    mv "conftest.tmp" "conftest.in"
 +    cp "conftest.in" "conftest.nl"
 +    $as_echo 'FGREP' >> "conftest.nl"
 +    "$ac_path_FGREP" FGREP < "conftest.nl" >"conftest.out" 2>/dev/null || break
 +    diff "conftest.out" "conftest.nl" >/dev/null 2>&1 || break
 +    as_fn_arith $ac_count + 1 && ac_count=$as_val
 +    if test $ac_count -gt ${ac_path_FGREP_max-0}; then
 +      # Best one so far, save it but keep looking for a better one
 +      ac_cv_path_FGREP="$ac_path_FGREP"
 +      ac_path_FGREP_max=$ac_count
 +    fi
 +    # 10*(2^10) chars as input seems more than enough
 +    test $ac_count -gt 10 && break
 +  done
 +  rm -f conftest.in conftest.tmp conftest.nl conftest.out;;
 +esac
 +
 +      $ac_path_FGREP_found && break 3
 +    done
 +  done
 +  done
 +IFS=$as_save_IFS
 +  if test -z "$ac_cv_path_FGREP"; then
 +    as_fn_error $? "no acceptable fgrep could be found in $PATH$PATH_SEPARATOR/usr/xpg4/bin" "$LINENO" 5
 +  fi
 +else
 +  ac_cv_path_FGREP=$FGREP
 +fi
 +
 +   fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_path_FGREP" >&5
 +$as_echo "$ac_cv_path_FGREP" >&6; }
 + FGREP="$ac_cv_path_FGREP"
 +
 +
 +test -z "$GREP" && GREP=grep
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +# Check whether --with-gnu-ld was given.
 +if test "${with_gnu_ld+set}" = set; then :
 +  withval=$with_gnu_ld; test "$withval" = no || with_gnu_ld=yes
 +else
 +  with_gnu_ld=no
 +fi
 +
 +ac_prog=ld
 +if test "$GCC" = yes; then
 +  # Check if gcc -print-prog-name=ld gives a path.
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for ld used by $CC" >&5
 +$as_echo_n "checking for ld used by $CC... " >&6; }
 +  case $host in
 +  *-*-mingw*)
 +    # gcc leaves a trailing carriage return which upsets mingw
 +    ac_prog=`($CC -print-prog-name=ld) 2>&5 | tr -d '\015'` ;;
 +  *)
 +    ac_prog=`($CC -print-prog-name=ld) 2>&5` ;;
 +  esac
 +  case $ac_prog in
 +    # Accept absolute paths.
 +    [\\/]* | ?:[\\/]*)
 +      re_direlt='/[^/][^/]*/\.\./'
 +      # Canonicalize the pathname of ld
 +      ac_prog=`$ECHO "$ac_prog"| $SED 's%\\\\%/%g'`
 +      while $ECHO "$ac_prog" | $GREP "$re_direlt" > /dev/null 2>&1; do
 +      ac_prog=`$ECHO $ac_prog| $SED "s%$re_direlt%/%"`
 +      done
 +      test -z "$LD" && LD="$ac_prog"
 +      ;;
 +  "")
 +    # If it fails, then pretend we aren't using GCC.
 +    ac_prog=ld
 +    ;;
 +  *)
 +    # If it is relative, then search for the first ld in PATH.
 +    with_gnu_ld=unknown
 +    ;;
 +  esac
 +elif test "$with_gnu_ld" = yes; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for GNU ld" >&5
 +$as_echo_n "checking for GNU ld... " >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for non-GNU ld" >&5
 +$as_echo_n "checking for non-GNU ld... " >&6; }
 +fi
 +if ${lt_cv_path_LD+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -z "$LD"; then
 +  lt_save_ifs="$IFS"; IFS=$PATH_SEPARATOR
 +  for ac_dir in $PATH; do
 +    IFS="$lt_save_ifs"
 +    test -z "$ac_dir" && ac_dir=.
 +    if test -f "$ac_dir/$ac_prog" || test -f "$ac_dir/$ac_prog$ac_exeext"; then
 +      lt_cv_path_LD="$ac_dir/$ac_prog"
 +      # Check to see if the program is GNU ld.  I'd rather use --version,
 +      # but apparently some variants of GNU ld only accept -v.
 +      # Break only if it was the GNU/non-GNU ld that we prefer.
 +      case `"$lt_cv_path_LD" -v 2>&1 </dev/null` in
 +      *GNU* | *'with BFD'*)
 +      test "$with_gnu_ld" != no && break
 +      ;;
 +      *)
 +      test "$with_gnu_ld" != yes && break
 +      ;;
 +      esac
 +    fi
 +  done
 +  IFS="$lt_save_ifs"
 +else
 +  lt_cv_path_LD="$LD" # Let the user override the test with a path.
 +fi
 +fi
 +
 +LD="$lt_cv_path_LD"
 +if test -n "$LD"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $LD" >&5
 +$as_echo "$LD" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +test -z "$LD" && as_fn_error $? "no acceptable ld found in \$PATH" "$LINENO" 5
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if the linker ($LD) is GNU ld" >&5
 +$as_echo_n "checking if the linker ($LD) is GNU ld... " >&6; }
 +if ${lt_cv_prog_gnu_ld+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  # I'd rather use --version here, but apparently some GNU lds only accept -v.
 +case `$LD -v 2>&1 </dev/null` in
 +*GNU* | *'with BFD'*)
 +  lt_cv_prog_gnu_ld=yes
 +  ;;
 +*)
 +  lt_cv_prog_gnu_ld=no
 +  ;;
 +esac
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_gnu_ld" >&5
 +$as_echo "$lt_cv_prog_gnu_ld" >&6; }
 +with_gnu_ld=$lt_cv_prog_gnu_ld
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for BSD- or MS-compatible name lister (nm)" >&5
 +$as_echo_n "checking for BSD- or MS-compatible name lister (nm)... " >&6; }
 +if ${lt_cv_path_NM+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$NM"; then
 +  # Let the user override the test.
 +  lt_cv_path_NM="$NM"
 +else
 +  lt_nm_to_check="${ac_tool_prefix}nm"
 +  if test -n "$ac_tool_prefix" && test "$build" = "$host"; then
 +    lt_nm_to_check="$lt_nm_to_check nm"
 +  fi
 +  for lt_tmp_nm in $lt_nm_to_check; do
 +    lt_save_ifs="$IFS"; IFS=$PATH_SEPARATOR
 +    for ac_dir in $PATH /usr/ccs/bin/elf /usr/ccs/bin /usr/ucb /bin; do
 +      IFS="$lt_save_ifs"
 +      test -z "$ac_dir" && ac_dir=.
 +      tmp_nm="$ac_dir/$lt_tmp_nm"
 +      if test -f "$tmp_nm" || test -f "$tmp_nm$ac_exeext" ; then
 +      # Check to see if the nm accepts a BSD-compat flag.
 +      # Adding the `sed 1q' prevents false positives on HP-UX, which says:
 +      #   nm: unknown option "B" ignored
 +      # Tru64's nm complains that /dev/null is an invalid object file
 +      case `"$tmp_nm" -B /dev/null 2>&1 | sed '1q'` in
 +      */dev/null* | *'Invalid file or object type'*)
 +        lt_cv_path_NM="$tmp_nm -B"
 +        break
 +        ;;
 +      *)
 +        case `"$tmp_nm" -p /dev/null 2>&1 | sed '1q'` in
 +        */dev/null*)
 +          lt_cv_path_NM="$tmp_nm -p"
 +          break
 +          ;;
 +        *)
 +          lt_cv_path_NM=${lt_cv_path_NM="$tmp_nm"} # keep the first match, but
 +          continue # so that we can try to find one that supports BSD flags
 +          ;;
 +        esac
 +        ;;
 +      esac
 +      fi
 +    done
 +    IFS="$lt_save_ifs"
 +  done
 +  : ${lt_cv_path_NM=no}
 +fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_path_NM" >&5
 +$as_echo "$lt_cv_path_NM" >&6; }
 +if test "$lt_cv_path_NM" != "no"; then
 +  NM="$lt_cv_path_NM"
 +else
 +  # Didn't find any BSD compatible name lister, look for dumpbin.
 +  if test -n "$DUMPBIN"; then :
 +    # Let the user override the test.
 +  else
 +    if test -n "$ac_tool_prefix"; then
 +  for ac_prog in dumpbin "link -dump"
 +  do
 +    # Extract the first word of "$ac_tool_prefix$ac_prog", so it can be a program name with args.
 +set dummy $ac_tool_prefix$ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_DUMPBIN+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$DUMPBIN"; then
 +  ac_cv_prog_DUMPBIN="$DUMPBIN" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_DUMPBIN="$ac_tool_prefix$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +DUMPBIN=$ac_cv_prog_DUMPBIN
 +if test -n "$DUMPBIN"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $DUMPBIN" >&5
 +$as_echo "$DUMPBIN" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +    test -n "$DUMPBIN" && break
 +  done
 +fi
 +if test -z "$DUMPBIN"; then
 +  ac_ct_DUMPBIN=$DUMPBIN
 +  for ac_prog in dumpbin "link -dump"
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_DUMPBIN+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_DUMPBIN"; then
 +  ac_cv_prog_ac_ct_DUMPBIN="$ac_ct_DUMPBIN" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_DUMPBIN="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_DUMPBIN=$ac_cv_prog_ac_ct_DUMPBIN
 +if test -n "$ac_ct_DUMPBIN"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_DUMPBIN" >&5
 +$as_echo "$ac_ct_DUMPBIN" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$ac_ct_DUMPBIN" && break
 +done
 +
 +  if test "x$ac_ct_DUMPBIN" = x; then
 +    DUMPBIN=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    DUMPBIN=$ac_ct_DUMPBIN
 +  fi
 +fi
 +
 +    case `$DUMPBIN -symbols /dev/null 2>&1 | sed '1q'` in
 +    *COFF*)
 +      DUMPBIN="$DUMPBIN -symbols"
 +      ;;
 +    *)
 +      DUMPBIN=:
 +      ;;
 +    esac
 +  fi
 +
 +  if test "$DUMPBIN" != ":"; then
 +    NM="$DUMPBIN"
 +  fi
 +fi
 +test -z "$NM" && NM=nm
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking the name lister ($NM) interface" >&5
 +$as_echo_n "checking the name lister ($NM) interface... " >&6; }
 +if ${lt_cv_nm_interface+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_nm_interface="BSD nm"
 +  echo "int some_variable = 0;" > conftest.$ac_ext
 +  (eval echo "\"\$as_me:$LINENO: $ac_compile\"" >&5)
 +  (eval "$ac_compile" 2>conftest.err)
 +  cat conftest.err >&5
 +  (eval echo "\"\$as_me:$LINENO: $NM \\\"conftest.$ac_objext\\\"\"" >&5)
 +  (eval "$NM \"conftest.$ac_objext\"" 2>conftest.err > conftest.out)
 +  cat conftest.err >&5
 +  (eval echo "\"\$as_me:$LINENO: output\"" >&5)
 +  cat conftest.out >&5
 +  if $GREP 'External.*some_variable' conftest.out > /dev/null; then
 +    lt_cv_nm_interface="MS dumpbin"
 +  fi
 +  rm -f conftest*
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_nm_interface" >&5
 +$as_echo "$lt_cv_nm_interface" >&6; }
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether ln -s works" >&5
 +$as_echo_n "checking whether ln -s works... " >&6; }
 +LN_S=$as_ln_s
 +if test "$LN_S" = "ln -s"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no, using $LN_S" >&5
 +$as_echo "no, using $LN_S" >&6; }
 +fi
 +
 +# find the maximum length of command line arguments
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking the maximum length of command line arguments" >&5
 +$as_echo_n "checking the maximum length of command line arguments... " >&6; }
 +if ${lt_cv_sys_max_cmd_len+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +    i=0
 +  teststring="ABCD"
 +
 +  case $build_os in
 +  msdosdjgpp*)
 +    # On DJGPP, this test can blow up pretty badly due to problems in libc
 +    # (any single argument exceeding 2000 bytes causes a buffer overrun
 +    # during glob expansion).  Even if it were fixed, the result of this
 +    # check would be larger than it should be.
 +    lt_cv_sys_max_cmd_len=12288;    # 12K is about right
 +    ;;
 +
 +  gnu*)
 +    # Under GNU Hurd, this test is not required because there is
 +    # no limit to the length of command line arguments.
 +    # Libtool will interpret -1 as no limit whatsoever
 +    lt_cv_sys_max_cmd_len=-1;
 +    ;;
 +
 +  cygwin* | mingw* | cegcc*)
 +    # On Win9x/ME, this test blows up -- it succeeds, but takes
 +    # about 5 minutes as the teststring grows exponentially.
 +    # Worse, since 9x/ME are not pre-emptively multitasking,
 +    # you end up with a "frozen" computer, even though with patience
 +    # the test eventually succeeds (with a max line length of 256k).
 +    # Instead, let's just punt: use the minimum linelength reported by
 +    # all of the supported platforms: 8192 (on NT/2K/XP).
 +    lt_cv_sys_max_cmd_len=8192;
 +    ;;
 +
 +  mint*)
 +    # On MiNT this can take a long time and run out of memory.
 +    lt_cv_sys_max_cmd_len=8192;
 +    ;;
 +
 +  amigaos*)
 +    # On AmigaOS with pdksh, this test takes hours, literally.
 +    # So we just punt and use a minimum line length of 8192.
 +    lt_cv_sys_max_cmd_len=8192;
 +    ;;
 +
 +  netbsd* | freebsd* | openbsd* | darwin* | dragonfly*)
 +    # This has been around since 386BSD, at least.  Likely further.
 +    if test -x /sbin/sysctl; then
 +      lt_cv_sys_max_cmd_len=`/sbin/sysctl -n kern.argmax`
 +    elif test -x /usr/sbin/sysctl; then
 +      lt_cv_sys_max_cmd_len=`/usr/sbin/sysctl -n kern.argmax`
 +    else
 +      lt_cv_sys_max_cmd_len=65536     # usable default for all BSDs
 +    fi
 +    # And add a safety zone
 +    lt_cv_sys_max_cmd_len=`expr $lt_cv_sys_max_cmd_len \/ 4`
 +    lt_cv_sys_max_cmd_len=`expr $lt_cv_sys_max_cmd_len \* 3`
 +    ;;
 +
 +  interix*)
 +    # We know the value 262144 and hardcode it with a safety zone (like BSD)
 +    lt_cv_sys_max_cmd_len=196608
 +    ;;
 +
 +  os2*)
 +    # The test takes a long time on OS/2.
 +    lt_cv_sys_max_cmd_len=8192
 +    ;;
 +
 +  osf*)
 +    # Dr. Hans Ekkehard Plesser reports seeing a kernel panic running configure
 +    # due to this test when exec_disable_arg_limit is 1 on Tru64. It is not
 +    # nice to cause kernel panics so lets avoid the loop below.
 +    # First set a reasonable default.
 +    lt_cv_sys_max_cmd_len=16384
 +    #
 +    if test -x /sbin/sysconfig; then
 +      case `/sbin/sysconfig -q proc exec_disable_arg_limit` in
 +        *1*) lt_cv_sys_max_cmd_len=-1 ;;
 +      esac
 +    fi
 +    ;;
 +  sco3.2v5*)
 +    lt_cv_sys_max_cmd_len=102400
 +    ;;
 +  sysv5* | sco5v6* | sysv4.2uw2*)
 +    kargmax=`grep ARG_MAX /etc/conf/cf.d/stune 2>/dev/null`
 +    if test -n "$kargmax"; then
 +      lt_cv_sys_max_cmd_len=`echo $kargmax | sed 's/.*[        ]//'`
 +    else
 +      lt_cv_sys_max_cmd_len=32768
 +    fi
 +    ;;
 +  *)
 +    lt_cv_sys_max_cmd_len=`(getconf ARG_MAX) 2> /dev/null`
 +    if test -n "$lt_cv_sys_max_cmd_len"; then
 +      lt_cv_sys_max_cmd_len=`expr $lt_cv_sys_max_cmd_len \/ 4`
 +      lt_cv_sys_max_cmd_len=`expr $lt_cv_sys_max_cmd_len \* 3`
 +    else
 +      # Make teststring a little bigger before we do anything with it.
 +      # a 1K string should be a reasonable start.
 +      for i in 1 2 3 4 5 6 7 8 ; do
 +        teststring=$teststring$teststring
 +      done
 +      SHELL=${SHELL-${CONFIG_SHELL-/bin/sh}}
 +      # If test is not a shell built-in, we'll probably end up computing a
 +      # maximum length that is only half of the actual maximum length, but
 +      # we can't tell.
 +      while { test "X"`env echo "$teststring$teststring" 2>/dev/null` \
 +               = "X$teststring$teststring"; } >/dev/null 2>&1 &&
 +            test $i != 17 # 1/2 MB should be enough
 +      do
 +        i=`expr $i + 1`
 +        teststring=$teststring$teststring
 +      done
 +      # Only check the string length outside the loop.
 +      lt_cv_sys_max_cmd_len=`expr "X$teststring" : ".*" 2>&1`
 +      teststring=
 +      # Add a significant safety factor because C++ compilers can tack on
 +      # massive amounts of additional arguments before passing them to the
 +      # linker.  It appears as though 1/2 is a usable value.
 +      lt_cv_sys_max_cmd_len=`expr $lt_cv_sys_max_cmd_len \/ 2`
 +    fi
 +    ;;
 +  esac
 +
 +fi
 +
 +if test -n $lt_cv_sys_max_cmd_len ; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_sys_max_cmd_len" >&5
 +$as_echo "$lt_cv_sys_max_cmd_len" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: none" >&5
 +$as_echo "none" >&6; }
 +fi
 +max_cmd_len=$lt_cv_sys_max_cmd_len
 +
 +
 +
 +
 +
 +
 +: ${CP="cp -f"}
 +: ${MV="mv -f"}
 +: ${RM="rm -f"}
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the shell understands some XSI constructs" >&5
 +$as_echo_n "checking whether the shell understands some XSI constructs... " >&6; }
 +# Try some XSI features
 +xsi_shell=no
 +( _lt_dummy="a/b/c"
 +  test "${_lt_dummy##*/},${_lt_dummy%/*},${_lt_dummy#??}"${_lt_dummy%"$_lt_dummy"}, \
 +      = c,a/b,b/c, \
 +    && eval 'test $(( 1 + 1 )) -eq 2 \
 +    && test "${#_lt_dummy}" -eq 5' ) >/dev/null 2>&1 \
 +  && xsi_shell=yes
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $xsi_shell" >&5
 +$as_echo "$xsi_shell" >&6; }
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the shell understands \"+=\"" >&5
 +$as_echo_n "checking whether the shell understands \"+=\"... " >&6; }
 +lt_shell_append=no
 +( foo=bar; set foo baz; eval "$1+=\$2" && test "$foo" = barbaz ) \
 +    >/dev/null 2>&1 \
 +  && lt_shell_append=yes
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_shell_append" >&5
 +$as_echo "$lt_shell_append" >&6; }
 +
 +
 +if ( (MAIL=60; unset MAIL) || exit) >/dev/null 2>&1; then
 +  lt_unset=unset
 +else
 +  lt_unset=false
 +fi
 +
 +
 +
 +
 +
 +# test EBCDIC or ASCII
 +case `echo X|tr X '\101'` in
 + A) # ASCII based system
 +    # \n is not interpreted correctly by Solaris 8 /usr/ucb/tr
 +  lt_SP2NL='tr \040 \012'
 +  lt_NL2SP='tr \015\012 \040\040'
 +  ;;
 + *) # EBCDIC based system
 +  lt_SP2NL='tr \100 \n'
 +  lt_NL2SP='tr \r\n \100\100'
 +  ;;
 +esac
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to convert $build file names to $host format" >&5
 +$as_echo_n "checking how to convert $build file names to $host format... " >&6; }
 +if ${lt_cv_to_host_file_cmd+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $host in
 +  *-*-mingw* )
 +    case $build in
 +      *-*-mingw* ) # actually msys
 +        lt_cv_to_host_file_cmd=func_convert_file_msys_to_w32
 +        ;;
 +      *-*-cygwin* )
 +        lt_cv_to_host_file_cmd=func_convert_file_cygwin_to_w32
 +        ;;
 +      * ) # otherwise, assume *nix
 +        lt_cv_to_host_file_cmd=func_convert_file_nix_to_w32
 +        ;;
 +    esac
 +    ;;
 +  *-*-cygwin* )
 +    case $build in
 +      *-*-mingw* ) # actually msys
 +        lt_cv_to_host_file_cmd=func_convert_file_msys_to_cygwin
 +        ;;
 +      *-*-cygwin* )
 +        lt_cv_to_host_file_cmd=func_convert_file_noop
 +        ;;
 +      * ) # otherwise, assume *nix
 +        lt_cv_to_host_file_cmd=func_convert_file_nix_to_cygwin
 +        ;;
 +    esac
 +    ;;
 +  * ) # unhandled hosts (and "normal" native builds)
 +    lt_cv_to_host_file_cmd=func_convert_file_noop
 +    ;;
 +esac
 +
 +fi
 +
 +to_host_file_cmd=$lt_cv_to_host_file_cmd
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_to_host_file_cmd" >&5
 +$as_echo "$lt_cv_to_host_file_cmd" >&6; }
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to convert $build file names to toolchain format" >&5
 +$as_echo_n "checking how to convert $build file names to toolchain format... " >&6; }
 +if ${lt_cv_to_tool_file_cmd+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  #assume ordinary cross tools, or native build.
 +lt_cv_to_tool_file_cmd=func_convert_file_noop
 +case $host in
 +  *-*-mingw* )
 +    case $build in
 +      *-*-mingw* ) # actually msys
 +        lt_cv_to_tool_file_cmd=func_convert_file_msys_to_w32
 +        ;;
 +    esac
 +    ;;
 +esac
 +
 +fi
 +
 +to_tool_file_cmd=$lt_cv_to_tool_file_cmd
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_to_tool_file_cmd" >&5
 +$as_echo "$lt_cv_to_tool_file_cmd" >&6; }
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $LD option to reload object files" >&5
 +$as_echo_n "checking for $LD option to reload object files... " >&6; }
 +if ${lt_cv_ld_reload_flag+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_ld_reload_flag='-r'
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_ld_reload_flag" >&5
 +$as_echo "$lt_cv_ld_reload_flag" >&6; }
 +reload_flag=$lt_cv_ld_reload_flag
 +case $reload_flag in
 +"" | " "*) ;;
 +*) reload_flag=" $reload_flag" ;;
 +esac
 +reload_cmds='$LD$reload_flag -o $output$reload_objs'
 +case $host_os in
 +  cygwin* | mingw* | pw32* | cegcc*)
 +    if test "$GCC" != yes; then
 +      reload_cmds=false
 +    fi
 +    ;;
 +  darwin*)
 +    if test "$GCC" = yes; then
 +      reload_cmds='$LTCC $LTCFLAGS -nostdlib ${wl}-r -o $output$reload_objs'
 +    else
 +      reload_cmds='$LD$reload_flag -o $output$reload_objs'
 +    fi
 +    ;;
 +esac
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}objdump", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}objdump; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_OBJDUMP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$OBJDUMP"; then
 +  ac_cv_prog_OBJDUMP="$OBJDUMP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_OBJDUMP="${ac_tool_prefix}objdump"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +OBJDUMP=$ac_cv_prog_OBJDUMP
 +if test -n "$OBJDUMP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $OBJDUMP" >&5
 +$as_echo "$OBJDUMP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_OBJDUMP"; then
 +  ac_ct_OBJDUMP=$OBJDUMP
 +  # Extract the first word of "objdump", so it can be a program name with args.
 +set dummy objdump; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_OBJDUMP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_OBJDUMP"; then
 +  ac_cv_prog_ac_ct_OBJDUMP="$ac_ct_OBJDUMP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_OBJDUMP="objdump"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_OBJDUMP=$ac_cv_prog_ac_ct_OBJDUMP
 +if test -n "$ac_ct_OBJDUMP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_OBJDUMP" >&5
 +$as_echo "$ac_ct_OBJDUMP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_OBJDUMP" = x; then
 +    OBJDUMP="false"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    OBJDUMP=$ac_ct_OBJDUMP
 +  fi
 +else
 +  OBJDUMP="$ac_cv_prog_OBJDUMP"
 +fi
 +
 +test -z "$OBJDUMP" && OBJDUMP=objdump
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to recognize dependent libraries" >&5
 +$as_echo_n "checking how to recognize dependent libraries... " >&6; }
 +if ${lt_cv_deplibs_check_method+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_file_magic_cmd='$MAGIC_CMD'
 +lt_cv_file_magic_test_file=
 +lt_cv_deplibs_check_method='unknown'
 +# Need to set the preceding variable on all platforms that support
 +# interlibrary dependencies.
 +# 'none' -- dependencies not supported.
 +# `unknown' -- same as none, but documents that we really don't know.
 +# 'pass_all' -- all dependencies passed with no checks.
 +# 'test_compile' -- check by making test program.
 +# 'file_magic [[regex]]' -- check by looking for files in library path
 +# which responds to the $file_magic_cmd with a given extended regex.
 +# If you have `file' or equivalent on your system and you're not sure
 +# whether `pass_all' will *always* work, you probably want this one.
 +
 +case $host_os in
 +aix[4-9]*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +beos*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +bsdi[45]*)
 +  lt_cv_deplibs_check_method='file_magic ELF [0-9][0-9]*-bit [ML]SB (shared object|dynamic lib)'
 +  lt_cv_file_magic_cmd='/usr/bin/file -L'
 +  lt_cv_file_magic_test_file=/shlib/libc.so
 +  ;;
 +
 +cygwin*)
 +  # func_win32_libid is a shell function defined in ltmain.sh
 +  lt_cv_deplibs_check_method='file_magic ^x86 archive import|^x86 DLL'
 +  lt_cv_file_magic_cmd='func_win32_libid'
 +  ;;
 +
 +mingw* | pw32*)
 +  # Base MSYS/MinGW do not provide the 'file' command needed by
 +  # func_win32_libid shell function, so use a weaker test based on 'objdump',
 +  # unless we find 'file', for example because we are cross-compiling.
 +  # func_win32_libid assumes BSD nm, so disallow it if using MS dumpbin.
 +  if ( test "$lt_cv_nm_interface" = "BSD nm" && file / ) >/dev/null 2>&1; then
 +    lt_cv_deplibs_check_method='file_magic ^x86 archive import|^x86 DLL'
 +    lt_cv_file_magic_cmd='func_win32_libid'
 +  else
 +    # Keep this pattern in sync with the one in func_win32_libid.
 +    lt_cv_deplibs_check_method='file_magic file format (pei*-i386(.*architecture: i386)?|pe-arm-wince|pe-x86-64)'
 +    lt_cv_file_magic_cmd='$OBJDUMP -f'
 +  fi
 +  ;;
 +
 +cegcc*)
 +  # use the weaker test based on 'objdump'. See mingw*.
 +  lt_cv_deplibs_check_method='file_magic file format pe-arm-.*little(.*architecture: arm)?'
 +  lt_cv_file_magic_cmd='$OBJDUMP -f'
 +  ;;
 +
 +darwin* | rhapsody*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +freebsd* | dragonfly*)
 +  if echo __ELF__ | $CC -E - | $GREP __ELF__ > /dev/null; then
 +    case $host_cpu in
 +    i*86 )
 +      # Not sure whether the presence of OpenBSD here was a mistake.
 +      # Let's accept both of them until this is cleared up.
 +      lt_cv_deplibs_check_method='file_magic (FreeBSD|OpenBSD|DragonFly)/i[3-9]86 (compact )?demand paged shared library'
 +      lt_cv_file_magic_cmd=/usr/bin/file
 +      lt_cv_file_magic_test_file=`echo /usr/lib/libc.so.*`
 +      ;;
 +    esac
 +  else
 +    lt_cv_deplibs_check_method=pass_all
 +  fi
 +  ;;
 +
 +gnu*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +haiku*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +hpux10.20* | hpux11*)
 +  lt_cv_file_magic_cmd=/usr/bin/file
 +  case $host_cpu in
 +  ia64*)
 +    lt_cv_deplibs_check_method='file_magic (s[0-9][0-9][0-9]|ELF-[0-9][0-9]) shared object file - IA64'
 +    lt_cv_file_magic_test_file=/usr/lib/hpux32/libc.so
 +    ;;
 +  hppa*64*)
 +    lt_cv_deplibs_check_method='file_magic (s[0-9][0-9][0-9]|ELF[ -][0-9][0-9])(-bit)?( [LM]SB)? shared object( file)?[, -]* PA-RISC [0-9]\.[0-9]'
 +    lt_cv_file_magic_test_file=/usr/lib/pa20_64/libc.sl
 +    ;;
 +  *)
 +    lt_cv_deplibs_check_method='file_magic (s[0-9][0-9][0-9]|PA-RISC[0-9]\.[0-9]) shared library'
 +    lt_cv_file_magic_test_file=/usr/lib/libc.sl
 +    ;;
 +  esac
 +  ;;
 +
 +interix[3-9]*)
 +  # PIC code is broken on Interix 3.x, that's why |\.a not |_pic\.a here
 +  lt_cv_deplibs_check_method='match_pattern /lib[^/]+(\.so|\.a)$'
 +  ;;
 +
 +irix5* | irix6* | nonstopux*)
 +  case $LD in
 +  *-32|*"-32 ") libmagic=32-bit;;
 +  *-n32|*"-n32 ") libmagic=N32;;
 +  *-64|*"-64 ") libmagic=64-bit;;
 +  *) libmagic=never-match;;
 +  esac
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +# This must be glibc/ELF.
 +linux* | k*bsd*-gnu | kopensolaris*-gnu)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +netbsd*)
 +  if echo __ELF__ | $CC -E - | $GREP __ELF__ > /dev/null; then
 +    lt_cv_deplibs_check_method='match_pattern /lib[^/]+(\.so\.[0-9]+\.[0-9]+|_pic\.a)$'
 +  else
 +    lt_cv_deplibs_check_method='match_pattern /lib[^/]+(\.so|_pic\.a)$'
 +  fi
 +  ;;
 +
 +newos6*)
 +  lt_cv_deplibs_check_method='file_magic ELF [0-9][0-9]*-bit [ML]SB (executable|dynamic lib)'
 +  lt_cv_file_magic_cmd=/usr/bin/file
 +  lt_cv_file_magic_test_file=/usr/lib/libnls.so
 +  ;;
 +
 +*nto* | *qnx*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +openbsd*)
 +  if test -z "`echo __ELF__ | $CC -E - | $GREP __ELF__`" || test "$host_os-$host_cpu" = "openbsd2.8-powerpc"; then
 +    lt_cv_deplibs_check_method='match_pattern /lib[^/]+(\.so\.[0-9]+\.[0-9]+|\.so|_pic\.a)$'
 +  else
 +    lt_cv_deplibs_check_method='match_pattern /lib[^/]+(\.so\.[0-9]+\.[0-9]+|_pic\.a)$'
 +  fi
 +  ;;
 +
 +osf3* | osf4* | osf5*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +rdos*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +solaris*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +sysv5* | sco3.2v5* | sco5v6* | unixware* | OpenUNIX* | sysv4*uw2*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +
 +sysv4 | sysv4.3*)
 +  case $host_vendor in
 +  motorola)
 +    lt_cv_deplibs_check_method='file_magic ELF [0-9][0-9]*-bit [ML]SB (shared object|dynamic lib) M[0-9][0-9]* Version [0-9]'
 +    lt_cv_file_magic_test_file=`echo /usr/lib/libc.so*`
 +    ;;
 +  ncr)
 +    lt_cv_deplibs_check_method=pass_all
 +    ;;
 +  sequent)
 +    lt_cv_file_magic_cmd='/bin/file'
 +    lt_cv_deplibs_check_method='file_magic ELF [0-9][0-9]*-bit [LM]SB (shared object|dynamic lib )'
 +    ;;
 +  sni)
 +    lt_cv_file_magic_cmd='/bin/file'
 +    lt_cv_deplibs_check_method="file_magic ELF [0-9][0-9]*-bit [LM]SB dynamic lib"
 +    lt_cv_file_magic_test_file=/lib/libc.so
 +    ;;
 +  siemens)
 +    lt_cv_deplibs_check_method=pass_all
 +    ;;
 +  pc)
 +    lt_cv_deplibs_check_method=pass_all
 +    ;;
 +  esac
 +  ;;
 +
 +tpf*)
 +  lt_cv_deplibs_check_method=pass_all
 +  ;;
 +esac
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_deplibs_check_method" >&5
 +$as_echo "$lt_cv_deplibs_check_method" >&6; }
 +
 +file_magic_glob=
 +want_nocaseglob=no
 +if test "$build" = "$host"; then
 +  case $host_os in
 +  mingw* | pw32*)
 +    if ( shopt | grep nocaseglob ) >/dev/null 2>&1; then
 +      want_nocaseglob=yes
 +    else
 +      file_magic_glob=`echo aAbBcCdDeEfFgGhHiIjJkKlLmMnNoOpPqQrRsStTuUvVwWxXyYzZ | $SED -e "s/\(..\)/s\/[\1]\/[\1]\/g;/g"`
 +    fi
 +    ;;
 +  esac
 +fi
 +
 +file_magic_cmd=$lt_cv_file_magic_cmd
 +deplibs_check_method=$lt_cv_deplibs_check_method
 +test -z "$deplibs_check_method" && deplibs_check_method=unknown
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}dlltool", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}dlltool; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_DLLTOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$DLLTOOL"; then
 +  ac_cv_prog_DLLTOOL="$DLLTOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_DLLTOOL="${ac_tool_prefix}dlltool"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +DLLTOOL=$ac_cv_prog_DLLTOOL
 +if test -n "$DLLTOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $DLLTOOL" >&5
 +$as_echo "$DLLTOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_DLLTOOL"; then
 +  ac_ct_DLLTOOL=$DLLTOOL
 +  # Extract the first word of "dlltool", so it can be a program name with args.
 +set dummy dlltool; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_DLLTOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_DLLTOOL"; then
 +  ac_cv_prog_ac_ct_DLLTOOL="$ac_ct_DLLTOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_DLLTOOL="dlltool"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_DLLTOOL=$ac_cv_prog_ac_ct_DLLTOOL
 +if test -n "$ac_ct_DLLTOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_DLLTOOL" >&5
 +$as_echo "$ac_ct_DLLTOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_DLLTOOL" = x; then
 +    DLLTOOL="false"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    DLLTOOL=$ac_ct_DLLTOOL
 +  fi
 +else
 +  DLLTOOL="$ac_cv_prog_DLLTOOL"
 +fi
 +
 +test -z "$DLLTOOL" && DLLTOOL=dlltool
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking how to associate runtime and link libraries" >&5
 +$as_echo_n "checking how to associate runtime and link libraries... " >&6; }
 +if ${lt_cv_sharedlib_from_linklib_cmd+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_sharedlib_from_linklib_cmd='unknown'
 +
 +case $host_os in
 +cygwin* | mingw* | pw32* | cegcc*)
 +  # two different shell functions defined in ltmain.sh
 +  # decide which to use based on capabilities of $DLLTOOL
 +  case `$DLLTOOL --help 2>&1` in
 +  *--identify-strict*)
 +    lt_cv_sharedlib_from_linklib_cmd=func_cygming_dll_for_implib
 +    ;;
 +  *)
 +    lt_cv_sharedlib_from_linklib_cmd=func_cygming_dll_for_implib_fallback
 +    ;;
 +  esac
 +  ;;
 +*)
 +  # fallback: assume linklib IS sharedlib
 +  lt_cv_sharedlib_from_linklib_cmd="$ECHO"
 +  ;;
 +esac
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_sharedlib_from_linklib_cmd" >&5
 +$as_echo "$lt_cv_sharedlib_from_linklib_cmd" >&6; }
 +sharedlib_from_linklib_cmd=$lt_cv_sharedlib_from_linklib_cmd
 +test -z "$sharedlib_from_linklib_cmd" && sharedlib_from_linklib_cmd=$ECHO
 +
 +
 +
 +
 +
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  for ac_prog in ar
 +  do
 +    # Extract the first word of "$ac_tool_prefix$ac_prog", so it can be a program name with args.
 +set dummy $ac_tool_prefix$ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_AR+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$AR"; then
 +  ac_cv_prog_AR="$AR" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_AR="$ac_tool_prefix$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +AR=$ac_cv_prog_AR
 +if test -n "$AR"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $AR" >&5
 +$as_echo "$AR" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +    test -n "$AR" && break
 +  done
 +fi
 +if test -z "$AR"; then
 +  ac_ct_AR=$AR
 +  for ac_prog in ar
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_AR+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_AR"; then
 +  ac_cv_prog_ac_ct_AR="$ac_ct_AR" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_AR="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_AR=$ac_cv_prog_ac_ct_AR
 +if test -n "$ac_ct_AR"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_AR" >&5
 +$as_echo "$ac_ct_AR" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$ac_ct_AR" && break
 +done
 +
 +  if test "x$ac_ct_AR" = x; then
 +    AR="false"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    AR=$ac_ct_AR
 +  fi
 +fi
 +
 +: ${AR=ar}
 +: ${AR_FLAGS=cru}
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for archiver @FILE support" >&5
 +$as_echo_n "checking for archiver @FILE support... " >&6; }
 +if ${lt_cv_ar_at_file+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_ar_at_file=no
 +   cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  echo conftest.$ac_objext > conftest.lst
 +      lt_ar_try='$AR $AR_FLAGS libconftest.a @conftest.lst >&5'
 +      { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$lt_ar_try\""; } >&5
 +  (eval $lt_ar_try) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +      if test "$ac_status" -eq 0; then
 +      # Ensure the archiver fails upon bogus file names.
 +      rm -f conftest.$ac_objext libconftest.a
 +      { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$lt_ar_try\""; } >&5
 +  (eval $lt_ar_try) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +      if test "$ac_status" -ne 0; then
 +          lt_cv_ar_at_file=@
 +        fi
 +      fi
 +      rm -f conftest.* libconftest.a
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_ar_at_file" >&5
 +$as_echo "$lt_cv_ar_at_file" >&6; }
 +
 +if test "x$lt_cv_ar_at_file" = xno; then
 +  archiver_list_spec=
 +else
 +  archiver_list_spec=$lt_cv_ar_at_file
 +fi
 +
 +
 +
 +
 +
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}strip", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}strip; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_STRIP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$STRIP"; then
 +  ac_cv_prog_STRIP="$STRIP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_STRIP="${ac_tool_prefix}strip"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +STRIP=$ac_cv_prog_STRIP
 +if test -n "$STRIP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $STRIP" >&5
 +$as_echo "$STRIP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_STRIP"; then
 +  ac_ct_STRIP=$STRIP
 +  # Extract the first word of "strip", so it can be a program name with args.
 +set dummy strip; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_STRIP+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_STRIP"; then
 +  ac_cv_prog_ac_ct_STRIP="$ac_ct_STRIP" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_STRIP="strip"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_STRIP=$ac_cv_prog_ac_ct_STRIP
 +if test -n "$ac_ct_STRIP"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_STRIP" >&5
 +$as_echo "$ac_ct_STRIP" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_STRIP" = x; then
 +    STRIP=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    STRIP=$ac_ct_STRIP
 +  fi
 +else
 +  STRIP="$ac_cv_prog_STRIP"
 +fi
 +
 +test -z "$STRIP" && STRIP=:
 +
 +
 +
 +
 +
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}ranlib", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}ranlib; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_RANLIB+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$RANLIB"; then
 +  ac_cv_prog_RANLIB="$RANLIB" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_RANLIB="${ac_tool_prefix}ranlib"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +RANLIB=$ac_cv_prog_RANLIB
 +if test -n "$RANLIB"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $RANLIB" >&5
 +$as_echo "$RANLIB" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_RANLIB"; then
 +  ac_ct_RANLIB=$RANLIB
 +  # Extract the first word of "ranlib", so it can be a program name with args.
 +set dummy ranlib; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_RANLIB+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_RANLIB"; then
 +  ac_cv_prog_ac_ct_RANLIB="$ac_ct_RANLIB" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_RANLIB="ranlib"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_RANLIB=$ac_cv_prog_ac_ct_RANLIB
 +if test -n "$ac_ct_RANLIB"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_RANLIB" >&5
 +$as_echo "$ac_ct_RANLIB" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_RANLIB" = x; then
 +    RANLIB=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    RANLIB=$ac_ct_RANLIB
 +  fi
 +else
 +  RANLIB="$ac_cv_prog_RANLIB"
 +fi
 +
 +test -z "$RANLIB" && RANLIB=:
 +
 +
 +
 +
 +
 +
 +# Determine commands to create old-style static archives.
 +old_archive_cmds='$AR $AR_FLAGS $oldlib$oldobjs'
 +old_postinstall_cmds='chmod 644 $oldlib'
 +old_postuninstall_cmds=
 +
 +if test -n "$RANLIB"; then
 +  case $host_os in
 +  openbsd*)
 +    old_postinstall_cmds="$old_postinstall_cmds~\$RANLIB -t \$tool_oldlib"
 +    ;;
 +  *)
 +    old_postinstall_cmds="$old_postinstall_cmds~\$RANLIB \$tool_oldlib"
 +    ;;
 +  esac
 +  old_archive_cmds="$old_archive_cmds~\$RANLIB \$tool_oldlib"
 +fi
 +
 +case $host_os in
 +  darwin*)
 +    lock_old_archive_extraction=yes ;;
 +  *)
 +    lock_old_archive_extraction=no ;;
 +esac
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +for ac_prog in gawk mawk nawk awk
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_AWK+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$AWK"; then
 +  ac_cv_prog_AWK="$AWK" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_AWK="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +AWK=$ac_cv_prog_AWK
 +if test -n "$AWK"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $AWK" >&5
 +$as_echo "$AWK" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$AWK" && break
 +done
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +# If no C compiler was specified, use CC.
 +LTCC=${LTCC-"$CC"}
 +
 +# If no C compiler flags were specified, use CFLAGS.
 +LTCFLAGS=${LTCFLAGS-"$CFLAGS"}
 +
 +# Allow CC to be a program name with arguments.
 +compiler=$CC
 +
 +
 +# Check for command to grab the raw symbol name followed by C symbol from nm.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking command to parse $NM output from $compiler object" >&5
 +$as_echo_n "checking command to parse $NM output from $compiler object... " >&6; }
 +if ${lt_cv_sys_global_symbol_pipe+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +# These are sane defaults that work on at least a few old systems.
 +# [They come from Ultrix.  What could be older than Ultrix?!! ;)]
 +
 +# Character class describing NM global symbol codes.
 +symcode='[BCDEGRST]'
 +
 +# Regexp to match symbols that can be accessed directly from C.
 +sympat='\([_A-Za-z][_A-Za-z0-9]*\)'
 +
 +# Define system-specific variables.
 +case $host_os in
 +aix*)
 +  symcode='[BCDT]'
 +  ;;
 +cygwin* | mingw* | pw32* | cegcc*)
 +  symcode='[ABCDGISTW]'
 +  ;;
 +hpux*)
 +  if test "$host_cpu" = ia64; then
 +    symcode='[ABCDEGRST]'
 +  fi
 +  ;;
 +irix* | nonstopux*)
 +  symcode='[BCDEGRST]'
 +  ;;
 +osf*)
 +  symcode='[BCDEGQRST]'
 +  ;;
 +solaris*)
 +  symcode='[BDRT]'
 +  ;;
 +sco3.2v5*)
 +  symcode='[DT]'
 +  ;;
 +sysv4.2uw2*)
 +  symcode='[DT]'
 +  ;;
 +sysv5* | sco5v6* | unixware* | OpenUNIX*)
 +  symcode='[ABDT]'
 +  ;;
 +sysv4)
 +  symcode='[DFNSTU]'
 +  ;;
 +esac
 +
 +# If we're using GNU nm, then use its standard symbol codes.
 +case `$NM -V 2>&1` in
 +*GNU* | *'with BFD'*)
 +  symcode='[ABCDGIRSTW]' ;;
 +esac
 +
 +# Transform an extracted symbol line into a proper C declaration.
 +# Some systems (esp. on ia64) link data and code symbols differently,
 +# so use this general approach.
 +lt_cv_sys_global_symbol_to_cdecl="sed -n -e 's/^T .* \(.*\)$/extern int \1();/p' -e 's/^$symcode* .* \(.*\)$/extern char \1;/p'"
 +
 +# Transform an extracted symbol line into symbol name and symbol address
 +lt_cv_sys_global_symbol_to_c_name_address="sed -n -e 's/^: \([^ ]*\)[ ]*$/  {\\\"\1\\\", (void *) 0},/p' -e 's/^$symcode* \([^ ]*\) \([^ ]*\)$/  {\"\2\", (void *) \&\2},/p'"
 +lt_cv_sys_global_symbol_to_c_name_address_lib_prefix="sed -n -e 's/^: \([^ ]*\)[ ]*$/  {\\\"\1\\\", (void *) 0},/p' -e 's/^$symcode* \([^ ]*\) \(lib[^ ]*\)$/  {\"\2\", (void *) \&\2},/p' -e 's/^$symcode* \([^ ]*\) \([^ ]*\)$/  {\"lib\2\", (void *) \&\2},/p'"
 +
 +# Handle CRLF in mingw tool chain
 +opt_cr=
 +case $build_os in
 +mingw*)
 +  opt_cr=`$ECHO 'x\{0,1\}' | tr x '\015'` # option cr in regexp
 +  ;;
 +esac
 +
 +# Try without a prefix underscore, then with it.
 +for ac_symprfx in "" "_"; do
 +
 +  # Transform symcode, sympat, and symprfx into a raw symbol and a C symbol.
 +  symxfrm="\\1 $ac_symprfx\\2 \\2"
 +
 +  # Write the raw and C identifiers.
 +  if test "$lt_cv_nm_interface" = "MS dumpbin"; then
 +    # Fake it for dumpbin and say T for any non-static function
 +    # and D for any global variable.
 +    # Also find C++ and __fastcall symbols from MSVC++,
 +    # which start with @ or ?.
 +    lt_cv_sys_global_symbol_pipe="$AWK '"\
 +"     {last_section=section; section=\$ 3};"\
 +"     /^COFF SYMBOL TABLE/{for(i in hide) delete hide[i]};"\
 +"     /Section length .*#relocs.*(pick any)/{hide[last_section]=1};"\
 +"     \$ 0!~/External *\|/{next};"\
 +"     / 0+ UNDEF /{next}; / UNDEF \([^|]\)*()/{next};"\
 +"     {if(hide[section]) next};"\
 +"     {f=0}; \$ 0~/\(\).*\|/{f=1}; {printf f ? \"T \" : \"D \"};"\
 +"     {split(\$ 0, a, /\||\r/); split(a[2], s)};"\
 +"     s[1]~/^[@?]/{print s[1], s[1]; next};"\
 +"     s[1]~prfx {split(s[1],t,\"@\"); print t[1], substr(t[1],length(prfx))}"\
 +"     ' prfx=^$ac_symprfx"
 +  else
 +    lt_cv_sys_global_symbol_pipe="sed -n -e 's/^.*[    ]\($symcode$symcode*\)[         ][      ]*$ac_symprfx$sympat$opt_cr$/$symxfrm/p'"
 +  fi
 +  lt_cv_sys_global_symbol_pipe="$lt_cv_sys_global_symbol_pipe | sed '/ __gnu_lto/d'"
 +
 +  # Check to see that the pipe works correctly.
 +  pipe_works=no
 +
 +  rm -f conftest*
 +  cat > conftest.$ac_ext <<_LT_EOF
 +#ifdef __cplusplus
 +extern "C" {
 +#endif
 +char nm_test_var;
 +void nm_test_func(void);
 +void nm_test_func(void){}
 +#ifdef __cplusplus
 +}
 +#endif
 +int main(){nm_test_var='a';nm_test_func();return(0);}
 +_LT_EOF
 +
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then
 +    # Now try to grab the symbols.
 +    nlist=conftest.nm
 +    if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$NM conftest.$ac_objext \| "$lt_cv_sys_global_symbol_pipe" \> $nlist\""; } >&5
 +  (eval $NM conftest.$ac_objext \| "$lt_cv_sys_global_symbol_pipe" \> $nlist) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && test -s "$nlist"; then
 +      # Try sorting and uniquifying the output.
 +      if sort "$nlist" | uniq > "$nlist"T; then
 +      mv -f "$nlist"T "$nlist"
 +      else
 +      rm -f "$nlist"T
 +      fi
 +
 +      # Make sure that we snagged all the symbols we need.
 +      if $GREP ' nm_test_var$' "$nlist" >/dev/null; then
 +      if $GREP ' nm_test_func$' "$nlist" >/dev/null; then
 +        cat <<_LT_EOF > conftest.$ac_ext
 +/* Keep this code in sync between libtool.m4, ltmain, lt_system.h, and tests.  */
 +#if defined(_WIN32) || defined(__CYGWIN__) || defined(_WIN32_WCE)
 +/* DATA imports from DLLs on WIN32 con't be const, because runtime
 +   relocations are performed -- see ld's documentation on pseudo-relocs.  */
 +# define LT_DLSYM_CONST
 +#elif defined(__osf__)
 +/* This system does not cope well with relocations in const data.  */
 +# define LT_DLSYM_CONST
 +#else
 +# define LT_DLSYM_CONST const
 +#endif
 +
 +#ifdef __cplusplus
 +extern "C" {
 +#endif
 +
 +_LT_EOF
 +        # Now generate the symbol file.
 +        eval "$lt_cv_sys_global_symbol_to_cdecl"' < "$nlist" | $GREP -v main >> conftest.$ac_ext'
 +
 +        cat <<_LT_EOF >> conftest.$ac_ext
 +
 +/* The mapping between symbol names and symbols.  */
 +LT_DLSYM_CONST struct {
 +  const char *name;
 +  void       *address;
 +}
 +lt__PROGRAM__LTX_preloaded_symbols[] =
 +{
 +  { "@PROGRAM@", (void *) 0 },
 +_LT_EOF
 +        $SED "s/^$symcode$symcode* \(.*\) \(.*\)$/  {\"\2\", (void *) \&\2},/" < "$nlist" | $GREP -v main >> conftest.$ac_ext
 +        cat <<\_LT_EOF >> conftest.$ac_ext
 +  {0, (void *) 0}
 +};
 +
 +/* This works around a problem in FreeBSD linker */
 +#ifdef FREEBSD_WORKAROUND
 +static const void *lt_preloaded_setup() {
 +  return lt__PROGRAM__LTX_preloaded_symbols;
 +}
 +#endif
 +
 +#ifdef __cplusplus
 +}
 +#endif
 +_LT_EOF
 +        # Now try linking the two files.
 +        mv conftest.$ac_objext conftstm.$ac_objext
 +        lt_globsym_save_LIBS=$LIBS
 +        lt_globsym_save_CFLAGS=$CFLAGS
 +        LIBS="conftstm.$ac_objext"
 +        CFLAGS="$CFLAGS$lt_prog_compiler_no_builtin_flag"
 +        if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_link\""; } >&5
 +  (eval $ac_link) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && test -s conftest${ac_exeext}; then
 +          pipe_works=yes
 +        fi
 +        LIBS=$lt_globsym_save_LIBS
 +        CFLAGS=$lt_globsym_save_CFLAGS
 +      else
 +        echo "cannot find nm_test_func in $nlist" >&5
 +      fi
 +      else
 +      echo "cannot find nm_test_var in $nlist" >&5
 +      fi
 +    else
 +      echo "cannot run $lt_cv_sys_global_symbol_pipe" >&5
 +    fi
 +  else
 +    echo "$progname: failed program was:" >&5
 +    cat conftest.$ac_ext >&5
 +  fi
 +  rm -rf conftest* conftst*
 +
 +  # Do not use the global_symbol_pipe unless it works.
 +  if test "$pipe_works" = yes; then
 +    break
 +  else
 +    lt_cv_sys_global_symbol_pipe=
 +  fi
 +done
 +
 +fi
 +
 +if test -z "$lt_cv_sys_global_symbol_pipe"; then
 +  lt_cv_sys_global_symbol_to_cdecl=
 +fi
 +if test -z "$lt_cv_sys_global_symbol_pipe$lt_cv_sys_global_symbol_to_cdecl"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: ok" >&5
 +$as_echo "ok" >&6; }
 +fi
 +
 +# Response file support.
 +if test "$lt_cv_nm_interface" = "MS dumpbin"; then
 +  nm_file_list_spec='@'
 +elif $NM --help 2>/dev/null | grep '[@]FILE' >/dev/null; then
 +  nm_file_list_spec='@'
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for sysroot" >&5
 +$as_echo_n "checking for sysroot... " >&6; }
 +
 +# Check whether --with-sysroot was given.
 +if test "${with_sysroot+set}" = set; then :
 +  withval=$with_sysroot;
 +else
 +  with_sysroot=no
 +fi
 +
 +
 +lt_sysroot=
 +case ${with_sysroot} in #(
 + yes)
 +   if test "$GCC" = yes; then
 +     lt_sysroot=`$CC --print-sysroot 2>/dev/null`
 +   fi
 +   ;; #(
 + /*)
 +   lt_sysroot=`echo "$with_sysroot" | sed -e "$sed_quote_subst"`
 +   ;; #(
 + no|'')
 +   ;; #(
 + *)
 +   { $as_echo "$as_me:${as_lineno-$LINENO}: result: ${with_sysroot}" >&5
 +$as_echo "${with_sysroot}" >&6; }
 +   as_fn_error $? "The sysroot must be an absolute path." "$LINENO" 5
 +   ;;
 +esac
 +
 + { $as_echo "$as_me:${as_lineno-$LINENO}: result: ${lt_sysroot:-no}" >&5
 +$as_echo "${lt_sysroot:-no}" >&6; }
 +
 +
 +
 +
 +
 +# Check whether --enable-libtool-lock was given.
 +if test "${enable_libtool_lock+set}" = set; then :
 +  enableval=$enable_libtool_lock;
 +fi
 +
 +test "x$enable_libtool_lock" != xno && enable_libtool_lock=yes
 +
 +# Some flags need to be propagated to the compiler or linker for good
 +# libtool support.
 +case $host in
 +ia64-*-hpux*)
 +  # Find out which ABI we are using.
 +  echo 'int i;' > conftest.$ac_ext
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then
 +    case `/usr/bin/file conftest.$ac_objext` in
 +      *ELF-32*)
 +      HPUX_IA64_MODE="32"
 +      ;;
 +      *ELF-64*)
 +      HPUX_IA64_MODE="64"
 +      ;;
 +    esac
 +  fi
 +  rm -rf conftest*
 +  ;;
 +*-*-irix6*)
 +  # Find out which ABI we are using.
 +  echo '#line '$LINENO' "configure"' > conftest.$ac_ext
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then
 +    if test "$lt_cv_prog_gnu_ld" = yes; then
 +      case `/usr/bin/file conftest.$ac_objext` in
 +      *32-bit*)
 +        LD="${LD-ld} -melf32bsmip"
 +        ;;
 +      *N32*)
 +        LD="${LD-ld} -melf32bmipn32"
 +        ;;
 +      *64-bit*)
 +        LD="${LD-ld} -melf64bmip"
 +      ;;
 +      esac
 +    else
 +      case `/usr/bin/file conftest.$ac_objext` in
 +      *32-bit*)
 +        LD="${LD-ld} -32"
 +        ;;
 +      *N32*)
 +        LD="${LD-ld} -n32"
 +        ;;
 +      *64-bit*)
 +        LD="${LD-ld} -64"
 +        ;;
 +      esac
 +    fi
 +  fi
 +  rm -rf conftest*
 +  ;;
 +
 +x86_64-*kfreebsd*-gnu|x86_64-*linux*|powerpc*-*linux*| \
 +s390*-*linux*|s390*-*tpf*|sparc*-*linux*)
 +  # Find out which ABI we are using.
 +  echo 'int i;' > conftest.$ac_ext
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then
 +    case `/usr/bin/file conftest.o` in
 +      *32-bit*)
 +      case $host in
 +        x86_64-*kfreebsd*-gnu)
 +          LD="${LD-ld} -m elf_i386_fbsd"
 +          ;;
 +        x86_64-*linux*)
 +          LD="${LD-ld} -m elf_i386"
 +          ;;
 +        powerpc64le-*linux*)
 +          LD="${LD-ld} -m elf32lppclinux"
 +          ;;
 +        powerpc64-*linux*)
 +          LD="${LD-ld} -m elf32ppclinux"
 +          ;;
 +        s390x-*linux*)
 +          LD="${LD-ld} -m elf_s390"
 +          ;;
 +        sparc64-*linux*)
 +          LD="${LD-ld} -m elf32_sparc"
 +          ;;
 +      esac
 +      ;;
 +      *64-bit*)
 +      case $host in
 +        x86_64-*kfreebsd*-gnu)
 +          LD="${LD-ld} -m elf_x86_64_fbsd"
 +          ;;
 +        x86_64-*linux*)
 +          LD="${LD-ld} -m elf_x86_64"
 +          ;;
 +        powerpcle-*linux*)
 +          LD="${LD-ld} -m elf64lppc"
 +          ;;
 +        powerpc-*linux*)
 +          LD="${LD-ld} -m elf64ppc"
 +          ;;
 +        s390*-*linux*|s390*-*tpf*)
 +          LD="${LD-ld} -m elf64_s390"
 +          ;;
 +        sparc*-*linux*)
 +          LD="${LD-ld} -m elf64_sparc"
 +          ;;
 +      esac
 +      ;;
 +    esac
 +  fi
 +  rm -rf conftest*
 +  ;;
 +
 +*-*-sco3.2v5*)
 +  # On SCO OpenServer 5, we need -belf to get full-featured binaries.
 +  SAVE_CFLAGS="$CFLAGS"
 +  CFLAGS="$CFLAGS -belf"
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the C compiler needs -belf" >&5
 +$as_echo_n "checking whether the C compiler needs -belf... " >&6; }
 +if ${lt_cv_cc_needs_belf+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +     cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  lt_cv_cc_needs_belf=yes
 +else
 +  lt_cv_cc_needs_belf=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +     ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_cc_needs_belf" >&5
 +$as_echo "$lt_cv_cc_needs_belf" >&6; }
 +  if test x"$lt_cv_cc_needs_belf" != x"yes"; then
 +    # this is probably gcc 2.8.0, egcs 1.0 or newer; no need for -belf
 +    CFLAGS="$SAVE_CFLAGS"
 +  fi
 +  ;;
 +*-*solaris*)
 +  # Find out which ABI we are using.
 +  echo 'int i;' > conftest.$ac_ext
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }; then
 +    case `/usr/bin/file conftest.o` in
 +    *64-bit*)
 +      case $lt_cv_prog_gnu_ld in
 +      yes*)
 +        case $host in
 +        i?86-*-solaris*)
 +          LD="${LD-ld} -m elf_x86_64"
 +          ;;
 +        sparc*-*-solaris*)
 +          LD="${LD-ld} -m elf64_sparc"
 +          ;;
 +        esac
 +        # GNU ld 2.21 introduced _sol2 emulations.  Use them if available.
 +        if ${LD-ld} -V | grep _sol2 >/dev/null 2>&1; then
 +          LD="${LD-ld}_sol2"
 +        fi
 +        ;;
 +      *)
 +      if ${LD-ld} -64 -r -o conftest2.o conftest.o >/dev/null 2>&1; then
 +        LD="${LD-ld} -64"
 +      fi
 +      ;;
 +      esac
 +      ;;
 +    esac
 +  fi
 +  rm -rf conftest*
 +  ;;
 +esac
 +
 +need_locks="$enable_libtool_lock"
 +
 +if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}mt", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}mt; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_MANIFEST_TOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$MANIFEST_TOOL"; then
 +  ac_cv_prog_MANIFEST_TOOL="$MANIFEST_TOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_MANIFEST_TOOL="${ac_tool_prefix}mt"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +MANIFEST_TOOL=$ac_cv_prog_MANIFEST_TOOL
 +if test -n "$MANIFEST_TOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $MANIFEST_TOOL" >&5
 +$as_echo "$MANIFEST_TOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_MANIFEST_TOOL"; then
 +  ac_ct_MANIFEST_TOOL=$MANIFEST_TOOL
 +  # Extract the first word of "mt", so it can be a program name with args.
 +set dummy mt; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_MANIFEST_TOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_MANIFEST_TOOL"; then
 +  ac_cv_prog_ac_ct_MANIFEST_TOOL="$ac_ct_MANIFEST_TOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_MANIFEST_TOOL="mt"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_MANIFEST_TOOL=$ac_cv_prog_ac_ct_MANIFEST_TOOL
 +if test -n "$ac_ct_MANIFEST_TOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_MANIFEST_TOOL" >&5
 +$as_echo "$ac_ct_MANIFEST_TOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_MANIFEST_TOOL" = x; then
 +    MANIFEST_TOOL=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    MANIFEST_TOOL=$ac_ct_MANIFEST_TOOL
 +  fi
 +else
 +  MANIFEST_TOOL="$ac_cv_prog_MANIFEST_TOOL"
 +fi
 +
 +test -z "$MANIFEST_TOOL" && MANIFEST_TOOL=mt
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if $MANIFEST_TOOL is a manifest tool" >&5
 +$as_echo_n "checking if $MANIFEST_TOOL is a manifest tool... " >&6; }
 +if ${lt_cv_path_mainfest_tool+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_path_mainfest_tool=no
 +  echo "$as_me:$LINENO: $MANIFEST_TOOL '-?'" >&5
 +  $MANIFEST_TOOL '-?' 2>conftest.err > conftest.out
 +  cat conftest.err >&5
 +  if $GREP 'Manifest Tool' conftest.out > /dev/null; then
 +    lt_cv_path_mainfest_tool=yes
 +  fi
 +  rm -f conftest*
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_path_mainfest_tool" >&5
 +$as_echo "$lt_cv_path_mainfest_tool" >&6; }
 +if test "x$lt_cv_path_mainfest_tool" != xyes; then
 +  MANIFEST_TOOL=:
 +fi
 +
 +
 +
 +
 +
 +
 +  case $host_os in
 +    rhapsody* | darwin*)
 +    if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}dsymutil", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}dsymutil; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_DSYMUTIL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$DSYMUTIL"; then
 +  ac_cv_prog_DSYMUTIL="$DSYMUTIL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_DSYMUTIL="${ac_tool_prefix}dsymutil"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +DSYMUTIL=$ac_cv_prog_DSYMUTIL
 +if test -n "$DSYMUTIL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $DSYMUTIL" >&5
 +$as_echo "$DSYMUTIL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_DSYMUTIL"; then
 +  ac_ct_DSYMUTIL=$DSYMUTIL
 +  # Extract the first word of "dsymutil", so it can be a program name with args.
 +set dummy dsymutil; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_DSYMUTIL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_DSYMUTIL"; then
 +  ac_cv_prog_ac_ct_DSYMUTIL="$ac_ct_DSYMUTIL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_DSYMUTIL="dsymutil"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_DSYMUTIL=$ac_cv_prog_ac_ct_DSYMUTIL
 +if test -n "$ac_ct_DSYMUTIL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_DSYMUTIL" >&5
 +$as_echo "$ac_ct_DSYMUTIL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_DSYMUTIL" = x; then
 +    DSYMUTIL=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    DSYMUTIL=$ac_ct_DSYMUTIL
 +  fi
 +else
 +  DSYMUTIL="$ac_cv_prog_DSYMUTIL"
 +fi
 +
 +    if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}nmedit", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}nmedit; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_NMEDIT+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$NMEDIT"; then
 +  ac_cv_prog_NMEDIT="$NMEDIT" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_NMEDIT="${ac_tool_prefix}nmedit"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +NMEDIT=$ac_cv_prog_NMEDIT
 +if test -n "$NMEDIT"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $NMEDIT" >&5
 +$as_echo "$NMEDIT" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_NMEDIT"; then
 +  ac_ct_NMEDIT=$NMEDIT
 +  # Extract the first word of "nmedit", so it can be a program name with args.
 +set dummy nmedit; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_NMEDIT+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_NMEDIT"; then
 +  ac_cv_prog_ac_ct_NMEDIT="$ac_ct_NMEDIT" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_NMEDIT="nmedit"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_NMEDIT=$ac_cv_prog_ac_ct_NMEDIT
 +if test -n "$ac_ct_NMEDIT"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_NMEDIT" >&5
 +$as_echo "$ac_ct_NMEDIT" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_NMEDIT" = x; then
 +    NMEDIT=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    NMEDIT=$ac_ct_NMEDIT
 +  fi
 +else
 +  NMEDIT="$ac_cv_prog_NMEDIT"
 +fi
 +
 +    if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}lipo", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}lipo; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_LIPO+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$LIPO"; then
 +  ac_cv_prog_LIPO="$LIPO" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_LIPO="${ac_tool_prefix}lipo"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +LIPO=$ac_cv_prog_LIPO
 +if test -n "$LIPO"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $LIPO" >&5
 +$as_echo "$LIPO" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_LIPO"; then
 +  ac_ct_LIPO=$LIPO
 +  # Extract the first word of "lipo", so it can be a program name with args.
 +set dummy lipo; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_LIPO+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_LIPO"; then
 +  ac_cv_prog_ac_ct_LIPO="$ac_ct_LIPO" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_LIPO="lipo"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_LIPO=$ac_cv_prog_ac_ct_LIPO
 +if test -n "$ac_ct_LIPO"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_LIPO" >&5
 +$as_echo "$ac_ct_LIPO" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_LIPO" = x; then
 +    LIPO=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    LIPO=$ac_ct_LIPO
 +  fi
 +else
 +  LIPO="$ac_cv_prog_LIPO"
 +fi
 +
 +    if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}otool", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}otool; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_OTOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$OTOOL"; then
 +  ac_cv_prog_OTOOL="$OTOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_OTOOL="${ac_tool_prefix}otool"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +OTOOL=$ac_cv_prog_OTOOL
 +if test -n "$OTOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $OTOOL" >&5
 +$as_echo "$OTOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_OTOOL"; then
 +  ac_ct_OTOOL=$OTOOL
 +  # Extract the first word of "otool", so it can be a program name with args.
 +set dummy otool; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_OTOOL+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_OTOOL"; then
 +  ac_cv_prog_ac_ct_OTOOL="$ac_ct_OTOOL" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_OTOOL="otool"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_OTOOL=$ac_cv_prog_ac_ct_OTOOL
 +if test -n "$ac_ct_OTOOL"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_OTOOL" >&5
 +$as_echo "$ac_ct_OTOOL" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_OTOOL" = x; then
 +    OTOOL=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    OTOOL=$ac_ct_OTOOL
 +  fi
 +else
 +  OTOOL="$ac_cv_prog_OTOOL"
 +fi
 +
 +    if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}otool64", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}otool64; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_OTOOL64+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$OTOOL64"; then
 +  ac_cv_prog_OTOOL64="$OTOOL64" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_OTOOL64="${ac_tool_prefix}otool64"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +OTOOL64=$ac_cv_prog_OTOOL64
 +if test -n "$OTOOL64"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $OTOOL64" >&5
 +$as_echo "$OTOOL64" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_OTOOL64"; then
 +  ac_ct_OTOOL64=$OTOOL64
 +  # Extract the first word of "otool64", so it can be a program name with args.
 +set dummy otool64; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_OTOOL64+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_OTOOL64"; then
 +  ac_cv_prog_ac_ct_OTOOL64="$ac_ct_OTOOL64" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_OTOOL64="otool64"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_OTOOL64=$ac_cv_prog_ac_ct_OTOOL64
 +if test -n "$ac_ct_OTOOL64"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_OTOOL64" >&5
 +$as_echo "$ac_ct_OTOOL64" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_OTOOL64" = x; then
 +    OTOOL64=":"
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    OTOOL64=$ac_ct_OTOOL64
 +  fi
 +else
 +  OTOOL64="$ac_cv_prog_OTOOL64"
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for -single_module linker flag" >&5
 +$as_echo_n "checking for -single_module linker flag... " >&6; }
 +if ${lt_cv_apple_cc_single_mod+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_apple_cc_single_mod=no
 +      if test -z "${LT_MULTI_MODULE}"; then
 +      # By default we will add the -single_module flag. You can override
 +      # by either setting the environment variable LT_MULTI_MODULE
 +      # non-empty at configure time, or by adding -multi_module to the
 +      # link flags.
 +      rm -rf libconftest.dylib*
 +      echo "int foo(void){return 1;}" > conftest.c
 +      echo "$LTCC $LTCFLAGS $LDFLAGS -o libconftest.dylib \
 +-dynamiclib -Wl,-single_module conftest.c" >&5
 +      $LTCC $LTCFLAGS $LDFLAGS -o libconftest.dylib \
 +        -dynamiclib -Wl,-single_module conftest.c 2>conftest.err
 +        _lt_result=$?
 +      # If there is a non-empty error log, and "single_module"
 +      # appears in it, assume the flag caused a linker warning
 +        if test -s conftest.err && $GREP single_module conftest.err; then
 +        cat conftest.err >&5
 +      # Otherwise, if the output was created with a 0 exit code from
 +      # the compiler, it worked.
 +      elif test -f libconftest.dylib && test $_lt_result -eq 0; then
 +        lt_cv_apple_cc_single_mod=yes
 +      else
 +        cat conftest.err >&5
 +      fi
 +      rm -rf libconftest.dylib*
 +      rm -f conftest.*
 +      fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_apple_cc_single_mod" >&5
 +$as_echo "$lt_cv_apple_cc_single_mod" >&6; }
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for -exported_symbols_list linker flag" >&5
 +$as_echo_n "checking for -exported_symbols_list linker flag... " >&6; }
 +if ${lt_cv_ld_exported_symbols_list+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_ld_exported_symbols_list=no
 +      save_LDFLAGS=$LDFLAGS
 +      echo "_main" > conftest.sym
 +      LDFLAGS="$LDFLAGS -Wl,-exported_symbols_list,conftest.sym"
 +      cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  lt_cv_ld_exported_symbols_list=yes
 +else
 +  lt_cv_ld_exported_symbols_list=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +      LDFLAGS="$save_LDFLAGS"
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_ld_exported_symbols_list" >&5
 +$as_echo "$lt_cv_ld_exported_symbols_list" >&6; }
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for -force_load linker flag" >&5
 +$as_echo_n "checking for -force_load linker flag... " >&6; }
 +if ${lt_cv_ld_force_load+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_ld_force_load=no
 +      cat > conftest.c << _LT_EOF
 +int forced_loaded() { return 2;}
 +_LT_EOF
 +      echo "$LTCC $LTCFLAGS -c -o conftest.o conftest.c" >&5
 +      $LTCC $LTCFLAGS -c -o conftest.o conftest.c 2>&5
 +      echo "$AR cru libconftest.a conftest.o" >&5
 +      $AR cru libconftest.a conftest.o 2>&5
 +      echo "$RANLIB libconftest.a" >&5
 +      $RANLIB libconftest.a 2>&5
 +      cat > conftest.c << _LT_EOF
 +int main() { return 0;}
 +_LT_EOF
 +      echo "$LTCC $LTCFLAGS $LDFLAGS -o conftest conftest.c -Wl,-force_load,./libconftest.a" >&5
 +      $LTCC $LTCFLAGS $LDFLAGS -o conftest conftest.c -Wl,-force_load,./libconftest.a 2>conftest.err
 +      _lt_result=$?
 +      if test -s conftest.err && $GREP force_load conftest.err; then
 +      cat conftest.err >&5
 +      elif test -f conftest && test $_lt_result -eq 0 && $GREP forced_load conftest >/dev/null 2>&1 ; then
 +      lt_cv_ld_force_load=yes
 +      else
 +      cat conftest.err >&5
 +      fi
 +        rm -f conftest.err libconftest.a conftest conftest.c
 +        rm -rf conftest.dSYM
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_ld_force_load" >&5
 +$as_echo "$lt_cv_ld_force_load" >&6; }
 +    case $host_os in
 +    rhapsody* | darwin1.[012])
 +      _lt_dar_allow_undefined='${wl}-undefined ${wl}suppress' ;;
 +    darwin1.*)
 +      _lt_dar_allow_undefined='${wl}-flat_namespace ${wl}-undefined ${wl}suppress' ;;
 +    darwin*) # darwin 5.x on
 +      # if running on 10.5 or later, the deployment target defaults
 +      # to the OS version, if on x86, and 10.4, the deployment
 +      # target defaults to 10.4. Don't you love it?
 +      case ${MACOSX_DEPLOYMENT_TARGET-10.0},$host in
 +      10.0,*86*-darwin8*|10.0,*-darwin[91]*)
 +        _lt_dar_allow_undefined='${wl}-undefined ${wl}dynamic_lookup' ;;
 +      10.[012]*)
 +        _lt_dar_allow_undefined='${wl}-flat_namespace ${wl}-undefined ${wl}suppress' ;;
 +      10.*)
 +        _lt_dar_allow_undefined='${wl}-undefined ${wl}dynamic_lookup' ;;
 +      esac
 +    ;;
 +  esac
 +    if test "$lt_cv_apple_cc_single_mod" = "yes"; then
 +      _lt_dar_single_mod='$single_module'
 +    fi
 +    if test "$lt_cv_ld_exported_symbols_list" = "yes"; then
 +      _lt_dar_export_syms=' ${wl}-exported_symbols_list,$output_objdir/${libname}-symbols.expsym'
 +    else
 +      _lt_dar_export_syms='~$NMEDIT -s $output_objdir/${libname}-symbols.expsym ${lib}'
 +    fi
 +    if test "$DSYMUTIL" != ":" && test "$lt_cv_ld_force_load" = "no"; then
 +      _lt_dsymutil='~$DSYMUTIL $lib || :'
 +    else
 +      _lt_dsymutil=
 +    fi
 +    ;;
 +  esac
 +
 +for ac_header in dlfcn.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "dlfcn.h" "ac_cv_header_dlfcn_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_dlfcn_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_DLFCN_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +
 +
 +
 +
 +
 +# Set options
 +
 +
 +
 +        enable_dlopen=no
 +
 +
 +  enable_win32_dll=no
 +
 +
 +            # Check whether --enable-shared was given.
 +if test "${enable_shared+set}" = set; then :
 +  enableval=$enable_shared; p=${PACKAGE-default}
 +    case $enableval in
 +    yes) enable_shared=yes ;;
 +    no) enable_shared=no ;;
 +    *)
 +      enable_shared=no
 +      # Look at the argument we got.  We use all the common list separators.
 +      lt_save_ifs="$IFS"; IFS="${IFS}$PATH_SEPARATOR,"
 +      for pkg in $enableval; do
 +      IFS="$lt_save_ifs"
 +      if test "X$pkg" = "X$p"; then
 +        enable_shared=yes
 +      fi
 +      done
 +      IFS="$lt_save_ifs"
 +      ;;
 +    esac
 +else
 +  enable_shared=yes
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +  # Check whether --enable-static was given.
 +if test "${enable_static+set}" = set; then :
 +  enableval=$enable_static; p=${PACKAGE-default}
 +    case $enableval in
 +    yes) enable_static=yes ;;
 +    no) enable_static=no ;;
 +    *)
 +     enable_static=no
 +      # Look at the argument we got.  We use all the common list separators.
 +      lt_save_ifs="$IFS"; IFS="${IFS}$PATH_SEPARATOR,"
 +      for pkg in $enableval; do
 +      IFS="$lt_save_ifs"
 +      if test "X$pkg" = "X$p"; then
 +        enable_static=yes
 +      fi
 +      done
 +      IFS="$lt_save_ifs"
 +      ;;
 +    esac
 +else
 +  enable_static=yes
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +# Check whether --with-pic was given.
 +if test "${with_pic+set}" = set; then :
 +  withval=$with_pic; lt_p=${PACKAGE-default}
 +    case $withval in
 +    yes|no) pic_mode=$withval ;;
 +    *)
 +      pic_mode=default
 +      # Look at the argument we got.  We use all the common list separators.
 +      lt_save_ifs="$IFS"; IFS="${IFS}$PATH_SEPARATOR,"
 +      for lt_pkg in $withval; do
 +      IFS="$lt_save_ifs"
 +      if test "X$lt_pkg" = "X$lt_p"; then
 +        pic_mode=yes
 +      fi
 +      done
 +      IFS="$lt_save_ifs"
 +      ;;
 +    esac
 +else
 +  pic_mode=default
 +fi
 +
 +
 +test -z "$pic_mode" && pic_mode=default
 +
 +
 +
 +
 +
 +
 +
 +  # Check whether --enable-fast-install was given.
 +if test "${enable_fast_install+set}" = set; then :
 +  enableval=$enable_fast_install; p=${PACKAGE-default}
 +    case $enableval in
 +    yes) enable_fast_install=yes ;;
 +    no) enable_fast_install=no ;;
 +    *)
 +      enable_fast_install=no
 +      # Look at the argument we got.  We use all the common list separators.
 +      lt_save_ifs="$IFS"; IFS="${IFS}$PATH_SEPARATOR,"
 +      for pkg in $enableval; do
 +      IFS="$lt_save_ifs"
 +      if test "X$pkg" = "X$p"; then
 +        enable_fast_install=yes
 +      fi
 +      done
 +      IFS="$lt_save_ifs"
 +      ;;
 +    esac
 +else
 +  enable_fast_install=yes
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +# This can be used to rebuild libtool when needed
 +LIBTOOL_DEPS="$ltmain"
 +
 +# Always use our own libtool.
 +LIBTOOL='$(SHELL) $(top_builddir)/libtool'
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +test -z "$LN_S" && LN_S="ln -s"
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +if test -n "${ZSH_VERSION+set}" ; then
 +   setopt NO_GLOB_SUBST
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for objdir" >&5
 +$as_echo_n "checking for objdir... " >&6; }
 +if ${lt_cv_objdir+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  rm -f .libs 2>/dev/null
 +mkdir .libs 2>/dev/null
 +if test -d .libs; then
 +  lt_cv_objdir=.libs
 +else
 +  # MS-DOS does not allow filenames that begin with a dot.
 +  lt_cv_objdir=_libs
 +fi
 +rmdir .libs 2>/dev/null
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_objdir" >&5
 +$as_echo "$lt_cv_objdir" >&6; }
 +objdir=$lt_cv_objdir
 +
 +
 +
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define LT_OBJDIR "$lt_cv_objdir/"
 +_ACEOF
 +
 +
 +
 +
 +case $host_os in
 +aix3*)
 +  # AIX sometimes has problems with the GCC collect2 program.  For some
 +  # reason, if we set the COLLECT_NAMES environment variable, the problems
 +  # vanish in a puff of smoke.
 +  if test "X${COLLECT_NAMES+set}" != Xset; then
 +    COLLECT_NAMES=
 +    export COLLECT_NAMES
 +  fi
 +  ;;
 +esac
 +
 +# Global variables:
 +ofile=libtool
 +can_build_shared=yes
 +
 +# All known linkers require a `.a' archive for static linking (except MSVC,
 +# which needs '.lib').
 +libext=a
 +
 +with_gnu_ld="$lt_cv_prog_gnu_ld"
 +
 +old_CC="$CC"
 +old_CFLAGS="$CFLAGS"
 +
 +# Set sane defaults for various variables
 +test -z "$CC" && CC=cc
 +test -z "$LTCC" && LTCC=$CC
 +test -z "$LTCFLAGS" && LTCFLAGS=$CFLAGS
 +test -z "$LD" && LD=ld
 +test -z "$ac_objext" && ac_objext=o
 +
 +for cc_temp in $compiler""; do
 +  case $cc_temp in
 +    compile | *[\\/]compile | ccache | *[\\/]ccache ) ;;
 +    distcc | *[\\/]distcc | purify | *[\\/]purify ) ;;
 +    \-*) ;;
 +    *) break;;
 +  esac
 +done
 +cc_basename=`$ECHO "$cc_temp" | $SED "s%.*/%%; s%^$host_alias-%%"`
 +
 +
 +# Only perform the check for file, if the check method requires it
 +test -z "$MAGIC_CMD" && MAGIC_CMD=file
 +case $deplibs_check_method in
 +file_magic*)
 +  if test "$file_magic_cmd" = '$MAGIC_CMD'; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for ${ac_tool_prefix}file" >&5
 +$as_echo_n "checking for ${ac_tool_prefix}file... " >&6; }
 +if ${lt_cv_path_MAGIC_CMD+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $MAGIC_CMD in
 +[\\/*] |  ?:[\\/]*)
 +  lt_cv_path_MAGIC_CMD="$MAGIC_CMD" # Let the user override the test with a path.
 +  ;;
 +*)
 +  lt_save_MAGIC_CMD="$MAGIC_CMD"
 +  lt_save_ifs="$IFS"; IFS=$PATH_SEPARATOR
 +  ac_dummy="/usr/bin$PATH_SEPARATOR$PATH"
 +  for ac_dir in $ac_dummy; do
 +    IFS="$lt_save_ifs"
 +    test -z "$ac_dir" && ac_dir=.
 +    if test -f $ac_dir/${ac_tool_prefix}file; then
 +      lt_cv_path_MAGIC_CMD="$ac_dir/${ac_tool_prefix}file"
 +      if test -n "$file_magic_test_file"; then
 +      case $deplibs_check_method in
 +      "file_magic "*)
 +        file_magic_regex=`expr "$deplibs_check_method" : "file_magic \(.*\)"`
 +        MAGIC_CMD="$lt_cv_path_MAGIC_CMD"
 +        if eval $file_magic_cmd \$file_magic_test_file 2> /dev/null |
 +          $EGREP "$file_magic_regex" > /dev/null; then
 +          :
 +        else
 +          cat <<_LT_EOF 1>&2
 +
 +*** Warning: the command libtool uses to detect shared libraries,
 +*** $file_magic_cmd, produces output that libtool cannot recognize.
 +*** The result is that libtool may fail to recognize shared libraries
 +*** as such.  This will affect the creation of libtool libraries that
 +*** depend on shared libraries, but programs linked with such libtool
 +*** libraries will work regardless of this problem.  Nevertheless, you
 +*** may want to report the problem to your system manager and/or to
 +*** bug-libtool@gnu.org
 +
 +_LT_EOF
 +        fi ;;
 +      esac
 +      fi
 +      break
 +    fi
 +  done
 +  IFS="$lt_save_ifs"
 +  MAGIC_CMD="$lt_save_MAGIC_CMD"
 +  ;;
 +esac
 +fi
 +
 +MAGIC_CMD="$lt_cv_path_MAGIC_CMD"
 +if test -n "$MAGIC_CMD"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $MAGIC_CMD" >&5
 +$as_echo "$MAGIC_CMD" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +
 +
 +
 +if test -z "$lt_cv_path_MAGIC_CMD"; then
 +  if test -n "$ac_tool_prefix"; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for file" >&5
 +$as_echo_n "checking for file... " >&6; }
 +if ${lt_cv_path_MAGIC_CMD+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $MAGIC_CMD in
 +[\\/*] |  ?:[\\/]*)
 +  lt_cv_path_MAGIC_CMD="$MAGIC_CMD" # Let the user override the test with a path.
 +  ;;
 +*)
 +  lt_save_MAGIC_CMD="$MAGIC_CMD"
 +  lt_save_ifs="$IFS"; IFS=$PATH_SEPARATOR
 +  ac_dummy="/usr/bin$PATH_SEPARATOR$PATH"
 +  for ac_dir in $ac_dummy; do
 +    IFS="$lt_save_ifs"
 +    test -z "$ac_dir" && ac_dir=.
 +    if test -f $ac_dir/file; then
 +      lt_cv_path_MAGIC_CMD="$ac_dir/file"
 +      if test -n "$file_magic_test_file"; then
 +      case $deplibs_check_method in
 +      "file_magic "*)
 +        file_magic_regex=`expr "$deplibs_check_method" : "file_magic \(.*\)"`
 +        MAGIC_CMD="$lt_cv_path_MAGIC_CMD"
 +        if eval $file_magic_cmd \$file_magic_test_file 2> /dev/null |
 +          $EGREP "$file_magic_regex" > /dev/null; then
 +          :
 +        else
 +          cat <<_LT_EOF 1>&2
 +
 +*** Warning: the command libtool uses to detect shared libraries,
 +*** $file_magic_cmd, produces output that libtool cannot recognize.
 +*** The result is that libtool may fail to recognize shared libraries
 +*** as such.  This will affect the creation of libtool libraries that
 +*** depend on shared libraries, but programs linked with such libtool
 +*** libraries will work regardless of this problem.  Nevertheless, you
 +*** may want to report the problem to your system manager and/or to
 +*** bug-libtool@gnu.org
 +
 +_LT_EOF
 +        fi ;;
 +      esac
 +      fi
 +      break
 +    fi
 +  done
 +  IFS="$lt_save_ifs"
 +  MAGIC_CMD="$lt_save_MAGIC_CMD"
 +  ;;
 +esac
 +fi
 +
 +MAGIC_CMD="$lt_cv_path_MAGIC_CMD"
 +if test -n "$MAGIC_CMD"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $MAGIC_CMD" >&5
 +$as_echo "$MAGIC_CMD" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  else
 +    MAGIC_CMD=:
 +  fi
 +fi
 +
 +  fi
 +  ;;
 +esac
 +
 +# Use C for the default configuration in the libtool script
 +
 +lt_save_CC="$CC"
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +# Source file extension for C test sources.
 +ac_ext=c
 +
 +# Object file extension for compiled C test sources.
 +objext=o
 +objext=$objext
 +
 +# Code to be used in simple compile tests
 +lt_simple_compile_test_code="int some_variable = 0;"
 +
 +# Code to be used in simple link tests
 +lt_simple_link_test_code='int main(){return(0);}'
 +
 +
 +
 +
 +
 +
 +
 +# If no C compiler was specified, use CC.
 +LTCC=${LTCC-"$CC"}
 +
 +# If no C compiler flags were specified, use CFLAGS.
 +LTCFLAGS=${LTCFLAGS-"$CFLAGS"}
 +
 +# Allow CC to be a program name with arguments.
 +compiler=$CC
 +
 +# Save the default compiler, since it gets overwritten when the other
 +# tags are being tested, and _LT_TAGVAR(compiler, []) is a NOP.
 +compiler_DEFAULT=$CC
 +
 +# save warnings/boilerplate of simple test code
 +ac_outfile=conftest.$ac_objext
 +echo "$lt_simple_compile_test_code" >conftest.$ac_ext
 +eval "$ac_compile" 2>&1 >/dev/null | $SED '/^$/d; /^ *+/d' >conftest.err
 +_lt_compiler_boilerplate=`cat conftest.err`
 +$RM conftest*
 +
 +ac_outfile=conftest.$ac_objext
 +echo "$lt_simple_link_test_code" >conftest.$ac_ext
 +eval "$ac_link" 2>&1 >/dev/null | $SED '/^$/d; /^ *+/d' >conftest.err
 +_lt_linker_boilerplate=`cat conftest.err`
 +$RM -r conftest*
 +
 +
 +if test -n "$compiler"; then
 +
 +lt_prog_compiler_no_builtin_flag=
 +
 +if test "$GCC" = yes; then
 +  case $cc_basename in
 +  nvcc*)
 +    lt_prog_compiler_no_builtin_flag=' -Xcompiler -fno-builtin' ;;
 +  *)
 +    lt_prog_compiler_no_builtin_flag=' -fno-builtin' ;;
 +  esac
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $compiler supports -fno-rtti -fno-exceptions" >&5
 +$as_echo_n "checking if $compiler supports -fno-rtti -fno-exceptions... " >&6; }
 +if ${lt_cv_prog_compiler_rtti_exceptions+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_rtti_exceptions=no
 +   ac_outfile=conftest.$ac_objext
 +   echo "$lt_simple_compile_test_code" > conftest.$ac_ext
 +   lt_compiler_flag="-fno-rtti -fno-exceptions"
 +   # Insert the option either (1) after the last *FLAGS variable, or
 +   # (2) before a word containing "conftest.", or (3) at the end.
 +   # Note that $ac_compile itself does not contain backslashes and begins
 +   # with a dollar sign (not a hyphen), so the echo should work correctly.
 +   # The option is referenced via a variable to avoid confusing sed.
 +   lt_compile=`echo "$ac_compile" | $SED \
 +   -e 's:.*FLAGS}\{0,1\} :&$lt_compiler_flag :; t' \
 +   -e 's: [^ ]*conftest\.: $lt_compiler_flag&:; t' \
 +   -e 's:$: $lt_compiler_flag:'`
 +   (eval echo "\"\$as_me:$LINENO: $lt_compile\"" >&5)
 +   (eval "$lt_compile" 2>conftest.err)
 +   ac_status=$?
 +   cat conftest.err >&5
 +   echo "$as_me:$LINENO: \$? = $ac_status" >&5
 +   if (exit $ac_status) && test -s "$ac_outfile"; then
 +     # The compiler can only warn and ignore the option if not recognized
 +     # So say no if there are warnings other than the usual output.
 +     $ECHO "$_lt_compiler_boilerplate" | $SED '/^$/d' >conftest.exp
 +     $SED '/^$/d; /^ *+/d' conftest.err >conftest.er2
 +     if test ! -s conftest.er2 || diff conftest.exp conftest.er2 >/dev/null; then
 +       lt_cv_prog_compiler_rtti_exceptions=yes
 +     fi
 +   fi
 +   $RM conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_rtti_exceptions" >&5
 +$as_echo "$lt_cv_prog_compiler_rtti_exceptions" >&6; }
 +
 +if test x"$lt_cv_prog_compiler_rtti_exceptions" = xyes; then
 +    lt_prog_compiler_no_builtin_flag="$lt_prog_compiler_no_builtin_flag -fno-rtti -fno-exceptions"
 +else
 +    :
 +fi
 +
 +fi
 +
 +
 +
 +
 +
 +
 +  lt_prog_compiler_wl=
 +lt_prog_compiler_pic=
 +lt_prog_compiler_static=
 +
 +
 +  if test "$GCC" = yes; then
 +    lt_prog_compiler_wl='-Wl,'
 +    lt_prog_compiler_static='-static'
 +
 +    case $host_os in
 +      aix*)
 +      # All AIX code is PIC.
 +      if test "$host_cpu" = ia64; then
 +      # AIX 5 now supports IA64 processor
 +      lt_prog_compiler_static='-Bstatic'
 +      fi
 +      ;;
 +
 +    amigaos*)
 +      case $host_cpu in
 +      powerpc)
 +            # see comment about AmigaOS4 .so support
 +            lt_prog_compiler_pic='-fPIC'
 +        ;;
 +      m68k)
 +            # FIXME: we need at least 68020 code to build shared libraries, but
 +            # adding the `-m68020' flag to GCC prevents building anything better,
 +            # like `-m68040'.
 +            lt_prog_compiler_pic='-m68020 -resident32 -malways-restore-a4'
 +        ;;
 +      esac
 +      ;;
 +
 +    beos* | irix5* | irix6* | nonstopux* | osf3* | osf4* | osf5*)
 +      # PIC is the default for these OSes.
 +      ;;
 +
 +    mingw* | cygwin* | pw32* | os2* | cegcc*)
 +      # This hack is so that the source file can tell whether it is being
 +      # built for inclusion in a dll (and should export symbols for example).
 +      # Although the cygwin gcc ignores -fPIC, still need this for old-style
 +      # (--disable-auto-import) libraries
 +      lt_prog_compiler_pic='-DDLL_EXPORT'
 +      ;;
 +
 +    darwin* | rhapsody*)
 +      # PIC is the default on this platform
 +      # Common symbols not allowed in MH_DYLIB files
 +      lt_prog_compiler_pic='-fno-common'
 +      ;;
 +
 +    haiku*)
 +      # PIC is the default for Haiku.
 +      # The "-static" flag exists, but is broken.
 +      lt_prog_compiler_static=
 +      ;;
 +
 +    hpux*)
 +      # PIC is the default for 64-bit PA HP-UX, but not for 32-bit
 +      # PA HP-UX.  On IA64 HP-UX, PIC is the default but the pic flag
 +      # sets the default TLS model and affects inlining.
 +      case $host_cpu in
 +      hppa*64*)
 +      # +Z the default
 +      ;;
 +      *)
 +      lt_prog_compiler_pic='-fPIC'
 +      ;;
 +      esac
 +      ;;
 +
 +    interix[3-9]*)
 +      # Interix 3.x gcc -fpic/-fPIC options generate broken code.
 +      # Instead, we relocate shared libraries at runtime.
 +      ;;
 +
 +    msdosdjgpp*)
 +      # Just because we use GCC doesn't mean we suddenly get shared libraries
 +      # on systems that don't support them.
 +      lt_prog_compiler_can_build_shared=no
 +      enable_shared=no
 +      ;;
 +
 +    *nto* | *qnx*)
 +      # QNX uses GNU C++, but need to define -shared option too, otherwise
 +      # it will coredump.
 +      lt_prog_compiler_pic='-fPIC -shared'
 +      ;;
 +
 +    sysv4*MP*)
 +      if test -d /usr/nec; then
 +      lt_prog_compiler_pic=-Kconform_pic
 +      fi
 +      ;;
 +
 +    *)
 +      lt_prog_compiler_pic='-fPIC'
 +      ;;
 +    esac
 +
 +    case $cc_basename in
 +    nvcc*) # Cuda Compiler Driver 2.2
 +      lt_prog_compiler_wl='-Xlinker '
 +      if test -n "$lt_prog_compiler_pic"; then
 +        lt_prog_compiler_pic="-Xcompiler $lt_prog_compiler_pic"
 +      fi
 +      ;;
 +    esac
 +  else
 +    # PORTME Check for flag to pass linker flags through the system compiler.
 +    case $host_os in
 +    aix*)
 +      lt_prog_compiler_wl='-Wl,'
 +      if test "$host_cpu" = ia64; then
 +      # AIX 5 now supports IA64 processor
 +      lt_prog_compiler_static='-Bstatic'
 +      else
 +      lt_prog_compiler_static='-bnso -bI:/lib/syscalls.exp'
 +      fi
 +      ;;
 +
 +    mingw* | cygwin* | pw32* | os2* | cegcc*)
 +      # This hack is so that the source file can tell whether it is being
 +      # built for inclusion in a dll (and should export symbols for example).
 +      lt_prog_compiler_pic='-DDLL_EXPORT'
 +      ;;
 +
 +    hpux9* | hpux10* | hpux11*)
 +      lt_prog_compiler_wl='-Wl,'
 +      # PIC is the default for IA64 HP-UX and 64-bit HP-UX, but
 +      # not for PA HP-UX.
 +      case $host_cpu in
 +      hppa*64*|ia64*)
 +      # +Z the default
 +      ;;
 +      *)
 +      lt_prog_compiler_pic='+Z'
 +      ;;
 +      esac
 +      # Is there a better lt_prog_compiler_static that works with the bundled CC?
 +      lt_prog_compiler_static='${wl}-a ${wl}archive'
 +      ;;
 +
 +    irix5* | irix6* | nonstopux*)
 +      lt_prog_compiler_wl='-Wl,'
 +      # PIC (with -KPIC) is the default.
 +      lt_prog_compiler_static='-non_shared'
 +      ;;
 +
 +    linux* | k*bsd*-gnu | kopensolaris*-gnu)
 +      case $cc_basename in
 +      # old Intel for x86_64 which still supported -KPIC.
 +      ecc*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-KPIC'
 +      lt_prog_compiler_static='-static'
 +        ;;
 +      # icc used to be incompatible with GCC.
 +      # ICC 10 doesn't accept -KPIC any more.
 +      icc* | ifort*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-fPIC'
 +      lt_prog_compiler_static='-static'
 +        ;;
 +      # Lahey Fortran 8.1.
 +      lf95*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='--shared'
 +      lt_prog_compiler_static='--static'
 +      ;;
 +      nagfor*)
 +      # NAG Fortran compiler
 +      lt_prog_compiler_wl='-Wl,-Wl,,'
 +      lt_prog_compiler_pic='-PIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +      pgcc* | pgf77* | pgf90* | pgf95* | pgfortran*)
 +        # Portland Group compilers (*not* the Pentium gcc compiler,
 +      # which looks to be a dead project)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-fpic'
 +      lt_prog_compiler_static='-Bstatic'
 +        ;;
 +      ccc*)
 +        lt_prog_compiler_wl='-Wl,'
 +        # All Alpha code is PIC.
 +        lt_prog_compiler_static='-non_shared'
 +        ;;
 +      xl* | bgxl* | bgf* | mpixl*)
 +      # IBM XL C 8.0/Fortran 10.1, 11.1 on PPC and BlueGene
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-qpic'
 +      lt_prog_compiler_static='-qstaticlink'
 +      ;;
 +      *)
 +      case `$CC -V 2>&1 | sed 5q` in
 +      *Sun\ Ceres\ Fortran* | *Sun*Fortran*\ [1-7].* | *Sun*Fortran*\ 8.[0-3]*)
 +        # Sun Fortran 8.3 passes all unrecognized flags to the linker
 +        lt_prog_compiler_pic='-KPIC'
 +        lt_prog_compiler_static='-Bstatic'
 +        lt_prog_compiler_wl=''
 +        ;;
 +      *Sun\ F* | *Sun*Fortran*)
 +        lt_prog_compiler_pic='-KPIC'
 +        lt_prog_compiler_static='-Bstatic'
 +        lt_prog_compiler_wl='-Qoption ld '
 +        ;;
 +      *Sun\ C*)
 +        # Sun C 5.9
 +        lt_prog_compiler_pic='-KPIC'
 +        lt_prog_compiler_static='-Bstatic'
 +        lt_prog_compiler_wl='-Wl,'
 +        ;;
 +        *Intel*\ [CF]*Compiler*)
 +        lt_prog_compiler_wl='-Wl,'
 +        lt_prog_compiler_pic='-fPIC'
 +        lt_prog_compiler_static='-static'
 +        ;;
 +      *Portland\ Group*)
 +        lt_prog_compiler_wl='-Wl,'
 +        lt_prog_compiler_pic='-fpic'
 +        lt_prog_compiler_static='-Bstatic'
 +        ;;
 +      esac
 +      ;;
 +      esac
 +      ;;
 +
 +    newsos6)
 +      lt_prog_compiler_pic='-KPIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +
 +    *nto* | *qnx*)
 +      # QNX uses GNU C++, but need to define -shared option too, otherwise
 +      # it will coredump.
 +      lt_prog_compiler_pic='-fPIC -shared'
 +      ;;
 +
 +    osf3* | osf4* | osf5*)
 +      lt_prog_compiler_wl='-Wl,'
 +      # All OSF/1 code is PIC.
 +      lt_prog_compiler_static='-non_shared'
 +      ;;
 +
 +    rdos*)
 +      lt_prog_compiler_static='-non_shared'
 +      ;;
 +
 +    solaris*)
 +      lt_prog_compiler_pic='-KPIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      case $cc_basename in
 +      f77* | f90* | f95* | sunf77* | sunf90* | sunf95*)
 +      lt_prog_compiler_wl='-Qoption ld ';;
 +      *)
 +      lt_prog_compiler_wl='-Wl,';;
 +      esac
 +      ;;
 +
 +    sunos4*)
 +      lt_prog_compiler_wl='-Qoption ld '
 +      lt_prog_compiler_pic='-PIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +
 +    sysv4 | sysv4.2uw2* | sysv4.3*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-KPIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +
 +    sysv4*MP*)
 +      if test -d /usr/nec ;then
 +      lt_prog_compiler_pic='-Kconform_pic'
 +      lt_prog_compiler_static='-Bstatic'
 +      fi
 +      ;;
 +
 +    sysv5* | unixware* | sco3.2v5* | sco5v6* | OpenUNIX*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_pic='-KPIC'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +
 +    unicos*)
 +      lt_prog_compiler_wl='-Wl,'
 +      lt_prog_compiler_can_build_shared=no
 +      ;;
 +
 +    uts4*)
 +      lt_prog_compiler_pic='-pic'
 +      lt_prog_compiler_static='-Bstatic'
 +      ;;
 +
 +    *)
 +      lt_prog_compiler_can_build_shared=no
 +      ;;
 +    esac
 +  fi
 +
 +case $host_os in
 +  # For platforms which do not support PIC, -DPIC is meaningless:
 +  *djgpp*)
 +    lt_prog_compiler_pic=
 +    ;;
 +  *)
 +    lt_prog_compiler_pic="$lt_prog_compiler_pic -DPIC"
 +    ;;
 +esac
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $compiler option to produce PIC" >&5
 +$as_echo_n "checking for $compiler option to produce PIC... " >&6; }
 +if ${lt_cv_prog_compiler_pic+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_pic=$lt_prog_compiler_pic
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_pic" >&5
 +$as_echo "$lt_cv_prog_compiler_pic" >&6; }
 +lt_prog_compiler_pic=$lt_cv_prog_compiler_pic
 +
 +#
 +# Check to make sure the PIC flag actually works.
 +#
 +if test -n "$lt_prog_compiler_pic"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $compiler PIC flag $lt_prog_compiler_pic works" >&5
 +$as_echo_n "checking if $compiler PIC flag $lt_prog_compiler_pic works... " >&6; }
 +if ${lt_cv_prog_compiler_pic_works+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_pic_works=no
 +   ac_outfile=conftest.$ac_objext
 +   echo "$lt_simple_compile_test_code" > conftest.$ac_ext
 +   lt_compiler_flag="$lt_prog_compiler_pic -DPIC"
 +   # Insert the option either (1) after the last *FLAGS variable, or
 +   # (2) before a word containing "conftest.", or (3) at the end.
 +   # Note that $ac_compile itself does not contain backslashes and begins
 +   # with a dollar sign (not a hyphen), so the echo should work correctly.
 +   # The option is referenced via a variable to avoid confusing sed.
 +   lt_compile=`echo "$ac_compile" | $SED \
 +   -e 's:.*FLAGS}\{0,1\} :&$lt_compiler_flag :; t' \
 +   -e 's: [^ ]*conftest\.: $lt_compiler_flag&:; t' \
 +   -e 's:$: $lt_compiler_flag:'`
 +   (eval echo "\"\$as_me:$LINENO: $lt_compile\"" >&5)
 +   (eval "$lt_compile" 2>conftest.err)
 +   ac_status=$?
 +   cat conftest.err >&5
 +   echo "$as_me:$LINENO: \$? = $ac_status" >&5
 +   if (exit $ac_status) && test -s "$ac_outfile"; then
 +     # The compiler can only warn and ignore the option if not recognized
 +     # So say no if there are warnings other than the usual output.
 +     $ECHO "$_lt_compiler_boilerplate" | $SED '/^$/d' >conftest.exp
 +     $SED '/^$/d; /^ *+/d' conftest.err >conftest.er2
 +     if test ! -s conftest.er2 || diff conftest.exp conftest.er2 >/dev/null; then
 +       lt_cv_prog_compiler_pic_works=yes
 +     fi
 +   fi
 +   $RM conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_pic_works" >&5
 +$as_echo "$lt_cv_prog_compiler_pic_works" >&6; }
 +
 +if test x"$lt_cv_prog_compiler_pic_works" = xyes; then
 +    case $lt_prog_compiler_pic in
 +     "" | " "*) ;;
 +     *) lt_prog_compiler_pic=" $lt_prog_compiler_pic" ;;
 +     esac
 +else
 +    lt_prog_compiler_pic=
 +     lt_prog_compiler_can_build_shared=no
 +fi
 +
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +#
 +# Check to make sure the static flag actually works.
 +#
 +wl=$lt_prog_compiler_wl eval lt_tmp_static_flag=\"$lt_prog_compiler_static\"
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if $compiler static flag $lt_tmp_static_flag works" >&5
 +$as_echo_n "checking if $compiler static flag $lt_tmp_static_flag works... " >&6; }
 +if ${lt_cv_prog_compiler_static_works+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_static_works=no
 +   save_LDFLAGS="$LDFLAGS"
 +   LDFLAGS="$LDFLAGS $lt_tmp_static_flag"
 +   echo "$lt_simple_link_test_code" > conftest.$ac_ext
 +   if (eval $ac_link 2>conftest.err) && test -s conftest$ac_exeext; then
 +     # The linker can only warn and ignore the option if not recognized
 +     # So say no if there are warnings
 +     if test -s conftest.err; then
 +       # Append any errors to the config.log.
 +       cat conftest.err 1>&5
 +       $ECHO "$_lt_linker_boilerplate" | $SED '/^$/d' > conftest.exp
 +       $SED '/^$/d; /^ *+/d' conftest.err >conftest.er2
 +       if diff conftest.exp conftest.er2 >/dev/null; then
 +         lt_cv_prog_compiler_static_works=yes
 +       fi
 +     else
 +       lt_cv_prog_compiler_static_works=yes
 +     fi
 +   fi
 +   $RM -r conftest*
 +   LDFLAGS="$save_LDFLAGS"
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_static_works" >&5
 +$as_echo "$lt_cv_prog_compiler_static_works" >&6; }
 +
 +if test x"$lt_cv_prog_compiler_static_works" = xyes; then
 +    :
 +else
 +    lt_prog_compiler_static=
 +fi
 +
 +
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $compiler supports -c -o file.$ac_objext" >&5
 +$as_echo_n "checking if $compiler supports -c -o file.$ac_objext... " >&6; }
 +if ${lt_cv_prog_compiler_c_o+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_c_o=no
 +   $RM -r conftest 2>/dev/null
 +   mkdir conftest
 +   cd conftest
 +   mkdir out
 +   echo "$lt_simple_compile_test_code" > conftest.$ac_ext
 +
 +   lt_compiler_flag="-o out/conftest2.$ac_objext"
 +   # Insert the option either (1) after the last *FLAGS variable, or
 +   # (2) before a word containing "conftest.", or (3) at the end.
 +   # Note that $ac_compile itself does not contain backslashes and begins
 +   # with a dollar sign (not a hyphen), so the echo should work correctly.
 +   lt_compile=`echo "$ac_compile" | $SED \
 +   -e 's:.*FLAGS}\{0,1\} :&$lt_compiler_flag :; t' \
 +   -e 's: [^ ]*conftest\.: $lt_compiler_flag&:; t' \
 +   -e 's:$: $lt_compiler_flag:'`
 +   (eval echo "\"\$as_me:$LINENO: $lt_compile\"" >&5)
 +   (eval "$lt_compile" 2>out/conftest.err)
 +   ac_status=$?
 +   cat out/conftest.err >&5
 +   echo "$as_me:$LINENO: \$? = $ac_status" >&5
 +   if (exit $ac_status) && test -s out/conftest2.$ac_objext
 +   then
 +     # The compiler can only warn and ignore the option if not recognized
 +     # So say no if there are warnings
 +     $ECHO "$_lt_compiler_boilerplate" | $SED '/^$/d' > out/conftest.exp
 +     $SED '/^$/d; /^ *+/d' out/conftest.err >out/conftest.er2
 +     if test ! -s out/conftest.er2 || diff out/conftest.exp out/conftest.er2 >/dev/null; then
 +       lt_cv_prog_compiler_c_o=yes
 +     fi
 +   fi
 +   chmod u+w . 2>&5
 +   $RM conftest*
 +   # SGI C++ compiler will create directory out/ii_files/ for
 +   # template instantiation
 +   test -d out/ii_files && $RM out/ii_files/* && rmdir out/ii_files
 +   $RM out/* && rmdir out
 +   cd ..
 +   $RM -r conftest
 +   $RM conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_c_o" >&5
 +$as_echo "$lt_cv_prog_compiler_c_o" >&6; }
 +
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $compiler supports -c -o file.$ac_objext" >&5
 +$as_echo_n "checking if $compiler supports -c -o file.$ac_objext... " >&6; }
 +if ${lt_cv_prog_compiler_c_o+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler_c_o=no
 +   $RM -r conftest 2>/dev/null
 +   mkdir conftest
 +   cd conftest
 +   mkdir out
 +   echo "$lt_simple_compile_test_code" > conftest.$ac_ext
 +
 +   lt_compiler_flag="-o out/conftest2.$ac_objext"
 +   # Insert the option either (1) after the last *FLAGS variable, or
 +   # (2) before a word containing "conftest.", or (3) at the end.
 +   # Note that $ac_compile itself does not contain backslashes and begins
 +   # with a dollar sign (not a hyphen), so the echo should work correctly.
 +   lt_compile=`echo "$ac_compile" | $SED \
 +   -e 's:.*FLAGS}\{0,1\} :&$lt_compiler_flag :; t' \
 +   -e 's: [^ ]*conftest\.: $lt_compiler_flag&:; t' \
 +   -e 's:$: $lt_compiler_flag:'`
 +   (eval echo "\"\$as_me:$LINENO: $lt_compile\"" >&5)
 +   (eval "$lt_compile" 2>out/conftest.err)
 +   ac_status=$?
 +   cat out/conftest.err >&5
 +   echo "$as_me:$LINENO: \$? = $ac_status" >&5
 +   if (exit $ac_status) && test -s out/conftest2.$ac_objext
 +   then
 +     # The compiler can only warn and ignore the option if not recognized
 +     # So say no if there are warnings
 +     $ECHO "$_lt_compiler_boilerplate" | $SED '/^$/d' > out/conftest.exp
 +     $SED '/^$/d; /^ *+/d' out/conftest.err >out/conftest.er2
 +     if test ! -s out/conftest.er2 || diff out/conftest.exp out/conftest.er2 >/dev/null; then
 +       lt_cv_prog_compiler_c_o=yes
 +     fi
 +   fi
 +   chmod u+w . 2>&5
 +   $RM conftest*
 +   # SGI C++ compiler will create directory out/ii_files/ for
 +   # template instantiation
 +   test -d out/ii_files && $RM out/ii_files/* && rmdir out/ii_files
 +   $RM out/* && rmdir out
 +   cd ..
 +   $RM -r conftest
 +   $RM conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler_c_o" >&5
 +$as_echo "$lt_cv_prog_compiler_c_o" >&6; }
 +
 +
 +
 +
 +hard_links="nottested"
 +if test "$lt_cv_prog_compiler_c_o" = no && test "$need_locks" != no; then
 +  # do not overwrite the value of need_locks provided by the user
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if we can lock with hard links" >&5
 +$as_echo_n "checking if we can lock with hard links... " >&6; }
 +  hard_links=yes
 +  $RM conftest*
 +  ln conftest.a conftest.b 2>/dev/null && hard_links=no
 +  touch conftest.a
 +  ln conftest.a conftest.b 2>&5 || hard_links=no
 +  ln conftest.a conftest.b 2>/dev/null && hard_links=no
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $hard_links" >&5
 +$as_echo "$hard_links" >&6; }
 +  if test "$hard_links" = no; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: \`$CC' does not support \`-c -o', so \`make -j' may be unsafe" >&5
 +$as_echo "$as_me: WARNING: \`$CC' does not support \`-c -o', so \`make -j' may be unsafe" >&2;}
 +    need_locks=warn
 +  fi
 +else
 +  need_locks=no
 +fi
 +
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the $compiler linker ($LD) supports shared libraries" >&5
 +$as_echo_n "checking whether the $compiler linker ($LD) supports shared libraries... " >&6; }
 +
 +  runpath_var=
 +  allow_undefined_flag=
 +  always_export_symbols=no
 +  archive_cmds=
 +  archive_expsym_cmds=
 +  compiler_needs_object=no
 +  enable_shared_with_static_runtimes=no
 +  export_dynamic_flag_spec=
 +  export_symbols_cmds='$NM $libobjs $convenience | $global_symbol_pipe | $SED '\''s/.* //'\'' | sort | uniq > $export_symbols'
 +  hardcode_automatic=no
 +  hardcode_direct=no
 +  hardcode_direct_absolute=no
 +  hardcode_libdir_flag_spec=
 +  hardcode_libdir_separator=
 +  hardcode_minus_L=no
 +  hardcode_shlibpath_var=unsupported
 +  inherit_rpath=no
 +  link_all_deplibs=unknown
 +  module_cmds=
 +  module_expsym_cmds=
 +  old_archive_from_new_cmds=
 +  old_archive_from_expsyms_cmds=
 +  thread_safe_flag_spec=
 +  whole_archive_flag_spec=
 +  # include_expsyms should be a list of space-separated symbols to be *always*
 +  # included in the symbol list
 +  include_expsyms=
 +  # exclude_expsyms can be an extended regexp of symbols to exclude
 +  # it will be wrapped by ` (' and `)$', so one must not match beginning or
 +  # end of line.  Example: `a|bc|.*d.*' will exclude the symbols `a' and `bc',
 +  # as well as any symbol that contains `d'.
 +  exclude_expsyms='_GLOBAL_OFFSET_TABLE_|_GLOBAL__F[ID]_.*'
 +  # Although _GLOBAL_OFFSET_TABLE_ is a valid symbol C name, most a.out
 +  # platforms (ab)use it in PIC code, but their linkers get confused if
 +  # the symbol is explicitly referenced.  Since portable code cannot
 +  # rely on this symbol name, it's probably fine to never include it in
 +  # preloaded symbol tables.
 +  # Exclude shared library initialization/finalization symbols.
 +  extract_expsyms_cmds=
 +
 +  case $host_os in
 +  cygwin* | mingw* | pw32* | cegcc*)
 +    # FIXME: the MSVC++ port hasn't been tested in a loooong time
 +    # When not using gcc, we currently assume that we are using
 +    # Microsoft Visual C++.
 +    if test "$GCC" != yes; then
 +      with_gnu_ld=no
 +    fi
 +    ;;
 +  interix*)
 +    # we just hope/assume this is gcc and not c89 (= MSVC++)
 +    with_gnu_ld=yes
 +    ;;
 +  openbsd*)
 +    with_gnu_ld=no
 +    ;;
 +  esac
 +
 +  ld_shlibs=yes
 +
 +  # On some targets, GNU ld is compatible enough with the native linker
 +  # that we're better off using the native interface for both.
 +  lt_use_gnu_ld_interface=no
 +  if test "$with_gnu_ld" = yes; then
 +    case $host_os in
 +      aix*)
 +      # The AIX port of GNU ld has always aspired to compatibility
 +      # with the native linker.  However, as the warning in the GNU ld
 +      # block says, versions before 2.19.5* couldn't really create working
 +      # shared libraries, regardless of the interface used.
 +      case `$LD -v 2>&1` in
 +        *\ \(GNU\ Binutils\)\ 2.19.5*) ;;
 +        *\ \(GNU\ Binutils\)\ 2.[2-9]*) ;;
 +        *\ \(GNU\ Binutils\)\ [3-9]*) ;;
 +        *)
 +          lt_use_gnu_ld_interface=yes
 +          ;;
 +      esac
 +      ;;
 +      *)
 +      lt_use_gnu_ld_interface=yes
 +      ;;
 +    esac
 +  fi
 +
 +  if test "$lt_use_gnu_ld_interface" = yes; then
 +    # If archive_cmds runs LD, not CC, wlarc should be empty
 +    wlarc='${wl}'
 +
 +    # Set some defaults for GNU ld with shared library support. These
 +    # are reset later if shared libraries are not supported. Putting them
 +    # here allows them to be overridden if necessary.
 +    runpath_var=LD_RUN_PATH
 +    hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +    export_dynamic_flag_spec='${wl}--export-dynamic'
 +    # ancient GNU ld didn't support --whole-archive et. al.
 +    if $LD --help 2>&1 | $GREP 'no-whole-archive' > /dev/null; then
 +      whole_archive_flag_spec="$wlarc"'--whole-archive$convenience '"$wlarc"'--no-whole-archive'
 +    else
 +      whole_archive_flag_spec=
 +    fi
 +    supports_anon_versioning=no
 +    case `$LD -v 2>&1` in
 +      *GNU\ gold*) supports_anon_versioning=yes ;;
 +      *\ [01].* | *\ 2.[0-9].* | *\ 2.10.*) ;; # catch versions < 2.11
 +      *\ 2.11.93.0.2\ *) supports_anon_versioning=yes ;; # RH7.3 ...
 +      *\ 2.11.92.0.12\ *) supports_anon_versioning=yes ;; # Mandrake 8.2 ...
 +      *\ 2.11.*) ;; # other 2.11 versions
 +      *) supports_anon_versioning=yes ;;
 +    esac
 +
 +    # See if GNU ld supports shared libraries.
 +    case $host_os in
 +    aix[3-9]*)
 +      # On AIX/PPC, the GNU linker is very broken
 +      if test "$host_cpu" != ia64; then
 +      ld_shlibs=no
 +      cat <<_LT_EOF 1>&2
 +
 +*** Warning: the GNU linker, at least up to release 2.19, is reported
 +*** to be unable to reliably create shared libraries on AIX.
 +*** Therefore, libtool is disabling shared libraries support.  If you
 +*** really care for shared libraries, you may want to install binutils
 +*** 2.20 or above, or modify your PATH so that a non-GNU linker is found.
 +*** You will then need to restart the configuration process.
 +
 +_LT_EOF
 +      fi
 +      ;;
 +
 +    amigaos*)
 +      case $host_cpu in
 +      powerpc)
 +            # see comment about AmigaOS4 .so support
 +            archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +            archive_expsym_cmds=''
 +        ;;
 +      m68k)
 +            archive_cmds='$RM $output_objdir/a2ixlibrary.data~$ECHO "#define NAME $libname" > $output_objdir/a2ixlibrary.data~$ECHO "#define LIBRARY_ID 1" >> $output_objdir/a2ixlibrary.data~$ECHO "#define VERSION $major" >> $output_objdir/a2ixlibrary.data~$ECHO "#define REVISION $revision" >> $output_objdir/a2ixlibrary.data~$AR $AR_FLAGS $lib $libobjs~$RANLIB $lib~(cd $output_objdir && a2ixlibrary -32)'
 +            hardcode_libdir_flag_spec='-L$libdir'
 +            hardcode_minus_L=yes
 +        ;;
 +      esac
 +      ;;
 +
 +    beos*)
 +      if $LD --help 2>&1 | $GREP ': supported targets:.* elf' > /dev/null; then
 +      allow_undefined_flag=unsupported
 +      # Joseph Beckenbach <jrb3@best.com> says some releases of gcc
 +      # support --undefined.  This deserves some investigation.  FIXME
 +      archive_cmds='$CC -nostart $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +      else
 +      ld_shlibs=no
 +      fi
 +      ;;
 +
 +    cygwin* | mingw* | pw32* | cegcc*)
 +      # _LT_TAGVAR(hardcode_libdir_flag_spec, ) is actually meaningless,
 +      # as there is no search path for DLLs.
 +      hardcode_libdir_flag_spec='-L$libdir'
 +      export_dynamic_flag_spec='${wl}--export-all-symbols'
 +      allow_undefined_flag=unsupported
 +      always_export_symbols=no
 +      enable_shared_with_static_runtimes=yes
 +      export_symbols_cmds='$NM $libobjs $convenience | $global_symbol_pipe | $SED -e '\''/^[BCDGRS][ ]/s/.*[ ]\([^ ]*\)/\1 DATA/;s/^.*[ ]__nm__\([^ ]*\)[ ][^ ]*/\1 DATA/;/^I[ ]/d;/^[AITW][ ]/s/.* //'\'' | sort | uniq > $export_symbols'
 +      exclude_expsyms='[_]+GLOBAL_OFFSET_TABLE_|[_]+GLOBAL__[FID]_.*|[_]+head_[A-Za-z0-9_]+_dll|[A-Za-z0-9_]+_dll_iname'
 +
 +      if $LD --help 2>&1 | $GREP 'auto-import' > /dev/null; then
 +        archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags -o $output_objdir/$soname ${wl}--enable-auto-image-base -Xlinker --out-implib -Xlinker $lib'
 +      # If the export-symbols file already is a .def file (1st line
 +      # is EXPORTS), use it as is; otherwise, prepend...
 +      archive_expsym_cmds='if test "x`$SED 1q $export_symbols`" = xEXPORTS; then
 +        cp $export_symbols $output_objdir/$soname.def;
 +      else
 +        echo EXPORTS > $output_objdir/$soname.def;
 +        cat $export_symbols >> $output_objdir/$soname.def;
 +      fi~
 +      $CC -shared $output_objdir/$soname.def $libobjs $deplibs $compiler_flags -o $output_objdir/$soname ${wl}--enable-auto-image-base -Xlinker --out-implib -Xlinker $lib'
 +      else
 +      ld_shlibs=no
 +      fi
 +      ;;
 +
 +    haiku*)
 +      archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +      link_all_deplibs=yes
 +      ;;
 +
 +    interix[3-9]*)
 +      hardcode_direct=no
 +      hardcode_shlibpath_var=no
 +      hardcode_libdir_flag_spec='${wl}-rpath,$libdir'
 +      export_dynamic_flag_spec='${wl}-E'
 +      # Hack: On Interix 3.x, we cannot compile PIC because of a broken gcc.
 +      # Instead, shared libraries are loaded at an image base (0x10000000 by
 +      # default) and relocated if they conflict, which is a slow very memory
 +      # consuming and fragmenting process.  To avoid this, we pick a random,
 +      # 256 KiB-aligned image base between 0x50000000 and 0x6FFC0000 at link
 +      # time.  Moving up from 0x10000000 also allows more sbrk(2) space.
 +      archive_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-h,$soname ${wl}--image-base,`expr ${RANDOM-$$} % 4096 / 2 \* 262144 + 1342177280` -o $lib'
 +      archive_expsym_cmds='sed "s,^,_," $export_symbols >$output_objdir/$soname.expsym~$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-h,$soname ${wl}--retain-symbols-file,$output_objdir/$soname.expsym ${wl}--image-base,`expr ${RANDOM-$$} % 4096 / 2 \* 262144 + 1342177280` -o $lib'
 +      ;;
 +
 +    gnu* | linux* | tpf* | k*bsd*-gnu | kopensolaris*-gnu)
 +      tmp_diet=no
 +      if test "$host_os" = linux-dietlibc; then
 +      case $cc_basename in
 +        diet\ *) tmp_diet=yes;;       # linux-dietlibc with static linking (!diet-dyn)
 +      esac
 +      fi
 +      if $LD --help 2>&1 | $EGREP ': supported targets:.* elf' > /dev/null \
 +       && test "$tmp_diet" = no
 +      then
 +      tmp_addflag=' $pic_flag'
 +      tmp_sharedflag='-shared'
 +      case $cc_basename,$host_cpu in
 +        pgcc*)                                # Portland Group C compiler
 +        whole_archive_flag_spec='${wl}--whole-archive`for conv in $convenience\"\"; do test  -n \"$conv\" && new_convenience=\"$new_convenience,$conv\"; done; func_echo_all \"$new_convenience\"` ${wl}--no-whole-archive'
 +        tmp_addflag=' $pic_flag'
 +        ;;
 +      pgf77* | pgf90* | pgf95* | pgfortran*)
 +                                      # Portland Group f77 and f90 compilers
 +        whole_archive_flag_spec='${wl}--whole-archive`for conv in $convenience\"\"; do test  -n \"$conv\" && new_convenience=\"$new_convenience,$conv\"; done; func_echo_all \"$new_convenience\"` ${wl}--no-whole-archive'
 +        tmp_addflag=' $pic_flag -Mnomain' ;;
 +      ecc*,ia64* | icc*,ia64*)        # Intel C compiler on ia64
 +        tmp_addflag=' -i_dynamic' ;;
 +      efc*,ia64* | ifort*,ia64*)      # Intel Fortran compiler on ia64
 +        tmp_addflag=' -i_dynamic -nofor_main' ;;
 +      ifc* | ifort*)                  # Intel Fortran compiler
 +        tmp_addflag=' -nofor_main' ;;
 +      lf95*)                          # Lahey Fortran 8.1
 +        whole_archive_flag_spec=
 +        tmp_sharedflag='--shared' ;;
 +      xl[cC]* | bgxl[cC]* | mpixl[cC]*) # IBM XL C 8.0 on PPC (deal with xlf below)
 +        tmp_sharedflag='-qmkshrobj'
 +        tmp_addflag= ;;
 +      nvcc*)  # Cuda Compiler Driver 2.2
 +        whole_archive_flag_spec='${wl}--whole-archive`for conv in $convenience\"\"; do test  -n \"$conv\" && new_convenience=\"$new_convenience,$conv\"; done; func_echo_all \"$new_convenience\"` ${wl}--no-whole-archive'
 +        compiler_needs_object=yes
 +        ;;
 +      esac
 +      case `$CC -V 2>&1 | sed 5q` in
 +      *Sun\ C*)                       # Sun C 5.9
 +        whole_archive_flag_spec='${wl}--whole-archive`new_convenience=; for conv in $convenience\"\"; do test -z \"$conv\" || new_convenience=\"$new_convenience,$conv\"; done; func_echo_all \"$new_convenience\"` ${wl}--no-whole-archive'
 +        compiler_needs_object=yes
 +        tmp_sharedflag='-G' ;;
 +      *Sun\ F*)                       # Sun Fortran 8.3
 +        tmp_sharedflag='-G' ;;
 +      esac
 +      archive_cmds='$CC '"$tmp_sharedflag""$tmp_addflag"' $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +
 +        if test "x$supports_anon_versioning" = xyes; then
 +          archive_expsym_cmds='echo "{ global:" > $output_objdir/$libname.ver~
 +          cat $export_symbols | sed -e "s/\(.*\)/\1;/" >> $output_objdir/$libname.ver~
 +          echo "local: *; };" >> $output_objdir/$libname.ver~
 +          $CC '"$tmp_sharedflag""$tmp_addflag"' $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname ${wl}-version-script ${wl}$output_objdir/$libname.ver -o $lib'
 +        fi
 +
 +      case $cc_basename in
 +      xlf* | bgf* | bgxlf* | mpixlf*)
 +        # IBM XL Fortran 10.1 on PPC cannot create shared libs itself
 +        whole_archive_flag_spec='--whole-archive$convenience --no-whole-archive'
 +        hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +        archive_cmds='$LD -shared $libobjs $deplibs $linker_flags -soname $soname -o $lib'
 +        if test "x$supports_anon_versioning" = xyes; then
 +          archive_expsym_cmds='echo "{ global:" > $output_objdir/$libname.ver~
 +            cat $export_symbols | sed -e "s/\(.*\)/\1;/" >> $output_objdir/$libname.ver~
 +            echo "local: *; };" >> $output_objdir/$libname.ver~
 +            $LD -shared $libobjs $deplibs $linker_flags -soname $soname -version-script $output_objdir/$libname.ver -o $lib'
 +        fi
 +        ;;
 +      esac
 +      else
 +        ld_shlibs=no
 +      fi
 +      ;;
 +
 +    netbsd*)
 +      if echo __ELF__ | $CC -E - | $GREP __ELF__ >/dev/null; then
 +      archive_cmds='$LD -Bshareable $libobjs $deplibs $linker_flags -o $lib'
 +      wlarc=
 +      else
 +      archive_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +      archive_expsym_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname ${wl}-retain-symbols-file $wl$export_symbols -o $lib'
 +      fi
 +      ;;
 +
 +    solaris*)
 +      if $LD -v 2>&1 | $GREP 'BFD 2\.8' > /dev/null; then
 +      ld_shlibs=no
 +      cat <<_LT_EOF 1>&2
 +
 +*** Warning: The releases 2.8.* of the GNU linker cannot reliably
 +*** create shared libraries on Solaris systems.  Therefore, libtool
 +*** is disabling shared libraries support.  We urge you to upgrade GNU
 +*** binutils to release 2.9.1 or newer.  Another option is to modify
 +*** your PATH or compiler configuration so that the native linker is
 +*** used, and then restart.
 +
 +_LT_EOF
 +      elif $LD --help 2>&1 | $GREP ': supported targets:.* elf' > /dev/null; then
 +      archive_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +      archive_expsym_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname ${wl}-retain-symbols-file $wl$export_symbols -o $lib'
 +      else
 +      ld_shlibs=no
 +      fi
 +      ;;
 +
 +    sysv5* | sco3.2v5* | sco5v6* | unixware* | OpenUNIX*)
 +      case `$LD -v 2>&1` in
 +        *\ [01].* | *\ 2.[0-9].* | *\ 2.1[0-5].*)
 +      ld_shlibs=no
 +      cat <<_LT_EOF 1>&2
 +
 +*** Warning: Releases of the GNU linker prior to 2.16.91.0.3 can not
 +*** reliably create shared libraries on SCO systems.  Therefore, libtool
 +*** is disabling shared libraries support.  We urge you to upgrade GNU
 +*** binutils to release 2.16.91.0.3 or newer.  Another option is to modify
 +*** your PATH or compiler configuration so that the native linker is
 +*** used, and then restart.
 +
 +_LT_EOF
 +      ;;
 +      *)
 +        # For security reasons, it is highly recommended that you always
 +        # use absolute paths for naming shared libraries, and exclude the
 +        # DT_RUNPATH tag from executables and libraries.  But doing so
 +        # requires that you compile everything twice, which is a pain.
 +        if $LD --help 2>&1 | $GREP ': supported targets:.* elf' > /dev/null; then
 +          hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +          archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +          archive_expsym_cmds='$CC -shared $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname ${wl}-retain-symbols-file $wl$export_symbols -o $lib'
 +        else
 +          ld_shlibs=no
 +        fi
 +      ;;
 +      esac
 +      ;;
 +
 +    sunos4*)
 +      archive_cmds='$LD -assert pure-text -Bshareable -o $lib $libobjs $deplibs $linker_flags'
 +      wlarc=
 +      hardcode_direct=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    *)
 +      if $LD --help 2>&1 | $GREP ': supported targets:.* elf' > /dev/null; then
 +      archive_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +      archive_expsym_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname ${wl}-retain-symbols-file $wl$export_symbols -o $lib'
 +      else
 +      ld_shlibs=no
 +      fi
 +      ;;
 +    esac
 +
 +    if test "$ld_shlibs" = no; then
 +      runpath_var=
 +      hardcode_libdir_flag_spec=
 +      export_dynamic_flag_spec=
 +      whole_archive_flag_spec=
 +    fi
 +  else
 +    # PORTME fill in a description of your system's linker (not GNU ld)
 +    case $host_os in
 +    aix3*)
 +      allow_undefined_flag=unsupported
 +      always_export_symbols=yes
 +      archive_expsym_cmds='$LD -o $output_objdir/$soname $libobjs $deplibs $linker_flags -bE:$export_symbols -T512 -H512 -bM:SRE~$AR $AR_FLAGS $lib $output_objdir/$soname'
 +      # Note: this linker hardcodes the directories in LIBPATH if there
 +      # are no directories specified by -L.
 +      hardcode_minus_L=yes
 +      if test "$GCC" = yes && test -z "$lt_prog_compiler_static"; then
 +      # Neither direct hardcoding nor static linking is supported with a
 +      # broken collect2.
 +      hardcode_direct=unsupported
 +      fi
 +      ;;
 +
 +    aix[4-9]*)
 +      if test "$host_cpu" = ia64; then
 +      # On IA64, the linker does run time linking by default, so we don't
 +      # have to do anything special.
 +      aix_use_runtimelinking=no
 +      exp_sym_flag='-Bexport'
 +      no_entry_flag=""
 +      else
 +      # If we're using GNU nm, then we don't want the "-C" option.
 +      # -C means demangle to AIX nm, but means don't demangle with GNU nm
 +      # Also, AIX nm treats weak defined symbols like other global
 +      # defined symbols, whereas GNU nm marks them as "W".
 +      if $NM -V 2>&1 | $GREP 'GNU' > /dev/null; then
 +        export_symbols_cmds='$NM -Bpg $libobjs $convenience | awk '\''{ if (((\$ 2 == "T") || (\$ 2 == "D") || (\$ 2 == "B") || (\$ 2 == "W")) && (substr(\$ 3,1,1) != ".")) { print \$ 3 } }'\'' | sort -u > $export_symbols'
 +      else
 +        export_symbols_cmds='$NM -BCpg $libobjs $convenience | awk '\''{ if (((\$ 2 == "T") || (\$ 2 == "D") || (\$ 2 == "B")) && (substr(\$ 3,1,1) != ".")) { print \$ 3 } }'\'' | sort -u > $export_symbols'
 +      fi
 +      aix_use_runtimelinking=no
 +
 +      # Test if we are trying to use run time linking or normal
 +      # AIX style linking. If -brtl is somewhere in LDFLAGS, we
 +      # need to do runtime linking.
 +      case $host_os in aix4.[23]|aix4.[23].*|aix[5-9]*)
 +        for ld_flag in $LDFLAGS; do
 +        if (test $ld_flag = "-brtl" || test $ld_flag = "-Wl,-brtl"); then
 +          aix_use_runtimelinking=yes
 +          break
 +        fi
 +        done
 +        ;;
 +      esac
 +
 +      exp_sym_flag='-bexport'
 +      no_entry_flag='-bnoentry'
 +      fi
 +
 +      # When large executables or shared objects are built, AIX ld can
 +      # have problems creating the table of contents.  If linking a library
 +      # or program results in "error TOC overflow" add -mminimal-toc to
 +      # CXXFLAGS/CFLAGS for g++/gcc.  In the cases where that is not
 +      # enough to fix the problem, add -Wl,-bbigtoc to LDFLAGS.
 +
 +      archive_cmds=''
 +      hardcode_direct=yes
 +      hardcode_direct_absolute=yes
 +      hardcode_libdir_separator=':'
 +      link_all_deplibs=yes
 +      file_list_spec='${wl}-f,'
 +
 +      if test "$GCC" = yes; then
 +      case $host_os in aix4.[012]|aix4.[012].*)
 +      # We only want to do this on AIX 4.2 and lower, the check
 +      # below for broken collect2 doesn't work under 4.3+
 +        collect2name=`${CC} -print-prog-name=collect2`
 +        if test -f "$collect2name" &&
 +         strings "$collect2name" | $GREP resolve_lib_name >/dev/null
 +        then
 +        # We have reworked collect2
 +        :
 +        else
 +        # We have old collect2
 +        hardcode_direct=unsupported
 +        # It fails to find uninstalled libraries when the uninstalled
 +        # path is not listed in the libpath.  Setting hardcode_minus_L
 +        # to unsupported forces relinking
 +        hardcode_minus_L=yes
 +        hardcode_libdir_flag_spec='-L$libdir'
 +        hardcode_libdir_separator=
 +        fi
 +        ;;
 +      esac
 +      shared_flag='-shared'
 +      if test "$aix_use_runtimelinking" = yes; then
 +        shared_flag="$shared_flag "'${wl}-G'
 +      fi
 +      else
 +      # not using gcc
 +      if test "$host_cpu" = ia64; then
 +      # VisualAge C++, Version 5.5 for AIX 5L for IA-64, Beta 3 Release
 +      # chokes on -Wl,-G. The following line is correct:
 +        shared_flag='-G'
 +      else
 +        if test "$aix_use_runtimelinking" = yes; then
 +          shared_flag='${wl}-G'
 +        else
 +          shared_flag='${wl}-bM:SRE'
 +        fi
 +      fi
 +      fi
 +
 +      export_dynamic_flag_spec='${wl}-bexpall'
 +      # It seems that -bexpall does not export symbols beginning with
 +      # underscore (_), so it is better to generate a list of symbols to export.
 +      always_export_symbols=yes
 +      if test "$aix_use_runtimelinking" = yes; then
 +      # Warning - without using the other runtime loading flags (-brtl),
 +      # -berok will link without error, but may produce a broken library.
 +      allow_undefined_flag='-berok'
 +        # Determine the default libpath from the value encoded in an
 +        # empty executable.
 +        if test "${lt_cv_aix_libpath+set}" = set; then
 +  aix_libpath=$lt_cv_aix_libpath
 +else
 +  if ${lt_cv_aix_libpath_+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +  lt_aix_libpath_sed='
 +      /Import File Strings/,/^$/ {
 +        /^0/ {
 +            s/^0  *\([^ ]*\) *$/\1/
 +            p
 +        }
 +      }'
 +  lt_cv_aix_libpath_=`dump -H conftest$ac_exeext 2>/dev/null | $SED -n -e "$lt_aix_libpath_sed"`
 +  # Check for a 64-bit object if we didn't find anything.
 +  if test -z "$lt_cv_aix_libpath_"; then
 +    lt_cv_aix_libpath_=`dump -HX64 conftest$ac_exeext 2>/dev/null | $SED -n -e "$lt_aix_libpath_sed"`
 +  fi
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +  if test -z "$lt_cv_aix_libpath_"; then
 +    lt_cv_aix_libpath_="/usr/lib:/lib"
 +  fi
 +
 +fi
 +
 +  aix_libpath=$lt_cv_aix_libpath_
 +fi
 +
 +        hardcode_libdir_flag_spec='${wl}-blibpath:$libdir:'"$aix_libpath"
 +        archive_expsym_cmds='$CC -o $output_objdir/$soname $libobjs $deplibs '"\${wl}$no_entry_flag"' $compiler_flags `if test "x${allow_undefined_flag}" != "x"; then func_echo_all "${wl}${allow_undefined_flag}"; else :; fi` '"\${wl}$exp_sym_flag:\$export_symbols $shared_flag"
 +      else
 +      if test "$host_cpu" = ia64; then
 +        hardcode_libdir_flag_spec='${wl}-R $libdir:/usr/lib:/lib'
 +        allow_undefined_flag="-z nodefs"
 +        archive_expsym_cmds="\$CC $shared_flag"' -o $output_objdir/$soname $libobjs $deplibs '"\${wl}$no_entry_flag"' $compiler_flags ${wl}${allow_undefined_flag} '"\${wl}$exp_sym_flag:\$export_symbols"
 +      else
 +       # Determine the default libpath from the value encoded in an
 +       # empty executable.
 +       if test "${lt_cv_aix_libpath+set}" = set; then
 +  aix_libpath=$lt_cv_aix_libpath
 +else
 +  if ${lt_cv_aix_libpath_+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +  lt_aix_libpath_sed='
 +      /Import File Strings/,/^$/ {
 +        /^0/ {
 +            s/^0  *\([^ ]*\) *$/\1/
 +            p
 +        }
 +      }'
 +  lt_cv_aix_libpath_=`dump -H conftest$ac_exeext 2>/dev/null | $SED -n -e "$lt_aix_libpath_sed"`
 +  # Check for a 64-bit object if we didn't find anything.
 +  if test -z "$lt_cv_aix_libpath_"; then
 +    lt_cv_aix_libpath_=`dump -HX64 conftest$ac_exeext 2>/dev/null | $SED -n -e "$lt_aix_libpath_sed"`
 +  fi
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +  if test -z "$lt_cv_aix_libpath_"; then
 +    lt_cv_aix_libpath_="/usr/lib:/lib"
 +  fi
 +
 +fi
 +
 +  aix_libpath=$lt_cv_aix_libpath_
 +fi
 +
 +       hardcode_libdir_flag_spec='${wl}-blibpath:$libdir:'"$aix_libpath"
 +        # Warning - without using the other run time loading flags,
 +        # -berok will link without error, but may produce a broken library.
 +        no_undefined_flag=' ${wl}-bernotok'
 +        allow_undefined_flag=' ${wl}-berok'
 +        if test "$with_gnu_ld" = yes; then
 +          # We only use this code for GNU lds that support --whole-archive.
 +          whole_archive_flag_spec='${wl}--whole-archive$convenience ${wl}--no-whole-archive'
 +        else
 +          # Exported symbols can be pulled into shared objects from archives
 +          whole_archive_flag_spec='$convenience'
 +        fi
 +        archive_cmds_need_lc=yes
 +        # This is similar to how AIX traditionally builds its shared libraries.
 +        archive_expsym_cmds="\$CC $shared_flag"' -o $output_objdir/$soname $libobjs $deplibs ${wl}-bnoentry $compiler_flags ${wl}-bE:$export_symbols${allow_undefined_flag}~$AR $AR_FLAGS $output_objdir/$libname$release.a $output_objdir/$soname'
 +      fi
 +      fi
 +      ;;
 +
 +    amigaos*)
 +      case $host_cpu in
 +      powerpc)
 +            # see comment about AmigaOS4 .so support
 +            archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags ${wl}-soname $wl$soname -o $lib'
 +            archive_expsym_cmds=''
 +        ;;
 +      m68k)
 +            archive_cmds='$RM $output_objdir/a2ixlibrary.data~$ECHO "#define NAME $libname" > $output_objdir/a2ixlibrary.data~$ECHO "#define LIBRARY_ID 1" >> $output_objdir/a2ixlibrary.data~$ECHO "#define VERSION $major" >> $output_objdir/a2ixlibrary.data~$ECHO "#define REVISION $revision" >> $output_objdir/a2ixlibrary.data~$AR $AR_FLAGS $lib $libobjs~$RANLIB $lib~(cd $output_objdir && a2ixlibrary -32)'
 +            hardcode_libdir_flag_spec='-L$libdir'
 +            hardcode_minus_L=yes
 +        ;;
 +      esac
 +      ;;
 +
 +    bsdi[45]*)
 +      export_dynamic_flag_spec=-rdynamic
 +      ;;
 +
 +    cygwin* | mingw* | pw32* | cegcc*)
 +      # When not using gcc, we currently assume that we are using
 +      # Microsoft Visual C++.
 +      # hardcode_libdir_flag_spec is actually meaningless, as there is
 +      # no search path for DLLs.
 +      case $cc_basename in
 +      cl*)
 +      # Native MSVC
 +      hardcode_libdir_flag_spec=' '
 +      allow_undefined_flag=unsupported
 +      always_export_symbols=yes
 +      file_list_spec='@'
 +      # Tell ltmain to make .lib files, not .a files.
 +      libext=lib
 +      # Tell ltmain to make .dll files, not .so files.
 +      shrext_cmds=".dll"
 +      # FIXME: Setting linknames here is a bad hack.
 +      archive_cmds='$CC -o $output_objdir/$soname $libobjs $compiler_flags $deplibs -Wl,-dll~linknames='
 +      archive_expsym_cmds='if test "x`$SED 1q $export_symbols`" = xEXPORTS; then
 +          sed -n -e 's/\\\\\\\(.*\\\\\\\)/-link\\\ -EXPORT:\\\\\\\1/' -e '1\\\!p' < $export_symbols > $output_objdir/$soname.exp;
 +        else
 +          sed -e 's/\\\\\\\(.*\\\\\\\)/-link\\\ -EXPORT:\\\\\\\1/' < $export_symbols > $output_objdir/$soname.exp;
 +        fi~
 +        $CC -o $tool_output_objdir$soname $libobjs $compiler_flags $deplibs "@$tool_output_objdir$soname.exp" -Wl,-DLL,-IMPLIB:"$tool_output_objdir$libname.dll.lib"~
 +        linknames='
 +      # The linker will not automatically build a static lib if we build a DLL.
 +      # _LT_TAGVAR(old_archive_from_new_cmds, )='true'
 +      enable_shared_with_static_runtimes=yes
 +      exclude_expsyms='_NULL_IMPORT_DESCRIPTOR|_IMPORT_DESCRIPTOR_.*'
 +      export_symbols_cmds='$NM $libobjs $convenience | $global_symbol_pipe | $SED -e '\''/^[BCDGRS][ ]/s/.*[ ]\([^ ]*\)/\1,DATA/'\'' | $SED -e '\''/^[AITW][ ]/s/.*[ ]//'\'' | sort | uniq > $export_symbols'
 +      # Don't use ranlib
 +      old_postinstall_cmds='chmod 644 $oldlib'
 +      postlink_cmds='lt_outputfile="@OUTPUT@"~
 +        lt_tool_outputfile="@TOOL_OUTPUT@"~
 +        case $lt_outputfile in
 +          *.exe|*.EXE) ;;
 +          *)
 +            lt_outputfile="$lt_outputfile.exe"
 +            lt_tool_outputfile="$lt_tool_outputfile.exe"
 +            ;;
 +        esac~
 +        if test "$MANIFEST_TOOL" != ":" && test -f "$lt_outputfile.manifest"; then
 +          $MANIFEST_TOOL -manifest "$lt_tool_outputfile.manifest" -outputresource:"$lt_tool_outputfile" || exit 1;
 +          $RM "$lt_outputfile.manifest";
 +        fi'
 +      ;;
 +      *)
 +      # Assume MSVC wrapper
 +      hardcode_libdir_flag_spec=' '
 +      allow_undefined_flag=unsupported
 +      # Tell ltmain to make .lib files, not .a files.
 +      libext=lib
 +      # Tell ltmain to make .dll files, not .so files.
 +      shrext_cmds=".dll"
 +      # FIXME: Setting linknames here is a bad hack.
 +      archive_cmds='$CC -o $lib $libobjs $compiler_flags `func_echo_all "$deplibs" | $SED '\''s/ -lc$//'\''` -link -dll~linknames='
 +      # The linker will automatically build a .lib file if we build a DLL.
 +      old_archive_from_new_cmds='true'
 +      # FIXME: Should let the user specify the lib program.
 +      old_archive_cmds='lib -OUT:$oldlib$oldobjs$old_deplibs'
 +      enable_shared_with_static_runtimes=yes
 +      ;;
 +      esac
 +      ;;
 +
 +    darwin* | rhapsody*)
 +
 +
 +  archive_cmds_need_lc=no
 +  hardcode_direct=no
 +  hardcode_automatic=yes
 +  hardcode_shlibpath_var=unsupported
 +  if test "$lt_cv_ld_force_load" = "yes"; then
 +    whole_archive_flag_spec='`for conv in $convenience\"\"; do test  -n \"$conv\" && new_convenience=\"$new_convenience ${wl}-force_load,$conv\"; done; func_echo_all \"$new_convenience\"`'
 +
 +  else
 +    whole_archive_flag_spec=''
 +  fi
 +  link_all_deplibs=yes
 +  allow_undefined_flag="$_lt_dar_allow_undefined"
 +  case $cc_basename in
 +     ifort*) _lt_dar_can_shared=yes ;;
 +     *) _lt_dar_can_shared=$GCC ;;
 +  esac
 +  if test "$_lt_dar_can_shared" = "yes"; then
 +    output_verbose_link_cmd=func_echo_all
 +    archive_cmds="\$CC -dynamiclib \$allow_undefined_flag -o \$lib \$libobjs \$deplibs \$compiler_flags -install_name \$rpath/\$soname \$verstring $_lt_dar_single_mod${_lt_dsymutil}"
 +    module_cmds="\$CC \$allow_undefined_flag -o \$lib -bundle \$libobjs \$deplibs \$compiler_flags${_lt_dsymutil}"
 +    archive_expsym_cmds="sed 's,^,_,' < \$export_symbols > \$output_objdir/\${libname}-symbols.expsym~\$CC -dynamiclib \$allow_undefined_flag -o \$lib \$libobjs \$deplibs \$compiler_flags -install_name \$rpath/\$soname \$verstring ${_lt_dar_single_mod}${_lt_dar_export_syms}${_lt_dsymutil}"
 +    module_expsym_cmds="sed -e 's,^,_,' < \$export_symbols > \$output_objdir/\${libname}-symbols.expsym~\$CC \$allow_undefined_flag -o \$lib -bundle \$libobjs \$deplibs \$compiler_flags${_lt_dar_export_syms}${_lt_dsymutil}"
 +
 +  else
 +  ld_shlibs=no
 +  fi
 +
 +      ;;
 +
 +    dgux*)
 +      archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_libdir_flag_spec='-L$libdir'
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    # FreeBSD 2.2.[012] allows us to include c++rt0.o to get C++ constructor
 +    # support.  Future versions do this automatically, but an explicit c++rt0.o
 +    # does not break anything, and helps significantly (at the cost of a little
 +    # extra space).
 +    freebsd2.2*)
 +      archive_cmds='$LD -Bshareable -o $lib $libobjs $deplibs $linker_flags /usr/lib/c++rt0.o'
 +      hardcode_libdir_flag_spec='-R$libdir'
 +      hardcode_direct=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    # Unfortunately, older versions of FreeBSD 2 do not have this feature.
 +    freebsd2.*)
 +      archive_cmds='$LD -Bshareable -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_direct=yes
 +      hardcode_minus_L=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    # FreeBSD 3 and greater uses gcc -shared to do shared libraries.
 +    freebsd* | dragonfly*)
 +      archive_cmds='$CC -shared $pic_flag -o $lib $libobjs $deplibs $compiler_flags'
 +      hardcode_libdir_flag_spec='-R$libdir'
 +      hardcode_direct=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    hpux9*)
 +      if test "$GCC" = yes; then
 +      archive_cmds='$RM $output_objdir/$soname~$CC -shared $pic_flag ${wl}+b ${wl}$install_libdir -o $output_objdir/$soname $libobjs $deplibs $compiler_flags~test $output_objdir/$soname = $lib || mv $output_objdir/$soname $lib'
 +      else
 +      archive_cmds='$RM $output_objdir/$soname~$LD -b +b $install_libdir -o $output_objdir/$soname $libobjs $deplibs $linker_flags~test $output_objdir/$soname = $lib || mv $output_objdir/$soname $lib'
 +      fi
 +      hardcode_libdir_flag_spec='${wl}+b ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +      hardcode_direct=yes
 +
 +      # hardcode_minus_L: Not really in the search PATH,
 +      # but as the default location of the library.
 +      hardcode_minus_L=yes
 +      export_dynamic_flag_spec='${wl}-E'
 +      ;;
 +
 +    hpux10*)
 +      if test "$GCC" = yes && test "$with_gnu_ld" = no; then
 +      archive_cmds='$CC -shared $pic_flag ${wl}+h ${wl}$soname ${wl}+b ${wl}$install_libdir -o $lib $libobjs $deplibs $compiler_flags'
 +      else
 +      archive_cmds='$LD -b +h $soname +b $install_libdir -o $lib $libobjs $deplibs $linker_flags'
 +      fi
 +      if test "$with_gnu_ld" = no; then
 +      hardcode_libdir_flag_spec='${wl}+b ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +      hardcode_direct=yes
 +      hardcode_direct_absolute=yes
 +      export_dynamic_flag_spec='${wl}-E'
 +      # hardcode_minus_L: Not really in the search PATH,
 +      # but as the default location of the library.
 +      hardcode_minus_L=yes
 +      fi
 +      ;;
 +
 +    hpux11*)
 +      if test "$GCC" = yes && test "$with_gnu_ld" = no; then
 +      case $host_cpu in
 +      hppa*64*)
 +        archive_cmds='$CC -shared ${wl}+h ${wl}$soname -o $lib $libobjs $deplibs $compiler_flags'
 +        ;;
 +      ia64*)
 +        archive_cmds='$CC -shared $pic_flag ${wl}+h ${wl}$soname ${wl}+nodefaultrpath -o $lib $libobjs $deplibs $compiler_flags'
 +        ;;
 +      *)
 +        archive_cmds='$CC -shared $pic_flag ${wl}+h ${wl}$soname ${wl}+b ${wl}$install_libdir -o $lib $libobjs $deplibs $compiler_flags'
 +        ;;
 +      esac
 +      else
 +      case $host_cpu in
 +      hppa*64*)
 +        archive_cmds='$CC -b ${wl}+h ${wl}$soname -o $lib $libobjs $deplibs $compiler_flags'
 +        ;;
 +      ia64*)
 +        archive_cmds='$CC -b ${wl}+h ${wl}$soname ${wl}+nodefaultrpath -o $lib $libobjs $deplibs $compiler_flags'
 +        ;;
 +      *)
 +
 +        # Older versions of the 11.00 compiler do not understand -b yet
 +        # (HP92453-01 A.11.01.20 doesn't, HP92453-01 B.11.X.35175-35176.GP does)
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking if $CC understands -b" >&5
 +$as_echo_n "checking if $CC understands -b... " >&6; }
 +if ${lt_cv_prog_compiler__b+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_prog_compiler__b=no
 +   save_LDFLAGS="$LDFLAGS"
 +   LDFLAGS="$LDFLAGS -b"
 +   echo "$lt_simple_link_test_code" > conftest.$ac_ext
 +   if (eval $ac_link 2>conftest.err) && test -s conftest$ac_exeext; then
 +     # The linker can only warn and ignore the option if not recognized
 +     # So say no if there are warnings
 +     if test -s conftest.err; then
 +       # Append any errors to the config.log.
 +       cat conftest.err 1>&5
 +       $ECHO "$_lt_linker_boilerplate" | $SED '/^$/d' > conftest.exp
 +       $SED '/^$/d; /^ *+/d' conftest.err >conftest.er2
 +       if diff conftest.exp conftest.er2 >/dev/null; then
 +         lt_cv_prog_compiler__b=yes
 +       fi
 +     else
 +       lt_cv_prog_compiler__b=yes
 +     fi
 +   fi
 +   $RM -r conftest*
 +   LDFLAGS="$save_LDFLAGS"
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_prog_compiler__b" >&5
 +$as_echo "$lt_cv_prog_compiler__b" >&6; }
 +
 +if test x"$lt_cv_prog_compiler__b" = xyes; then
 +    archive_cmds='$CC -b ${wl}+h ${wl}$soname ${wl}+b ${wl}$install_libdir -o $lib $libobjs $deplibs $compiler_flags'
 +else
 +    archive_cmds='$LD -b +h $soname +b $install_libdir -o $lib $libobjs $deplibs $linker_flags'
 +fi
 +
 +        ;;
 +      esac
 +      fi
 +      if test "$with_gnu_ld" = no; then
 +      hardcode_libdir_flag_spec='${wl}+b ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +
 +      case $host_cpu in
 +      hppa*64*|ia64*)
 +        hardcode_direct=no
 +        hardcode_shlibpath_var=no
 +        ;;
 +      *)
 +        hardcode_direct=yes
 +        hardcode_direct_absolute=yes
 +        export_dynamic_flag_spec='${wl}-E'
 +
 +        # hardcode_minus_L: Not really in the search PATH,
 +        # but as the default location of the library.
 +        hardcode_minus_L=yes
 +        ;;
 +      esac
 +      fi
 +      ;;
 +
 +    irix5* | irix6* | nonstopux*)
 +      if test "$GCC" = yes; then
 +      archive_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname ${wl}$soname `test -n "$verstring" && func_echo_all "${wl}-set_version ${wl}$verstring"` ${wl}-update_registry ${wl}${output_objdir}/so_locations -o $lib'
 +      # Try to use the -exported_symbol ld option, if it does not
 +      # work, assume that -exports_file does not work either and
 +      # implicitly export all symbols.
 +      # This should be the same for all languages, so no per-tag cache variable.
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether the $host_os linker accepts -exported_symbol" >&5
 +$as_echo_n "checking whether the $host_os linker accepts -exported_symbol... " >&6; }
 +if ${lt_cv_irix_exported_symbol+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  save_LDFLAGS="$LDFLAGS"
 +         LDFLAGS="$LDFLAGS -shared ${wl}-exported_symbol ${wl}foo ${wl}-update_registry ${wl}/dev/null"
 +         cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +int foo (void) { return 0; }
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  lt_cv_irix_exported_symbol=yes
 +else
 +  lt_cv_irix_exported_symbol=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +           LDFLAGS="$save_LDFLAGS"
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_irix_exported_symbol" >&5
 +$as_echo "$lt_cv_irix_exported_symbol" >&6; }
 +      if test "$lt_cv_irix_exported_symbol" = yes; then
 +          archive_expsym_cmds='$CC -shared $pic_flag $libobjs $deplibs $compiler_flags ${wl}-soname ${wl}$soname `test -n "$verstring" && func_echo_all "${wl}-set_version ${wl}$verstring"` ${wl}-update_registry ${wl}${output_objdir}/so_locations ${wl}-exports_file ${wl}$export_symbols -o $lib'
 +      fi
 +      else
 +      archive_cmds='$CC -shared $libobjs $deplibs $compiler_flags -soname $soname `test -n "$verstring" && func_echo_all "-set_version $verstring"` -update_registry ${output_objdir}/so_locations -o $lib'
 +      archive_expsym_cmds='$CC -shared $libobjs $deplibs $compiler_flags -soname $soname `test -n "$verstring" && func_echo_all "-set_version $verstring"` -update_registry ${output_objdir}/so_locations -exports_file $export_symbols -o $lib'
 +      fi
 +      archive_cmds_need_lc='no'
 +      hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +      inherit_rpath=yes
 +      link_all_deplibs=yes
 +      ;;
 +
 +    netbsd*)
 +      if echo __ELF__ | $CC -E - | $GREP __ELF__ >/dev/null; then
 +      archive_cmds='$LD -Bshareable -o $lib $libobjs $deplibs $linker_flags'  # a.out
 +      else
 +      archive_cmds='$LD -shared -o $lib $libobjs $deplibs $linker_flags'      # ELF
 +      fi
 +      hardcode_libdir_flag_spec='-R$libdir'
 +      hardcode_direct=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    newsos6)
 +      archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_direct=yes
 +      hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    *nto* | *qnx*)
 +      ;;
 +
 +    openbsd*)
 +      if test -f /usr/libexec/ld.so; then
 +      hardcode_direct=yes
 +      hardcode_shlibpath_var=no
 +      hardcode_direct_absolute=yes
 +      if test -z "`echo __ELF__ | $CC -E - | $GREP __ELF__`" || test "$host_os-$host_cpu" = "openbsd2.8-powerpc"; then
 +        archive_cmds='$CC -shared $pic_flag -o $lib $libobjs $deplibs $compiler_flags'
 +        archive_expsym_cmds='$CC -shared $pic_flag -o $lib $libobjs $deplibs $compiler_flags ${wl}-retain-symbols-file,$export_symbols'
 +        hardcode_libdir_flag_spec='${wl}-rpath,$libdir'
 +        export_dynamic_flag_spec='${wl}-E'
 +      else
 +        case $host_os in
 +         openbsd[01].* | openbsd2.[0-7] | openbsd2.[0-7].*)
 +           archive_cmds='$LD -Bshareable -o $lib $libobjs $deplibs $linker_flags'
 +           hardcode_libdir_flag_spec='-R$libdir'
 +           ;;
 +         *)
 +           archive_cmds='$CC -shared $pic_flag -o $lib $libobjs $deplibs $compiler_flags'
 +           hardcode_libdir_flag_spec='${wl}-rpath,$libdir'
 +           ;;
 +        esac
 +      fi
 +      else
 +      ld_shlibs=no
 +      fi
 +      ;;
 +
 +    os2*)
 +      hardcode_libdir_flag_spec='-L$libdir'
 +      hardcode_minus_L=yes
 +      allow_undefined_flag=unsupported
 +      archive_cmds='$ECHO "LIBRARY $libname INITINSTANCE" > $output_objdir/$libname.def~$ECHO "DESCRIPTION \"$libname\"" >> $output_objdir/$libname.def~echo DATA >> $output_objdir/$libname.def~echo " SINGLE NONSHARED" >> $output_objdir/$libname.def~echo EXPORTS >> $output_objdir/$libname.def~emxexp $libobjs >> $output_objdir/$libname.def~$CC -Zdll -Zcrtdll -o $lib $libobjs $deplibs $compiler_flags $output_objdir/$libname.def'
 +      old_archive_from_new_cmds='emximp -o $output_objdir/$libname.a $output_objdir/$libname.def'
 +      ;;
 +
 +    osf3*)
 +      if test "$GCC" = yes; then
 +      allow_undefined_flag=' ${wl}-expect_unresolved ${wl}\*'
 +      archive_cmds='$CC -shared${allow_undefined_flag} $libobjs $deplibs $compiler_flags ${wl}-soname ${wl}$soname `test -n "$verstring" && func_echo_all "${wl}-set_version ${wl}$verstring"` ${wl}-update_registry ${wl}${output_objdir}/so_locations -o $lib'
 +      else
 +      allow_undefined_flag=' -expect_unresolved \*'
 +      archive_cmds='$CC -shared${allow_undefined_flag} $libobjs $deplibs $compiler_flags -soname $soname `test -n "$verstring" && func_echo_all "-set_version $verstring"` -update_registry ${output_objdir}/so_locations -o $lib'
 +      fi
 +      archive_cmds_need_lc='no'
 +      hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +      hardcode_libdir_separator=:
 +      ;;
 +
 +    osf4* | osf5*)    # as osf3* with the addition of -msym flag
 +      if test "$GCC" = yes; then
 +      allow_undefined_flag=' ${wl}-expect_unresolved ${wl}\*'
 +      archive_cmds='$CC -shared${allow_undefined_flag} $pic_flag $libobjs $deplibs $compiler_flags ${wl}-msym ${wl}-soname ${wl}$soname `test -n "$verstring" && func_echo_all "${wl}-set_version ${wl}$verstring"` ${wl}-update_registry ${wl}${output_objdir}/so_locations -o $lib'
 +      hardcode_libdir_flag_spec='${wl}-rpath ${wl}$libdir'
 +      else
 +      allow_undefined_flag=' -expect_unresolved \*'
 +      archive_cmds='$CC -shared${allow_undefined_flag} $libobjs $deplibs $compiler_flags -msym -soname $soname `test -n "$verstring" && func_echo_all "-set_version $verstring"` -update_registry ${output_objdir}/so_locations -o $lib'
 +      archive_expsym_cmds='for i in `cat $export_symbols`; do printf "%s %s\\n" -exported_symbol "\$i" >> $lib.exp; done; printf "%s\\n" "-hidden">> $lib.exp~
 +      $CC -shared${allow_undefined_flag} ${wl}-input ${wl}$lib.exp $compiler_flags $libobjs $deplibs -soname $soname `test -n "$verstring" && $ECHO "-set_version $verstring"` -update_registry ${output_objdir}/so_locations -o $lib~$RM $lib.exp'
 +
 +      # Both c and cxx compiler support -rpath directly
 +      hardcode_libdir_flag_spec='-rpath $libdir'
 +      fi
 +      archive_cmds_need_lc='no'
 +      hardcode_libdir_separator=:
 +      ;;
 +
 +    solaris*)
 +      no_undefined_flag=' -z defs'
 +      if test "$GCC" = yes; then
 +      wlarc='${wl}'
 +      archive_cmds='$CC -shared $pic_flag ${wl}-z ${wl}text ${wl}-h ${wl}$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      archive_expsym_cmds='echo "{ global:" > $lib.exp~cat $export_symbols | $SED -e "s/\(.*\)/\1;/" >> $lib.exp~echo "local: *; };" >> $lib.exp~
 +        $CC -shared $pic_flag ${wl}-z ${wl}text ${wl}-M ${wl}$lib.exp ${wl}-h ${wl}$soname -o $lib $libobjs $deplibs $compiler_flags~$RM $lib.exp'
 +      else
 +      case `$CC -V 2>&1` in
 +      *"Compilers 5.0"*)
 +        wlarc=''
 +        archive_cmds='$LD -G${allow_undefined_flag} -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +        archive_expsym_cmds='echo "{ global:" > $lib.exp~cat $export_symbols | $SED -e "s/\(.*\)/\1;/" >> $lib.exp~echo "local: *; };" >> $lib.exp~
 +        $LD -G${allow_undefined_flag} -M $lib.exp -h $soname -o $lib $libobjs $deplibs $linker_flags~$RM $lib.exp'
 +        ;;
 +      *)
 +        wlarc='${wl}'
 +        archive_cmds='$CC -G${allow_undefined_flag} -h $soname -o $lib $libobjs $deplibs $compiler_flags'
 +        archive_expsym_cmds='echo "{ global:" > $lib.exp~cat $export_symbols | $SED -e "s/\(.*\)/\1;/" >> $lib.exp~echo "local: *; };" >> $lib.exp~
 +        $CC -G${allow_undefined_flag} -M $lib.exp -h $soname -o $lib $libobjs $deplibs $compiler_flags~$RM $lib.exp'
 +        ;;
 +      esac
 +      fi
 +      hardcode_libdir_flag_spec='-R$libdir'
 +      hardcode_shlibpath_var=no
 +      case $host_os in
 +      solaris2.[0-5] | solaris2.[0-5].*) ;;
 +      *)
 +      # The compiler driver will combine and reorder linker options,
 +      # but understands `-z linker_flag'.  GCC discards it without `$wl',
 +      # but is careful enough not to reorder.
 +      # Supported since Solaris 2.6 (maybe 2.5.1?)
 +      if test "$GCC" = yes; then
 +        whole_archive_flag_spec='${wl}-z ${wl}allextract$convenience ${wl}-z ${wl}defaultextract'
 +      else
 +        whole_archive_flag_spec='-z allextract$convenience -z defaultextract'
 +      fi
 +      ;;
 +      esac
 +      link_all_deplibs=yes
 +      ;;
 +
 +    sunos4*)
 +      if test "x$host_vendor" = xsequent; then
 +      # Use $CC to link under sequent, because it throws in some extra .o
 +      # files that make .init and .fini sections work.
 +      archive_cmds='$CC -G ${wl}-h $soname -o $lib $libobjs $deplibs $compiler_flags'
 +      else
 +      archive_cmds='$LD -assert pure-text -Bstatic -o $lib $libobjs $deplibs $linker_flags'
 +      fi
 +      hardcode_libdir_flag_spec='-L$libdir'
 +      hardcode_direct=yes
 +      hardcode_minus_L=yes
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    sysv4)
 +      case $host_vendor in
 +      sni)
 +        archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +        hardcode_direct=yes # is this really true???
 +      ;;
 +      siemens)
 +        ## LD is ld it makes a PLAMLIB
 +        ## CC just makes a GrossModule.
 +        archive_cmds='$LD -G -o $lib $libobjs $deplibs $linker_flags'
 +        reload_cmds='$CC -r -o $output$reload_objs'
 +        hardcode_direct=no
 +        ;;
 +      motorola)
 +        archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +        hardcode_direct=no #Motorola manual says yes, but my tests say they lie
 +      ;;
 +      esac
 +      runpath_var='LD_RUN_PATH'
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    sysv4.3*)
 +      archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_shlibpath_var=no
 +      export_dynamic_flag_spec='-Bexport'
 +      ;;
 +
 +    sysv4*MP*)
 +      if test -d /usr/nec; then
 +      archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_shlibpath_var=no
 +      runpath_var=LD_RUN_PATH
 +      hardcode_runpath_var=yes
 +      ld_shlibs=yes
 +      fi
 +      ;;
 +
 +    sysv4*uw2* | sysv5OpenUNIX* | sysv5UnixWare7.[01].[10]* | unixware7* | sco3.2v5.0.[024]*)
 +      no_undefined_flag='${wl}-z,text'
 +      archive_cmds_need_lc=no
 +      hardcode_shlibpath_var=no
 +      runpath_var='LD_RUN_PATH'
 +
 +      if test "$GCC" = yes; then
 +      archive_cmds='$CC -shared ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      archive_expsym_cmds='$CC -shared ${wl}-Bexport:$export_symbols ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      else
 +      archive_cmds='$CC -G ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      archive_expsym_cmds='$CC -G ${wl}-Bexport:$export_symbols ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      fi
 +      ;;
 +
 +    sysv5* | sco3.2v5* | sco5v6*)
 +      # Note: We can NOT use -z defs as we might desire, because we do not
 +      # link with -lc, and that would cause any symbols used from libc to
 +      # always be unresolved, which means just about no library would
 +      # ever link correctly.  If we're not using GNU ld we use -z text
 +      # though, which does catch some bad symbols but isn't as heavy-handed
 +      # as -z defs.
 +      no_undefined_flag='${wl}-z,text'
 +      allow_undefined_flag='${wl}-z,nodefs'
 +      archive_cmds_need_lc=no
 +      hardcode_shlibpath_var=no
 +      hardcode_libdir_flag_spec='${wl}-R,$libdir'
 +      hardcode_libdir_separator=':'
 +      link_all_deplibs=yes
 +      export_dynamic_flag_spec='${wl}-Bexport'
 +      runpath_var='LD_RUN_PATH'
 +
 +      if test "$GCC" = yes; then
 +      archive_cmds='$CC -shared ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      archive_expsym_cmds='$CC -shared ${wl}-Bexport:$export_symbols ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      else
 +      archive_cmds='$CC -G ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      archive_expsym_cmds='$CC -G ${wl}-Bexport:$export_symbols ${wl}-h,$soname -o $lib $libobjs $deplibs $compiler_flags'
 +      fi
 +      ;;
 +
 +    uts4*)
 +      archive_cmds='$LD -G -h $soname -o $lib $libobjs $deplibs $linker_flags'
 +      hardcode_libdir_flag_spec='-L$libdir'
 +      hardcode_shlibpath_var=no
 +      ;;
 +
 +    *)
 +      ld_shlibs=no
 +      ;;
 +    esac
 +
 +    if test x$host_vendor = xsni; then
 +      case $host in
 +      sysv4 | sysv4.2uw2* | sysv4.3* | sysv5*)
 +      export_dynamic_flag_spec='${wl}-Blargedynsym'
 +      ;;
 +      esac
 +    fi
 +  fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ld_shlibs" >&5
 +$as_echo "$ld_shlibs" >&6; }
 +test "$ld_shlibs" = no && can_build_shared=no
 +
 +with_gnu_ld=$with_gnu_ld
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +#
 +# Do we need to explicitly link libc?
 +#
 +case "x$archive_cmds_need_lc" in
 +x|xyes)
 +  # Assume -lc should be added
 +  archive_cmds_need_lc=yes
 +
 +  if test "$enable_shared" = yes && test "$GCC" = yes; then
 +    case $archive_cmds in
 +    *'~'*)
 +      # FIXME: we may have to deal with multi-command sequences.
 +      ;;
 +    '$CC '*)
 +      # Test whether the compiler implicitly links with -lc since on some
 +      # systems, -lgcc has to come before -lc. If gcc already passes -lc
 +      # to ld, don't add -lc before -lgcc.
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether -lc should be explicitly linked in" >&5
 +$as_echo_n "checking whether -lc should be explicitly linked in... " >&6; }
 +if ${lt_cv_archive_cmds_need_lc+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  $RM conftest*
 +      echo "$lt_simple_compile_test_code" > conftest.$ac_ext
 +
 +      if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_compile\""; } >&5
 +  (eval $ac_compile) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } 2>conftest.err; then
 +        soname=conftest
 +        lib=conftest
 +        libobjs=conftest.$ac_objext
 +        deplibs=
 +        wl=$lt_prog_compiler_wl
 +        pic_flag=$lt_prog_compiler_pic
 +        compiler_flags=-v
 +        linker_flags=-v
 +        verstring=
 +        output_objdir=.
 +        libname=conftest
 +        lt_save_allow_undefined_flag=$allow_undefined_flag
 +        allow_undefined_flag=
 +        if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$archive_cmds 2\>\&1 \| $GREP \" -lc \" \>/dev/null 2\>\&1\""; } >&5
 +  (eval $archive_cmds 2\>\&1 \| $GREP \" -lc \" \>/dev/null 2\>\&1) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; }
 +        then
 +          lt_cv_archive_cmds_need_lc=no
 +        else
 +          lt_cv_archive_cmds_need_lc=yes
 +        fi
 +        allow_undefined_flag=$lt_save_allow_undefined_flag
 +      else
 +        cat conftest.err 1>&5
 +      fi
 +      $RM conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_archive_cmds_need_lc" >&5
 +$as_echo "$lt_cv_archive_cmds_need_lc" >&6; }
 +      archive_cmds_need_lc=$lt_cv_archive_cmds_need_lc
 +      ;;
 +    esac
 +  fi
 +  ;;
 +esac
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking dynamic linker characteristics" >&5
 +$as_echo_n "checking dynamic linker characteristics... " >&6; }
 +
 +if test "$GCC" = yes; then
 +  case $host_os in
 +    darwin*) lt_awk_arg="/^libraries:/,/LR/" ;;
 +    *) lt_awk_arg="/^libraries:/" ;;
 +  esac
 +  case $host_os in
 +    mingw* | cegcc*) lt_sed_strip_eq="s,=\([A-Za-z]:\),\1,g" ;;
 +    *) lt_sed_strip_eq="s,=/,/,g" ;;
 +  esac
 +  lt_search_path_spec=`$CC -print-search-dirs | awk $lt_awk_arg | $SED -e "s/^libraries://" -e $lt_sed_strip_eq`
 +  case $lt_search_path_spec in
 +  *\;*)
 +    # if the path contains ";" then we assume it to be the separator
 +    # otherwise default to the standard path separator (i.e. ":") - it is
 +    # assumed that no part of a normal pathname contains ";" but that should
 +    # okay in the real world where ";" in dirpaths is itself problematic.
 +    lt_search_path_spec=`$ECHO "$lt_search_path_spec" | $SED 's/;/ /g'`
 +    ;;
 +  *)
 +    lt_search_path_spec=`$ECHO "$lt_search_path_spec" | $SED "s/$PATH_SEPARATOR/ /g"`
 +    ;;
 +  esac
 +  # Ok, now we have the path, separated by spaces, we can step through it
 +  # and add multilib dir if necessary.
 +  lt_tmp_lt_search_path_spec=
 +  lt_multi_os_dir=`$CC $CPPFLAGS $CFLAGS $LDFLAGS -print-multi-os-directory 2>/dev/null`
 +  for lt_sys_path in $lt_search_path_spec; do
 +    if test -d "$lt_sys_path/$lt_multi_os_dir"; then
 +      lt_tmp_lt_search_path_spec="$lt_tmp_lt_search_path_spec $lt_sys_path/$lt_multi_os_dir"
 +    else
 +      test -d "$lt_sys_path" && \
 +      lt_tmp_lt_search_path_spec="$lt_tmp_lt_search_path_spec $lt_sys_path"
 +    fi
 +  done
 +  lt_search_path_spec=`$ECHO "$lt_tmp_lt_search_path_spec" | awk '
 +BEGIN {RS=" "; FS="/|\n";} {
 +  lt_foo="";
 +  lt_count=0;
 +  for (lt_i = NF; lt_i > 0; lt_i--) {
 +    if ($lt_i != "" && $lt_i != ".") {
 +      if ($lt_i == "..") {
 +        lt_count++;
 +      } else {
 +        if (lt_count == 0) {
 +          lt_foo="/" $lt_i lt_foo;
 +        } else {
 +          lt_count--;
 +        }
 +      }
 +    }
 +  }
 +  if (lt_foo != "") { lt_freq[lt_foo]++; }
 +  if (lt_freq[lt_foo] == 1) { print lt_foo; }
 +}'`
 +  # AWK program above erroneously prepends '/' to C:/dos/paths
 +  # for these hosts.
 +  case $host_os in
 +    mingw* | cegcc*) lt_search_path_spec=`$ECHO "$lt_search_path_spec" |\
 +      $SED 's,/\([A-Za-z]:\),\1,g'` ;;
 +  esac
 +  sys_lib_search_path_spec=`$ECHO "$lt_search_path_spec" | $lt_NL2SP`
 +else
 +  sys_lib_search_path_spec="/lib /usr/lib /usr/local/lib"
 +fi
 +library_names_spec=
 +libname_spec='lib$name'
 +soname_spec=
 +shrext_cmds=".so"
 +postinstall_cmds=
 +postuninstall_cmds=
 +finish_cmds=
 +finish_eval=
 +shlibpath_var=
 +shlibpath_overrides_runpath=unknown
 +version_type=none
 +dynamic_linker="$host_os ld.so"
 +sys_lib_dlsearch_path_spec="/lib /usr/lib"
 +need_lib_prefix=unknown
 +hardcode_into_libs=no
 +
 +# when you set need_version to no, make sure it does not cause -set_version
 +# flags to be left without arguments
 +need_version=unknown
 +
 +case $host_os in
 +aix3*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix $libname.a'
 +  shlibpath_var=LIBPATH
 +
 +  # AIX 3 has no versioning support, so we append a major version to the name.
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  ;;
 +
 +aix[4-9]*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  hardcode_into_libs=yes
 +  if test "$host_cpu" = ia64; then
 +    # AIX 5 supports IA64
 +    library_names_spec='${libname}${release}${shared_ext}$major ${libname}${release}${shared_ext}$versuffix $libname${shared_ext}'
 +    shlibpath_var=LD_LIBRARY_PATH
 +  else
 +    # With GCC up to 2.95.x, collect2 would create an import file
 +    # for dependence libraries.  The import file would start with
 +    # the line `#! .'.  This would cause the generated library to
 +    # depend on `.', always an invalid library.  This was fixed in
 +    # development snapshots of GCC prior to 3.0.
 +    case $host_os in
 +      aix4 | aix4.[01] | aix4.[01].*)
 +      if { echo '#if __GNUC__ > 2 || (__GNUC__ == 2 && __GNUC_MINOR__ >= 97)'
 +         echo ' yes '
 +         echo '#endif'; } | ${CC} -E - | $GREP yes > /dev/null; then
 +      :
 +      else
 +      can_build_shared=no
 +      fi
 +      ;;
 +    esac
 +    # AIX (on Power*) has no versioning support, so currently we can not hardcode correct
 +    # soname into executable. Probably we can add versioning support to
 +    # collect2, so additional links can be useful in future.
 +    if test "$aix_use_runtimelinking" = yes; then
 +      # If using run time linking (on AIX 4.2 or later) use lib<name>.so
 +      # instead of lib<name>.a to let people know that these are not
 +      # typical AIX shared libraries.
 +      library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +    else
 +      # We preserve .a as extension for shared libraries through AIX4.2
 +      # and later when we are not doing run time linking.
 +      library_names_spec='${libname}${release}.a $libname.a'
 +      soname_spec='${libname}${release}${shared_ext}$major'
 +    fi
 +    shlibpath_var=LIBPATH
 +  fi
 +  ;;
 +
 +amigaos*)
 +  case $host_cpu in
 +  powerpc)
 +    # Since July 2007 AmigaOS4 officially supports .so libraries.
 +    # When compiling the executable, add -use-dynld -Lsobjs: to the compileline.
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +    ;;
 +  m68k)
 +    library_names_spec='$libname.ixlibrary $libname.a'
 +    # Create ${libname}_ixlibrary.a entries in /sys/libs.
 +    finish_eval='for lib in `ls $libdir/*.ixlibrary 2>/dev/null`; do libname=`func_echo_all "$lib" | $SED '\''s%^.*/\([^/]*\)\.ixlibrary$%\1%'\''`; test $RM /sys/libs/${libname}_ixlibrary.a; $show "cd /sys/libs && $LN_S $lib ${libname}_ixlibrary.a"; cd /sys/libs && $LN_S $lib ${libname}_ixlibrary.a || exit 1; done'
 +    ;;
 +  esac
 +  ;;
 +
 +beos*)
 +  library_names_spec='${libname}${shared_ext}'
 +  dynamic_linker="$host_os ld.so"
 +  shlibpath_var=LIBRARY_PATH
 +  ;;
 +
 +bsdi[45]*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  finish_cmds='PATH="\$PATH:/sbin" ldconfig $libdir'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  sys_lib_search_path_spec="/shlib /usr/lib /usr/X11/lib /usr/contrib/lib /lib /usr/local/lib"
 +  sys_lib_dlsearch_path_spec="/shlib /usr/lib /usr/local/lib"
 +  # the default ld.so.conf also contains /usr/contrib/lib and
 +  # /usr/X11R6/lib (/usr/X11 is a link to /usr/X11R6), but let us allow
 +  # libtool to hard-code these into programs
 +  ;;
 +
 +cygwin* | mingw* | pw32* | cegcc*)
 +  version_type=windows
 +  shrext_cmds=".dll"
 +  need_version=no
 +  need_lib_prefix=no
 +
 +  case $GCC,$cc_basename in
 +  yes,*)
 +    # gcc
 +    library_names_spec='$libname.dll.a'
 +    # DLL is installed to $(libdir)/../bin by postinstall_cmds
 +    postinstall_cmds='base_file=`basename \${file}`~
 +      dlpath=`$SHELL 2>&1 -c '\''. $dir/'\''\${base_file}'\''i; echo \$dlname'\''`~
 +      dldir=$destdir/`dirname \$dlpath`~
 +      test -d \$dldir || mkdir -p \$dldir~
 +      $install_prog $dir/$dlname \$dldir/$dlname~
 +      chmod a+x \$dldir/$dlname~
 +      if test -n '\''$stripme'\'' && test -n '\''$striplib'\''; then
 +        eval '\''$striplib \$dldir/$dlname'\'' || exit \$?;
 +      fi'
 +    postuninstall_cmds='dldll=`$SHELL 2>&1 -c '\''. $file; echo \$dlname'\''`~
 +      dlpath=$dir/\$dldll~
 +       $RM \$dlpath'
 +    shlibpath_overrides_runpath=yes
 +
 +    case $host_os in
 +    cygwin*)
 +      # Cygwin DLLs use 'cyg' prefix rather than 'lib'
 +      soname_spec='`echo ${libname} | sed -e 's/^lib/cyg/'``echo ${release} | $SED -e 's/[.]/-/g'`${versuffix}${shared_ext}'
 +
 +      sys_lib_search_path_spec="$sys_lib_search_path_spec /usr/lib/w32api"
 +      ;;
 +    mingw* | cegcc*)
 +      # MinGW DLLs use traditional 'lib' prefix
 +      soname_spec='${libname}`echo ${release} | $SED -e 's/[.]/-/g'`${versuffix}${shared_ext}'
 +      ;;
 +    pw32*)
 +      # pw32 DLLs use 'pw' prefix rather than 'lib'
 +      library_names_spec='`echo ${libname} | sed -e 's/^lib/pw/'``echo ${release} | $SED -e 's/[.]/-/g'`${versuffix}${shared_ext}'
 +      ;;
 +    esac
 +    dynamic_linker='Win32 ld.exe'
 +    ;;
 +
 +  *,cl*)
 +    # Native MSVC
 +    libname_spec='$name'
 +    soname_spec='${libname}`echo ${release} | $SED -e 's/[.]/-/g'`${versuffix}${shared_ext}'
 +    library_names_spec='${libname}.dll.lib'
 +
 +    case $build_os in
 +    mingw*)
 +      sys_lib_search_path_spec=
 +      lt_save_ifs=$IFS
 +      IFS=';'
 +      for lt_path in $LIB
 +      do
 +        IFS=$lt_save_ifs
 +        # Let DOS variable expansion print the short 8.3 style file name.
 +        lt_path=`cd "$lt_path" 2>/dev/null && cmd //C "for %i in (".") do @echo %~si"`
 +        sys_lib_search_path_spec="$sys_lib_search_path_spec $lt_path"
 +      done
 +      IFS=$lt_save_ifs
 +      # Convert to MSYS style.
 +      sys_lib_search_path_spec=`$ECHO "$sys_lib_search_path_spec" | sed -e 's|\\\\|/|g' -e 's| \\([a-zA-Z]\\):| /\\1|g' -e 's|^ ||'`
 +      ;;
 +    cygwin*)
 +      # Convert to unix form, then to dos form, then back to unix form
 +      # but this time dos style (no spaces!) so that the unix form looks
 +      # like /cygdrive/c/PROGRA~1:/cygdr...
 +      sys_lib_search_path_spec=`cygpath --path --unix "$LIB"`
 +      sys_lib_search_path_spec=`cygpath --path --dos "$sys_lib_search_path_spec" 2>/dev/null`
 +      sys_lib_search_path_spec=`cygpath --path --unix "$sys_lib_search_path_spec" | $SED -e "s/$PATH_SEPARATOR/ /g"`
 +      ;;
 +    *)
 +      sys_lib_search_path_spec="$LIB"
 +      if $ECHO "$sys_lib_search_path_spec" | $GREP ';[c-zC-Z]:/' >/dev/null; then
 +        # It is most probably a Windows format PATH.
 +        sys_lib_search_path_spec=`$ECHO "$sys_lib_search_path_spec" | $SED -e 's/;/ /g'`
 +      else
 +        sys_lib_search_path_spec=`$ECHO "$sys_lib_search_path_spec" | $SED -e "s/$PATH_SEPARATOR/ /g"`
 +      fi
 +      # FIXME: find the short name or the path components, as spaces are
 +      # common. (e.g. "Program Files" -> "PROGRA~1")
 +      ;;
 +    esac
 +
 +    # DLL is installed to $(libdir)/../bin by postinstall_cmds
 +    postinstall_cmds='base_file=`basename \${file}`~
 +      dlpath=`$SHELL 2>&1 -c '\''. $dir/'\''\${base_file}'\''i; echo \$dlname'\''`~
 +      dldir=$destdir/`dirname \$dlpath`~
 +      test -d \$dldir || mkdir -p \$dldir~
 +      $install_prog $dir/$dlname \$dldir/$dlname'
 +    postuninstall_cmds='dldll=`$SHELL 2>&1 -c '\''. $file; echo \$dlname'\''`~
 +      dlpath=$dir/\$dldll~
 +       $RM \$dlpath'
 +    shlibpath_overrides_runpath=yes
 +    dynamic_linker='Win32 link.exe'
 +    ;;
 +
 +  *)
 +    # Assume MSVC wrapper
 +    library_names_spec='${libname}`echo ${release} | $SED -e 's/[.]/-/g'`${versuffix}${shared_ext} $libname.lib'
 +    dynamic_linker='Win32 ld.exe'
 +    ;;
 +  esac
 +  # FIXME: first we should search . and the directory the executable is in
 +  shlibpath_var=PATH
 +  ;;
 +
 +darwin* | rhapsody*)
 +  dynamic_linker="$host_os dyld"
 +  version_type=darwin
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${major}$shared_ext ${libname}$shared_ext'
 +  soname_spec='${libname}${release}${major}$shared_ext'
 +  shlibpath_overrides_runpath=yes
 +  shlibpath_var=DYLD_LIBRARY_PATH
 +  shrext_cmds='`test .$module = .yes && echo .so || echo .dylib`'
 +
 +  sys_lib_search_path_spec="$sys_lib_search_path_spec /usr/local/lib"
 +  sys_lib_dlsearch_path_spec='/usr/local/lib /lib /usr/lib'
 +  ;;
 +
 +dgux*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname$shared_ext'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  ;;
 +
 +freebsd* | dragonfly*)
 +  # DragonFly does not have aout.  When/if they implement a new
 +  # versioning mechanism, adjust this.
 +  if test -x /usr/bin/objformat; then
 +    objformat=`/usr/bin/objformat`
 +  else
 +    case $host_os in
 +    freebsd[23].*) objformat=aout ;;
 +    *) objformat=elf ;;
 +    esac
 +  fi
 +  version_type=freebsd-$objformat
 +  case $version_type in
 +    freebsd-elf*)
 +      library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext} $libname${shared_ext}'
 +      need_version=no
 +      need_lib_prefix=no
 +      ;;
 +    freebsd-*)
 +      library_names_spec='${libname}${release}${shared_ext}$versuffix $libname${shared_ext}$versuffix'
 +      need_version=yes
 +      ;;
 +  esac
 +  shlibpath_var=LD_LIBRARY_PATH
 +  case $host_os in
 +  freebsd2.*)
 +    shlibpath_overrides_runpath=yes
 +    ;;
 +  freebsd3.[01]* | freebsdelf3.[01]*)
 +    shlibpath_overrides_runpath=yes
 +    hardcode_into_libs=yes
 +    ;;
 +  freebsd3.[2-9]* | freebsdelf3.[2-9]* | \
 +  freebsd4.[0-5] | freebsdelf4.[0-5] | freebsd4.1.1 | freebsdelf4.1.1)
 +    shlibpath_overrides_runpath=no
 +    hardcode_into_libs=yes
 +    ;;
 +  *) # from 4.6 on, and DragonFly
 +    shlibpath_overrides_runpath=yes
 +    hardcode_into_libs=yes
 +    ;;
 +  esac
 +  ;;
 +
 +gnu*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}${major} ${libname}${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=no
 +  hardcode_into_libs=yes
 +  ;;
 +
 +haiku*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  dynamic_linker="$host_os runtime_loader"
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}${major} ${libname}${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  sys_lib_dlsearch_path_spec='/boot/home/config/lib /boot/common/lib /boot/system/lib'
 +  hardcode_into_libs=yes
 +  ;;
 +
 +hpux9* | hpux10* | hpux11*)
 +  # Give a soname corresponding to the major version so that dld.sl refuses to
 +  # link against other versions.
 +  version_type=sunos
 +  need_lib_prefix=no
 +  need_version=no
 +  case $host_cpu in
 +  ia64*)
 +    shrext_cmds='.so'
 +    hardcode_into_libs=yes
 +    dynamic_linker="$host_os dld.so"
 +    shlibpath_var=LD_LIBRARY_PATH
 +    shlibpath_overrides_runpath=yes # Unless +noenvvar is specified.
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +    soname_spec='${libname}${release}${shared_ext}$major'
 +    if test "X$HPUX_IA64_MODE" = X32; then
 +      sys_lib_search_path_spec="/usr/lib/hpux32 /usr/local/lib/hpux32 /usr/local/lib"
 +    else
 +      sys_lib_search_path_spec="/usr/lib/hpux64 /usr/local/lib/hpux64"
 +    fi
 +    sys_lib_dlsearch_path_spec=$sys_lib_search_path_spec
 +    ;;
 +  hppa*64*)
 +    shrext_cmds='.sl'
 +    hardcode_into_libs=yes
 +    dynamic_linker="$host_os dld.sl"
 +    shlibpath_var=LD_LIBRARY_PATH # How should we handle SHLIB_PATH
 +    shlibpath_overrides_runpath=yes # Unless +noenvvar is specified.
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +    soname_spec='${libname}${release}${shared_ext}$major'
 +    sys_lib_search_path_spec="/usr/lib/pa20_64 /usr/ccs/lib/pa20_64"
 +    sys_lib_dlsearch_path_spec=$sys_lib_search_path_spec
 +    ;;
 +  *)
 +    shrext_cmds='.sl'
 +    dynamic_linker="$host_os dld.sl"
 +    shlibpath_var=SHLIB_PATH
 +    shlibpath_overrides_runpath=no # +s is required to enable SHLIB_PATH
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +    soname_spec='${libname}${release}${shared_ext}$major'
 +    ;;
 +  esac
 +  # HP-UX runs *really* slowly unless shared libraries are mode 555, ...
 +  postinstall_cmds='chmod 555 $lib'
 +  # or fails outright, so override atomically:
 +  install_override_mode=555
 +  ;;
 +
 +interix[3-9]*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major ${libname}${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  dynamic_linker='Interix 3.x ld.so.1 (PE, like ELF)'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=no
 +  hardcode_into_libs=yes
 +  ;;
 +
 +irix5* | irix6* | nonstopux*)
 +  case $host_os in
 +    nonstopux*) version_type=nonstopux ;;
 +    *)
 +      if test "$lt_cv_prog_gnu_ld" = yes; then
 +              version_type=linux # correct to gnu/linux during the next big refactor
 +      else
 +              version_type=irix
 +      fi ;;
 +  esac
 +  need_lib_prefix=no
 +  need_version=no
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major ${libname}${release}${shared_ext} $libname${shared_ext}'
 +  case $host_os in
 +  irix5* | nonstopux*)
 +    libsuff= shlibsuff=
 +    ;;
 +  *)
 +    case $LD in # libtool.m4 will add one of these switches to LD
 +    *-32|*"-32 "|*-melf32bsmip|*"-melf32bsmip ")
 +      libsuff= shlibsuff= libmagic=32-bit;;
 +    *-n32|*"-n32 "|*-melf32bmipn32|*"-melf32bmipn32 ")
 +      libsuff=32 shlibsuff=N32 libmagic=N32;;
 +    *-64|*"-64 "|*-melf64bmip|*"-melf64bmip ")
 +      libsuff=64 shlibsuff=64 libmagic=64-bit;;
 +    *) libsuff= shlibsuff= libmagic=never-match;;
 +    esac
 +    ;;
 +  esac
 +  shlibpath_var=LD_LIBRARY${shlibsuff}_PATH
 +  shlibpath_overrides_runpath=no
 +  sys_lib_search_path_spec="/usr/lib${libsuff} /lib${libsuff} /usr/local/lib${libsuff}"
 +  sys_lib_dlsearch_path_spec="/usr/lib${libsuff} /lib${libsuff}"
 +  hardcode_into_libs=yes
 +  ;;
 +
 +# No shared lib support for Linux oldld, aout, or coff.
 +linux*oldld* | linux*aout* | linux*coff*)
 +  dynamic_linker=no
 +  ;;
 +
 +# This must be glibc/ELF.
 +linux* | k*bsd*-gnu | kopensolaris*-gnu)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  finish_cmds='PATH="\$PATH:/sbin" ldconfig -n $libdir'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=no
 +
 +  # Some binutils ld are patched to set DT_RUNPATH
 +  if ${lt_cv_shlibpath_overrides_runpath+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  lt_cv_shlibpath_overrides_runpath=no
 +    save_LDFLAGS=$LDFLAGS
 +    save_libdir=$libdir
 +    eval "libdir=/foo; wl=\"$lt_prog_compiler_wl\"; \
 +       LDFLAGS=\"\$LDFLAGS $hardcode_libdir_flag_spec\""
 +    cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  if  ($OBJDUMP -p conftest$ac_exeext) 2>/dev/null | grep "RUNPATH.*$libdir" >/dev/null; then :
 +  lt_cv_shlibpath_overrides_runpath=yes
 +fi
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +    LDFLAGS=$save_LDFLAGS
 +    libdir=$save_libdir
 +
 +fi
 +
 +  shlibpath_overrides_runpath=$lt_cv_shlibpath_overrides_runpath
 +
 +  # This implies no fast_install, which is unacceptable.
 +  # Some rework will be needed to allow for fast_install
 +  # before this can be enabled.
 +  hardcode_into_libs=yes
 +
 +  # Add ABI-specific directories to the system library path.
 +  sys_lib_dlsearch_path_spec="/lib64 /usr/lib64 /lib /usr/lib"
 +
 +  # Append ld.so.conf contents to the search path
 +  if test -f /etc/ld.so.conf; then
 +    lt_ld_extra=`awk '/^include / { system(sprintf("cd /etc; cat %s 2>/dev/null", \$2)); skip = 1; } { if (!skip) print \$0; skip = 0; }' < /etc/ld.so.conf | $SED -e 's/#.*//;/^[     ]*hwcap[        ]/d;s/[:,      ]/ /g;s/=[^=]*$//;s/=[^= ]* / /g;s/"//g;/^$/d' | tr '\n' ' '`
 +    sys_lib_dlsearch_path_spec="$sys_lib_dlsearch_path_spec $lt_ld_extra"
 +
 +  fi
 +
 +  # We used to test for /lib/ld.so.1 and disable shared libraries on
 +  # powerpc, because MkLinux only supported shared libraries with the
 +  # GNU dynamic linker.  Since this was broken with cross compilers,
 +  # most powerpc-linux boxes support dynamic linking these days and
 +  # people can always --disable-shared, the test was removed, and we
 +  # assume the GNU/Linux dynamic linker is in use.
 +  dynamic_linker='GNU/Linux ld.so'
 +  ;;
 +
 +netbsd*)
 +  version_type=sunos
 +  need_lib_prefix=no
 +  need_version=no
 +  if echo __ELF__ | $CC -E - | $GREP __ELF__ >/dev/null; then
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${shared_ext}$versuffix'
 +    finish_cmds='PATH="\$PATH:/sbin" ldconfig -m $libdir'
 +    dynamic_linker='NetBSD (a.out) ld.so'
 +  else
 +    library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major ${libname}${shared_ext}'
 +    soname_spec='${libname}${release}${shared_ext}$major'
 +    dynamic_linker='NetBSD ld.elf_so'
 +  fi
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  hardcode_into_libs=yes
 +  ;;
 +
 +newsos6)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  ;;
 +
 +*nto* | *qnx*)
 +  version_type=qnx
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=no
 +  hardcode_into_libs=yes
 +  dynamic_linker='ldqnx.so'
 +  ;;
 +
 +openbsd*)
 +  version_type=sunos
 +  sys_lib_dlsearch_path_spec="/usr/lib"
 +  need_lib_prefix=no
 +  # Some older versions of OpenBSD (3.3 at least) *do* need versioned libs.
 +  case $host_os in
 +    openbsd3.3 | openbsd3.3.*)        need_version=yes ;;
 +    *)                                need_version=no  ;;
 +  esac
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${shared_ext}$versuffix'
 +  finish_cmds='PATH="\$PATH:/sbin" ldconfig -m $libdir'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  if test -z "`echo __ELF__ | $CC -E - | $GREP __ELF__`" || test "$host_os-$host_cpu" = "openbsd2.8-powerpc"; then
 +    case $host_os in
 +      openbsd2.[89] | openbsd2.[89].*)
 +      shlibpath_overrides_runpath=no
 +      ;;
 +      *)
 +      shlibpath_overrides_runpath=yes
 +      ;;
 +      esac
 +  else
 +    shlibpath_overrides_runpath=yes
 +  fi
 +  ;;
 +
 +os2*)
 +  libname_spec='$name'
 +  shrext_cmds=".dll"
 +  need_lib_prefix=no
 +  library_names_spec='$libname${shared_ext} $libname.a'
 +  dynamic_linker='OS/2 ld.exe'
 +  shlibpath_var=LIBPATH
 +  ;;
 +
 +osf3* | osf4* | osf5*)
 +  version_type=osf
 +  need_lib_prefix=no
 +  need_version=no
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  sys_lib_search_path_spec="/usr/shlib /usr/ccs/lib /usr/lib/cmplrs/cc /usr/lib /usr/local/lib /var/shlib"
 +  sys_lib_dlsearch_path_spec="$sys_lib_search_path_spec"
 +  ;;
 +
 +rdos*)
 +  dynamic_linker=no
 +  ;;
 +
 +solaris*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  hardcode_into_libs=yes
 +  # ldd complains unless libraries are executable
 +  postinstall_cmds='chmod +x $lib'
 +  ;;
 +
 +sunos4*)
 +  version_type=sunos
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${shared_ext}$versuffix'
 +  finish_cmds='PATH="\$PATH:/usr/etc" ldconfig $libdir'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  if test "$with_gnu_ld" = yes; then
 +    need_lib_prefix=no
 +  fi
 +  need_version=yes
 +  ;;
 +
 +sysv4 | sysv4.3*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  case $host_vendor in
 +    sni)
 +      shlibpath_overrides_runpath=no
 +      need_lib_prefix=no
 +      runpath_var=LD_RUN_PATH
 +      ;;
 +    siemens)
 +      need_lib_prefix=no
 +      ;;
 +    motorola)
 +      need_lib_prefix=no
 +      need_version=no
 +      shlibpath_overrides_runpath=no
 +      sys_lib_search_path_spec='/lib /usr/lib /usr/ccs/lib'
 +      ;;
 +  esac
 +  ;;
 +
 +sysv4*MP*)
 +  if test -d /usr/nec ;then
 +    version_type=linux # correct to gnu/linux during the next big refactor
 +    library_names_spec='$libname${shared_ext}.$versuffix $libname${shared_ext}.$major $libname${shared_ext}'
 +    soname_spec='$libname${shared_ext}.$major'
 +    shlibpath_var=LD_LIBRARY_PATH
 +  fi
 +  ;;
 +
 +sysv5* | sco3.2v5* | sco5v6* | unixware* | OpenUNIX* | sysv4*uw2*)
 +  version_type=freebsd-elf
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext} $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=yes
 +  hardcode_into_libs=yes
 +  if test "$with_gnu_ld" = yes; then
 +    sys_lib_search_path_spec='/usr/local/lib /usr/gnu/lib /usr/ccs/lib /usr/lib /lib'
 +  else
 +    sys_lib_search_path_spec='/usr/ccs/lib /usr/lib'
 +    case $host_os in
 +      sco3.2v5*)
 +        sys_lib_search_path_spec="$sys_lib_search_path_spec /lib"
 +      ;;
 +    esac
 +  fi
 +  sys_lib_dlsearch_path_spec='/usr/lib'
 +  ;;
 +
 +tpf*)
 +  # TPF is a cross-target only.  Preferred cross-host = GNU/Linux.
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  need_lib_prefix=no
 +  need_version=no
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  shlibpath_overrides_runpath=no
 +  hardcode_into_libs=yes
 +  ;;
 +
 +uts4*)
 +  version_type=linux # correct to gnu/linux during the next big refactor
 +  library_names_spec='${libname}${release}${shared_ext}$versuffix ${libname}${release}${shared_ext}$major $libname${shared_ext}'
 +  soname_spec='${libname}${release}${shared_ext}$major'
 +  shlibpath_var=LD_LIBRARY_PATH
 +  ;;
 +
 +*)
 +  dynamic_linker=no
 +  ;;
 +esac
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $dynamic_linker" >&5
 +$as_echo "$dynamic_linker" >&6; }
 +test "$dynamic_linker" = no && can_build_shared=no
 +
 +variables_saved_for_relink="PATH $shlibpath_var $runpath_var"
 +if test "$GCC" = yes; then
 +  variables_saved_for_relink="$variables_saved_for_relink GCC_EXEC_PREFIX COMPILER_PATH LIBRARY_PATH"
 +fi
 +
 +if test "${lt_cv_sys_lib_search_path_spec+set}" = set; then
 +  sys_lib_search_path_spec="$lt_cv_sys_lib_search_path_spec"
 +fi
 +if test "${lt_cv_sys_lib_dlsearch_path_spec+set}" = set; then
 +  sys_lib_dlsearch_path_spec="$lt_cv_sys_lib_dlsearch_path_spec"
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking how to hardcode library paths into programs" >&5
 +$as_echo_n "checking how to hardcode library paths into programs... " >&6; }
 +hardcode_action=
 +if test -n "$hardcode_libdir_flag_spec" ||
 +   test -n "$runpath_var" ||
 +   test "X$hardcode_automatic" = "Xyes" ; then
 +
 +  # We can hardcode non-existent directories.
 +  if test "$hardcode_direct" != no &&
 +     # If the only mechanism to avoid hardcoding is shlibpath_var, we
 +     # have to relink, otherwise we might link with an installed library
 +     # when we should be linking with a yet-to-be-installed one
 +     ## test "$_LT_TAGVAR(hardcode_shlibpath_var, )" != no &&
 +     test "$hardcode_minus_L" != no; then
 +    # Linking always hardcodes the temporary library directory.
 +    hardcode_action=relink
 +  else
 +    # We can link without hardcoding, and we can hardcode nonexisting dirs.
 +    hardcode_action=immediate
 +  fi
 +else
 +  # We cannot hardcode anything, or else we can only hardcode existing
 +  # directories.
 +  hardcode_action=unsupported
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $hardcode_action" >&5
 +$as_echo "$hardcode_action" >&6; }
 +
 +if test "$hardcode_action" = relink ||
 +   test "$inherit_rpath" = yes; then
 +  # Fast installation is not supported
 +  enable_fast_install=no
 +elif test "$shlibpath_overrides_runpath" = yes ||
 +     test "$enable_shared" = no; then
 +  # Fast installation is not necessary
 +  enable_fast_install=needless
 +fi
 +
 +
 +
 +
 +
 +
 +  if test "x$enable_dlopen" != xyes; then
 +  enable_dlopen=unknown
 +  enable_dlopen_self=unknown
 +  enable_dlopen_self_static=unknown
 +else
 +  lt_cv_dlopen=no
 +  lt_cv_dlopen_libs=
 +
 +  case $host_os in
 +  beos*)
 +    lt_cv_dlopen="load_add_on"
 +    lt_cv_dlopen_libs=
 +    lt_cv_dlopen_self=yes
 +    ;;
 +
 +  mingw* | pw32* | cegcc*)
 +    lt_cv_dlopen="LoadLibrary"
 +    lt_cv_dlopen_libs=
 +    ;;
 +
 +  cygwin*)
 +    lt_cv_dlopen="dlopen"
 +    lt_cv_dlopen_libs=
 +    ;;
 +
 +  darwin*)
 +  # if libdl is installed we need to link against it
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for dlopen in -ldl" >&5
 +$as_echo_n "checking for dlopen in -ldl... " >&6; }
 +if ${ac_cv_lib_dl_dlopen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_check_lib_save_LIBS=$LIBS
 +LIBS="-ldl  $LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dlopen ();
 +int
 +main ()
 +{
 +return dlopen ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_dl_dlopen=yes
 +else
 +  ac_cv_lib_dl_dlopen=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_check_lib_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_dl_dlopen" >&5
 +$as_echo "$ac_cv_lib_dl_dlopen" >&6; }
 +if test "x$ac_cv_lib_dl_dlopen" = xyes; then :
 +  lt_cv_dlopen="dlopen" lt_cv_dlopen_libs="-ldl"
 +else
 +
 +    lt_cv_dlopen="dyld"
 +    lt_cv_dlopen_libs=
 +    lt_cv_dlopen_self=yes
 +
 +fi
 +
 +    ;;
 +
 +  *)
 +    ac_fn_c_check_func "$LINENO" "shl_load" "ac_cv_func_shl_load"
 +if test "x$ac_cv_func_shl_load" = xyes; then :
 +  lt_cv_dlopen="shl_load"
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for shl_load in -ldld" >&5
 +$as_echo_n "checking for shl_load in -ldld... " >&6; }
 +if ${ac_cv_lib_dld_shl_load+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_check_lib_save_LIBS=$LIBS
 +LIBS="-ldld  $LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char shl_load ();
 +int
 +main ()
 +{
 +return shl_load ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_dld_shl_load=yes
 +else
 +  ac_cv_lib_dld_shl_load=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_check_lib_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_dld_shl_load" >&5
 +$as_echo "$ac_cv_lib_dld_shl_load" >&6; }
 +if test "x$ac_cv_lib_dld_shl_load" = xyes; then :
 +  lt_cv_dlopen="shl_load" lt_cv_dlopen_libs="-ldld"
 +else
 +  ac_fn_c_check_func "$LINENO" "dlopen" "ac_cv_func_dlopen"
 +if test "x$ac_cv_func_dlopen" = xyes; then :
 +  lt_cv_dlopen="dlopen"
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for dlopen in -ldl" >&5
 +$as_echo_n "checking for dlopen in -ldl... " >&6; }
 +if ${ac_cv_lib_dl_dlopen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_check_lib_save_LIBS=$LIBS
 +LIBS="-ldl  $LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dlopen ();
 +int
 +main ()
 +{
 +return dlopen ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_dl_dlopen=yes
 +else
 +  ac_cv_lib_dl_dlopen=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_check_lib_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_dl_dlopen" >&5
 +$as_echo "$ac_cv_lib_dl_dlopen" >&6; }
 +if test "x$ac_cv_lib_dl_dlopen" = xyes; then :
 +  lt_cv_dlopen="dlopen" lt_cv_dlopen_libs="-ldl"
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for dlopen in -lsvld" >&5
 +$as_echo_n "checking for dlopen in -lsvld... " >&6; }
 +if ${ac_cv_lib_svld_dlopen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_check_lib_save_LIBS=$LIBS
 +LIBS="-lsvld  $LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dlopen ();
 +int
 +main ()
 +{
 +return dlopen ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_svld_dlopen=yes
 +else
 +  ac_cv_lib_svld_dlopen=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_check_lib_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_svld_dlopen" >&5
 +$as_echo "$ac_cv_lib_svld_dlopen" >&6; }
 +if test "x$ac_cv_lib_svld_dlopen" = xyes; then :
 +  lt_cv_dlopen="dlopen" lt_cv_dlopen_libs="-lsvld"
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for dld_link in -ldld" >&5
 +$as_echo_n "checking for dld_link in -ldld... " >&6; }
 +if ${ac_cv_lib_dld_dld_link+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_check_lib_save_LIBS=$LIBS
 +LIBS="-ldld  $LIBS"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dld_link ();
 +int
 +main ()
 +{
 +return dld_link ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_lib_dld_dld_link=yes
 +else
 +  ac_cv_lib_dld_dld_link=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +LIBS=$ac_check_lib_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_lib_dld_dld_link" >&5
 +$as_echo "$ac_cv_lib_dld_dld_link" >&6; }
 +if test "x$ac_cv_lib_dld_dld_link" = xyes; then :
 +  lt_cv_dlopen="dld_link" lt_cv_dlopen_libs="-ldld"
 +fi
 +
 +
 +fi
 +
 +
 +fi
 +
 +
 +fi
 +
 +
 +fi
 +
 +
 +fi
 +
 +    ;;
 +  esac
 +
 +  if test "x$lt_cv_dlopen" != xno; then
 +    enable_dlopen=yes
 +  else
 +    enable_dlopen=no
 +  fi
 +
 +  case $lt_cv_dlopen in
 +  dlopen)
 +    save_CPPFLAGS="$CPPFLAGS"
 +    test "x$ac_cv_header_dlfcn_h" = xyes && CPPFLAGS="$CPPFLAGS -DHAVE_DLFCN_H"
 +
 +    save_LDFLAGS="$LDFLAGS"
 +    wl=$lt_prog_compiler_wl eval LDFLAGS=\"\$LDFLAGS $export_dynamic_flag_spec\"
 +
 +    save_LIBS="$LIBS"
 +    LIBS="$lt_cv_dlopen_libs $LIBS"
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether a program can dlopen itself" >&5
 +$as_echo_n "checking whether a program can dlopen itself... " >&6; }
 +if ${lt_cv_dlopen_self+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +        if test "$cross_compiling" = yes; then :
 +  lt_cv_dlopen_self=cross
 +else
 +  lt_dlunknown=0; lt_dlno_uscore=1; lt_dlneed_uscore=2
 +  lt_status=$lt_dlunknown
 +  cat > conftest.$ac_ext <<_LT_EOF
 +#line $LINENO "configure"
 +#include "confdefs.h"
 +
 +#if HAVE_DLFCN_H
 +#include <dlfcn.h>
 +#endif
 +
 +#include <stdio.h>
 +
 +#ifdef RTLD_GLOBAL
 +#  define LT_DLGLOBAL         RTLD_GLOBAL
 +#else
 +#  ifdef DL_GLOBAL
 +#    define LT_DLGLOBAL               DL_GLOBAL
 +#  else
 +#    define LT_DLGLOBAL               0
 +#  endif
 +#endif
 +
 +/* We may have to define LT_DLLAZY_OR_NOW in the command line if we
 +   find out it does not work in some platform. */
 +#ifndef LT_DLLAZY_OR_NOW
 +#  ifdef RTLD_LAZY
 +#    define LT_DLLAZY_OR_NOW          RTLD_LAZY
 +#  else
 +#    ifdef DL_LAZY
 +#      define LT_DLLAZY_OR_NOW                DL_LAZY
 +#    else
 +#      ifdef RTLD_NOW
 +#        define LT_DLLAZY_OR_NOW      RTLD_NOW
 +#      else
 +#        ifdef DL_NOW
 +#          define LT_DLLAZY_OR_NOW    DL_NOW
 +#        else
 +#          define LT_DLLAZY_OR_NOW    0
 +#        endif
 +#      endif
 +#    endif
 +#  endif
 +#endif
 +
 +/* When -fvisbility=hidden is used, assume the code has been annotated
 +   correspondingly for the symbols needed.  */
 +#if defined(__GNUC__) && (((__GNUC__ == 3) && (__GNUC_MINOR__ >= 3)) || (__GNUC__ > 3))
 +int fnord () __attribute__((visibility("default")));
 +#endif
 +
 +int fnord () { return 42; }
 +int main ()
 +{
 +  void *self = dlopen (0, LT_DLGLOBAL|LT_DLLAZY_OR_NOW);
 +  int status = $lt_dlunknown;
 +
 +  if (self)
 +    {
 +      if (dlsym (self,"fnord"))       status = $lt_dlno_uscore;
 +      else
 +        {
 +        if (dlsym( self,"_fnord"))  status = $lt_dlneed_uscore;
 +          else puts (dlerror ());
 +      }
 +      /* dlclose (self); */
 +    }
 +  else
 +    puts (dlerror ());
 +
 +  return status;
 +}
 +_LT_EOF
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_link\""; } >&5
 +  (eval $ac_link) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && test -s conftest${ac_exeext} 2>/dev/null; then
 +    (./conftest; exit; ) >&5 2>/dev/null
 +    lt_status=$?
 +    case x$lt_status in
 +      x$lt_dlno_uscore) lt_cv_dlopen_self=yes ;;
 +      x$lt_dlneed_uscore) lt_cv_dlopen_self=yes ;;
 +      x$lt_dlunknown|x*) lt_cv_dlopen_self=no ;;
 +    esac
 +  else :
 +    # compilation failed
 +    lt_cv_dlopen_self=no
 +  fi
 +fi
 +rm -fr conftest*
 +
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_dlopen_self" >&5
 +$as_echo "$lt_cv_dlopen_self" >&6; }
 +
 +    if test "x$lt_cv_dlopen_self" = xyes; then
 +      wl=$lt_prog_compiler_wl eval LDFLAGS=\"\$LDFLAGS $lt_prog_compiler_static\"
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether a statically linked program can dlopen itself" >&5
 +$as_echo_n "checking whether a statically linked program can dlopen itself... " >&6; }
 +if ${lt_cv_dlopen_self_static+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +        if test "$cross_compiling" = yes; then :
 +  lt_cv_dlopen_self_static=cross
 +else
 +  lt_dlunknown=0; lt_dlno_uscore=1; lt_dlneed_uscore=2
 +  lt_status=$lt_dlunknown
 +  cat > conftest.$ac_ext <<_LT_EOF
 +#line $LINENO "configure"
 +#include "confdefs.h"
 +
 +#if HAVE_DLFCN_H
 +#include <dlfcn.h>
 +#endif
 +
 +#include <stdio.h>
 +
 +#ifdef RTLD_GLOBAL
 +#  define LT_DLGLOBAL         RTLD_GLOBAL
 +#else
 +#  ifdef DL_GLOBAL
 +#    define LT_DLGLOBAL               DL_GLOBAL
 +#  else
 +#    define LT_DLGLOBAL               0
 +#  endif
 +#endif
 +
 +/* We may have to define LT_DLLAZY_OR_NOW in the command line if we
 +   find out it does not work in some platform. */
 +#ifndef LT_DLLAZY_OR_NOW
 +#  ifdef RTLD_LAZY
 +#    define LT_DLLAZY_OR_NOW          RTLD_LAZY
 +#  else
 +#    ifdef DL_LAZY
 +#      define LT_DLLAZY_OR_NOW                DL_LAZY
 +#    else
 +#      ifdef RTLD_NOW
 +#        define LT_DLLAZY_OR_NOW      RTLD_NOW
 +#      else
 +#        ifdef DL_NOW
 +#          define LT_DLLAZY_OR_NOW    DL_NOW
 +#        else
 +#          define LT_DLLAZY_OR_NOW    0
 +#        endif
 +#      endif
 +#    endif
 +#  endif
 +#endif
 +
 +/* When -fvisbility=hidden is used, assume the code has been annotated
 +   correspondingly for the symbols needed.  */
 +#if defined(__GNUC__) && (((__GNUC__ == 3) && (__GNUC_MINOR__ >= 3)) || (__GNUC__ > 3))
 +int fnord () __attribute__((visibility("default")));
 +#endif
 +
 +int fnord () { return 42; }
 +int main ()
 +{
 +  void *self = dlopen (0, LT_DLGLOBAL|LT_DLLAZY_OR_NOW);
 +  int status = $lt_dlunknown;
 +
 +  if (self)
 +    {
 +      if (dlsym (self,"fnord"))       status = $lt_dlno_uscore;
 +      else
 +        {
 +        if (dlsym( self,"_fnord"))  status = $lt_dlneed_uscore;
 +          else puts (dlerror ());
 +      }
 +      /* dlclose (self); */
 +    }
 +  else
 +    puts (dlerror ());
 +
 +  return status;
 +}
 +_LT_EOF
 +  if { { eval echo "\"\$as_me\":${as_lineno-$LINENO}: \"$ac_link\""; } >&5
 +  (eval $ac_link) 2>&5
 +  ac_status=$?
 +  $as_echo "$as_me:${as_lineno-$LINENO}: \$? = $ac_status" >&5
 +  test $ac_status = 0; } && test -s conftest${ac_exeext} 2>/dev/null; then
 +    (./conftest; exit; ) >&5 2>/dev/null
 +    lt_status=$?
 +    case x$lt_status in
 +      x$lt_dlno_uscore) lt_cv_dlopen_self_static=yes ;;
 +      x$lt_dlneed_uscore) lt_cv_dlopen_self_static=yes ;;
 +      x$lt_dlunknown|x*) lt_cv_dlopen_self_static=no ;;
 +    esac
 +  else :
 +    # compilation failed
 +    lt_cv_dlopen_self_static=no
 +  fi
 +fi
 +rm -fr conftest*
 +
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $lt_cv_dlopen_self_static" >&5
 +$as_echo "$lt_cv_dlopen_self_static" >&6; }
 +    fi
 +
 +    CPPFLAGS="$save_CPPFLAGS"
 +    LDFLAGS="$save_LDFLAGS"
 +    LIBS="$save_LIBS"
 +    ;;
 +  esac
 +
 +  case $lt_cv_dlopen_self in
 +  yes|no) enable_dlopen_self=$lt_cv_dlopen_self ;;
 +  *) enable_dlopen_self=unknown ;;
 +  esac
 +
 +  case $lt_cv_dlopen_self_static in
 +  yes|no) enable_dlopen_self_static=$lt_cv_dlopen_self_static ;;
 +  *) enable_dlopen_self_static=unknown ;;
 +  esac
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +striplib=
 +old_striplib=
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether stripping libraries is possible" >&5
 +$as_echo_n "checking whether stripping libraries is possible... " >&6; }
 +if test -n "$STRIP" && $STRIP -V 2>&1 | $GREP "GNU strip" >/dev/null; then
 +  test -z "$old_striplib" && old_striplib="$STRIP --strip-debug"
 +  test -z "$striplib" && striplib="$STRIP --strip-unneeded"
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +else
 +# FIXME - insert some real tests, host_os isn't really good enough
 +  case $host_os in
 +  darwin*)
 +    if test -n "$STRIP" ; then
 +      striplib="$STRIP -x"
 +      old_striplib="$STRIP -S"
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +    else
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +    fi
 +    ;;
 +  *)
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +    ;;
 +  esac
 +fi
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +  # Report which library types will actually be built
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking if libtool supports shared libraries" >&5
 +$as_echo_n "checking if libtool supports shared libraries... " >&6; }
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $can_build_shared" >&5
 +$as_echo "$can_build_shared" >&6; }
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether to build shared libraries" >&5
 +$as_echo_n "checking whether to build shared libraries... " >&6; }
 +  test "$can_build_shared" = "no" && enable_shared=no
 +
 +  # On AIX, shared libraries and static libraries use the same namespace, and
 +  # are all built from PIC.
 +  case $host_os in
 +  aix3*)
 +    test "$enable_shared" = yes && enable_static=no
 +    if test -n "$RANLIB"; then
 +      archive_cmds="$archive_cmds~\$RANLIB \$lib"
 +      postinstall_cmds='$RANLIB $lib'
 +    fi
 +    ;;
 +
 +  aix[4-9]*)
 +    if test "$host_cpu" != ia64 && test "$aix_use_runtimelinking" = no ; then
 +      test "$enable_shared" = yes && enable_static=no
 +    fi
 +    ;;
 +  esac
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $enable_shared" >&5
 +$as_echo "$enable_shared" >&6; }
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether to build static libraries" >&5
 +$as_echo_n "checking whether to build static libraries... " >&6; }
 +  # Make sure either enable_shared or enable_static is yes.
 +  test "$enable_shared" = yes || enable_static=yes
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $enable_static" >&5
 +$as_echo "$enable_static" >&6; }
 +
 +
 +
 +
 +fi
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +CC="$lt_save_CC"
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +        ac_config_commands="$ac_config_commands libtool"
 +
 +
 +
 +
 +# Only expand once:
 +
 +
 +
 +
 +# Checks for header files.
 +for ac_header in stdarg.h stdbool.h netinet/in.h sys/param.h sys/socket.h sys/un.h sys/uio.h sys/resource.h arpa/inet.h syslog.h netdb.h sys/wait.h pwd.h glob.h grp.h login_cap.h winsock2.h ws2tcpip.h endian.h
 +do :
 +  as_ac_Header=`$as_echo "ac_cv_header_$ac_header" | $as_tr_sh`
 +ac_fn_c_check_header_compile "$LINENO" "$ac_header" "$as_ac_Header" "$ac_includes_default
 +"
 +if eval test \"x\$"$as_ac_Header"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_header" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +# check for types.
 +# Using own tests for int64* because autoconf builtin only give 32bit.
 +ac_fn_c_check_type "$LINENO" "int8_t" "ac_cv_type_int8_t" "$ac_includes_default"
 +if test "x$ac_cv_type_int8_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define int8_t signed char
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "int16_t" "ac_cv_type_int16_t" "$ac_includes_default"
 +if test "x$ac_cv_type_int16_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define int16_t short
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "int32_t" "ac_cv_type_int32_t" "$ac_includes_default"
 +if test "x$ac_cv_type_int32_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define int32_t int
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "int64_t" "ac_cv_type_int64_t" "$ac_includes_default"
 +if test "x$ac_cv_type_int64_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define int64_t long long
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "uint8_t" "ac_cv_type_uint8_t" "$ac_includes_default"
 +if test "x$ac_cv_type_uint8_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define uint8_t unsigned char
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "uint16_t" "ac_cv_type_uint16_t" "$ac_includes_default"
 +if test "x$ac_cv_type_uint16_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define uint16_t unsigned short
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "uint32_t" "ac_cv_type_uint32_t" "$ac_includes_default"
 +if test "x$ac_cv_type_uint32_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define uint32_t unsigned int
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "uint64_t" "ac_cv_type_uint64_t" "$ac_includes_default"
 +if test "x$ac_cv_type_uint64_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define uint64_t unsigned long long
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "size_t" "ac_cv_type_size_t" "$ac_includes_default"
 +if test "x$ac_cv_type_size_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define size_t unsigned int
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "ssize_t" "ac_cv_type_ssize_t" "$ac_includes_default"
 +if test "x$ac_cv_type_ssize_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define ssize_t int
 +_ACEOF
 +
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for uid_t in sys/types.h" >&5
 +$as_echo_n "checking for uid_t in sys/types.h... " >&6; }
 +if ${ac_cv_type_uid_t+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h>
 +
 +_ACEOF
 +if (eval "$ac_cpp conftest.$ac_ext") 2>&5 |
 +  $EGREP "uid_t" >/dev/null 2>&1; then :
 +  ac_cv_type_uid_t=yes
 +else
 +  ac_cv_type_uid_t=no
 +fi
 +rm -f conftest*
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_type_uid_t" >&5
 +$as_echo "$ac_cv_type_uid_t" >&6; }
 +if test $ac_cv_type_uid_t = no; then
 +
 +$as_echo "#define uid_t int" >>confdefs.h
 +
 +
 +$as_echo "#define gid_t int" >>confdefs.h
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "pid_t" "ac_cv_type_pid_t" "$ac_includes_default"
 +if test "x$ac_cv_type_pid_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define pid_t int
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "off_t" "ac_cv_type_off_t" "$ac_includes_default"
 +if test "x$ac_cv_type_off_t" = xyes; then :
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define off_t long int
 +_ACEOF
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "u_char" "ac_cv_type_u_char" "
 +$ac_includes_default
 +#ifdef HAVE_WINSOCK2_H
 +#  include <winsock2.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_type_u_char" = xyes; then :
 +
 +else
 +
 +$as_echo "#define u_char unsigned char" >>confdefs.h
 +
 +fi
 +
 +ac_fn_c_check_type "$LINENO" "rlim_t" "ac_cv_type_rlim_t" "
 +$ac_includes_default
 +#ifdef HAVE_SYS_RESOURCE_H
 +#  include <sys/resource.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_type_rlim_t" = xyes; then :
 +
 +else
 +
 +$as_echo "#define rlim_t unsigned long" >>confdefs.h
 +
 +fi
 +
 +
 +ac_fn_c_check_type "$LINENO" "socklen_t" "ac_cv_type_socklen_t" "
 +$ac_includes_default
 +#ifdef HAVE_SYS_SOCKET_H
 +#  include <sys/socket.h>
 +#endif
 +#ifdef HAVE_WS2TCPIP_H
 +#  include <ws2tcpip.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_type_socklen_t" = xyes; then :
 +
 +else
 +
 +$as_echo "#define socklen_t int" >>confdefs.h
 +
 +fi
 +
 + ac_fn_c_check_type "$LINENO" "in_addr_t" "ac_cv_type_in_addr_t" "
 +$ac_includes_default
 +#ifdef HAVE_SYS_TYPES_H
 +# include <sys/types.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +# include <netinet/in.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_type_in_addr_t" = xyes; then :
 +
 +else
 +
 +$as_echo "#define in_addr_t uint32_t" >>confdefs.h
 +
 +fi
 +
 + ac_fn_c_check_type "$LINENO" "in_port_t" "ac_cv_type_in_port_t" "
 +$ac_includes_default
 +#ifdef HAVE_SYS_TYPES_H
 +# include <sys/types.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +# include <netinet/in.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_type_in_port_t" = xyes; then :
 +
 +else
 +
 +$as_echo "#define in_port_t uint16_t" >>confdefs.h
 +
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if memcmp compares unsigned" >&5
 +$as_echo_n "checking if memcmp compares unsigned... " >&6; }
 +if test "$cross_compiling" = yes; then :
 +   { $as_echo "$as_me:${as_lineno-$LINENO}: result: cross-compile no" >&5
 +$as_echo "cross-compile no" >&6; }
 +
 +$as_echo "#define MEMCMP_IS_BROKEN 1" >>confdefs.h
 +
 +  case " $LIBOBJS " in
 +  *" memcmp.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS memcmp.$ac_objext"
 + ;;
 +esac
 +
 +
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#include <stdio.h>
 +#include <stdlib.h>
 +#include <string.h>
 +int main(void)
 +{
 +      char a = 255, b = 0;
 +      if(memcmp(&a, &b, 1) < 0)
 +              return 1;
 +      return 0;
 +}
 +
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +else
 +   { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +
 +$as_echo "#define MEMCMP_IS_BROKEN 1" >>confdefs.h
 +
 +  case " $LIBOBJS " in
 +  *" memcmp.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS memcmp.$ac_objext"
 + ;;
 +esac
 +
 +
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +
 +# The cast to long int works around a bug in the HP C Compiler
 +# version HP92453-01 B.11.11.23709.GP, which incorrectly rejects
 +# declarations like `int a3[[(sizeof (unsigned char)) >= 0]];'.
 +# This bug is HP SR number 8606223364.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking size of time_t" >&5
 +$as_echo_n "checking size of time_t... " >&6; }
 +if ${ac_cv_sizeof_time_t+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if ac_fn_c_compute_int "$LINENO" "(long int) (sizeof (time_t))" "ac_cv_sizeof_time_t"        "
 +$ac_includes_default
 +#ifdef TIME_WITH_SYS_TIME
 +# include <sys/time.h>
 +# include <time.h>
 +#else
 +# ifdef HAVE_SYS_TIME_H
 +#  include <sys/time.h>
 +# else
 +#  include <time.h>
 +# endif
 +#endif
 +
 +"; then :
 +
 +else
 +  if test "$ac_cv_type_time_t" = yes; then
 +     { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error 77 "cannot compute sizeof (time_t)
 +See \`config.log' for more details" "$LINENO" 5; }
 +   else
 +     ac_cv_sizeof_time_t=0
 +   fi
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_sizeof_time_t" >&5
 +$as_echo "$ac_cv_sizeof_time_t" >&6; }
 +
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define SIZEOF_TIME_T $ac_cv_sizeof_time_t
 +_ACEOF
 +
 +
 +
 +# add option to disable the evil rpath
 +
 +# Check whether --enable-rpath was given.
 +if test "${enable_rpath+set}" = set; then :
 +  enableval=$enable_rpath; enable_rpath=$enableval
 +else
 +  enable_rpath=yes
 +fi
 +
 +if test "x$enable_rpath" = xno; then
 +              ac_config_commands="$ac_config_commands disable-rpath"
 +
 +fi
 +
 +
 +
 +# check to see if libraries are needed for these functions.
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing inet_pton" >&5
 +$as_echo_n "checking for library containing inet_pton... " >&6; }
 +if ${ac_cv_search_inet_pton+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char inet_pton ();
 +int
 +main ()
 +{
 +return inet_pton ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' nsl; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_inet_pton=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_inet_pton+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_inet_pton+:} false; then :
 +
 +else
 +  ac_cv_search_inet_pton=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_inet_pton" >&5
 +$as_echo "$ac_cv_search_inet_pton" >&6; }
 +ac_res=$ac_cv_search_inet_pton
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing socket" >&5
 +$as_echo_n "checking for library containing socket... " >&6; }
 +if ${ac_cv_search_socket+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char socket ();
 +int
 +main ()
 +{
 +return socket ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' socket; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_socket=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_socket+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_socket+:} false; then :
 +
 +else
 +  ac_cv_search_socket=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_socket" >&5
 +$as_echo "$ac_cv_search_socket" >&6; }
 +ac_res=$ac_cv_search_socket
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +
 +# check wether strptime also works
 +
 +# check some functions of the OS before linking libs (while still runnable).
 +for ac_header in unistd.h
 +do :
 +  ac_fn_c_check_header_mongrel "$LINENO" "unistd.h" "ac_cv_header_unistd_h" "$ac_includes_default"
 +if test "x$ac_cv_header_unistd_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_UNISTD_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for working chown" >&5
 +$as_echo_n "checking for working chown... " >&6; }
 +if ${ac_cv_func_chown_works+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test "$cross_compiling" = yes; then :
 +  ac_cv_func_chown_works=no
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$ac_includes_default
 +#include <fcntl.h>
 +
 +int
 +main ()
 +{
 +  char *f = "conftest.chown";
 +  struct stat before, after;
 +
 +  if (creat (f, 0600) < 0)
 +    return 1;
 +  if (stat (f, &before) < 0)
 +    return 1;
 +  if (chown (f, (uid_t) -1, (gid_t) -1) == -1)
 +    return 1;
 +  if (stat (f, &after) < 0)
 +    return 1;
 +  return ! (before.st_uid == after.st_uid && before.st_gid == after.st_gid);
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  ac_cv_func_chown_works=yes
 +else
 +  ac_cv_func_chown_works=no
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +rm -f conftest.chown
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_func_chown_works" >&5
 +$as_echo "$ac_cv_func_chown_works" >&6; }
 +if test $ac_cv_func_chown_works = yes; then
 +
 +$as_echo "#define HAVE_CHOWN 1" >>confdefs.h
 +
 +fi
 +
 +for ac_header in vfork.h
 +do :
 +  ac_fn_c_check_header_mongrel "$LINENO" "vfork.h" "ac_cv_header_vfork_h" "$ac_includes_default"
 +if test "x$ac_cv_header_vfork_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_VFORK_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +for ac_func in fork vfork
 +do :
 +  as_ac_var=`$as_echo "ac_cv_func_$ac_func" | $as_tr_sh`
 +ac_fn_c_check_func "$LINENO" "$ac_func" "$as_ac_var"
 +if eval test \"x\$"$as_ac_var"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_func" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +done
 +
 +if test "x$ac_cv_func_fork" = xyes; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for working fork" >&5
 +$as_echo_n "checking for working fork... " >&6; }
 +if ${ac_cv_func_fork_works+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test "$cross_compiling" = yes; then :
 +  ac_cv_func_fork_works=cross
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +$ac_includes_default
 +int
 +main ()
 +{
 +
 +        /* By Ruediger Kuhlmann. */
 +        return fork () < 0;
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  ac_cv_func_fork_works=yes
 +else
 +  ac_cv_func_fork_works=no
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_func_fork_works" >&5
 +$as_echo "$ac_cv_func_fork_works" >&6; }
 +
 +else
 +  ac_cv_func_fork_works=$ac_cv_func_fork
 +fi
 +if test "x$ac_cv_func_fork_works" = xcross; then
 +  case $host in
 +    *-*-amigaos* | *-*-msdosdjgpp*)
 +      # Override, as these systems have only a dummy fork() stub
 +      ac_cv_func_fork_works=no
 +      ;;
 +    *)
 +      ac_cv_func_fork_works=yes
 +      ;;
 +  esac
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: result $ac_cv_func_fork_works guessed because of cross compilation" >&5
 +$as_echo "$as_me: WARNING: result $ac_cv_func_fork_works guessed because of cross compilation" >&2;}
 +fi
 +ac_cv_func_vfork_works=$ac_cv_func_vfork
 +if test "x$ac_cv_func_vfork" = xyes; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for working vfork" >&5
 +$as_echo_n "checking for working vfork... " >&6; }
 +if ${ac_cv_func_vfork_works+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test "$cross_compiling" = yes; then :
 +  ac_cv_func_vfork_works=cross
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +/* Thanks to Paul Eggert for this test.  */
 +$ac_includes_default
 +#include <sys/wait.h>
 +#ifdef HAVE_VFORK_H
 +# include <vfork.h>
 +#endif
 +/* On some sparc systems, changes by the child to local and incoming
 +   argument registers are propagated back to the parent.  The compiler
 +   is told about this with #include <vfork.h>, but some compilers
 +   (e.g. gcc -O) don't grok <vfork.h>.  Test for this by using a
 +   static variable whose address is put into a register that is
 +   clobbered by the vfork.  */
 +static void
 +#ifdef __cplusplus
 +sparc_address_test (int arg)
 +# else
 +sparc_address_test (arg) int arg;
 +#endif
 +{
 +  static pid_t child;
 +  if (!child) {
 +    child = vfork ();
 +    if (child < 0) {
 +      perror ("vfork");
 +      _exit(2);
 +    }
 +    if (!child) {
 +      arg = getpid();
 +      write(-1, "", 0);
 +      _exit (arg);
 +    }
 +  }
 +}
 +
 +int
 +main ()
 +{
 +  pid_t parent = getpid ();
 +  pid_t child;
 +
 +  sparc_address_test (0);
 +
 +  child = vfork ();
 +
 +  if (child == 0) {
 +    /* Here is another test for sparc vfork register problems.  This
 +       test uses lots of local variables, at least as many local
 +       variables as main has allocated so far including compiler
 +       temporaries.  4 locals are enough for gcc 1.40.3 on a Solaris
 +       4.1.3 sparc, but we use 8 to be safe.  A buggy compiler should
 +       reuse the register of parent for one of the local variables,
 +       since it will think that parent can't possibly be used any more
 +       in this routine.  Assigning to the local variable will thus
 +       munge parent in the parent process.  */
 +    pid_t
 +      p = getpid(), p1 = getpid(), p2 = getpid(), p3 = getpid(),
 +      p4 = getpid(), p5 = getpid(), p6 = getpid(), p7 = getpid();
 +    /* Convince the compiler that p..p7 are live; otherwise, it might
 +       use the same hardware register for all 8 local variables.  */
 +    if (p != p1 || p != p2 || p != p3 || p != p4
 +      || p != p5 || p != p6 || p != p7)
 +      _exit(1);
 +
 +    /* On some systems (e.g. IRIX 3.3), vfork doesn't separate parent
 +       from child file descriptors.  If the child closes a descriptor
 +       before it execs or exits, this munges the parent's descriptor
 +       as well.  Test for this by closing stdout in the child.  */
 +    _exit(close(fileno(stdout)) != 0);
 +  } else {
 +    int status;
 +    struct stat st;
 +
 +    while (wait(&status) != child)
 +      ;
 +    return (
 +       /* Was there some problem with vforking?  */
 +       child < 0
 +
 +       /* Did the child fail?  (This shouldn't happen.)  */
 +       || status
 +
 +       /* Did the vfork/compiler bug occur?  */
 +       || parent != getpid()
 +
 +       /* Did the file descriptor bug occur?  */
 +       || fstat(fileno(stdout), &st) != 0
 +       );
 +  }
 +}
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  ac_cv_func_vfork_works=yes
 +else
 +  ac_cv_func_vfork_works=no
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_func_vfork_works" >&5
 +$as_echo "$ac_cv_func_vfork_works" >&6; }
 +
 +fi;
 +if test "x$ac_cv_func_fork_works" = xcross; then
 +  ac_cv_func_vfork_works=$ac_cv_func_vfork
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: result $ac_cv_func_vfork_works guessed because of cross compilation" >&5
 +$as_echo "$as_me: WARNING: result $ac_cv_func_vfork_works guessed because of cross compilation" >&2;}
 +fi
 +
 +if test "x$ac_cv_func_vfork_works" = xyes; then
 +
 +$as_echo "#define HAVE_WORKING_VFORK 1" >>confdefs.h
 +
 +else
 +
 +$as_echo "#define vfork fork" >>confdefs.h
 +
 +fi
 +if test "x$ac_cv_func_fork_works" = xyes; then
 +
 +$as_echo "#define HAVE_WORKING_FORK 1" >>confdefs.h
 +
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking return type of signal handlers" >&5
 +$as_echo_n "checking return type of signal handlers... " >&6; }
 +if ${ac_cv_type_signal+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h>
 +#include <signal.h>
 +
 +int
 +main ()
 +{
 +return *(signal (0, 0)) (0) == 1;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_type_signal=int
 +else
 +  ac_cv_type_signal=void
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_type_signal" >&5
 +$as_echo "$ac_cv_type_signal" >&6; }
 +
 +cat >>confdefs.h <<_ACEOF
 +#define RETSIGTYPE $ac_cv_type_signal
 +_ACEOF
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for _LARGEFILE_SOURCE value needed for large files" >&5
 +$as_echo_n "checking for _LARGEFILE_SOURCE value needed for large files... " >&6; }
 +if ${ac_cv_sys_largefile_source+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  while :; do
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h> /* for off_t */
 +     #include <stdio.h>
 +int
 +main ()
 +{
 +int (*fp) (FILE *, off_t, int) = fseeko;
 +     return fseeko (stdin, 0, 0) && fp (stdin, 0, 0);
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_sys_largefile_source=no; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#define _LARGEFILE_SOURCE 1
 +#include <sys/types.h> /* for off_t */
 +     #include <stdio.h>
 +int
 +main ()
 +{
 +int (*fp) (FILE *, off_t, int) = fseeko;
 +     return fseeko (stdin, 0, 0) && fp (stdin, 0, 0);
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_sys_largefile_source=1; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +  ac_cv_sys_largefile_source=unknown
 +  break
 +done
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_sys_largefile_source" >&5
 +$as_echo "$ac_cv_sys_largefile_source" >&6; }
 +case $ac_cv_sys_largefile_source in #(
 +  no | unknown) ;;
 +  *)
 +cat >>confdefs.h <<_ACEOF
 +#define _LARGEFILE_SOURCE $ac_cv_sys_largefile_source
 +_ACEOF
 +;;
 +esac
 +rm -rf conftest*
 +
 +# We used to try defining _XOPEN_SOURCE=500 too, to work around a bug
 +# in glibc 2.1.3, but that breaks too many other things.
 +# If you want fseeko and ftello with glibc, upgrade to a fixed glibc.
 +if test $ac_cv_sys_largefile_source != unknown; then
 +
 +$as_echo "#define HAVE_FSEEKO 1" >>confdefs.h
 +
 +fi
 +
 +
 +# Check whether --enable-largefile was given.
 +if test "${enable_largefile+set}" = set; then :
 +  enableval=$enable_largefile;
 +fi
 +
 +if test "$enable_largefile" != no; then
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for special C compiler options needed for large files" >&5
 +$as_echo_n "checking for special C compiler options needed for large files... " >&6; }
 +if ${ac_cv_sys_largefile_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_cv_sys_largefile_CC=no
 +     if test "$GCC" != yes; then
 +       ac_save_CC=$CC
 +       while :; do
 +       # IRIX 6.2 and later do not support large files by default,
 +       # so use the C compiler's -n32 option if that helps.
 +       cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h>
 + /* Check that off_t can represent 2**63 - 1 correctly.
 +    We can't simply define LARGE_OFF_T to be 9223372036854775807,
 +    since some C++ compilers masquerading as C compilers
 +    incorrectly reject 9223372036854775807.  */
 +#define LARGE_OFF_T (((off_t) 1 << 62) - 1 + ((off_t) 1 << 62))
 +  int off_t_is_large[(LARGE_OFF_T % 2147483629 == 721
 +                     && LARGE_OFF_T % 2147483647 == 1)
 +                    ? 1 : -1];
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +       if ac_fn_c_try_compile "$LINENO"; then :
 +  break
 +fi
 +rm -f core conftest.err conftest.$ac_objext
 +       CC="$CC -n32"
 +       if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_sys_largefile_CC=' -n32'; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext
 +       break
 +       done
 +       CC=$ac_save_CC
 +       rm -f conftest.$ac_ext
 +    fi
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_sys_largefile_CC" >&5
 +$as_echo "$ac_cv_sys_largefile_CC" >&6; }
 +  if test "$ac_cv_sys_largefile_CC" != no; then
 +    CC=$CC$ac_cv_sys_largefile_CC
 +  fi
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: checking for _FILE_OFFSET_BITS value needed for large files" >&5
 +$as_echo_n "checking for _FILE_OFFSET_BITS value needed for large files... " >&6; }
 +if ${ac_cv_sys_file_offset_bits+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  while :; do
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h>
 + /* Check that off_t can represent 2**63 - 1 correctly.
 +    We can't simply define LARGE_OFF_T to be 9223372036854775807,
 +    since some C++ compilers masquerading as C compilers
 +    incorrectly reject 9223372036854775807.  */
 +#define LARGE_OFF_T (((off_t) 1 << 62) - 1 + ((off_t) 1 << 62))
 +  int off_t_is_large[(LARGE_OFF_T % 2147483629 == 721
 +                     && LARGE_OFF_T % 2147483647 == 1)
 +                    ? 1 : -1];
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_sys_file_offset_bits=no; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#define _FILE_OFFSET_BITS 64
 +#include <sys/types.h>
 + /* Check that off_t can represent 2**63 - 1 correctly.
 +    We can't simply define LARGE_OFF_T to be 9223372036854775807,
 +    since some C++ compilers masquerading as C compilers
 +    incorrectly reject 9223372036854775807.  */
 +#define LARGE_OFF_T (((off_t) 1 << 62) - 1 + ((off_t) 1 << 62))
 +  int off_t_is_large[(LARGE_OFF_T % 2147483629 == 721
 +                     && LARGE_OFF_T % 2147483647 == 1)
 +                    ? 1 : -1];
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_sys_file_offset_bits=64; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  ac_cv_sys_file_offset_bits=unknown
 +  break
 +done
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_sys_file_offset_bits" >&5
 +$as_echo "$ac_cv_sys_file_offset_bits" >&6; }
 +case $ac_cv_sys_file_offset_bits in #(
 +  no | unknown) ;;
 +  *)
 +cat >>confdefs.h <<_ACEOF
 +#define _FILE_OFFSET_BITS $ac_cv_sys_file_offset_bits
 +_ACEOF
 +;;
 +esac
 +rm -rf conftest*
 +  if test $ac_cv_sys_file_offset_bits = unknown; then
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for _LARGE_FILES value needed for large files" >&5
 +$as_echo_n "checking for _LARGE_FILES value needed for large files... " >&6; }
 +if ${ac_cv_sys_large_files+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  while :; do
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <sys/types.h>
 + /* Check that off_t can represent 2**63 - 1 correctly.
 +    We can't simply define LARGE_OFF_T to be 9223372036854775807,
 +    since some C++ compilers masquerading as C compilers
 +    incorrectly reject 9223372036854775807.  */
 +#define LARGE_OFF_T (((off_t) 1 << 62) - 1 + ((off_t) 1 << 62))
 +  int off_t_is_large[(LARGE_OFF_T % 2147483629 == 721
 +                     && LARGE_OFF_T % 2147483647 == 1)
 +                    ? 1 : -1];
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_sys_large_files=no; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#define _LARGE_FILES 1
 +#include <sys/types.h>
 + /* Check that off_t can represent 2**63 - 1 correctly.
 +    We can't simply define LARGE_OFF_T to be 9223372036854775807,
 +    since some C++ compilers masquerading as C compilers
 +    incorrectly reject 9223372036854775807.  */
 +#define LARGE_OFF_T (((off_t) 1 << 62) - 1 + ((off_t) 1 << 62))
 +  int off_t_is_large[(LARGE_OFF_T % 2147483629 == 721
 +                     && LARGE_OFF_T % 2147483647 == 1)
 +                    ? 1 : -1];
 +int
 +main ()
 +{
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  ac_cv_sys_large_files=1; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +  ac_cv_sys_large_files=unknown
 +  break
 +done
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_sys_large_files" >&5
 +$as_echo "$ac_cv_sys_large_files" >&6; }
 +case $ac_cv_sys_large_files in #(
 +  no | unknown) ;;
 +  *)
 +cat >>confdefs.h <<_ACEOF
 +#define _LARGE_FILES $ac_cv_sys_large_files
 +_ACEOF
 +;;
 +esac
 +rm -rf conftest*
 +  fi
 +
 +
 +fi
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether we need -D_LARGEFILE_SOURCE=1 as a flag for $CC" >&5
 +$as_echo_n "checking whether we need -D_LARGEFILE_SOURCE=1 as a flag for $CC... " >&6; }
 +cache=_D_LARGEFILE_SOURCE_1
 +if eval \${cv_prog_cc_flag_needed_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <stdio.h>
 +int test() {
 +        int a = fseeko(stdin, 0, 0);
 +        return a;
 +}
 +' > conftest.c
 +echo 'void f(){}' >>conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=no"
 +else
 +
 +if test -z "`$CC $CPPFLAGS $CFLAGS -D_LARGEFILE_SOURCE=1 $ERRFLAG -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_needed_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_needed_$cache=fail"
 +#echo 'Test with flag fails too!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_LARGEFILE_SOURCE=1 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_LARGEFILE_SOURCE=1 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +fi
 +
 +fi
 +rm -f conftest conftest.c conftest.o
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_LARGEFILE_SOURCE=1"
 +else
 +if eval "test \"`echo '$cv_prog_cc_flag_needed_'$cache`\" = no"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +#echo 'Test with flag is no!'
 +#cat conftest.c
 +#echo "$CC $CPPFLAGS $CFLAGS -D_LARGEFILE_SOURCE=1 $ERRFLAG -c conftest.c 2>&1"
 +#echo `$CC $CPPFLAGS $CFLAGS -D_LARGEFILE_SOURCE=1 $ERRFLAG -c conftest.c 2>&1`
 +#exit 1
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: failed" >&5
 +$as_echo "failed" >&6; }
 +:
 +
 +fi
 +fi
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if nonblocking sockets work" >&5
 +$as_echo_n "checking if nonblocking sockets work... " >&6; }
 +if echo $target | grep mingw32 >/dev/null; then
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no (windows)" >&5
 +$as_echo "no (windows)" >&6; }
 +
 +$as_echo "#define NONBLOCKING_IS_BROKEN 1" >>confdefs.h
 +
 +else
 +if test "$cross_compiling" = yes; then :
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: crosscompile(yes)" >&5
 +$as_echo "crosscompile(yes)" >&6; }
 +
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +
 +#include <stdio.h>
 +#include <string.h>
 +#include <stdlib.h>
 +#include <fcntl.h>
 +#include <errno.h>
 +#ifdef HAVE_SYS_TYPES_H
 +#include <sys/types.h>
 +#endif
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +#ifdef HAVE_UNISTD_H
 +#include <unistd.h>
 +#endif
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +
 +int main(void)
 +{
 +      int port;
 +      int sfd, cfd;
 +      int num = 10;
 +      int i, p;
 +      struct sockaddr_in a;
 +      /* test if select and nonblocking reads work well together */
 +      /* open port.
 +         fork child to send 10 messages.
 +         select to read.
 +         then try to nonblocking read the 10 messages
 +         then, nonblocking read must give EAGAIN
 +      */
 +
 +      port = 12345 + (time(0)%32);
 +      sfd = socket(PF_INET, SOCK_DGRAM, 0);
 +      if(sfd == -1) {
 +              perror("socket");
 +              return 1;
 +      }
 +      memset(&a, 0, sizeof(a));
 +      a.sin_family = AF_INET;
 +      a.sin_port = htons(port);
 +      a.sin_addr.s_addr = inet_addr("127.0.0.1");
 +      if(bind(sfd, (struct sockaddr*)&a, sizeof(a)) < 0) {
 +              perror("bind");
 +              return 1;
 +      }
 +      if(fcntl(sfd, F_SETFL, O_NONBLOCK) == -1) {
 +              perror("fcntl");
 +              return 1;
 +      }
 +
 +      cfd = socket(PF_INET, SOCK_DGRAM, 0);
 +      if(cfd == -1) {
 +              perror("client socket");
 +              return 1;
 +      }
 +      a.sin_port = 0;
 +      if(bind(cfd, (struct sockaddr*)&a, sizeof(a)) < 0) {
 +              perror("client bind");
 +              return 1;
 +      }
 +      a.sin_port = htons(port);
 +
 +      /* no handler, causes exit in 10 seconds */
 +      alarm(10);
 +
 +      /* send and receive on the socket */
 +      if((p=fork()) == 0) {
 +              for(i=0; i<num; i++) {
 +                      if(sendto(cfd, &i, sizeof(i), 0,
 +                              (struct sockaddr*)&a, sizeof(a)) < 0) {
 +                              perror("sendto");
 +                              return 1;
 +                      }
 +              }
 +      } else {
 +              /* parent */
 +              fd_set rset;
 +              int x;
 +              if(p == -1) {
 +                      perror("fork");
 +                      return 1;
 +              }
 +              FD_ZERO(&rset);
 +              FD_SET(sfd, &rset);
 +              if(select(sfd+1, &rset, NULL, NULL, NULL) < 1) {
 +                      perror("select");
 +                      return 1;
 +              }
 +              i = 0;
 +              while(i < num) {
 +                      if(recv(sfd, &x, sizeof(x), 0) != sizeof(x)) {
 +                              if(errno == EAGAIN)
 +                                      continue;
 +                              perror("recv");
 +                              return 1;
 +                      }
 +                      i++;
 +              }
 +              /* now we want to get EAGAIN: nonblocking goodness */
 +              errno = 0;
 +              recv(sfd, &x, sizeof(x), 0);
 +              if(errno != EAGAIN) {
 +                      perror("trying to recv again");
 +                      return 1;
 +              }
 +              /* EAGAIN encountered */
 +      }
 +
 +      close(sfd);
 +      close(cfd);
 +      return 0;
 +}
 +
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +else
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +
 +$as_echo "#define NONBLOCKING_IS_BROKEN 1" >>confdefs.h
 +
 +
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether mkdir has one arg" >&5
 +$as_echo_n "checking whether mkdir has one arg... " >&6; }
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#include <stdio.h>
 +#include <unistd.h>
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +#ifdef HAVE_SYS_STAT_H
 +#include <sys/stat.h>
 +#endif
 +
 +int
 +main ()
 +{
 +
 +      (void)mkdir("directory");
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define MKDIR_HAS_ONE_ARG 1" >>confdefs.h
 +
 +
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +for ac_func in strptime
 +do :
 +  ac_fn_c_check_func "$LINENO" "strptime" "ac_cv_func_strptime"
 +if test "x$ac_cv_func_strptime" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_STRPTIME 1
 +_ACEOF
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether strptime works" >&5
 +$as_echo_n "checking whether strptime works... " >&6; }
 +if test c${cross_compiling} = cno; then
 +if test "$cross_compiling" = yes; then :
 +  { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "cannot run test program while cross compiling
 +See \`config.log' for more details" "$LINENO" 5; }
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#define _XOPEN_SOURCE 600
 +#include <time.h>
 +int main(void) { struct tm tm; char *res;
 +res = strptime("2010-07-15T00:00:00+00:00", "%t%Y%t-%t%m%t-%t%d%tT%t%H%t:%t%M%t:%t%S%t", &tm);
 +if (!res) return 2;
 +res = strptime("20070207111842", "%Y%m%d%H%M%S", &tm);
 +if (!res) return 1; return 0; }
 +
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  eval "ac_cv_c_strptime_works=yes"
 +else
 +  eval "ac_cv_c_strptime_works=no"
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +else
 +eval "ac_cv_c_strptime_works=maybe"
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_strptime_works" >&5
 +$as_echo "$ac_cv_c_strptime_works" >&6; }
 +if test $ac_cv_c_strptime_works = no; then
 +case " $LIBOBJS " in
 +  *" strptime.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS strptime.$ac_objext"
 + ;;
 +esac
 +
 +else
 +
 +cat >>confdefs.h <<_ACEOF
 +#define STRPTIME_WORKS 1
 +_ACEOF
 +
 +fi
 +
 +else
 +  case " $LIBOBJS " in
 +  *" strptime.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS strptime.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +done
 +
 +
 +# set memory allocation checking if requested
 +# Check whether --enable-alloc-checks was given.
 +if test "${enable_alloc_checks+set}" = set; then :
 +  enableval=$enable_alloc_checks;
 +fi
 +
 +# Check whether --enable-alloc-lite was given.
 +if test "${enable_alloc_lite+set}" = set; then :
 +  enableval=$enable_alloc_lite;
 +fi
 +
 +# Check whether --enable-alloc-nonregional was given.
 +if test "${enable_alloc_nonregional+set}" = set; then :
 +  enableval=$enable_alloc_nonregional;
 +fi
 +
 +if test x_$enable_alloc_nonregional = x_yes; then
 +
 +$as_echo "#define UNBOUND_ALLOC_NONREGIONAL 1" >>confdefs.h
 +
 +fi
 +if test x_$enable_alloc_checks = x_yes; then
 +
 +$as_echo "#define UNBOUND_ALLOC_STATS 1" >>confdefs.h
 +
 +else
 +      if test x_$enable_alloc_lite = x_yes; then
 +
 +$as_echo "#define UNBOUND_ALLOC_LITE 1" >>confdefs.h
 +
 +      else
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for GNU libc compatible malloc" >&5
 +$as_echo_n "checking for GNU libc compatible malloc... " >&6; }
 +      if test "$cross_compiling" = yes; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no (crosscompile)" >&5
 +$as_echo "no (crosscompile)" >&6; }
 +      case " $LIBOBJS " in
 +  *" malloc.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS malloc.$ac_objext"
 + ;;
 +esac
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define malloc rpl_malloc_unbound
 +_ACEOF
 +
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#if defined STDC_HEADERS || defined HAVE_STDLIB_H
 +#include <stdlib.h>
 +#else
 +char *malloc ();
 +#endif
 +
 +int
 +main ()
 +{
 + if(malloc(0) != 0) return 1;
 +  ;
 +  return 0;
 +}
 +
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +      case " $LIBOBJS " in
 +  *" malloc.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS malloc.$ac_objext"
 + ;;
 +esac
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define malloc rpl_malloc_unbound
 +_ACEOF
 +
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define HAVE_MALLOC 1" >>confdefs.h
 +
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +
 +      fi
 +fi
 +
 +# check windows threads (we use them, not pthreads, on windows).
 +if test "$on_mingw" = "yes"; then
 +# check windows threads
 +      for ac_header in windows.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "windows.h" "ac_cv_header_windows_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_windows_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_WINDOWS_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for CreateThread" >&5
 +$as_echo_n "checking for CreateThread... " >&6; }
 +      cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#ifdef HAVE_WINDOWS_H
 +#include <windows.h>
 +#endif
 +
 +int
 +main ()
 +{
 +
 +      HANDLE t = CreateThread(NULL, 0, NULL, NULL, 0, NULL);
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_compile "$LINENO"; then :
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define HAVE_WINDOWS_THREADS 1" >>confdefs.h
 +
 +
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext conftest.$ac_ext
 +
 +else
 +# not on mingw, check thread libraries.
 +
 +# check for thread library.
 +# check this first, so that the pthread lib does not get linked in via
 +# libssl or libpython, and thus distorts the tests, and we end up using
 +# the non-threadsafe C libraries.
 +
 +# Check whether --with-pthreads was given.
 +if test "${with_pthreads+set}" = set; then :
 +  withval=$with_pthreads;
 +else
 +   withval="yes"
 +fi
 +
 +ub_have_pthreads=no
 +if test x_$withval != x_no; then
 +
 +
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +ax_pthread_ok=no
 +
 +# We used to check for pthread.h first, but this fails if pthread.h
 +# requires special compiler flags (e.g. on True64 or Sequent).
 +# It gets checked for in the link test anyway.
 +
 +# First of all, check if the user has set any of the PTHREAD_LIBS,
 +# etcetera environment variables, and if threads linking works using
 +# them:
 +if test x"$PTHREAD_LIBS$PTHREAD_CFLAGS" != x; then
 +        save_CFLAGS="$CFLAGS"
 +        CFLAGS="$CFLAGS $PTHREAD_CFLAGS"
 +        save_LIBS="$LIBS"
 +        LIBS="$PTHREAD_LIBS $LIBS"
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for pthread_join in LIBS=$PTHREAD_LIBS with CFLAGS=$PTHREAD_CFLAGS" >&5
 +$as_echo_n "checking for pthread_join in LIBS=$PTHREAD_LIBS with CFLAGS=$PTHREAD_CFLAGS... " >&6; }
 +        cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char pthread_join ();
 +int
 +main ()
 +{
 +return pthread_join ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ax_pthread_ok=yes
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ax_pthread_ok" >&5
 +$as_echo "$ax_pthread_ok" >&6; }
 +        if test x"$ax_pthread_ok" = xno; then
 +                PTHREAD_LIBS=""
 +                PTHREAD_CFLAGS=""
 +        fi
 +        LIBS="$save_LIBS"
 +        CFLAGS="$save_CFLAGS"
 +fi
 +
 +# We must check for the threads library under a number of different
 +# names; the ordering is very important because some systems
 +# (e.g. DEC) have both -lpthread and -lpthreads, where one of the
 +# libraries is broken (non-POSIX).
 +
 +# Create a list of thread flags to try.  Items starting with a "-" are
 +# C compiler flags, and other items are library names, except for "none"
 +# which indicates that we try without any flags at all, and "pthread-config"
 +# which is a program returning the flags for the Pth emulation library.
 +
 +ax_pthread_flags="pthreads none -Kthread -kthread lthread -pthread -pthreads -mthreads pthread --thread-safe -mt pthread-config"
 +
 +# The ordering *is* (sometimes) important.  Some notes on the
 +# individual items follow:
 +
 +# pthreads: AIX (must check this before -lpthread)
 +# none: in case threads are in libc; should be tried before -Kthread and
 +#       other compiler flags to prevent continual compiler warnings
 +# -Kthread: Sequent (threads in libc, but -Kthread needed for pthread.h)
 +# -kthread: FreeBSD kernel threads (preferred to -pthread since SMP-able)
 +# lthread: LinuxThreads port on FreeBSD (also preferred to -pthread)
 +# -pthread: Linux/gcc (kernel threads), BSD/gcc (userland threads)
 +# -pthreads: Solaris/gcc
 +# -mthreads: Mingw32/gcc, Lynx/gcc
 +# -mt: Sun Workshop C (may only link SunOS threads [-lthread], but it
 +#      doesn't hurt to check since this sometimes defines pthreads too;
 +#      also defines -D_REENTRANT)
 +#      ... -mt is also the pthreads flag for HP/aCC
 +# pthread: Linux, etcetera
 +# --thread-safe: KAI C++
 +# pthread-config: use pthread-config program (for GNU Pth library)
 +
 +case ${host_os} in
 +        solaris*)
 +
 +        # On Solaris (at least, for some versions), libc contains stubbed
 +        # (non-functional) versions of the pthreads routines, so link-based
 +        # tests will erroneously succeed.  (We need to link with -pthreads/-mt/
 +        # -lpthread.)  (The stubs are missing pthread_cleanup_push, or rather
 +        # a function called by this macro, so we could check for that, but
 +        # who knows whether they'll stub that too in a future libc.)  So,
 +        # we'll just look for -pthreads and -lpthread first:
 +
 +        ax_pthread_flags="-pthreads pthread -mt -pthread $ax_pthread_flags"
 +        ;;
 +
 +        darwin*)
 +        ax_pthread_flags="-pthread $ax_pthread_flags"
 +        ;;
 +esac
 +
 +if test x"$ax_pthread_ok" = xno; then
 +for flag in $ax_pthread_flags; do
 +
 +        case $flag in
 +                none)
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether pthreads work without any flags" >&5
 +$as_echo_n "checking whether pthreads work without any flags... " >&6; }
 +                ;;
 +
 +                -*)
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: checking whether pthreads work with $flag" >&5
 +$as_echo_n "checking whether pthreads work with $flag... " >&6; }
 +                PTHREAD_CFLAGS="$flag"
 +                ;;
 +
 +                pthread-config)
 +                # Extract the first word of "pthread-config", so it can be a program name with args.
 +set dummy pthread-config; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ax_pthread_config+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ax_pthread_config"; then
 +  ac_cv_prog_ax_pthread_config="$ax_pthread_config" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ax_pthread_config="yes"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  test -z "$ac_cv_prog_ax_pthread_config" && ac_cv_prog_ax_pthread_config="no"
 +fi
 +fi
 +ax_pthread_config=$ac_cv_prog_ax_pthread_config
 +if test -n "$ax_pthread_config"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ax_pthread_config" >&5
 +$as_echo "$ax_pthread_config" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +                if test x"$ax_pthread_config" = xno; then continue; fi
 +                PTHREAD_CFLAGS="`pthread-config --cflags`"
 +                PTHREAD_LIBS="`pthread-config --ldflags` `pthread-config --libs`"
 +                ;;
 +
 +                *)
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: checking for the pthreads library -l$flag" >&5
 +$as_echo_n "checking for the pthreads library -l$flag... " >&6; }
 +                PTHREAD_LIBS="-l$flag"
 +                ;;
 +        esac
 +
 +        save_LIBS="$LIBS"
 +        save_CFLAGS="$CFLAGS"
 +        LIBS="$PTHREAD_LIBS $LIBS"
 +        CFLAGS="$CFLAGS $PTHREAD_CFLAGS"
 +
 +        # Check for various functions.  We must include pthread.h,
 +        # since some functions may be macros.  (On the Sequent, we
 +        # need a special flag -Kthread to make this header compile.)
 +        # We check for pthread_join because it is in -lpthread on IRIX
 +        # while pthread_create is in libc.  We check for pthread_attr_init
 +        # due to DEC craziness with -lpthreads.  We check for
 +        # pthread_cleanup_push because it is one of the few pthread
 +        # functions on Solaris that doesn't have a non-functional libc stub.
 +        # We try pthread_create on general principles.
 +        cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <pthread.h>
 +                        static void routine(void *a) { *((int*)a) = 0; }
 +                        static void *start_routine(void *a) { return a; }
 +int
 +main ()
 +{
 +pthread_t th; pthread_attr_t attr;
 +                        pthread_create(&th, 0, start_routine, 0);
 +                        pthread_join(th, 0);
 +                        pthread_attr_init(&attr);
 +                        pthread_cleanup_push(routine, 0);
 +                        pthread_cleanup_pop(0) /* ; */
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ax_pthread_ok=yes
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +        LIBS="$save_LIBS"
 +        CFLAGS="$save_CFLAGS"
 +
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ax_pthread_ok" >&5
 +$as_echo "$ax_pthread_ok" >&6; }
 +        if test "x$ax_pthread_ok" = xyes; then
 +                break;
 +        fi
 +
 +        PTHREAD_LIBS=""
 +        PTHREAD_CFLAGS=""
 +done
 +fi
 +
 +# Various other checks:
 +if test "x$ax_pthread_ok" = xyes; then
 +        save_LIBS="$LIBS"
 +        LIBS="$PTHREAD_LIBS $LIBS"
 +        save_CFLAGS="$CFLAGS"
 +        CFLAGS="$CFLAGS $PTHREAD_CFLAGS"
 +
 +        # Detect AIX lossage: JOINABLE attribute is called UNDETACHED.
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for joinable pthread attribute" >&5
 +$as_echo_n "checking for joinable pthread attribute... " >&6; }
 +        attr_name=unknown
 +        for attr in PTHREAD_CREATE_JOINABLE PTHREAD_CREATE_UNDETACHED; do
 +            cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +#include <pthread.h>
 +int
 +main ()
 +{
 +int attr = $attr; return attr /* ; */
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  attr_name=$attr; break
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +        done
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $attr_name" >&5
 +$as_echo "$attr_name" >&6; }
 +        if test "$attr_name" != PTHREAD_CREATE_JOINABLE; then
 +
 +cat >>confdefs.h <<_ACEOF
 +#define PTHREAD_CREATE_JOINABLE $attr_name
 +_ACEOF
 +
 +        fi
 +
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking if more special flags are required for pthreads" >&5
 +$as_echo_n "checking if more special flags are required for pthreads... " >&6; }
 +        flag=no
 +        case ${host_os} in
 +            aix* | freebsd* | darwin*) flag="-D_THREAD_SAFE";;
 +            osf* | hpux*) flag="-D_REENTRANT";;
 +            solaris*)
 +            if test "$GCC" = "yes"; then
 +                flag="-D_REENTRANT"
 +            else
 +                flag="-mt -D_REENTRANT"
 +            fi
 +            ;;
 +        esac
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: ${flag}" >&5
 +$as_echo "${flag}" >&6; }
 +        if test "x$flag" != xno; then
 +            PTHREAD_CFLAGS="$flag $PTHREAD_CFLAGS"
 +        fi
 +
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for PTHREAD_PRIO_INHERIT" >&5
 +$as_echo_n "checking for PTHREAD_PRIO_INHERIT... " >&6; }
 +if ${ax_cv_PTHREAD_PRIO_INHERIT+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +                cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +                    #include <pthread.h>
 +int
 +main ()
 +{
 +int i = PTHREAD_PRIO_INHERIT;
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ax_cv_PTHREAD_PRIO_INHERIT=yes
 +else
 +  ax_cv_PTHREAD_PRIO_INHERIT=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ax_cv_PTHREAD_PRIO_INHERIT" >&5
 +$as_echo "$ax_cv_PTHREAD_PRIO_INHERIT" >&6; }
 +        if test "x$ax_cv_PTHREAD_PRIO_INHERIT" = "xyes"; then :
 +
 +$as_echo "#define HAVE_PTHREAD_PRIO_INHERIT 1" >>confdefs.h
 +
 +fi
 +
 +        LIBS="$save_LIBS"
 +        CFLAGS="$save_CFLAGS"
 +
 +        # More AIX lossage: compile with *_r variant
 +        if test "x$GCC" != xyes; then
 +            case $host_os in
 +                aix*)
 +                case "x/$CC" in #(
 +  x*/c89|x*/c89_128|x*/c99|x*/c99_128|x*/cc|x*/cc128|x*/xlc|x*/xlc_v6|x*/xlc128|x*/xlc128_v6) :
 +    #handle absolute path differently from PATH based program lookup
 +                   case "x$CC" in #(
 +  x/*) :
 +    if as_fn_executable_p ${CC}_r; then :
 +  PTHREAD_CC="${CC}_r"
 +fi ;; #(
 +  *) :
 +    for ac_prog in ${CC}_r
 +do
 +  # Extract the first word of "$ac_prog", so it can be a program name with args.
 +set dummy $ac_prog; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_PTHREAD_CC+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$PTHREAD_CC"; then
 +  ac_cv_prog_PTHREAD_CC="$PTHREAD_CC" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_PTHREAD_CC="$ac_prog"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +PTHREAD_CC=$ac_cv_prog_PTHREAD_CC
 +if test -n "$PTHREAD_CC"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PTHREAD_CC" >&5
 +$as_echo "$PTHREAD_CC" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +  test -n "$PTHREAD_CC" && break
 +done
 +test -n "$PTHREAD_CC" || PTHREAD_CC="$CC"
 + ;;
 +esac ;; #(
 +  *) :
 +     ;;
 +esac
 +                ;;
 +            esac
 +        fi
 +fi
 +
 +test -n "$PTHREAD_CC" || PTHREAD_CC="$CC"
 +
 +
 +
 +
 +
 +# Finally, execute ACTION-IF-FOUND/ACTION-IF-NOT-FOUND:
 +if test x"$ax_pthread_ok" = xyes; then
 +
 +
 +$as_echo "#define HAVE_PTHREAD 1" >>confdefs.h
 +
 +              LIBS="$PTHREAD_LIBS $LIBS"
 +              CFLAGS="$CFLAGS $PTHREAD_CFLAGS"
 +              CC="$PTHREAD_CC"
 +              ub_have_pthreads=yes
 +              ac_fn_c_check_type "$LINENO" "pthread_spinlock_t" "ac_cv_type_pthread_spinlock_t" "#include <pthread.h>
 +"
 +if test "x$ac_cv_type_pthread_spinlock_t" = xyes; then :
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_PTHREAD_SPINLOCK_T 1
 +_ACEOF
 +
 +
 +fi
 +ac_fn_c_check_type "$LINENO" "pthread_rwlock_t" "ac_cv_type_pthread_rwlock_t" "#include <pthread.h>
 +"
 +if test "x$ac_cv_type_pthread_rwlock_t" = xyes; then :
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_PTHREAD_RWLOCK_T 1
 +_ACEOF
 +
 +
 +fi
 +
 +
 +        :
 +else
 +        ax_pthread_ok=no
 +
 +fi
 +ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +
 +fi
 +
 +# check solaris thread library
 +
 +# Check whether --with-solaris-threads was given.
 +if test "${with_solaris_threads+set}" = set; then :
 +  withval=$with_solaris_threads;
 +else
 +   withval="no"
 +fi
 +
 +ub_have_sol_threads=no
 +if test x_$withval != x_no; then
 +      if test x_$ub_have_pthreads != x_no; then
 +          { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: Have pthreads already, ignoring --with-solaris-threads" >&5
 +$as_echo "$as_me: WARNING: Have pthreads already, ignoring --with-solaris-threads" >&2;}
 +      else
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing thr_create" >&5
 +$as_echo_n "checking for library containing thr_create... " >&6; }
 +if ${ac_cv_search_thr_create+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char thr_create ();
 +int
 +main ()
 +{
 +return thr_create ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' thread; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_thr_create=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_thr_create+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_thr_create+:} false; then :
 +
 +else
 +  ac_cv_search_thr_create=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_thr_create" >&5
 +$as_echo "$ac_cv_search_thr_create" >&6; }
 +ac_res=$ac_cv_search_thr_create
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +
 +$as_echo "#define HAVE_SOLARIS_THREADS 1" >>confdefs.h
 +
 +
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking whether $CC supports -mt" >&5
 +$as_echo_n "checking whether $CC supports -mt... " >&6; }
 +cache=`echo mt | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_prog_cc_flag_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo 'void f(void){}' >conftest.c
 +if test -z "`$CC $CPPFLAGS $CFLAGS -mt -c conftest.c 2>&1`"; then
 +eval "cv_prog_cc_flag_$cache=yes"
 +else
 +eval "cv_prog_cc_flag_$cache=no"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_prog_cc_flag_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +:
 +CFLAGS="$CFLAGS -mt"
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +CFLAGS="$CFLAGS -D_REENTRANT"
 +fi
 +
 +              ub_have_sol_threads=yes
 +
 +else
 +
 +              as_fn_error $? "no solaris threads found." "$LINENO" 5
 +
 +fi
 +
 +      fi
 +fi
 +
 +fi # end of non-mingw check of thread libraries
 +
 +# Check for PyUnbound
 +
 +# Check whether --with-pyunbound was given.
 +if test "${with_pyunbound+set}" = set; then :
 +  withval=$with_pyunbound;
 +else
 +   withval="no"
 +fi
 +
 +
 +ub_test_python=no
 +ub_with_pyunbound=no
 +if test x_$withval != x_no; then
 +   ub_with_pyunbound=yes
 +   ub_test_python=yes
 +fi
 +
 +# Check for Python module
 +
 +# Check whether --with-pythonmodule was given.
 +if test "${with_pythonmodule+set}" = set; then :
 +  withval=$with_pythonmodule;
 +else
 +   withval="no"
 +fi
 +
 +
 +ub_with_pythonmod=no
 +if test x_$withval != x_no; then
 +   ub_with_pythonmod=yes
 +   ub_test_python=yes
 +fi
 +
 +# Check for Python & SWIG only on PyUnbound or PyModule
 +if test x_$ub_test_python != x_no; then
 +
 +   # Check for Python
 +   ub_have_python=no
 +   ac_save_LIBS="$LIBS"
 +        #
 +        # Allow the use of a (user set) custom python version
 +        #
 +
 +
 +        # Extract the first word of "python[$PYTHON_VERSION]", so it can be a program name with args.
 +set dummy python$PYTHON_VERSION; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_path_PYTHON+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $PYTHON in
 +  [\\/]* | ?:[\\/]*)
 +  ac_cv_path_PYTHON="$PYTHON" # Let the user override the test with a path.
 +  ;;
 +  *)
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_path_PYTHON="$as_dir/$ac_word$ac_exec_ext"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  ;;
 +esac
 +fi
 +PYTHON=$ac_cv_path_PYTHON
 +if test -n "$PYTHON"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PYTHON" >&5
 +$as_echo "$PYTHON" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +        if test -z "$PYTHON"; then
 +           as_fn_error $? "Cannot find python$PYTHON_VERSION in your system path" "$LINENO" 5
 +           PYTHON_VERSION=""
 +        fi
 +
 +        if test -z "$PYTHON_VERSION"; then
 +              PYTHON_VERSION=`$PYTHON -c "import sys; \
 +                      print(sys.version.split()[0])"`
 +      fi
 +
 +        #
 +        # Check if you have distutils, else fail
 +        #
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for the distutils Python package" >&5
 +$as_echo_n "checking for the distutils Python package... " >&6; }
 +        ac_distutils_result=`$PYTHON -c "import distutils" 2>&1`
 +        if test -z "$ac_distutils_result"; then
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +        else
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +                as_fn_error $? "cannot import Python module \"distutils\".
 +Please check your Python installation. The error was:
 +$ac_distutils_result" "$LINENO" 5
 +                PYTHON_VERSION=""
 +        fi
 +
 +        #
 +        # Check for Python include path
 +        #
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for Python include path" >&5
 +$as_echo_n "checking for Python include path... " >&6; }
 +        if test -z "$PYTHON_CPPFLAGS"; then
 +                python_path=`$PYTHON -c "import distutils.sysconfig; \
 +                        print(distutils.sysconfig.get_python_inc());"`
 +                if test -n "${python_path}"; then
 +                        python_path="-I$python_path"
 +                fi
 +                PYTHON_CPPFLAGS=$python_path
 +        fi
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PYTHON_CPPFLAGS" >&5
 +$as_echo "$PYTHON_CPPFLAGS" >&6; }
 +
 +
 +        #
 +        # Check for Python library path
 +        #
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for Python library path" >&5
 +$as_echo_n "checking for Python library path... " >&6; }
 +        if test -z "$PYTHON_LDFLAGS"; then
 +                PYTHON_LDFLAGS=`$PYTHON -c "from distutils.sysconfig import *; \
 +                        print(get_config_var('BLDLIBRARY'));"`
 +        fi
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PYTHON_LDFLAGS" >&5
 +$as_echo "$PYTHON_LDFLAGS" >&6; }
 +
 +
 +        #
 +        # Check for site packages
 +        #
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for Python site-packages path" >&5
 +$as_echo_n "checking for Python site-packages path... " >&6; }
 +        if test -z "$PYTHON_SITE_PKG"; then
 +                PYTHON_SITE_PKG=`$PYTHON -c "import distutils.sysconfig; \
 +                        print(distutils.sysconfig.get_python_lib(1,0));"`
 +        fi
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PYTHON_SITE_PKG" >&5
 +$as_echo "$PYTHON_SITE_PKG" >&6; }
 +
 +
 +        #
 +        # final check to see if everything compiles alright
 +        #
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking consistency of all components of python development environment" >&5
 +$as_echo_n "checking consistency of all components of python development environment... " >&6; }
 +        ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +        # save current global flags
 +        ac_save_LIBS="$LIBS"
 +        ac_save_CPPFLAGS="$CPPFLAGS"
 +
 +        LIBS="$LIBS $PYTHON_LDFLAGS"
 +        CPPFLAGS="$CPPFLAGS $PYTHON_CPPFLAGS"
 +        cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +                #include <Python.h>
 +
 +int
 +main ()
 +{
 +
 +                Py_Initialize();
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  pythonexists=yes
 +else
 +  pythonexists=no
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: result: $pythonexists" >&5
 +$as_echo "$pythonexists" >&6; }
 +
 +        if test ! "$pythonexists" = "yes"; then
 +           as_fn_error $? "
 +  Could not link test program to Python. Maybe the main Python library has been
 +  installed in some non-standard library path. If so, pass it to configure,
 +  via the LDFLAGS environment variable.
 +  Example: ./configure LDFLAGS=\"-L/usr/non-standard-path/python/lib\"
 +  ============================================================================
 +   ERROR!
 +   You probably have to install the development version of the Python package
 +   for your distribution.  The exact name of this package varies among them.
 +  ============================================================================
 +           " "$LINENO" 5
 +          PYTHON_VERSION=""
 +        fi
 +        ac_ext=c
 +ac_cpp='$CPP $CPPFLAGS'
 +ac_compile='$CC -c $CFLAGS $CPPFLAGS conftest.$ac_ext >&5'
 +ac_link='$CC -o conftest$ac_exeext $CFLAGS $CPPFLAGS $LDFLAGS conftest.$ac_ext $LIBS >&5'
 +ac_compiler_gnu=$ac_cv_c_compiler_gnu
 +
 +        # turn back to default flags
 +        CPPFLAGS="$ac_save_CPPFLAGS"
 +        LIBS="$ac_save_LIBS"
 +
 +        #
 +        # all done!
 +        #
 +
 +   if test ! -z "$PYTHON_VERSION"; then
 +      if test `$PYTHON -c "print('$PYTHON_VERSION' >= '2.4.0')"` = "False"; then
 +              as_fn_error $? "Python version >= 2.4.0 is required" "$LINENO" 5
 +      fi
 +
++      PY_MAJOR_VERSION="`$PYTHON -c "import sys; print(sys.version_info.major)"`"
++
 +      # Have Python
 +
 +$as_echo "#define HAVE_PYTHON 1" >>confdefs.h
 +
 +      LIBS="$PYTHON_LDFLAGS $LIBS"
 +      CPPFLAGS="$CPPFLAGS $PYTHON_CPPFLAGS"
 +      ub_have_python=yes
 +
 +      # Check for SWIG
 +      ub_have_swig=no
 +
 +        # Extract the first word of "swig", so it can be a program name with args.
 +set dummy swig; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_path_SWIG+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $SWIG in
 +  [\\/]* | ?:[\\/]*)
 +  ac_cv_path_SWIG="$SWIG" # Let the user override the test with a path.
 +  ;;
 +  *)
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_path_SWIG="$as_dir/$ac_word$ac_exec_ext"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  ;;
 +esac
 +fi
 +SWIG=$ac_cv_path_SWIG
 +if test -n "$SWIG"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $SWIG" >&5
 +$as_echo "$SWIG" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +        if test -z "$SWIG" ; then
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: cannot find 'swig' program. You should look at http://www.swig.org" >&5
 +$as_echo "$as_me: WARNING: cannot find 'swig' program. You should look at http://www.swig.org" >&2;}
 +                SWIG='echo "Error: SWIG is not installed. You should look at http://www.swig.org" ; false'
 +        elif test -n "" ; then
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: checking for SWIG version" >&5
 +$as_echo_n "checking for SWIG version... " >&6; }
 +                swig_version=`$SWIG -version 2>&1 | grep 'SWIG Version' | sed 's/.*\([0-9][0-9]*\.[0-9][0-9]*\.[0-9][0-9]*\).*/\1/g'`
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: $swig_version" >&5
 +$as_echo "$swig_version" >&6; }
 +                if test -n "$swig_version" ; then
 +                        # Calculate the required version number components
 +                        required=
 +                        required_major=`echo $required | sed 's/[^0-9].*//'`
 +                        if test -z "$required_major" ; then
 +                                required_major=0
 +                        fi
 +                        required=`echo $required | sed 's/[0-9]*[^0-9]//'`
 +                        required_minor=`echo $required | sed 's/[^0-9].*//'`
 +                        if test -z "$required_minor" ; then
 +                                required_minor=0
 +                        fi
 +                        required=`echo $required | sed 's/[0-9]*[^0-9]//'`
 +                        required_patch=`echo $required | sed 's/[^0-9].*//'`
 +                        if test -z "$required_patch" ; then
 +                                required_patch=0
 +                        fi
 +                        # Calculate the available version number components
 +                        available=$swig_version
 +                        available_major=`echo $available | sed 's/[^0-9].*//'`
 +                        if test -z "$available_major" ; then
 +                                available_major=0
 +                        fi
 +                        available=`echo $available | sed 's/[0-9]*[^0-9]//'`
 +                        available_minor=`echo $available | sed 's/[^0-9].*//'`
 +                        if test -z "$available_minor" ; then
 +                                available_minor=0
 +                        fi
 +                        available=`echo $available | sed 's/[0-9]*[^0-9]//'`
 +                        available_patch=`echo $available | sed 's/[^0-9].*//'`
 +                        if test -z "$available_patch" ; then
 +                                available_patch=0
 +                        fi
 +                        if test $available_major -ne $required_major \
 +                                -o $available_minor -ne $required_minor \
 +                                -o $available_patch -lt $required_patch ; then
 +                                { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: SWIG version >=  is required.  You have $swig_version.  You should look at http://www.swig.org" >&5
 +$as_echo "$as_me: WARNING: SWIG version >=  is required.  You have $swig_version.  You should look at http://www.swig.org" >&2;}
 +                                SWIG='echo "Error: SWIG version >=  is required.  You have '"$swig_version"'.  You should look at http://www.swig.org" ; false'
 +                        else
 +                                { $as_echo "$as_me:${as_lineno-$LINENO}: SWIG executable is '$SWIG'" >&5
 +$as_echo "$as_me: SWIG executable is '$SWIG'" >&6;}
 +                                SWIG_LIB=`$SWIG -swiglib`
 +                                { $as_echo "$as_me:${as_lineno-$LINENO}: SWIG library directory is '$SWIG_LIB'" >&5
 +$as_echo "$as_me: SWIG library directory is '$SWIG_LIB'" >&6;}
 +                        fi
 +                else
 +                        { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: cannot determine SWIG version" >&5
 +$as_echo "$as_me: WARNING: cannot determine SWIG version" >&2;}
 +                        SWIG='echo "Error: Cannot determine SWIG version.  You should look at http://www.swig.org" ; false'
 +                fi
 +        fi
 +
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking SWIG" >&5
 +$as_echo_n "checking SWIG... " >&6; }
 +      if test ! -x "$SWIG"; then
 +         as_fn_error $? "failed to find swig tool, install it, or do not build Python module and PyUnbound" "$LINENO" 5
 +      else
 +
 +$as_echo "#define HAVE_SWIG 1" >>confdefs.h
 +
 +         swig="$SWIG"
 +
 +         { $as_echo "$as_me:${as_lineno-$LINENO}: result: present" >&5
 +$as_echo "present" >&6; }
 +
 +         # If have Python & SWIG
 +         # Declare PythonMod
 +         if test x_$ub_with_pythonmod != x_no; then
 +
 +$as_echo "#define WITH_PYTHONMODULE 1" >>confdefs.h
 +
 +            WITH_PYTHONMODULE=yes
 +
 +          PYTHONMOD_OBJ="pythonmod.lo pythonmod_utils.lo"
 +
 +          PYTHONMOD_HEADER='$(srcdir)/pythonmod/pythonmod.h'
 +
 +          PYTHONMOD_INSTALL=pythonmod-install
 +
 +          PYTHONMOD_UNINSTALL=pythonmod-uninstall
 +
 +         fi
 +
 +         # Declare PyUnbound
 +         if test x_$ub_with_pyunbound != x_no; then
 +
 +$as_echo "#define WITH_PYUNBOUND 1" >>confdefs.h
 +
 +            WITH_PYUNBOUND=yes
 +
 +          PYUNBOUND_OBJ="libunbound_wrap.lo"
 +
 +          PYUNBOUND_TARGET="_unbound.la"
 +
 +          PYUNBOUND_INSTALL=pyunbound-install
 +
 +          PYUNBOUND_UNINSTALL=pyunbound-uninstall
 +
 +         fi
 +      fi
 +   else
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: *** Python libraries not found, won't build PythonMod or PyUnbound ***" >&5
 +$as_echo "*** Python libraries not found, won't build PythonMod or PyUnbound ***" >&6; }
 +      ub_with_pyunbound=no
 +      ub_with_pythonmod=no
 +   fi
 +fi
 +
 +if test "`uname`" = "NetBSD"; then
 +      NETBSD_LINTFLAGS='"-D__RENAME(x)=" -D_NETINET_IN_H_'
 +
 +fi
 +CONFIG_DATE=`date +%Y%m%d`
 +
 +
 +# Checks for libraries.
 +
 +# libnss
 +USE_NSS="no"
 +
 +# Check whether --with-nss was given.
 +if test "${with_nss+set}" = set; then :
 +  withval=$with_nss;
 +      USE_NSS="yes"
 +
 +$as_echo "#define HAVE_NSS 1" >>confdefs.h
 +
 +      if test "$withval" != "" -a "$withval" != "yes"; then
 +              CPPFLAGS="$CPPFLAGS -I$withval/include/nss3"
 +              LDFLAGS="$LDFLAGS -L$withval/lib"
 +
 +      if test "x$enable_rpath" = xyes; then
 +              if echo "$withval/lib" | grep "^/" >/dev/null; then
 +                      RUNTIME_PATH="$RUNTIME_PATH -R$withval/lib"
 +              fi
 +      fi
 +
 +              CPPFLAGS="-I$withval/include/nspr4 $CPPFLAGS"
 +      else
 +              CPPFLAGS="$CPPFLAGS -I/usr/include/nss3"
 +              CPPFLAGS="-I/usr/include/nspr4 $CPPFLAGS"
 +      fi
 +        LIBS="$LIBS -lnss3 -lnspr4"
 +
 +
 +fi
 +
 +
 +# openssl
 +if test $USE_NSS = "no"; then
 +
 +
 +# Check whether --with-ssl was given.
 +if test "${with_ssl+set}" = set; then :
 +  withval=$with_ssl;
 +
 +else
 +
 +            withval="yes"
 +
 +fi
 +
 +    if test x_$withval = x_no; then
 +      as_fn_error $? "Need SSL library to do digital signature cryptography" "$LINENO" 5
 +    fi
 +
 +    withval=$withval
 +    if test x_$withval != x_no; then
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for SSL" >&5
 +$as_echo_n "checking for SSL... " >&6; }
 +        if test x_$withval = x_ -o x_$withval = x_yes; then
 +            withval="/usr/local/ssl /usr/lib/ssl /usr/ssl /usr/pkg /usr/local /opt/local /usr/sfw /usr"
 +        fi
 +        for dir in $withval; do
 +            ssldir="$dir"
 +            if test -f "$dir/include/openssl/ssl.h"; then
 +                found_ssl="yes"
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_SSL /**/
 +_ACEOF
 +
 +                                if test "$ssldir" != "/usr"; then
 +                        CPPFLAGS="$CPPFLAGS -I$ssldir/include"
 +                        LIBSSL_CPPFLAGS="$LIBSSL_CPPFLAGS -I$ssldir/include"
 +                fi
 +                break;
 +            fi
 +        done
 +        if test x_$found_ssl != x_yes; then
 +            as_fn_error $? "Cannot find the SSL libraries in $withval" "$LINENO" 5
 +        else
 +            { $as_echo "$as_me:${as_lineno-$LINENO}: result: found in $ssldir" >&5
 +$as_echo "found in $ssldir" >&6; }
 +            HAVE_SSL=yes
 +                        if test "$ssldir" != "/usr" -a "$ssldir" != ""; then
 +                LDFLAGS="$LDFLAGS -L$ssldir/lib"
 +                LIBSSL_LDFLAGS="$LIBSSL_LDFLAGS -L$ssldir/lib"
 +
 +      if test "x$enable_rpath" = xyes; then
 +              if echo "$ssldir/lib" | grep "^/" >/dev/null; then
 +                      RUNTIME_PATH="$RUNTIME_PATH -R$ssldir/lib"
 +              fi
 +      fi
 +
 +            fi
 +
 +            { $as_echo "$as_me:${as_lineno-$LINENO}: checking for HMAC_CTX_init in -lcrypto" >&5
 +$as_echo_n "checking for HMAC_CTX_init in -lcrypto... " >&6; }
 +            LIBS="$LIBS -lcrypto"
 +            LIBSSL_LIBS="$LIBSSL_LIBS -lcrypto"
 +            cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +                int HMAC_CTX_init(void);
 +                (void)HMAC_CTX_init();
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define HAVE_HMAC_CTX_INIT 1" >>confdefs.h
 +
 +
 +else
 +
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +                # check if -lwsock32 or -lgdi32 are needed.
 +                BAKLIBS="$LIBS"
 +                BAKSSLLIBS="$LIBSSL_LIBS"
 +                LIBS="$LIBS -lgdi32"
 +                LIBSSL_LIBS="$LIBSSL_LIBS -lgdi32"
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: checking if -lcrypto needs -lgdi32" >&5
 +$as_echo_n "checking if -lcrypto needs -lgdi32... " >&6; }
 +                cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +                    int HMAC_CTX_init(void);
 +                    (void)HMAC_CTX_init();
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +
 +$as_echo "#define HAVE_HMAC_CTX_INIT 1" >>confdefs.h
 +
 +                    { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +else
 +
 +                    { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +                    LIBS="$BAKLIBS"
 +                    LIBSSL_LIBS="$BAKSSLLIBS"
 +                    LIBS="$LIBS -ldl"
 +                    LIBSSL_LIBS="$LIBSSL_LIBS -ldl"
 +                    { $as_echo "$as_me:${as_lineno-$LINENO}: checking if -lcrypto needs -ldl" >&5
 +$as_echo_n "checking if -lcrypto needs -ldl... " >&6; }
 +                    cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +int
 +main ()
 +{
 +
 +                        int HMAC_CTX_init(void);
 +                        (void)HMAC_CTX_init();
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +
 +$as_echo "#define HAVE_HMAC_CTX_INIT 1" >>confdefs.h
 +
 +                        { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +else
 +
 +                        { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +                    as_fn_error $? "OpenSSL found in $ssldir, but version 0.9.7 or higher is required" "$LINENO" 5
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +        fi
 +
 +
 +      # openssl engine functionality needs dlopen().
 +      BAKLIBS="$LIBS"
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing dlopen" >&5
 +$as_echo_n "checking for library containing dlopen... " >&6; }
 +if ${ac_cv_search_dlopen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dlopen ();
 +int
 +main ()
 +{
 +return dlopen ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' dl; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_dlopen=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_dlopen+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_dlopen+:} false; then :
 +
 +else
 +  ac_cv_search_dlopen=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_dlopen" >&5
 +$as_echo "$ac_cv_search_dlopen" >&6; }
 +ac_res=$ac_cv_search_dlopen
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +      if test "$LIBS" != "$BAKLIBS"; then
 +              LIBSSL_LIBS="$LIBSSL_LIBS -ldl"
 +      fi
 +    fi
 +for ac_header in openssl/ssl.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "openssl/ssl.h" "ac_cv_header_openssl_ssl_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_openssl_ssl_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_OPENSSL_SSL_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +for ac_header in openssl/err.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "openssl/err.h" "ac_cv_header_openssl_err_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_openssl_err_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_OPENSSL_ERR_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +for ac_header in openssl/rand.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "openssl/rand.h" "ac_cv_header_openssl_rand_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_openssl_rand_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_OPENSSL_RAND_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +
 +
 +# check if libssl needs libdl
 +BAKLIBS="$LIBS"
 +LIBS="-lssl $LIBS"
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if libssl needs libdl" >&5
 +$as_echo_n "checking if libssl needs libdl... " >&6; }
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char SSL_CTX_new ();
 +int
 +main ()
 +{
 +return SSL_CTX_new ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +      LIBS="$BAKLIBS"
 +
 +else
 +
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +      LIBS="$BAKLIBS"
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing dlopen" >&5
 +$as_echo_n "checking for library containing dlopen... " >&6; }
 +if ${ac_cv_search_dlopen+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char dlopen ();
 +int
 +main ()
 +{
 +return dlopen ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' dl; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_dlopen=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_dlopen+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_dlopen+:} false; then :
 +
 +else
 +  ac_cv_search_dlopen=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_dlopen" >&5
 +$as_echo "$ac_cv_search_dlopen" >&6; }
 +ac_res=$ac_cv_search_dlopen
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for LibreSSL" >&5
 +$as_echo_n "checking for LibreSSL... " >&6; }
 +if grep OPENSSL_VERSION_TEXT $ssldir/include/openssl/opensslv.h | grep "LibreSSL" >/dev/null; then
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define HAVE_LIBRESSL 1" >>confdefs.h
 +
 +      # libressl provides these compat functions, but they may also be
 +      # declared by the OS in libc.  See if they have been declared.
 +      ac_fn_c_check_decl "$LINENO" "strlcpy" "ac_cv_have_decl_strlcpy" "$ac_includes_default"
 +if test "x$ac_cv_have_decl_strlcpy" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_STRLCPY $ac_have_decl
 +_ACEOF
 +ac_fn_c_check_decl "$LINENO" "strlcat" "ac_cv_have_decl_strlcat" "$ac_includes_default"
 +if test "x$ac_cv_have_decl_strlcat" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_STRLCAT $ac_have_decl
 +_ACEOF
 +ac_fn_c_check_decl "$LINENO" "arc4random" "ac_cv_have_decl_arc4random" "$ac_includes_default"
 +if test "x$ac_cv_have_decl_arc4random" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_ARC4RANDOM $ac_have_decl
 +_ACEOF
 +ac_fn_c_check_decl "$LINENO" "arc4random_uniform" "ac_cv_have_decl_arc4random_uniform" "$ac_includes_default"
 +if test "x$ac_cv_have_decl_arc4random_uniform" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_ARC4RANDOM_UNIFORM $ac_have_decl
 +_ACEOF
++ac_fn_c_check_decl "$LINENO" "reallocarray" "ac_cv_have_decl_reallocarray" "$ac_includes_default"
++if test "x$ac_cv_have_decl_reallocarray" = xyes; then :
++  ac_have_decl=1
++else
++  ac_have_decl=0
++fi
++
++cat >>confdefs.h <<_ACEOF
++#define HAVE_DECL_REALLOCARRAY $ac_have_decl
++_ACEOF
 +
 +else
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +for ac_header in openssl/conf.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "openssl/conf.h" "ac_cv_header_openssl_conf_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_openssl_conf_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_OPENSSL_CONF_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +for ac_header in openssl/engine.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "openssl/engine.h" "ac_cv_header_openssl_engine_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_openssl_engine_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_OPENSSL_ENGINE_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +for ac_func in OPENSSL_config EVP_sha1 EVP_sha256 EVP_sha512 FIPS_mode
 +do :
 +  as_ac_var=`$as_echo "ac_cv_func_$ac_func" | $as_tr_sh`
 +ac_fn_c_check_func "$LINENO" "$ac_func" "$as_ac_var"
 +if eval test \"x\$"$as_ac_var"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_func" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +done
 +
 +ac_fn_c_check_decl "$LINENO" "SSL_COMP_get_compression_methods" "ac_cv_have_decl_SSL_COMP_get_compression_methods" "
 +$ac_includes_default
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +#include <openssl/ssl.h>
 +#include <openssl/evp.h>
 +
 +"
 +if test "x$ac_cv_have_decl_SSL_COMP_get_compression_methods" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS $ac_have_decl
 +_ACEOF
 +ac_fn_c_check_decl "$LINENO" "sk_SSL_COMP_pop_free" "ac_cv_have_decl_sk_SSL_COMP_pop_free" "
 +$ac_includes_default
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +#include <openssl/ssl.h>
 +#include <openssl/evp.h>
 +
 +"
 +if test "x$ac_cv_have_decl_sk_SSL_COMP_pop_free" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_SK_SSL_COMP_POP_FREE $ac_have_decl
 +_ACEOF
 +
 +fi
 +
 +
 +# Check whether --enable-sha2 was given.
 +if test "${enable_sha2+set}" = set; then :
 +  enableval=$enable_sha2;
 +fi
 +
 +case "$enable_sha2" in
 +      no)
 +      ;;
 +      yes|*)
 +
 +$as_echo "#define USE_SHA2 1" >>confdefs.h
 +
 +      ;;
 +esac
 +
 +# check wether gost also works
 +
 +# Check whether --enable-gost was given.
 +if test "${enable_gost+set}" = set; then :
 +  enableval=$enable_gost;
 +fi
 +
 +use_gost="no"
 +if test $USE_NSS = "no"; then
 +case "$enable_gost" in
 +      no)
 +      ;;
 +      *)
 +      ac_fn_c_check_func "$LINENO" "EVP_PKEY_set_type_str" "ac_cv_func_EVP_PKEY_set_type_str"
 +if test "x$ac_cv_func_EVP_PKEY_set_type_str" = xyes; then :
 +  :
 +else
 +  as_fn_error $? "OpenSSL 1.0.0 is needed for GOST support" "$LINENO" 5
 +fi
 +
 +      ac_fn_c_check_func "$LINENO" "EC_KEY_new" "ac_cv_func_EC_KEY_new"
 +if test "x$ac_cv_func_EC_KEY_new" = xyes; then :
 +
 +else
 +  as_fn_error $? "OpenSSL does not support ECC, needed for GOST support" "$LINENO" 5
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if GOST works" >&5
 +$as_echo_n "checking if GOST works... " >&6; }
 +if test c${cross_compiling} = cno; then
 +BAKCFLAGS="$CFLAGS"
 +if test -n "$ssldir"; then
 +      CFLAGS="$CFLAGS -Wl,-rpath,$ssldir/lib"
 +fi
 +if test "$cross_compiling" = yes; then :
 +  { { $as_echo "$as_me:${as_lineno-$LINENO}: error: in \`$ac_pwd':" >&5
 +$as_echo "$as_me: error: in \`$ac_pwd':" >&2;}
 +as_fn_error $? "cannot run test program while cross compiling
 +See \`config.log' for more details" "$LINENO" 5; }
 +else
 +  cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#include <string.h>
 +#include <openssl/ssl.h>
 +#include <openssl/evp.h>
 +#include <openssl/engine.h>
 +#include <openssl/conf.h>
 +/* routine to load gost (from sldns) */
 +int load_gost_id(void)
 +{
 +      static int gost_id = 0;
 +      const EVP_PKEY_ASN1_METHOD* meth;
 +      ENGINE* e;
 +
 +      if(gost_id) return gost_id;
 +
 +      /* see if configuration loaded gost implementation from other engine*/
 +      meth = EVP_PKEY_asn1_find_str(NULL, "gost2001", -1);
 +      if(meth) {
 +              EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
 +              return gost_id;
 +      }
 +
 +      /* see if engine can be loaded already */
 +      e = ENGINE_by_id("gost");
 +      if(!e) {
 +              /* load it ourself, in case statically linked */
 +              ENGINE_load_builtin_engines();
 +              ENGINE_load_dynamic();
 +              e = ENGINE_by_id("gost");
 +      }
 +      if(!e) {
 +              /* no gost engine in openssl */
 +              return 0;
 +      }
 +      if(!ENGINE_set_default(e, ENGINE_METHOD_ALL)) {
 +              ENGINE_finish(e);
 +              ENGINE_free(e);
 +              return 0;
 +      }
 +
 +      meth = EVP_PKEY_asn1_find_str(&e, "gost2001", -1);
 +      if(!meth) {
 +              /* algo not found */
 +              ENGINE_finish(e);
 +              ENGINE_free(e);
 +              return 0;
 +      }
 +      EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
 +      return gost_id;
 +}
 +int main(void) {
 +      EVP_MD_CTX* ctx;
 +      const EVP_MD* md;
 +      unsigned char digest[64]; /* its a 256-bit digest, so uses 32 bytes */
 +      const char* str = "Hello world";
 +      const unsigned char check[] = {
 +              0x40 , 0xed , 0xf8 , 0x56 , 0x5a , 0xc5 , 0x36 , 0xe1 ,
 +              0x33 , 0x7c , 0x7e , 0x87 , 0x62 , 0x1c , 0x42 , 0xe0 ,
 +              0x17 , 0x1b , 0x5e , 0xce , 0xa8 , 0x46 , 0x65 , 0x4d ,
 +              0x8d , 0x3e , 0x22 , 0x9b , 0xe1 , 0x30 , 0x19 , 0x9d
 +      };
 +      OPENSSL_config(NULL);
 +      (void)load_gost_id();
 +      md = EVP_get_digestbyname("md_gost94");
 +      if(!md) return 1;
 +      memset(digest, 0, sizeof(digest));
 +      ctx = EVP_MD_CTX_create();
 +      if(!ctx) return 2;
 +      if(!EVP_DigestInit_ex(ctx, md, NULL)) return 3;
 +      if(!EVP_DigestUpdate(ctx, str, 10)) return 4;
 +      if(!EVP_DigestFinal_ex(ctx, digest, NULL)) return 5;
 +      /* uncomment to see the hash calculated.
 +              {int i;
 +              for(i=0; i<32; i++)
 +                      printf(" %2.2x", (int)digest[i]);
 +              printf("\n");}
 +      */
 +      if(memcmp(digest, check, sizeof(check)) != 0)
 +              return 6;
 +      return 0;
 +}
 +
 +_ACEOF
 +if ac_fn_c_try_run "$LINENO"; then :
 +  eval "ac_cv_c_gost_works=yes"
 +else
 +  eval "ac_cv_c_gost_works=no"
 +fi
 +rm -f core *.core core.conftest.* gmon.out bb.out conftest$ac_exeext \
 +  conftest.$ac_objext conftest.beam conftest.$ac_ext
 +fi
 +
 +CFLAGS="$BAKCFLAGS"
 +else
 +eval "ac_cv_c_gost_works=maybe"
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_c_gost_works" >&5
 +$as_echo "$ac_cv_c_gost_works" >&6; }
 +
 +      if test "$ac_cv_c_gost_works" != no; then
 +              use_gost="yes"
 +
 +$as_echo "#define USE_GOST 1" >>confdefs.h
 +
 +      fi
 +      ;;
 +esac
 +fi
 +# Check whether --enable-ecdsa was given.
 +if test "${enable_ecdsa+set}" = set; then :
 +  enableval=$enable_ecdsa;
 +fi
 +
 +use_ecdsa="no"
 +case "$enable_ecdsa" in
 +    no)
 +      ;;
 +    *)
 +      if test $USE_NSS = "no"; then
 +            ac_fn_c_check_func "$LINENO" "ECDSA_sign" "ac_cv_func_ECDSA_sign"
 +if test "x$ac_cv_func_ECDSA_sign" = xyes; then :
 +
 +else
 +  as_fn_error $? "OpenSSL does not support ECDSA: please upgrade or rerun with --disable-ecdsa" "$LINENO" 5
 +fi
 +
 +            ac_fn_c_check_func "$LINENO" "SHA384_Init" "ac_cv_func_SHA384_Init"
 +if test "x$ac_cv_func_SHA384_Init" = xyes; then :
 +
 +else
 +  as_fn_error $? "OpenSSL does not support SHA384: please upgrade or rerun with --disable-ecdsa" "$LINENO" 5
 +fi
 +
 +            ac_fn_c_check_decl "$LINENO" "NID_X9_62_prime256v1" "ac_cv_have_decl_NID_X9_62_prime256v1" "$ac_includes_default
 +#include <openssl/evp.h>
 +
 +"
 +if test "x$ac_cv_have_decl_NID_X9_62_prime256v1" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_NID_X9_62_PRIME256V1 $ac_have_decl
 +_ACEOF
 +if test $ac_have_decl = 1; then :
 +
 +else
 +  as_fn_error $? "OpenSSL does not support the ECDSA curves: please upgrade or rerun with --disable-ecdsa" "$LINENO" 5
 +fi
 +ac_fn_c_check_decl "$LINENO" "NID_secp384r1" "ac_cv_have_decl_NID_secp384r1" "$ac_includes_default
 +#include <openssl/evp.h>
 +
 +"
 +if test "x$ac_cv_have_decl_NID_secp384r1" = xyes; then :
 +  ac_have_decl=1
 +else
 +  ac_have_decl=0
 +fi
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_DECL_NID_SECP384R1 $ac_have_decl
 +_ACEOF
 +if test $ac_have_decl = 1; then :
 +
 +else
 +  as_fn_error $? "OpenSSL does not support the ECDSA curves: please upgrade or rerun with --disable-ecdsa" "$LINENO" 5
 +fi
 +
 +            # see if OPENSSL 1.0.0 or later (has EVP MD and Verify independency)
 +            { $as_echo "$as_me:${as_lineno-$LINENO}: checking if openssl supports SHA2 and ECDSA with EVP" >&5
 +$as_echo_n "checking if openssl supports SHA2 and ECDSA with EVP... " >&6; }
 +            if grep OPENSSL_VERSION_TEXT $ssldir/include/openssl/opensslv.h | grep "OpenSSL" >/dev/null; then
 +              if grep OPENSSL_VERSION_NUMBER $ssldir/include/openssl/opensslv.h | grep 0x0 >/dev/null; then
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +
 +cat >>confdefs.h <<_ACEOF
 +#define USE_ECDSA_EVP_WORKAROUND 1
 +_ACEOF
 +
 +              else
 +                { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +              fi
 +            else
 +              # not OpenSSL, thus likely LibreSSL, which supports it
 +              { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +            fi
 +      fi
 +      # we now know we have ECDSA and the required curves.
 +
 +cat >>confdefs.h <<_ACEOF
 +#define USE_ECDSA 1
 +_ACEOF
 +
 +      use_ecdsa="yes"
 +      ;;
 +esac
 +
 +# Check whether --enable-event-api was given.
 +if test "${enable_event_api+set}" = set; then :
 +  enableval=$enable_event_api;
 +fi
 +
 +use_unbound_event="no"
 +case "$enable_event_api" in
 +    yes)
 +      use_unbound_event="yes"
 +      ;;
 +    *)
 +      ;;
 +esac
 +
 +# check for libevent
 +
 +# Check whether --with-libevent was given.
 +if test "${with_libevent+set}" = set; then :
 +  withval=$with_libevent;
 +else
 +   withval="no"
 +fi
 +
 +if test x_$withval = x_yes -o x_$withval != x_no; then
 +        { $as_echo "$as_me:${as_lineno-$LINENO}: checking for libevent" >&5
 +$as_echo_n "checking for libevent... " >&6; }
 +        if test x_$withval = x_ -o x_$withval = x_yes; then
 +            withval="/usr/local /opt/local /usr/lib /usr/pkg /usr/sfw /usr"
 +        fi
 +        for dir in $withval; do
 +            thedir="$dir"
 +            if test -f "$dir/include/event.h" -o -f "$dir/include/event2/event.h"; then
 +                found_libevent="yes"
 +                              if test "$thedir" != "/usr"; then
 +                    CPPFLAGS="$CPPFLAGS -I$thedir/include"
 +              fi
 +                break;
 +            fi
 +        done
 +        if test x_$found_libevent != x_yes; then
 +              if test -f "$dir/event.h" -a \( -f "$dir/libevent.la" -o -f "$dir/libev.la" \) ; then
 +                      # libevent source directory
 +                      { $as_echo "$as_me:${as_lineno-$LINENO}: result: found in $thedir" >&5
 +$as_echo "found in $thedir" >&6; }
 +                      CPPFLAGS="$CPPFLAGS -I$thedir -I$thedir/include"
 +                      BAK_LDFLAGS_SET="1"
 +                      BAK_LDFLAGS="$LDFLAGS"
 +                      # remove evdns from linking
 +                      mkdir build >/dev/null 2>&1
 +                      mkdir build/libevent >/dev/null 2>&1
 +                      mkdir build/libevent/.libs >/dev/null 2>&1
 +                      ev_files_o=`ls $thedir/*.o | grep -v evdns\.o | grep -v bufferevent_openssl\.o`
 +                      ev_files_lo=`ls $thedir/*.lo | grep -v evdns\.lo | grep -v bufferevent_openssl\.lo`
 +                      ev_files_libso=`ls $thedir/.libs/*.o | grep -v evdns\.o | grep -v bufferevent_openssl\.o`
 +                      cp $ev_files_o build/libevent
 +                      cp $ev_files_lo build/libevent
 +                      cp $ev_files_libso build/libevent/.libs
 +                      LATE_LDFLAGS="build/libevent/*.lo -lm"
 +                      LDFLAGS="build/libevent/*.o $LDFLAGS -lm"
 +              else
 +                      as_fn_error $? "Cannot find the libevent library in $withval
 +You can restart ./configure --with-libevent=no to use a builtin alternative.
 +Please note that this alternative is not as capable as libevent when using
 +large outgoing port ranges.  " "$LINENO" 5
 +              fi
 +        else
 +            { $as_echo "$as_me:${as_lineno-$LINENO}: result: found in $thedir" >&5
 +$as_echo "found in $thedir" >&6; }
 +                  if test ! -f $thedir/lib/libevent.a -a ! -f $thedir/lib/libevent.so -a -d "$thedir/lib/event2"; then
 +                  LDFLAGS="$LDFLAGS -L$thedir/lib/event2"
 +
 +      if test "x$enable_rpath" = xyes; then
 +              if echo "$thedir/lib/event2" | grep "^/" >/dev/null; then
 +                      RUNTIME_PATH="$RUNTIME_PATH -R$thedir/lib/event2"
 +              fi
 +      fi
 +
 +          else
 +                                  if test "$thedir" != "/usr" -a "$thedir" != ""; then
 +                      LDFLAGS="$LDFLAGS -L$thedir/lib"
 +
 +      if test "x$enable_rpath" = xyes; then
 +              if echo "$thedir/lib" | grep "^/" >/dev/null; then
 +                      RUNTIME_PATH="$RUNTIME_PATH -R$thedir/lib"
 +              fi
 +      fi
 +
 +                  fi
 +          fi
 +        fi
 +      # check for library used by libevent after 1.3c
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing clock_gettime" >&5
 +$as_echo_n "checking for library containing clock_gettime... " >&6; }
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char clock_gettime ();
 +int
 +main ()
 +{
 +return clock_gettime ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' rt; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_clock_gettime=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_clock_gettime+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +
 +else
 +  ac_cv_search_clock_gettime=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_clock_gettime" >&5
 +$as_echo "$ac_cv_search_clock_gettime" >&6; }
 +ac_res=$ac_cv_search_clock_gettime
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +
 +      # is the event.h header libev or libevent?
 +      for ac_header in event.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "event.h" "ac_cv_header_event_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_event_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EVENT_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +      ac_fn_c_check_decl "$LINENO" "EV_VERSION_MAJOR" "ac_cv_have_decl_EV_VERSION_MAJOR" "$ac_includes_default
 +#include <event.h>
 +
 +"
 +if test "x$ac_cv_have_decl_EV_VERSION_MAJOR" = xyes; then :
 +
 +              { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing event_set" >&5
 +$as_echo_n "checking for library containing event_set... " >&6; }
 +if ${ac_cv_search_event_set+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char event_set ();
 +int
 +main ()
 +{
 +return event_set ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' ev; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_event_set=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_event_set+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_event_set+:} false; then :
 +
 +else
 +  ac_cv_search_event_set=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_event_set" >&5
 +$as_echo "$ac_cv_search_event_set" >&6; }
 +ac_res=$ac_cv_search_event_set
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +
 +else
 +
 +              { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing event_set" >&5
 +$as_echo_n "checking for library containing event_set... " >&6; }
 +if ${ac_cv_search_event_set+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char event_set ();
 +int
 +main ()
 +{
 +return event_set ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' event; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_event_set=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_event_set+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_event_set+:} false; then :
 +
 +else
 +  ac_cv_search_event_set=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_event_set" >&5
 +$as_echo "$ac_cv_search_event_set" >&6; }
 +ac_res=$ac_cv_search_event_set
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +
 +fi
 +
 +      for ac_func in event_base_free
 +do :
 +  ac_fn_c_check_func "$LINENO" "event_base_free" "ac_cv_func_event_base_free"
 +if test "x$ac_cv_func_event_base_free" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EVENT_BASE_FREE 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libevent 1.2 and later
 +      for ac_func in event_base_once
 +do :
 +  ac_fn_c_check_func "$LINENO" "event_base_once" "ac_cv_func_event_base_once"
 +if test "x$ac_cv_func_event_base_once" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EVENT_BASE_ONCE 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libevent 1.4.1 and later
 +      for ac_func in event_base_new
 +do :
 +  ac_fn_c_check_func "$LINENO" "event_base_new" "ac_cv_func_event_base_new"
 +if test "x$ac_cv_func_event_base_new" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EVENT_BASE_NEW 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libevent 1.4.1 and later
 +      for ac_func in event_base_get_method
 +do :
 +  ac_fn_c_check_func "$LINENO" "event_base_get_method" "ac_cv_func_event_base_get_method"
 +if test "x$ac_cv_func_event_base_get_method" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EVENT_BASE_GET_METHOD 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libevent 1.4.3 and later
 +      for ac_func in ev_loop
 +do :
 +  ac_fn_c_check_func "$LINENO" "ev_loop" "ac_cv_func_ev_loop"
 +if test "x$ac_cv_func_ev_loop" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EV_LOOP 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libev. (tested on 3.51)
 +      for ac_func in ev_default_loop
 +do :
 +  ac_fn_c_check_func "$LINENO" "ev_default_loop" "ac_cv_func_ev_default_loop"
 +if test "x$ac_cv_func_ev_default_loop" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EV_DEFAULT_LOOP 1
 +_ACEOF
 +
 +fi
 +done
 + # only in libev. (tested on 4.00)
 +      if test -n "$BAK_LDFLAGS_SET"; then
 +              LDFLAGS="$BAK_LDFLAGS"
 +      fi
 +        if test "$use_unbound_event" = "yes"; then
 +              UNBOUND_EVENT_INSTALL=unbound-event-install
 +
 +              UNBOUND_EVENT_UNINSTALL=unbound-event-uninstall
 +
 +      fi
 +else
 +
 +$as_echo "#define USE_MINI_EVENT 1" >>confdefs.h
 +
 +fi
 +
 +# check for libexpat
 +
 +# Check whether --with-libexpat was given.
 +if test "${with_libexpat+set}" = set; then :
 +  withval=$with_libexpat;
 +else
 +   withval="/usr/local /opt/local /usr/lib /usr/pkg /usr/sfw /usr"
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for libexpat" >&5
 +$as_echo_n "checking for libexpat... " >&6; }
 +found_libexpat="no"
 +for dir in $withval ; do
 +            if test -f "$dir/include/expat.h"; then
 +              found_libexpat="yes"
 +                              if test "$dir" != "/usr"; then
 +                    CPPFLAGS="$CPPFLAGS -I$dir/include"
 +                  LDFLAGS="$LDFLAGS -L$dir/lib"
 +              fi
 +              { $as_echo "$as_me:${as_lineno-$LINENO}: result: found in $dir" >&5
 +$as_echo "found in $dir" >&6; }
 +                break;
 +            fi
 +done
 +if test x_$found_libexpat != x_yes; then
 +      as_fn_error $? "Could not find libexpat, expat.h" "$LINENO" 5
 +fi
 +for ac_header in expat.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "expat.h" "ac_cv_header_expat_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_expat_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_EXPAT_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +
 +# set static linking if requested
 +
 +staticexe=""
 +# Check whether --enable-static-exe was given.
 +if test "${enable_static_exe+set}" = set; then :
 +  enableval=$enable_static_exe;
 +fi
 +
 +if test x_$enable_static_exe = x_yes; then
 +      staticexe="-static"
 +      if test "$on_mingw" = yes; then
 +              staticexe="-all-static"
 +              # for static crosscompile, include gdi32 and zlib here.
 +              if test "`uname`" = "Linux"; then
 +                      LIBS="$LIBS -lgdi32 -lz"
 +              fi
 +      fi
 +fi
 +
 +# set lock checking if requested
 +# Check whether --enable-lock_checks was given.
 +if test "${enable_lock_checks+set}" = set; then :
 +  enableval=$enable_lock_checks;
 +fi
 +
 +if test x_$enable_lock_checks = x_yes; then
 +
 +$as_echo "#define ENABLE_LOCK_CHECKS 1" >>confdefs.h
 +
 +      CHECKLOCK_OBJ="checklocks.lo"
 +
 +fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for getaddrinfo" >&5
 +$as_echo_n "checking for getaddrinfo... " >&6; }
 +ac_cv_func_getaddrinfo=no
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#ifdef __cplusplus
 +extern "C"
 +{
 +#endif
 +char* getaddrinfo();
 +char* (*f) () = getaddrinfo;
 +#ifdef __cplusplus
 +}
 +#endif
 +int main() {
 +        ;
 +        return 0;
 +}
 +
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_func_getaddrinfo="yes"
 +if test "$ac_cv_header_windows_h" = "yes"; then
 +
 +$as_echo "#define USE_WINSOCK 1" >>confdefs.h
 +
 +      USE_WINSOCK="1"
 +      LIBS="$LIBS -lws2_32"
 +fi
 +
 +else
 +  ORIGLIBS="$LIBS"
 +LIBS="$LIBS -lws2_32"
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +
 +int
 +main ()
 +{
 +
 +        (void)getaddrinfo(NULL, NULL, NULL, NULL);
 +
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +ac_cv_func_getaddrinfo="yes"
 +
 +$as_echo "#define USE_WINSOCK 1" >>confdefs.h
 +
 +USE_WINSOCK="1"
 +
 +else
 +
 +ac_cv_func_getaddrinfo="no"
 +LIBS="$ORIGLIBS"
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_func_getaddrinfo" >&5
 +$as_echo "$ac_cv_func_getaddrinfo" >&6; }
 +if test $ac_cv_func_getaddrinfo = yes; then
 +
 +$as_echo "#define HAVE_GETADDRINFO 1" >>confdefs.h
 +
 +fi
 +
 +if test "$USE_WINSOCK" = 1; then
 +
 +$as_echo "#define UB_ON_WINDOWS 1" >>confdefs.h
 +
 +      for ac_header in iphlpapi.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "iphlpapi.h" "ac_cv_header_iphlpapi_h" "$ac_includes_default
 +#include <windows.h>
 +
 +"
 +if test "x$ac_cv_header_iphlpapi_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_IPHLPAPI_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +      if test -n "$ac_tool_prefix"; then
 +  # Extract the first word of "${ac_tool_prefix}windres", so it can be a program name with args.
 +set dummy ${ac_tool_prefix}windres; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_WINDRES+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$WINDRES"; then
 +  ac_cv_prog_WINDRES="$WINDRES" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_WINDRES="${ac_tool_prefix}windres"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +WINDRES=$ac_cv_prog_WINDRES
 +if test -n "$WINDRES"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $WINDRES" >&5
 +$as_echo "$WINDRES" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +fi
 +if test -z "$ac_cv_prog_WINDRES"; then
 +  ac_ct_WINDRES=$WINDRES
 +  # Extract the first word of "windres", so it can be a program name with args.
 +set dummy windres; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_prog_ac_ct_WINDRES+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  if test -n "$ac_ct_WINDRES"; then
 +  ac_cv_prog_ac_ct_WINDRES="$ac_ct_WINDRES" # Let the user override the test.
 +else
 +as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_prog_ac_ct_WINDRES="windres"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +fi
 +fi
 +ac_ct_WINDRES=$ac_cv_prog_ac_ct_WINDRES
 +if test -n "$ac_ct_WINDRES"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_ct_WINDRES" >&5
 +$as_echo "$ac_ct_WINDRES" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +  if test "x$ac_ct_WINDRES" = x; then
 +    WINDRES=""
 +  else
 +    case $cross_compiling:$ac_tool_warned in
 +yes:)
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: using cross tools not prefixed with host triplet" >&5
 +$as_echo "$as_me: WARNING: using cross tools not prefixed with host triplet" >&2;}
 +ac_tool_warned=yes ;;
 +esac
 +    WINDRES=$ac_ct_WINDRES
 +  fi
 +else
 +  WINDRES="$ac_cv_prog_WINDRES"
 +fi
 +
 +      LIBS="$LIBS -liphlpapi"
 +      WINAPPS="unbound-service-install.exe unbound-service-remove.exe anchor-update.exe"
 +
 +      WIN_DAEMON_SRC="winrc/win_svc.c winrc/w_inst.c"
 +
 +      WIN_DAEMON_OBJ="win_svc.lo w_inst.lo"
 +
 +      WIN_DAEMON_OBJ_LINK="rsrc_unbound.o"
 +
 +      WIN_HOST_OBJ_LINK="rsrc_unbound_host.o"
 +
 +      WIN_UBANCHOR_OBJ_LINK="rsrc_unbound_anchor.o log.lo locks.lo"
 +
 +      WIN_CONTROL_OBJ_LINK="rsrc_unbound_control.o"
 +
 +      WIN_CHECKCONF_OBJ_LINK="rsrc_unbound_checkconf.o"
 +
 +fi
 +if test $ac_cv_func_getaddrinfo = no; then
 +      case " $LIBOBJS " in
 +  *" fake-rfc2553.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS fake-rfc2553.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +# check after getaddrinfo for its libraries
 +
 +# check ioctlsocket
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for ioctlsocket" >&5
 +$as_echo_n "checking for ioctlsocket... " >&6; }
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +int
 +main ()
 +{
 +
 +      (void)ioctlsocket(0, 0, NULL);
 +
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +if ac_fn_c_try_link "$LINENO"; then :
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +$as_echo "#define HAVE_IOCTLSOCKET 1" >>confdefs.h
 +
 +
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext conftest.$ac_ext
 +
 +
 +# see if daemon(3) exists, and if it is deprecated.
 +for ac_func in daemon
 +do :
 +  ac_fn_c_check_func "$LINENO" "daemon" "ac_cv_func_daemon"
 +if test "x$ac_cv_func_daemon" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_DAEMON 1
 +_ACEOF
 +
 +fi
 +done
 +
 +if test $ac_cv_func_daemon = yes; then
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if daemon is deprecated" >&5
 +$as_echo_n "checking if daemon is deprecated... " >&6; }
 +cache=`echo daemon | sed 'y%.=/+-%___p_%'`
 +if eval \${cv_cc_deprecated_$cache+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +
 +echo '
 +#include <stdlib.h>
 +' >conftest.c
 +echo 'void f(){ (void)daemon(0, 0); }' >>conftest.c
 +if test -z "`$CC -c conftest.c 2>&1 | grep deprecated`"; then
 +eval "cv_cc_deprecated_$cache=no"
 +else
 +eval "cv_cc_deprecated_$cache=yes"
 +fi
 +rm -f conftest conftest.o conftest.c
 +
 +fi
 +
 +if eval "test \"`echo '$cv_cc_deprecated_'$cache`\" = yes"; then
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +
 +cat >>confdefs.h <<_ACEOF
 +#define DEPRECATED_DAEMON 1
 +_ACEOF
 +
 +:
 +
 +else
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +:
 +
 +fi
 +
 +fi
 +
 +ac_fn_c_check_member "$LINENO" "struct sockaddr_un" "sun_len" "ac_cv_member_struct_sockaddr_un_sun_len" "
 +$ac_includes_default
 +#ifdef HAVE_SYS_UN_H
 +#include <sys/un.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_member_struct_sockaddr_un_sun_len" = xyes; then :
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_STRUCT_SOCKADDR_UN_SUN_LEN 1
 +_ACEOF
 +
 +
 +fi
 +
 +ac_fn_c_check_member "$LINENO" "struct in_pktinfo" "ipi_spec_dst" "ac_cv_member_struct_in_pktinfo_ipi_spec_dst" "
 +$ac_includes_default
 +#if HAVE_SYS_PARAM_H
 +#include <sys/param.h>
 +#endif
 +
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +
 +#ifdef HAVE_SYS_UIO_H
 +#include <sys/uio.h>
 +#endif
 +
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +
 +"
 +if test "x$ac_cv_member_struct_in_pktinfo_ipi_spec_dst" = xyes; then :
 +
 +cat >>confdefs.h <<_ACEOF
 +#define HAVE_STRUCT_IN_PKTINFO_IPI_SPEC_DST 1
 +_ACEOF
 +
 +
 +fi
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing setusercontext" >&5
 +$as_echo_n "checking for library containing setusercontext... " >&6; }
 +if ${ac_cv_search_setusercontext+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char setusercontext ();
 +int
 +main ()
 +{
 +return setusercontext ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' util; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_setusercontext=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_setusercontext+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_setusercontext+:} false; then :
 +
 +else
 +  ac_cv_search_setusercontext=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_setusercontext" >&5
 +$as_echo "$ac_cv_search_setusercontext" >&6; }
 +ac_res=$ac_cv_search_setusercontext
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +for ac_func in tzset sigprocmask fcntl getpwnam getrlimit setrlimit setsid sbrk chroot kill chown sleep usleep random srandom recvmsg sendmsg writev socketpair glob initgroups strftime localtime_r setusercontext _beginthreadex endservent endprotoent
 +do :
 +  as_ac_var=`$as_echo "ac_cv_func_$ac_func" | $as_tr_sh`
 +ac_fn_c_check_func "$LINENO" "$ac_func" "$as_ac_var"
 +if eval test \"x\$"$as_ac_var"\" = x"yes"; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define `$as_echo "HAVE_$ac_func" | $as_tr_cpp` 1
 +_ACEOF
 +
 +fi
 +done
 +
 +for ac_func in setresuid
 +do :
 +  ac_fn_c_check_func "$LINENO" "setresuid" "ac_cv_func_setresuid"
 +if test "x$ac_cv_func_setresuid" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SETRESUID 1
 +_ACEOF
 +
 +else
 +  for ac_func in setreuid
 +do :
 +  ac_fn_c_check_func "$LINENO" "setreuid" "ac_cv_func_setreuid"
 +if test "x$ac_cv_func_setreuid" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SETREUID 1
 +_ACEOF
 +
 +fi
 +done
 +
 +fi
 +done
 +
 +for ac_func in setresgid
 +do :
 +  ac_fn_c_check_func "$LINENO" "setresgid" "ac_cv_func_setresgid"
 +if test "x$ac_cv_func_setresgid" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SETRESGID 1
 +_ACEOF
 +
 +else
 +  for ac_func in setregid
 +do :
 +  ac_fn_c_check_func "$LINENO" "setregid" "ac_cv_func_setregid"
 +if test "x$ac_cv_func_setregid" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SETREGID 1
 +_ACEOF
 +
 +fi
 +done
 +
 +fi
 +done
 +
 +
 +# check if setreuid en setregid fail, on MacOSX10.4(darwin8).
 +if echo $build_os | grep darwin8 > /dev/null; then
 +
 +$as_echo "#define DARWIN_BROKEN_SETREUID 1" >>confdefs.h
 +
 +fi
 +ac_fn_c_check_func "$LINENO" "inet_aton" "ac_cv_func_inet_aton"
 +if test "x$ac_cv_func_inet_aton" = xyes; then :
 +  $as_echo "#define HAVE_INET_ATON 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" inet_aton.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS inet_aton.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "inet_pton" "ac_cv_func_inet_pton"
 +if test "x$ac_cv_func_inet_pton" = xyes; then :
 +  $as_echo "#define HAVE_INET_PTON 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" inet_pton.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS inet_pton.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "inet_ntop" "ac_cv_func_inet_ntop"
 +if test "x$ac_cv_func_inet_ntop" = xyes; then :
 +  $as_echo "#define HAVE_INET_NTOP 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" inet_ntop.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS inet_ntop.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "snprintf" "ac_cv_func_snprintf"
 +if test "x$ac_cv_func_snprintf" = xyes; then :
 +  $as_echo "#define HAVE_SNPRINTF 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" snprintf.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS snprintf.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "strlcat" "ac_cv_func_strlcat"
 +if test "x$ac_cv_func_strlcat" = xyes; then :
 +  $as_echo "#define HAVE_STRLCAT 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" strlcat.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS strlcat.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "strlcpy" "ac_cv_func_strlcpy"
 +if test "x$ac_cv_func_strlcpy" = xyes; then :
 +  $as_echo "#define HAVE_STRLCPY 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" strlcpy.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS strlcpy.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "memmove" "ac_cv_func_memmove"
 +if test "x$ac_cv_func_memmove" = xyes; then :
 +  $as_echo "#define HAVE_MEMMOVE 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" memmove.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS memmove.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +ac_fn_c_check_func "$LINENO" "gmtime_r" "ac_cv_func_gmtime_r"
 +if test "x$ac_cv_func_gmtime_r" = xyes; then :
 +  $as_echo "#define HAVE_GMTIME_R 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" gmtime_r.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS gmtime_r.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +LIBOBJ_WITHOUT_CTIMEARC4="$LIBOBJS"
 +
++ac_fn_c_check_func "$LINENO" "reallocarray" "ac_cv_func_reallocarray"
++if test "x$ac_cv_func_reallocarray" = xyes; then :
++  $as_echo "#define HAVE_REALLOCARRAY 1" >>confdefs.h
++
++else
++  case " $LIBOBJS " in
++  *" reallocarray.$ac_objext "* ) ;;
++  *) LIBOBJS="$LIBOBJS reallocarray.$ac_objext"
++ ;;
++esac
++
++fi
++
++
 +if test "$USE_NSS" = "no"; then
 +      ac_fn_c_check_func "$LINENO" "arc4random" "ac_cv_func_arc4random"
 +if test "x$ac_cv_func_arc4random" = xyes; then :
 +  $as_echo "#define HAVE_ARC4RANDOM 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" arc4random.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS arc4random.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +      ac_fn_c_check_func "$LINENO" "arc4random_uniform" "ac_cv_func_arc4random_uniform"
 +if test "x$ac_cv_func_arc4random_uniform" = xyes; then :
 +  $as_echo "#define HAVE_ARC4RANDOM_UNIFORM 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" arc4random_uniform.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS arc4random_uniform.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +      if test "$ac_cv_func_arc4random" = "no"; then
 +              case " $LIBOBJS " in
 +  *" explicit_bzero.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS explicit_bzero.$ac_objext"
 + ;;
 +esac
 +
 +              case " $LIBOBJS " in
 +  *" arc4_lock.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS arc4_lock.$ac_objext"
 + ;;
 +esac
 +
 +              for ac_func in getentropy
 +do :
 +  ac_fn_c_check_func "$LINENO" "getentropy" "ac_cv_func_getentropy"
 +if test "x$ac_cv_func_getentropy" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_GETENTROPY 1
 +_ACEOF
 +
 +else
 +
 +                  if test "$USE_WINSOCK" = 1; then
 +                      case " $LIBOBJS " in
 +  *" getentropy_win.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS getentropy_win.$ac_objext"
 + ;;
 +esac
 +
 +                  else
 +                      case `uname` in
 +                      Darwin)
 +                              case " $LIBOBJS " in
 +  *" getentropy_osx.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS getentropy_osx.$ac_objext"
 + ;;
 +esac
 +
 +                      ;;
 +                      SunOS)
 +                              case " $LIBOBJS " in
 +  *" getentropy_solaris.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS getentropy_solaris.$ac_objext"
 + ;;
 +esac
 +
 +                              for ac_header in sys/sha2.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "sys/sha2.h" "ac_cv_header_sys_sha2_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_sys_sha2_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SYS_SHA2_H 1
 +_ACEOF
 +
 +else
 +
 +                                      for ac_func in SHA512_Update
 +do :
 +  ac_fn_c_check_func "$LINENO" "SHA512_Update" "ac_cv_func_SHA512_Update"
 +if test "x$ac_cv_func_SHA512_Update" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SHA512_UPDATE 1
 +_ACEOF
 +
 +else
 +
 +                                              case " $LIBOBJS " in
 +  *" sha512.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS sha512.$ac_objext"
 + ;;
 +esac
 +
 +
 +fi
 +done
 +
 +
 +fi
 +
 +done
 +
 +                              if test "$ac_cv_header_sys_sha2_h" = "yes"; then
 +                                      # this lib needed for sha2 on solaris
 +                                      LIBS="$LIBS -lmd"
 +                              fi
 +                              { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing clock_gettime" >&5
 +$as_echo_n "checking for library containing clock_gettime... " >&6; }
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char clock_gettime ();
 +int
 +main ()
 +{
 +return clock_gettime ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' rt; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_clock_gettime=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_clock_gettime+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +
 +else
 +  ac_cv_search_clock_gettime=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_clock_gettime" >&5
 +$as_echo "$ac_cv_search_clock_gettime" >&6; }
 +ac_res=$ac_cv_search_clock_gettime
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +                      ;;
 +                      Linux|*)
 +                              case " $LIBOBJS " in
 +  *" getentropy_linux.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS getentropy_linux.$ac_objext"
 + ;;
 +esac
 +
 +                              for ac_func in SHA512_Update
 +do :
 +  ac_fn_c_check_func "$LINENO" "SHA512_Update" "ac_cv_func_SHA512_Update"
 +if test "x$ac_cv_func_SHA512_Update" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SHA512_UPDATE 1
 +_ACEOF
 +
 +else
 +
 +
 +$as_echo "#define COMPAT_SHA512 1" >>confdefs.h
 +
 +                                      case " $LIBOBJS " in
 +  *" sha512.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS sha512.$ac_objext"
 + ;;
 +esac
 +
 +
 +fi
 +done
 +
 +                              for ac_header in sys/sysctl.h
 +do :
 +  ac_fn_c_check_header_compile "$LINENO" "sys/sysctl.h" "ac_cv_header_sys_sysctl_h" "$ac_includes_default
 +"
 +if test "x$ac_cv_header_sys_sysctl_h" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_SYS_SYSCTL_H 1
 +_ACEOF
 +
 +fi
 +
 +done
 +
 +                              for ac_func in getauxval
 +do :
 +  ac_fn_c_check_func "$LINENO" "getauxval" "ac_cv_func_getauxval"
 +if test "x$ac_cv_func_getauxval" = xyes; then :
 +  cat >>confdefs.h <<_ACEOF
 +#define HAVE_GETAUXVAL 1
 +_ACEOF
 +
 +fi
 +done
 +
 +                              { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing clock_gettime" >&5
 +$as_echo_n "checking for library containing clock_gettime... " >&6; }
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char clock_gettime ();
 +int
 +main ()
 +{
 +return clock_gettime ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' rt; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_clock_gettime=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_clock_gettime+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_clock_gettime+:} false; then :
 +
 +else
 +  ac_cv_search_clock_gettime=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_clock_gettime" >&5
 +$as_echo "$ac_cv_search_clock_gettime" >&6; }
 +ac_res=$ac_cv_search_clock_gettime
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +fi
 +
 +                      ;;
 +                      esac
 +                  fi
 +
 +fi
 +done
 +
 +      fi
 +fi
 +LIBOBJ_WITHOUT_CTIME="$LIBOBJS"
 +
 +ac_fn_c_check_func "$LINENO" "ctime_r" "ac_cv_func_ctime_r"
 +if test "x$ac_cv_func_ctime_r" = xyes; then :
 +  $as_echo "#define HAVE_CTIME_R 1" >>confdefs.h
 +
 +else
 +  case " $LIBOBJS " in
 +  *" ctime_r.$ac_objext "* ) ;;
 +  *) LIBOBJS="$LIBOBJS ctime_r.$ac_objext"
 + ;;
 +esac
 +
 +fi
 +
 +
 +
 +# Check whether --enable-allsymbols was given.
 +if test "${enable_allsymbols+set}" = set; then :
 +  enableval=$enable_allsymbols;
 +fi
 +
 +case "$enable_allsymbols" in
 +      yes)
 +      COMMON_OBJ_ALL_SYMBOLS=""
 +      UBSYMS=""
 +      EXTRALINK="-L. -L.libs -lunbound"
 +
 +$as_echo "#define EXPORT_ALL_SYMBOLS 1" >>confdefs.h
 +
 +      ;;
 +      no|*)
 +      COMMON_OBJ_ALL_SYMBOLS='$(COMMON_OBJ)'
 +      UBSYMS='-export-symbols $(srcdir)/libunbound/ubsyms.def'
 +      EXTRALINK=""
 +      ;;
 +esac
 +
 +
 +
 +if test x_$enable_lock_checks = x_yes; then
 +      UBSYMS="-export-symbols clubsyms.def"
 +      cp ${srcdir}/libunbound/ubsyms.def clubsyms.def
 +      echo lock_protect >> clubsyms.def
 +      echo lock_unprotect >> clubsyms.def
 +      echo lock_get_mem >> clubsyms.def
 +      echo checklock_start >> clubsyms.def
 +      echo checklock_stop >> clubsyms.def
 +      echo checklock_lock >> clubsyms.def
 +      echo checklock_unlock >> clubsyms.def
 +      echo checklock_init >> clubsyms.def
 +      echo checklock_thrcreate >> clubsyms.def
 +      echo checklock_thrjoin >> clubsyms.def
 +fi
 +
 +# check for dnstap if requested
 +
 +  # Check whether --enable-dnstap was given.
 +if test "${enable_dnstap+set}" = set; then :
 +  enableval=$enable_dnstap; opt_dnstap=$enableval
 +else
 +  opt_dnstap=no
 +fi
 +
 +
 +
 +# Check whether --with-dnstap-socket-path was given.
 +if test "${with_dnstap_socket_path+set}" = set; then :
 +  withval=$with_dnstap_socket_path; opt_dnstap_socket_path=$withval
 +else
 +  opt_dnstap_socket_path="$UNBOUND_RUN_DIR/dnstap.sock"
 +fi
 +
 +
 +  if test "x$opt_dnstap" != "xno"; then
 +    # Extract the first word of "protoc-c", so it can be a program name with args.
 +set dummy protoc-c; ac_word=$2
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking for $ac_word" >&5
 +$as_echo_n "checking for $ac_word... " >&6; }
 +if ${ac_cv_path_PROTOC_C+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  case $PROTOC_C in
 +  [\\/]* | ?:[\\/]*)
 +  ac_cv_path_PROTOC_C="$PROTOC_C" # Let the user override the test with a path.
 +  ;;
 +  *)
 +  as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    for ac_exec_ext in '' $ac_executable_extensions; do
 +  if as_fn_executable_p "$as_dir/$ac_word$ac_exec_ext"; then
 +    ac_cv_path_PROTOC_C="$as_dir/$ac_word$ac_exec_ext"
 +    $as_echo "$as_me:${as_lineno-$LINENO}: found $as_dir/$ac_word$ac_exec_ext" >&5
 +    break 2
 +  fi
 +done
 +  done
 +IFS=$as_save_IFS
 +
 +  ;;
 +esac
 +fi
 +PROTOC_C=$ac_cv_path_PROTOC_C
 +if test -n "$PROTOC_C"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: $PROTOC_C" >&5
 +$as_echo "$PROTOC_C" >&6; }
 +else
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +fi
 +
 +
 +    if test -z "$PROTOC_C"; then
 +      as_fn_error $? "The protoc-c program was not found. Please install protobuf-c!" "$LINENO" 5
 +    fi
 +
 +# Check whether --with-protobuf-c was given.
 +if test "${with_protobuf_c+set}" = set; then :
 +  withval=$with_protobuf_c;
 +        # workaround for protobuf-c includes at old dir before protobuf-c-1.0.0
 +        if test -f $withval/include/google/protobuf-c/protobuf-c.h; then
 +          CFLAGS="$CFLAGS -I$withval/include/google"
 +        else
 +          CFLAGS="$CFLAGS -I$withval/include"
 +        fi
 +        LDFLAGS="$LDFLAGS -L$withval/lib"
 +
 +else
 +
 +        # workaround for protobuf-c includes at old dir before protobuf-c-1.0.0
 +        if test -f /usr/include/google/protobuf-c/protobuf-c.h; then
 +          CFLAGS="$CFLAGS -I/usr/include/google"
 +        else
 +          if test -f /usr/local/include/google/protobuf-c/protobuf-c.h; then
 +            CFLAGS="$CFLAGS -I/usr/local/include/google"
 +            LDFLAGS="$LDFLAGS -L/usr/local/lib"
 +          fi
 +        fi
 +
 +fi
 +
 +
 +# Check whether --with-libfstrm was given.
 +if test "${with_libfstrm+set}" = set; then :
 +  withval=$with_libfstrm;
 +      CFLAGS="$CFLAGS -I$withval/include"
 +      LDFLAGS="$LDFLAGS -L$withval/lib"
 +
 +fi
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing fstrm_iothr_init" >&5
 +$as_echo_n "checking for library containing fstrm_iothr_init... " >&6; }
 +if ${ac_cv_search_fstrm_iothr_init+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char fstrm_iothr_init ();
 +int
 +main ()
 +{
 +return fstrm_iothr_init ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' fstrm; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_fstrm_iothr_init=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_fstrm_iothr_init+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_fstrm_iothr_init+:} false; then :
 +
 +else
 +  ac_cv_search_fstrm_iothr_init=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_fstrm_iothr_init" >&5
 +$as_echo "$ac_cv_search_fstrm_iothr_init" >&6; }
 +ac_res=$ac_cv_search_fstrm_iothr_init
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +else
 +  as_fn_error $? "The fstrm library was not found. Please install fstrm!" "$LINENO" 5
 +fi
 +
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: checking for library containing protobuf_c_message_pack" >&5
 +$as_echo_n "checking for library containing protobuf_c_message_pack... " >&6; }
 +if ${ac_cv_search_protobuf_c_message_pack+:} false; then :
 +  $as_echo_n "(cached) " >&6
 +else
 +  ac_func_search_save_LIBS=$LIBS
 +cat confdefs.h - <<_ACEOF >conftest.$ac_ext
 +/* end confdefs.h.  */
 +
 +/* Override any GCC internal prototype to avoid an error.
 +   Use char because int might match the return type of a GCC
 +   builtin and then its argument prototype would still apply.  */
 +#ifdef __cplusplus
 +extern "C"
 +#endif
 +char protobuf_c_message_pack ();
 +int
 +main ()
 +{
 +return protobuf_c_message_pack ();
 +  ;
 +  return 0;
 +}
 +_ACEOF
 +for ac_lib in '' protobuf-c; do
 +  if test -z "$ac_lib"; then
 +    ac_res="none required"
 +  else
 +    ac_res=-l$ac_lib
 +    LIBS="-l$ac_lib  $ac_func_search_save_LIBS"
 +  fi
 +  if ac_fn_c_try_link "$LINENO"; then :
 +  ac_cv_search_protobuf_c_message_pack=$ac_res
 +fi
 +rm -f core conftest.err conftest.$ac_objext \
 +    conftest$ac_exeext
 +  if ${ac_cv_search_protobuf_c_message_pack+:} false; then :
 +  break
 +fi
 +done
 +if ${ac_cv_search_protobuf_c_message_pack+:} false; then :
 +
 +else
 +  ac_cv_search_protobuf_c_message_pack=no
 +fi
 +rm conftest.$ac_ext
 +LIBS=$ac_func_search_save_LIBS
 +fi
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: result: $ac_cv_search_protobuf_c_message_pack" >&5
 +$as_echo "$ac_cv_search_protobuf_c_message_pack" >&6; }
 +ac_res=$ac_cv_search_protobuf_c_message_pack
 +if test "$ac_res" != no; then :
 +  test "$ac_res" = "none required" || LIBS="$ac_res $LIBS"
 +
 +else
 +  as_fn_error $? "The protobuf-c library was not found. Please install protobuf-c!" "$LINENO" 5
 +fi
 +
 +
 +
 +$as_echo "#define USE_DNSTAP 1" >>confdefs.h
 +
 +        ENABLE_DNSTAP=1
 +
 +
 +
 +        hdr_dnstap_socket_path="`echo $opt_dnstap_socket_path | sed -e 's/\\\\/\\\\\\\\/g'`"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define DNSTAP_SOCKET_PATH "$hdr_dnstap_socket_path"
 +_ACEOF
 +
 +
 +        DNSTAP_SRC="dnstap/dnstap.c dnstap/dnstap.pb-c.c"
 +
 +        DNSTAP_OBJ="dnstap.lo dnstap.pb-c.lo"
 +
 +
 +  else
 +
 +        ENABLE_DNSTAP=0
 +
 +
 +
 +  fi
 +
 +
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: checking if ${MAKE:-make} supports $< with implicit rule in scope" >&5
 +$as_echo_n "checking if ${MAKE:-make} supports $< with implicit rule in scope... " >&6; }
 +# on openBSD, the implicit rule make $< work.
 +# on Solaris, it does not work ($? is changed sources, $^ lists dependencies).
 +# gmake works.
 +cat >conftest.make <<EOF
 +all:  conftest.lo
 +
 +conftest.lo foo.lo bla.lo:
 +      if test -f "\$<"; then touch \$@; fi
 +
 +.SUFFIXES: .lo
 +.c.lo:
 +      if test -f "\$<"; then touch \$@; fi
 +
 +conftest.lo:        conftest.dir/conftest.c
 +EOF
 +mkdir conftest.dir
 +touch conftest.dir/conftest.c
 +rm -f conftest.lo conftest.c
 +${MAKE:-make} -f conftest.make >/dev/null
 +rm -f conftest.make conftest.c conftest.dir/conftest.c
 +rm -rf conftest.dir
 +if test ! -f conftest.lo; then
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: no" >&5
 +$as_echo "no" >&6; }
 +      SOURCEDETERMINE='echo "$^" | awk "-F " "{print \$$1;}" > .source'
 +      SOURCEFILE='`cat .source`'
 +else
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: result: yes" >&5
 +$as_echo "yes" >&6; }
 +      SOURCEDETERMINE=':'
 +      SOURCEFILE='$<'
 +fi
 +rm -f conftest.lo
 +
 +
 +
 +# see if we want to build the library or everything
 +ALLTARGET="alltargets"
 +INSTALLTARGET="install-all"
 +
 +# Check whether --with-libunbound-only was given.
 +if test "${with_libunbound_only+set}" = set; then :
 +  withval=$with_libunbound_only;
 +      if test "$withval" = "yes"; then
 +              ALLTARGET="lib"
 +              INSTALLTARGET="install-lib"
 +      fi
 +
 +fi
 +
 +
 +
 +
 +
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: Stripping extension flags..." >&5
 +$as_echo "$as_me: Stripping extension flags..." >&6;}
 +
 +  if echo $CFLAGS | grep " -D_GNU_SOURCE" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_GNU_SOURCE//g'`"
 +
 +$as_echo "#define OMITTED__D_GNU_SOURCE 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_BSD_SOURCE" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_BSD_SOURCE//g'`"
 +
 +$as_echo "#define OMITTED__D_BSD_SOURCE 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D__EXTENSIONS__" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D__EXTENSIONS__//g'`"
 +
 +$as_echo "#define OMITTED__D__EXTENSIONS__ 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_POSIX_C_SOURCE=200112" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_POSIX_C_SOURCE=200112//g'`"
 +
 +$as_echo "#define OMITTED__D_POSIX_C_SOURCE_200112 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_XOPEN_SOURCE=600" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_XOPEN_SOURCE=600//g'`"
 +
 +$as_echo "#define OMITTED__D_XOPEN_SOURCE_600 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_XOPEN_SOURCE_EXTENDED=1" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_XOPEN_SOURCE_EXTENDED=1//g'`"
 +
 +$as_echo "#define OMITTED__D_XOPEN_SOURCE_EXTENDED_1 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_ALL_SOURCE" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_ALL_SOURCE//g'`"
 +
 +$as_echo "#define OMITTED__D_ALL_SOURCE 1" >>confdefs.h
 +
 +  fi
 +
 +
 +  if echo $CFLAGS | grep " -D_LARGEFILE_SOURCE=1" >/dev/null 2>&1; then
 +    CFLAGS="`echo $CFLAGS | sed -e 's/ -D_LARGEFILE_SOURCE=1//g'`"
 +
 +$as_echo "#define OMITTED__D_LARGEFILE_SOURCE_1 1" >>confdefs.h
 +
 +  fi
 +
 +
 +LDFLAGS="$LATE_LDFLAGS $LDFLAGS"
 +
 +
 +cat >>confdefs.h <<_ACEOF
 +#define MAXSYSLOGMSGLEN 10240
 +_ACEOF
 +
 +
 +
 +
- This file was extended by unbound $as_me 1.5.3, which was
++version=1.5.4
 +
 +date=`date +'%b %e, %Y'`
 +
 +
 +ac_config_files="$ac_config_files Makefile doc/example.conf doc/libunbound.3 doc/unbound.8 doc/unbound-anchor.8 doc/unbound-checkconf.8 doc/unbound.conf.5 doc/unbound-control.8 doc/unbound-host.1 smallapp/unbound-control-setup.sh dnstap/dnstap_config.h"
 +
 +ac_config_headers="$ac_config_headers config.h"
 +
 +cat >confcache <<\_ACEOF
 +# This file is a shell script that caches the results of configure
 +# tests run on this system so they can be shared between configure
 +# scripts and configure runs, see configure's option --config-cache.
 +# It is not useful on other systems.  If it contains results you don't
 +# want to keep, you may remove or edit it.
 +#
 +# config.status only pays attention to the cache file if you give it
 +# the --recheck option to rerun configure.
 +#
 +# `ac_cv_env_foo' variables (set or unset) will be overridden when
 +# loading this file, other *unset* `ac_cv_foo' will be assigned the
 +# following values.
 +
 +_ACEOF
 +
 +# The following way of writing the cache mishandles newlines in values,
 +# but we know of no workaround that is simple, portable, and efficient.
 +# So, we kill variables containing newlines.
 +# Ultrix sh set writes to stderr and can't be redirected directly,
 +# and sets the high bit in the cache file unless we assign to the vars.
 +(
 +  for ac_var in `(set) 2>&1 | sed -n 's/^\([a-zA-Z_][a-zA-Z0-9_]*\)=.*/\1/p'`; do
 +    eval ac_val=\$$ac_var
 +    case $ac_val in #(
 +    *${as_nl}*)
 +      case $ac_var in #(
 +      *_cv_*) { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: cache variable $ac_var contains a newline" >&5
 +$as_echo "$as_me: WARNING: cache variable $ac_var contains a newline" >&2;} ;;
 +      esac
 +      case $ac_var in #(
 +      _ | IFS | as_nl) ;; #(
 +      BASH_ARGV | BASH_SOURCE) eval $ac_var= ;; #(
 +      *) { eval $ac_var=; unset $ac_var;} ;;
 +      esac ;;
 +    esac
 +  done
 +
 +  (set) 2>&1 |
 +    case $as_nl`(ac_space=' '; set) 2>&1` in #(
 +    *${as_nl}ac_space=\ *)
 +      # `set' does not quote correctly, so add quotes: double-quote
 +      # substitution turns \\\\ into \\, and sed turns \\ into \.
 +      sed -n \
 +      "s/'/'\\\\''/g;
 +        s/^\\([_$as_cr_alnum]*_cv_[_$as_cr_alnum]*\\)=\\(.*\\)/\\1='\\2'/p"
 +      ;; #(
 +    *)
 +      # `set' quotes correctly as required by POSIX, so do not add quotes.
 +      sed -n "/^[_$as_cr_alnum]*_cv_[_$as_cr_alnum]*=/p"
 +      ;;
 +    esac |
 +    sort
 +) |
 +  sed '
 +     /^ac_cv_env_/b end
 +     t clear
 +     :clear
 +     s/^\([^=]*\)=\(.*[{}].*\)$/test "${\1+set}" = set || &/
 +     t end
 +     s/^\([^=]*\)=\(.*\)$/\1=${\1=\2}/
 +     :end' >>confcache
 +if diff "$cache_file" confcache >/dev/null 2>&1; then :; else
 +  if test -w "$cache_file"; then
 +    if test "x$cache_file" != "x/dev/null"; then
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: updating cache $cache_file" >&5
 +$as_echo "$as_me: updating cache $cache_file" >&6;}
 +      if test ! -f "$cache_file" || test -h "$cache_file"; then
 +      cat confcache >"$cache_file"
 +      else
 +        case $cache_file in #(
 +        */* | ?:*)
 +        mv -f confcache "$cache_file"$$ &&
 +        mv -f "$cache_file"$$ "$cache_file" ;; #(
 +        *)
 +        mv -f confcache "$cache_file" ;;
 +      esac
 +      fi
 +    fi
 +  else
 +    { $as_echo "$as_me:${as_lineno-$LINENO}: not updating unwritable cache $cache_file" >&5
 +$as_echo "$as_me: not updating unwritable cache $cache_file" >&6;}
 +  fi
 +fi
 +rm -f confcache
 +
 +test "x$prefix" = xNONE && prefix=$ac_default_prefix
 +# Let make expand exec_prefix.
 +test "x$exec_prefix" = xNONE && exec_prefix='${prefix}'
 +
 +DEFS=-DHAVE_CONFIG_H
 +
 +ac_libobjs=
 +ac_ltlibobjs=
 +U=
 +for ac_i in : $LIBOBJS; do test "x$ac_i" = x: && continue
 +  # 1. Remove the extension, and $U if already installed.
 +  ac_script='s/\$U\././;s/\.o$//;s/\.obj$//'
 +  ac_i=`$as_echo "$ac_i" | sed "$ac_script"`
 +  # 2. Prepend LIBOBJDIR.  When used with automake>=1.10 LIBOBJDIR
 +  #    will be set to the directory where LIBOBJS objects are built.
 +  as_fn_append ac_libobjs " \${LIBOBJDIR}$ac_i\$U.$ac_objext"
 +  as_fn_append ac_ltlibobjs " \${LIBOBJDIR}$ac_i"'$U.lo'
 +done
 +LIBOBJS=$ac_libobjs
 +
 +LTLIBOBJS=$ac_ltlibobjs
 +
 +
 +
 +: "${CONFIG_STATUS=./config.status}"
 +ac_write_fail=0
 +ac_clean_files_save=$ac_clean_files
 +ac_clean_files="$ac_clean_files $CONFIG_STATUS"
 +{ $as_echo "$as_me:${as_lineno-$LINENO}: creating $CONFIG_STATUS" >&5
 +$as_echo "$as_me: creating $CONFIG_STATUS" >&6;}
 +as_write_fail=0
 +cat >$CONFIG_STATUS <<_ASEOF || as_write_fail=1
 +#! $SHELL
 +# Generated by $as_me.
 +# Run this file to recreate the current configuration.
 +# Compiler output produced by configure, useful for debugging
 +# configure, is in config.log if it exists.
 +
 +debug=false
 +ac_cs_recheck=false
 +ac_cs_silent=false
 +
 +SHELL=\${CONFIG_SHELL-$SHELL}
 +export SHELL
 +_ASEOF
 +cat >>$CONFIG_STATUS <<\_ASEOF || as_write_fail=1
 +## -------------------- ##
 +## M4sh Initialization. ##
 +## -------------------- ##
 +
 +# Be more Bourne compatible
 +DUALCASE=1; export DUALCASE # for MKS sh
 +if test -n "${ZSH_VERSION+set}" && (emulate sh) >/dev/null 2>&1; then :
 +  emulate sh
 +  NULLCMD=:
 +  # Pre-4.2 versions of Zsh do word splitting on ${1+"$@"}, which
 +  # is contrary to our usage.  Disable this feature.
 +  alias -g '${1+"$@"}'='"$@"'
 +  setopt NO_GLOB_SUBST
 +else
 +  case `(set -o) 2>/dev/null` in #(
 +  *posix*) :
 +    set -o posix ;; #(
 +  *) :
 +     ;;
 +esac
 +fi
 +
 +
 +as_nl='
 +'
 +export as_nl
 +# Printing a long string crashes Solaris 7 /usr/bin/printf.
 +as_echo='\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'
 +as_echo=$as_echo$as_echo$as_echo$as_echo$as_echo
 +as_echo=$as_echo$as_echo$as_echo$as_echo$as_echo$as_echo
 +# Prefer a ksh shell builtin over an external printf program on Solaris,
 +# but without wasting forks for bash or zsh.
 +if test -z "$BASH_VERSION$ZSH_VERSION" \
 +    && (test "X`print -r -- $as_echo`" = "X$as_echo") 2>/dev/null; then
 +  as_echo='print -r --'
 +  as_echo_n='print -rn --'
 +elif (test "X`printf %s $as_echo`" = "X$as_echo") 2>/dev/null; then
 +  as_echo='printf %s\n'
 +  as_echo_n='printf %s'
 +else
 +  if test "X`(/usr/ucb/echo -n -n $as_echo) 2>/dev/null`" = "X-n $as_echo"; then
 +    as_echo_body='eval /usr/ucb/echo -n "$1$as_nl"'
 +    as_echo_n='/usr/ucb/echo -n'
 +  else
 +    as_echo_body='eval expr "X$1" : "X\\(.*\\)"'
 +    as_echo_n_body='eval
 +      arg=$1;
 +      case $arg in #(
 +      *"$as_nl"*)
 +      expr "X$arg" : "X\\(.*\\)$as_nl";
 +      arg=`expr "X$arg" : ".*$as_nl\\(.*\\)"`;;
 +      esac;
 +      expr "X$arg" : "X\\(.*\\)" | tr -d "$as_nl"
 +    '
 +    export as_echo_n_body
 +    as_echo_n='sh -c $as_echo_n_body as_echo'
 +  fi
 +  export as_echo_body
 +  as_echo='sh -c $as_echo_body as_echo'
 +fi
 +
 +# The user is always right.
 +if test "${PATH_SEPARATOR+set}" != set; then
 +  PATH_SEPARATOR=:
 +  (PATH='/bin;/bin'; FPATH=$PATH; sh -c :) >/dev/null 2>&1 && {
 +    (PATH='/bin:/bin'; FPATH=$PATH; sh -c :) >/dev/null 2>&1 ||
 +      PATH_SEPARATOR=';'
 +  }
 +fi
 +
 +
 +# IFS
 +# We need space, tab and new line, in precisely that order.  Quoting is
 +# there to prevent editors from complaining about space-tab.
 +# (If _AS_PATH_WALK were called with IFS unset, it would disable word
 +# splitting by setting IFS to empty value.)
 +IFS=" ""      $as_nl"
 +
 +# Find who we are.  Look in the path if we contain no directory separator.
 +as_myself=
 +case $0 in #((
 +  *[\\/]* ) as_myself=$0 ;;
 +  *) as_save_IFS=$IFS; IFS=$PATH_SEPARATOR
 +for as_dir in $PATH
 +do
 +  IFS=$as_save_IFS
 +  test -z "$as_dir" && as_dir=.
 +    test -r "$as_dir/$0" && as_myself=$as_dir/$0 && break
 +  done
 +IFS=$as_save_IFS
 +
 +     ;;
 +esac
 +# We did not find ourselves, most probably we were run as `sh COMMAND'
 +# in which case we are not to be found in the path.
 +if test "x$as_myself" = x; then
 +  as_myself=$0
 +fi
 +if test ! -f "$as_myself"; then
 +  $as_echo "$as_myself: error: cannot find myself; rerun with an absolute file name" >&2
 +  exit 1
 +fi
 +
 +# Unset variables that we do not need and which cause bugs (e.g. in
 +# pre-3.0 UWIN ksh).  But do not cause bugs in bash 2.01; the "|| exit 1"
 +# suppresses any "Segmentation fault" message there.  '((' could
 +# trigger a bug in pdksh 5.2.14.
 +for as_var in BASH_ENV ENV MAIL MAILPATH
 +do eval test x\${$as_var+set} = xset \
 +  && ( (unset $as_var) || exit 1) >/dev/null 2>&1 && unset $as_var || :
 +done
 +PS1='$ '
 +PS2='> '
 +PS4='+ '
 +
 +# NLS nuisances.
 +LC_ALL=C
 +export LC_ALL
 +LANGUAGE=C
 +export LANGUAGE
 +
 +# CDPATH.
 +(unset CDPATH) >/dev/null 2>&1 && unset CDPATH
 +
 +
 +# as_fn_error STATUS ERROR [LINENO LOG_FD]
 +# ----------------------------------------
 +# Output "`basename $0`: error: ERROR" to stderr. If LINENO and LOG_FD are
 +# provided, also output the error to LOG_FD, referencing LINENO. Then exit the
 +# script with STATUS, using 1 if that was 0.
 +as_fn_error ()
 +{
 +  as_status=$1; test $as_status -eq 0 && as_status=1
 +  if test "$4"; then
 +    as_lineno=${as_lineno-"$3"} as_lineno_stack=as_lineno_stack=$as_lineno_stack
 +    $as_echo "$as_me:${as_lineno-$LINENO}: error: $2" >&$4
 +  fi
 +  $as_echo "$as_me: error: $2" >&2
 +  as_fn_exit $as_status
 +} # as_fn_error
 +
 +
 +# as_fn_set_status STATUS
 +# -----------------------
 +# Set $? to STATUS, without forking.
 +as_fn_set_status ()
 +{
 +  return $1
 +} # as_fn_set_status
 +
 +# as_fn_exit STATUS
 +# -----------------
 +# Exit the shell with STATUS, even in a "trap 0" or "set -e" context.
 +as_fn_exit ()
 +{
 +  set +e
 +  as_fn_set_status $1
 +  exit $1
 +} # as_fn_exit
 +
 +# as_fn_unset VAR
 +# ---------------
 +# Portably unset VAR.
 +as_fn_unset ()
 +{
 +  { eval $1=; unset $1;}
 +}
 +as_unset=as_fn_unset
 +# as_fn_append VAR VALUE
 +# ----------------------
 +# Append the text in VALUE to the end of the definition contained in VAR. Take
 +# advantage of any shell optimizations that allow amortized linear growth over
 +# repeated appends, instead of the typical quadratic growth present in naive
 +# implementations.
 +if (eval "as_var=1; as_var+=2; test x\$as_var = x12") 2>/dev/null; then :
 +  eval 'as_fn_append ()
 +  {
 +    eval $1+=\$2
 +  }'
 +else
 +  as_fn_append ()
 +  {
 +    eval $1=\$$1\$2
 +  }
 +fi # as_fn_append
 +
 +# as_fn_arith ARG...
 +# ------------------
 +# Perform arithmetic evaluation on the ARGs, and store the result in the
 +# global $as_val. Take advantage of shells that can avoid forks. The arguments
 +# must be portable across $(()) and expr.
 +if (eval "test \$(( 1 + 1 )) = 2") 2>/dev/null; then :
 +  eval 'as_fn_arith ()
 +  {
 +    as_val=$(( $* ))
 +  }'
 +else
 +  as_fn_arith ()
 +  {
 +    as_val=`expr "$@" || test $? -eq 1`
 +  }
 +fi # as_fn_arith
 +
 +
 +if expr a : '\(a\)' >/dev/null 2>&1 &&
 +   test "X`expr 00001 : '.*\(...\)'`" = X001; then
 +  as_expr=expr
 +else
 +  as_expr=false
 +fi
 +
 +if (basename -- /) >/dev/null 2>&1 && test "X`basename -- / 2>&1`" = "X/"; then
 +  as_basename=basename
 +else
 +  as_basename=false
 +fi
 +
 +if (as_dir=`dirname -- /` && test "X$as_dir" = X/) >/dev/null 2>&1; then
 +  as_dirname=dirname
 +else
 +  as_dirname=false
 +fi
 +
 +as_me=`$as_basename -- "$0" ||
 +$as_expr X/"$0" : '.*/\([^/][^/]*\)/*$' \| \
 +       X"$0" : 'X\(//\)$' \| \
 +       X"$0" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X/"$0" |
 +    sed '/^.*\/\([^/][^/]*\)\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\/\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\/\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +
 +# Avoid depending upon Character Ranges.
 +as_cr_letters='abcdefghijklmnopqrstuvwxyz'
 +as_cr_LETTERS='ABCDEFGHIJKLMNOPQRSTUVWXYZ'
 +as_cr_Letters=$as_cr_letters$as_cr_LETTERS
 +as_cr_digits='0123456789'
 +as_cr_alnum=$as_cr_Letters$as_cr_digits
 +
 +ECHO_C= ECHO_N= ECHO_T=
 +case `echo -n x` in #(((((
 +-n*)
 +  case `echo 'xy\c'` in
 +  *c*) ECHO_T='       ';;     # ECHO_T is single tab character.
 +  xy)  ECHO_C='\c';;
 +  *)   echo `echo ksh88 bug on AIX 6.1` > /dev/null
 +       ECHO_T='       ';;
 +  esac;;
 +*)
 +  ECHO_N='-n';;
 +esac
 +
 +rm -f conf$$ conf$$.exe conf$$.file
 +if test -d conf$$.dir; then
 +  rm -f conf$$.dir/conf$$.file
 +else
 +  rm -f conf$$.dir
 +  mkdir conf$$.dir 2>/dev/null
 +fi
 +if (echo >conf$$.file) 2>/dev/null; then
 +  if ln -s conf$$.file conf$$ 2>/dev/null; then
 +    as_ln_s='ln -s'
 +    # ... but there are two gotchas:
 +    # 1) On MSYS, both `ln -s file dir' and `ln file dir' fail.
 +    # 2) DJGPP < 2.04 has no symlinks; `ln -s' creates a wrapper executable.
 +    # In both cases, we have to default to `cp -pR'.
 +    ln -s conf$$.file conf$$.dir 2>/dev/null && test ! -f conf$$.exe ||
 +      as_ln_s='cp -pR'
 +  elif ln conf$$.file conf$$ 2>/dev/null; then
 +    as_ln_s=ln
 +  else
 +    as_ln_s='cp -pR'
 +  fi
 +else
 +  as_ln_s='cp -pR'
 +fi
 +rm -f conf$$ conf$$.exe conf$$.dir/conf$$.file conf$$.file
 +rmdir conf$$.dir 2>/dev/null
 +
 +
 +# as_fn_mkdir_p
 +# -------------
 +# Create "$as_dir" as a directory, including parents if necessary.
 +as_fn_mkdir_p ()
 +{
 +
 +  case $as_dir in #(
 +  -*) as_dir=./$as_dir;;
 +  esac
 +  test -d "$as_dir" || eval $as_mkdir_p || {
 +    as_dirs=
 +    while :; do
 +      case $as_dir in #(
 +      *\'*) as_qdir=`$as_echo "$as_dir" | sed "s/'/'\\\\\\\\''/g"`;; #'(
 +      *) as_qdir=$as_dir;;
 +      esac
 +      as_dirs="'$as_qdir' $as_dirs"
 +      as_dir=`$as_dirname -- "$as_dir" ||
 +$as_expr X"$as_dir" : 'X\(.*[^/]\)//*[^/][^/]*/*$' \| \
 +       X"$as_dir" : 'X\(//\)[^/]' \| \
 +       X"$as_dir" : 'X\(//\)$' \| \
 +       X"$as_dir" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X"$as_dir" |
 +    sed '/^X\(.*[^/]\)\/\/*[^/][^/]*\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)[^/].*/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +      test -d "$as_dir" && break
 +    done
 +    test -z "$as_dirs" || eval "mkdir $as_dirs"
 +  } || test -d "$as_dir" || as_fn_error $? "cannot create directory $as_dir"
 +
 +
 +} # as_fn_mkdir_p
 +if mkdir -p . 2>/dev/null; then
 +  as_mkdir_p='mkdir -p "$as_dir"'
 +else
 +  test -d ./-p && rmdir ./-p
 +  as_mkdir_p=false
 +fi
 +
 +
 +# as_fn_executable_p FILE
 +# -----------------------
 +# Test if FILE is an executable regular file.
 +as_fn_executable_p ()
 +{
 +  test -f "$1" && test -x "$1"
 +} # as_fn_executable_p
 +as_test_x='test -x'
 +as_executable_p=as_fn_executable_p
 +
 +# Sed expression to map a string onto a valid CPP name.
 +as_tr_cpp="eval sed 'y%*$as_cr_letters%P$as_cr_LETTERS%;s%[^_$as_cr_alnum]%_%g'"
 +
 +# Sed expression to map a string onto a valid variable name.
 +as_tr_sh="eval sed 'y%*+%pp%;s%[^_$as_cr_alnum]%_%g'"
 +
 +
 +exec 6>&1
 +## ----------------------------------- ##
 +## Main body of $CONFIG_STATUS script. ##
 +## ----------------------------------- ##
 +_ASEOF
 +test $as_write_fail = 0 && chmod +x $CONFIG_STATUS || ac_write_fail=1
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +# Save the log message, to keep $0 and so on meaningful, and to
 +# report actual input values of CONFIG_FILES etc. instead of their
 +# values after options handling.
 +ac_log="
- unbound config.status 1.5.3
++This file was extended by unbound $as_me 1.5.4, which was
 +generated by GNU Autoconf 2.69.  Invocation command line was
 +
 +  CONFIG_FILES    = $CONFIG_FILES
 +  CONFIG_HEADERS  = $CONFIG_HEADERS
 +  CONFIG_LINKS    = $CONFIG_LINKS
 +  CONFIG_COMMANDS = $CONFIG_COMMANDS
 +  $ $0 $@
 +
 +on `(hostname || uname -n) 2>/dev/null | sed 1q`
 +"
 +
 +_ACEOF
 +
 +case $ac_config_files in *"
 +"*) set x $ac_config_files; shift; ac_config_files=$*;;
 +esac
 +
 +case $ac_config_headers in *"
 +"*) set x $ac_config_headers; shift; ac_config_headers=$*;;
 +esac
 +
 +
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +# Files that config.status was made for.
 +config_files="$ac_config_files"
 +config_headers="$ac_config_headers"
 +config_commands="$ac_config_commands"
 +
 +_ACEOF
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +ac_cs_usage="\
 +\`$as_me' instantiates files and other configuration actions
 +from templates according to the current configuration.  Unless the files
 +and actions are specified as TAGs, all are instantiated by default.
 +
 +Usage: $0 [OPTION]... [TAG]...
 +
 +  -h, --help       print this help, then exit
 +  -V, --version    print version number and configuration settings, then exit
 +      --config     print configuration, then exit
 +  -q, --quiet, --silent
 +                   do not print progress messages
 +  -d, --debug      don't remove temporary files
 +      --recheck    update $as_me by reconfiguring in the same conditions
 +      --file=FILE[:TEMPLATE]
 +                   instantiate the configuration file FILE
 +      --header=FILE[:TEMPLATE]
 +                   instantiate the configuration header FILE
 +
 +Configuration files:
 +$config_files
 +
 +Configuration headers:
 +$config_headers
 +
 +Configuration commands:
 +$config_commands
 +
 +Report bugs to <unbound-bugs@nlnetlabs.nl>."
 +
 +_ACEOF
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +ac_cs_config="`$as_echo "$ac_configure_args" | sed 's/^ //; s/[\\""\`\$]/\\\\&/g'`"
 +ac_cs_version="\\
++unbound config.status 1.5.4
 +configured by $0, generated by GNU Autoconf 2.69,
 +  with options \\"\$ac_cs_config\\"
 +
 +Copyright (C) 2012 Free Software Foundation, Inc.
 +This config.status script is free software; the Free Software Foundation
 +gives unlimited permission to copy, distribute and modify it."
 +
 +ac_pwd='$ac_pwd'
 +srcdir='$srcdir'
 +AWK='$AWK'
 +test -n "\$AWK" || AWK=awk
 +_ACEOF
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +# The default lists apply if the user does not specify any file.
 +ac_need_defaults=:
 +while test $# != 0
 +do
 +  case $1 in
 +  --*=?*)
 +    ac_option=`expr "X$1" : 'X\([^=]*\)='`
 +    ac_optarg=`expr "X$1" : 'X[^=]*=\(.*\)'`
 +    ac_shift=:
 +    ;;
 +  --*=)
 +    ac_option=`expr "X$1" : 'X\([^=]*\)='`
 +    ac_optarg=
 +    ac_shift=:
 +    ;;
 +  *)
 +    ac_option=$1
 +    ac_optarg=$2
 +    ac_shift=shift
 +    ;;
 +  esac
 +
 +  case $ac_option in
 +  # Handling of the options.
 +  -recheck | --recheck | --rechec | --reche | --rech | --rec | --re | --r)
 +    ac_cs_recheck=: ;;
 +  --version | --versio | --versi | --vers | --ver | --ve | --v | -V )
 +    $as_echo "$ac_cs_version"; exit ;;
 +  --config | --confi | --conf | --con | --co | --c )
 +    $as_echo "$ac_cs_config"; exit ;;
 +  --debug | --debu | --deb | --de | --d | -d )
 +    debug=: ;;
 +  --file | --fil | --fi | --f )
 +    $ac_shift
 +    case $ac_optarg in
 +    *\'*) ac_optarg=`$as_echo "$ac_optarg" | sed "s/'/'\\\\\\\\''/g"` ;;
 +    '') as_fn_error $? "missing file argument" ;;
 +    esac
 +    as_fn_append CONFIG_FILES " '$ac_optarg'"
 +    ac_need_defaults=false;;
 +  --header | --heade | --head | --hea )
 +    $ac_shift
 +    case $ac_optarg in
 +    *\'*) ac_optarg=`$as_echo "$ac_optarg" | sed "s/'/'\\\\\\\\''/g"` ;;
 +    esac
 +    as_fn_append CONFIG_HEADERS " '$ac_optarg'"
 +    ac_need_defaults=false;;
 +  --he | --h)
 +    # Conflict between --help and --header
 +    as_fn_error $? "ambiguous option: \`$1'
 +Try \`$0 --help' for more information.";;
 +  --help | --hel | -h )
 +    $as_echo "$ac_cs_usage"; exit ;;
 +  -q | -quiet | --quiet | --quie | --qui | --qu | --q \
 +  | -silent | --silent | --silen | --sile | --sil | --si | --s)
 +    ac_cs_silent=: ;;
 +
 +  # This is an error.
 +  -*) as_fn_error $? "unrecognized option: \`$1'
 +Try \`$0 --help' for more information." ;;
 +
 +  *) as_fn_append ac_config_targets " $1"
 +     ac_need_defaults=false ;;
 +
 +  esac
 +  shift
 +done
 +
 +ac_configure_extra_args=
 +
 +if $ac_cs_silent; then
 +  exec 6>/dev/null
 +  ac_configure_extra_args="$ac_configure_extra_args --silent"
 +fi
 +
 +_ACEOF
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +if \$ac_cs_recheck; then
 +  set X $SHELL '$0' $ac_configure_args \$ac_configure_extra_args --no-create --no-recursion
 +  shift
 +  \$as_echo "running CONFIG_SHELL=$SHELL \$*" >&6
 +  CONFIG_SHELL='$SHELL'
 +  export CONFIG_SHELL
 +  exec "\$@"
 +fi
 +
 +_ACEOF
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +exec 5>>config.log
 +{
 +  echo
 +  sed 'h;s/./-/g;s/^.../## /;s/...$/ ##/;p;x;p;x' <<_ASBOX
 +## Running $as_me. ##
 +_ASBOX
 +  $as_echo "$ac_log"
 +} >&5
 +
 +_ACEOF
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +#
 +# INIT-COMMANDS
 +#
 +
 +
 +# The HP-UX ksh and POSIX shell print the target directory to stdout
 +# if CDPATH is set.
 +(unset CDPATH) >/dev/null 2>&1 && unset CDPATH
 +
 +sed_quote_subst='$sed_quote_subst'
 +double_quote_subst='$double_quote_subst'
 +delay_variable_subst='$delay_variable_subst'
 +macro_version='`$ECHO "$macro_version" | $SED "$delay_single_quote_subst"`'
 +macro_revision='`$ECHO "$macro_revision" | $SED "$delay_single_quote_subst"`'
 +enable_shared='`$ECHO "$enable_shared" | $SED "$delay_single_quote_subst"`'
 +enable_static='`$ECHO "$enable_static" | $SED "$delay_single_quote_subst"`'
 +pic_mode='`$ECHO "$pic_mode" | $SED "$delay_single_quote_subst"`'
 +enable_fast_install='`$ECHO "$enable_fast_install" | $SED "$delay_single_quote_subst"`'
 +SHELL='`$ECHO "$SHELL" | $SED "$delay_single_quote_subst"`'
 +ECHO='`$ECHO "$ECHO" | $SED "$delay_single_quote_subst"`'
 +PATH_SEPARATOR='`$ECHO "$PATH_SEPARATOR" | $SED "$delay_single_quote_subst"`'
 +host_alias='`$ECHO "$host_alias" | $SED "$delay_single_quote_subst"`'
 +host='`$ECHO "$host" | $SED "$delay_single_quote_subst"`'
 +host_os='`$ECHO "$host_os" | $SED "$delay_single_quote_subst"`'
 +build_alias='`$ECHO "$build_alias" | $SED "$delay_single_quote_subst"`'
 +build='`$ECHO "$build" | $SED "$delay_single_quote_subst"`'
 +build_os='`$ECHO "$build_os" | $SED "$delay_single_quote_subst"`'
 +SED='`$ECHO "$SED" | $SED "$delay_single_quote_subst"`'
 +Xsed='`$ECHO "$Xsed" | $SED "$delay_single_quote_subst"`'
 +GREP='`$ECHO "$GREP" | $SED "$delay_single_quote_subst"`'
 +EGREP='`$ECHO "$EGREP" | $SED "$delay_single_quote_subst"`'
 +FGREP='`$ECHO "$FGREP" | $SED "$delay_single_quote_subst"`'
 +LD='`$ECHO "$LD" | $SED "$delay_single_quote_subst"`'
 +NM='`$ECHO "$NM" | $SED "$delay_single_quote_subst"`'
 +LN_S='`$ECHO "$LN_S" | $SED "$delay_single_quote_subst"`'
 +max_cmd_len='`$ECHO "$max_cmd_len" | $SED "$delay_single_quote_subst"`'
 +ac_objext='`$ECHO "$ac_objext" | $SED "$delay_single_quote_subst"`'
 +exeext='`$ECHO "$exeext" | $SED "$delay_single_quote_subst"`'
 +lt_unset='`$ECHO "$lt_unset" | $SED "$delay_single_quote_subst"`'
 +lt_SP2NL='`$ECHO "$lt_SP2NL" | $SED "$delay_single_quote_subst"`'
 +lt_NL2SP='`$ECHO "$lt_NL2SP" | $SED "$delay_single_quote_subst"`'
 +lt_cv_to_host_file_cmd='`$ECHO "$lt_cv_to_host_file_cmd" | $SED "$delay_single_quote_subst"`'
 +lt_cv_to_tool_file_cmd='`$ECHO "$lt_cv_to_tool_file_cmd" | $SED "$delay_single_quote_subst"`'
 +reload_flag='`$ECHO "$reload_flag" | $SED "$delay_single_quote_subst"`'
 +reload_cmds='`$ECHO "$reload_cmds" | $SED "$delay_single_quote_subst"`'
 +OBJDUMP='`$ECHO "$OBJDUMP" | $SED "$delay_single_quote_subst"`'
 +deplibs_check_method='`$ECHO "$deplibs_check_method" | $SED "$delay_single_quote_subst"`'
 +file_magic_cmd='`$ECHO "$file_magic_cmd" | $SED "$delay_single_quote_subst"`'
 +file_magic_glob='`$ECHO "$file_magic_glob" | $SED "$delay_single_quote_subst"`'
 +want_nocaseglob='`$ECHO "$want_nocaseglob" | $SED "$delay_single_quote_subst"`'
 +DLLTOOL='`$ECHO "$DLLTOOL" | $SED "$delay_single_quote_subst"`'
 +sharedlib_from_linklib_cmd='`$ECHO "$sharedlib_from_linklib_cmd" | $SED "$delay_single_quote_subst"`'
 +AR='`$ECHO "$AR" | $SED "$delay_single_quote_subst"`'
 +AR_FLAGS='`$ECHO "$AR_FLAGS" | $SED "$delay_single_quote_subst"`'
 +archiver_list_spec='`$ECHO "$archiver_list_spec" | $SED "$delay_single_quote_subst"`'
 +STRIP='`$ECHO "$STRIP" | $SED "$delay_single_quote_subst"`'
 +RANLIB='`$ECHO "$RANLIB" | $SED "$delay_single_quote_subst"`'
 +old_postinstall_cmds='`$ECHO "$old_postinstall_cmds" | $SED "$delay_single_quote_subst"`'
 +old_postuninstall_cmds='`$ECHO "$old_postuninstall_cmds" | $SED "$delay_single_quote_subst"`'
 +old_archive_cmds='`$ECHO "$old_archive_cmds" | $SED "$delay_single_quote_subst"`'
 +lock_old_archive_extraction='`$ECHO "$lock_old_archive_extraction" | $SED "$delay_single_quote_subst"`'
 +CC='`$ECHO "$CC" | $SED "$delay_single_quote_subst"`'
 +CFLAGS='`$ECHO "$CFLAGS" | $SED "$delay_single_quote_subst"`'
 +compiler='`$ECHO "$compiler" | $SED "$delay_single_quote_subst"`'
 +GCC='`$ECHO "$GCC" | $SED "$delay_single_quote_subst"`'
 +lt_cv_sys_global_symbol_pipe='`$ECHO "$lt_cv_sys_global_symbol_pipe" | $SED "$delay_single_quote_subst"`'
 +lt_cv_sys_global_symbol_to_cdecl='`$ECHO "$lt_cv_sys_global_symbol_to_cdecl" | $SED "$delay_single_quote_subst"`'
 +lt_cv_sys_global_symbol_to_c_name_address='`$ECHO "$lt_cv_sys_global_symbol_to_c_name_address" | $SED "$delay_single_quote_subst"`'
 +lt_cv_sys_global_symbol_to_c_name_address_lib_prefix='`$ECHO "$lt_cv_sys_global_symbol_to_c_name_address_lib_prefix" | $SED "$delay_single_quote_subst"`'
 +nm_file_list_spec='`$ECHO "$nm_file_list_spec" | $SED "$delay_single_quote_subst"`'
 +lt_sysroot='`$ECHO "$lt_sysroot" | $SED "$delay_single_quote_subst"`'
 +objdir='`$ECHO "$objdir" | $SED "$delay_single_quote_subst"`'
 +MAGIC_CMD='`$ECHO "$MAGIC_CMD" | $SED "$delay_single_quote_subst"`'
 +lt_prog_compiler_no_builtin_flag='`$ECHO "$lt_prog_compiler_no_builtin_flag" | $SED "$delay_single_quote_subst"`'
 +lt_prog_compiler_pic='`$ECHO "$lt_prog_compiler_pic" | $SED "$delay_single_quote_subst"`'
 +lt_prog_compiler_wl='`$ECHO "$lt_prog_compiler_wl" | $SED "$delay_single_quote_subst"`'
 +lt_prog_compiler_static='`$ECHO "$lt_prog_compiler_static" | $SED "$delay_single_quote_subst"`'
 +lt_cv_prog_compiler_c_o='`$ECHO "$lt_cv_prog_compiler_c_o" | $SED "$delay_single_quote_subst"`'
 +need_locks='`$ECHO "$need_locks" | $SED "$delay_single_quote_subst"`'
 +MANIFEST_TOOL='`$ECHO "$MANIFEST_TOOL" | $SED "$delay_single_quote_subst"`'
 +DSYMUTIL='`$ECHO "$DSYMUTIL" | $SED "$delay_single_quote_subst"`'
 +NMEDIT='`$ECHO "$NMEDIT" | $SED "$delay_single_quote_subst"`'
 +LIPO='`$ECHO "$LIPO" | $SED "$delay_single_quote_subst"`'
 +OTOOL='`$ECHO "$OTOOL" | $SED "$delay_single_quote_subst"`'
 +OTOOL64='`$ECHO "$OTOOL64" | $SED "$delay_single_quote_subst"`'
 +libext='`$ECHO "$libext" | $SED "$delay_single_quote_subst"`'
 +shrext_cmds='`$ECHO "$shrext_cmds" | $SED "$delay_single_quote_subst"`'
 +extract_expsyms_cmds='`$ECHO "$extract_expsyms_cmds" | $SED "$delay_single_quote_subst"`'
 +archive_cmds_need_lc='`$ECHO "$archive_cmds_need_lc" | $SED "$delay_single_quote_subst"`'
 +enable_shared_with_static_runtimes='`$ECHO "$enable_shared_with_static_runtimes" | $SED "$delay_single_quote_subst"`'
 +export_dynamic_flag_spec='`$ECHO "$export_dynamic_flag_spec" | $SED "$delay_single_quote_subst"`'
 +whole_archive_flag_spec='`$ECHO "$whole_archive_flag_spec" | $SED "$delay_single_quote_subst"`'
 +compiler_needs_object='`$ECHO "$compiler_needs_object" | $SED "$delay_single_quote_subst"`'
 +old_archive_from_new_cmds='`$ECHO "$old_archive_from_new_cmds" | $SED "$delay_single_quote_subst"`'
 +old_archive_from_expsyms_cmds='`$ECHO "$old_archive_from_expsyms_cmds" | $SED "$delay_single_quote_subst"`'
 +archive_cmds='`$ECHO "$archive_cmds" | $SED "$delay_single_quote_subst"`'
 +archive_expsym_cmds='`$ECHO "$archive_expsym_cmds" | $SED "$delay_single_quote_subst"`'
 +module_cmds='`$ECHO "$module_cmds" | $SED "$delay_single_quote_subst"`'
 +module_expsym_cmds='`$ECHO "$module_expsym_cmds" | $SED "$delay_single_quote_subst"`'
 +with_gnu_ld='`$ECHO "$with_gnu_ld" | $SED "$delay_single_quote_subst"`'
 +allow_undefined_flag='`$ECHO "$allow_undefined_flag" | $SED "$delay_single_quote_subst"`'
 +no_undefined_flag='`$ECHO "$no_undefined_flag" | $SED "$delay_single_quote_subst"`'
 +hardcode_libdir_flag_spec='`$ECHO "$hardcode_libdir_flag_spec" | $SED "$delay_single_quote_subst"`'
 +hardcode_libdir_separator='`$ECHO "$hardcode_libdir_separator" | $SED "$delay_single_quote_subst"`'
 +hardcode_direct='`$ECHO "$hardcode_direct" | $SED "$delay_single_quote_subst"`'
 +hardcode_direct_absolute='`$ECHO "$hardcode_direct_absolute" | $SED "$delay_single_quote_subst"`'
 +hardcode_minus_L='`$ECHO "$hardcode_minus_L" | $SED "$delay_single_quote_subst"`'
 +hardcode_shlibpath_var='`$ECHO "$hardcode_shlibpath_var" | $SED "$delay_single_quote_subst"`'
 +hardcode_automatic='`$ECHO "$hardcode_automatic" | $SED "$delay_single_quote_subst"`'
 +inherit_rpath='`$ECHO "$inherit_rpath" | $SED "$delay_single_quote_subst"`'
 +link_all_deplibs='`$ECHO "$link_all_deplibs" | $SED "$delay_single_quote_subst"`'
 +always_export_symbols='`$ECHO "$always_export_symbols" | $SED "$delay_single_quote_subst"`'
 +export_symbols_cmds='`$ECHO "$export_symbols_cmds" | $SED "$delay_single_quote_subst"`'
 +exclude_expsyms='`$ECHO "$exclude_expsyms" | $SED "$delay_single_quote_subst"`'
 +include_expsyms='`$ECHO "$include_expsyms" | $SED "$delay_single_quote_subst"`'
 +prelink_cmds='`$ECHO "$prelink_cmds" | $SED "$delay_single_quote_subst"`'
 +postlink_cmds='`$ECHO "$postlink_cmds" | $SED "$delay_single_quote_subst"`'
 +file_list_spec='`$ECHO "$file_list_spec" | $SED "$delay_single_quote_subst"`'
 +variables_saved_for_relink='`$ECHO "$variables_saved_for_relink" | $SED "$delay_single_quote_subst"`'
 +need_lib_prefix='`$ECHO "$need_lib_prefix" | $SED "$delay_single_quote_subst"`'
 +need_version='`$ECHO "$need_version" | $SED "$delay_single_quote_subst"`'
 +version_type='`$ECHO "$version_type" | $SED "$delay_single_quote_subst"`'
 +runpath_var='`$ECHO "$runpath_var" | $SED "$delay_single_quote_subst"`'
 +shlibpath_var='`$ECHO "$shlibpath_var" | $SED "$delay_single_quote_subst"`'
 +shlibpath_overrides_runpath='`$ECHO "$shlibpath_overrides_runpath" | $SED "$delay_single_quote_subst"`'
 +libname_spec='`$ECHO "$libname_spec" | $SED "$delay_single_quote_subst"`'
 +library_names_spec='`$ECHO "$library_names_spec" | $SED "$delay_single_quote_subst"`'
 +soname_spec='`$ECHO "$soname_spec" | $SED "$delay_single_quote_subst"`'
 +install_override_mode='`$ECHO "$install_override_mode" | $SED "$delay_single_quote_subst"`'
 +postinstall_cmds='`$ECHO "$postinstall_cmds" | $SED "$delay_single_quote_subst"`'
 +postuninstall_cmds='`$ECHO "$postuninstall_cmds" | $SED "$delay_single_quote_subst"`'
 +finish_cmds='`$ECHO "$finish_cmds" | $SED "$delay_single_quote_subst"`'
 +finish_eval='`$ECHO "$finish_eval" | $SED "$delay_single_quote_subst"`'
 +hardcode_into_libs='`$ECHO "$hardcode_into_libs" | $SED "$delay_single_quote_subst"`'
 +sys_lib_search_path_spec='`$ECHO "$sys_lib_search_path_spec" | $SED "$delay_single_quote_subst"`'
 +sys_lib_dlsearch_path_spec='`$ECHO "$sys_lib_dlsearch_path_spec" | $SED "$delay_single_quote_subst"`'
 +hardcode_action='`$ECHO "$hardcode_action" | $SED "$delay_single_quote_subst"`'
 +enable_dlopen='`$ECHO "$enable_dlopen" | $SED "$delay_single_quote_subst"`'
 +enable_dlopen_self='`$ECHO "$enable_dlopen_self" | $SED "$delay_single_quote_subst"`'
 +enable_dlopen_self_static='`$ECHO "$enable_dlopen_self_static" | $SED "$delay_single_quote_subst"`'
 +old_striplib='`$ECHO "$old_striplib" | $SED "$delay_single_quote_subst"`'
 +striplib='`$ECHO "$striplib" | $SED "$delay_single_quote_subst"`'
 +
 +LTCC='$LTCC'
 +LTCFLAGS='$LTCFLAGS'
 +compiler='$compiler_DEFAULT'
 +
 +# A function that is used when there is no print builtin or printf.
 +func_fallback_echo ()
 +{
 +  eval 'cat <<_LTECHO_EOF
 +\$1
 +_LTECHO_EOF'
 +}
 +
 +# Quote evaled strings.
 +for var in SHELL \
 +ECHO \
 +PATH_SEPARATOR \
 +SED \
 +GREP \
 +EGREP \
 +FGREP \
 +LD \
 +NM \
 +LN_S \
 +lt_SP2NL \
 +lt_NL2SP \
 +reload_flag \
 +OBJDUMP \
 +deplibs_check_method \
 +file_magic_cmd \
 +file_magic_glob \
 +want_nocaseglob \
 +DLLTOOL \
 +sharedlib_from_linklib_cmd \
 +AR \
 +AR_FLAGS \
 +archiver_list_spec \
 +STRIP \
 +RANLIB \
 +CC \
 +CFLAGS \
 +compiler \
 +lt_cv_sys_global_symbol_pipe \
 +lt_cv_sys_global_symbol_to_cdecl \
 +lt_cv_sys_global_symbol_to_c_name_address \
 +lt_cv_sys_global_symbol_to_c_name_address_lib_prefix \
 +nm_file_list_spec \
 +lt_prog_compiler_no_builtin_flag \
 +lt_prog_compiler_pic \
 +lt_prog_compiler_wl \
 +lt_prog_compiler_static \
 +lt_cv_prog_compiler_c_o \
 +need_locks \
 +MANIFEST_TOOL \
 +DSYMUTIL \
 +NMEDIT \
 +LIPO \
 +OTOOL \
 +OTOOL64 \
 +shrext_cmds \
 +export_dynamic_flag_spec \
 +whole_archive_flag_spec \
 +compiler_needs_object \
 +with_gnu_ld \
 +allow_undefined_flag \
 +no_undefined_flag \
 +hardcode_libdir_flag_spec \
 +hardcode_libdir_separator \
 +exclude_expsyms \
 +include_expsyms \
 +file_list_spec \
 +variables_saved_for_relink \
 +libname_spec \
 +library_names_spec \
 +soname_spec \
 +install_override_mode \
 +finish_eval \
 +old_striplib \
 +striplib; do
 +    case \`eval \\\\\$ECHO \\\\""\\\\\$\$var"\\\\"\` in
 +    *[\\\\\\\`\\"\\\$]*)
 +      eval "lt_\$var=\\\\\\"\\\`\\\$ECHO \\"\\\$\$var\\" | \\\$SED \\"\\\$sed_quote_subst\\"\\\`\\\\\\""
 +      ;;
 +    *)
 +      eval "lt_\$var=\\\\\\"\\\$\$var\\\\\\""
 +      ;;
 +    esac
 +done
 +
 +# Double-quote double-evaled strings.
 +for var in reload_cmds \
 +old_postinstall_cmds \
 +old_postuninstall_cmds \
 +old_archive_cmds \
 +extract_expsyms_cmds \
 +old_archive_from_new_cmds \
 +old_archive_from_expsyms_cmds \
 +archive_cmds \
 +archive_expsym_cmds \
 +module_cmds \
 +module_expsym_cmds \
 +export_symbols_cmds \
 +prelink_cmds \
 +postlink_cmds \
 +postinstall_cmds \
 +postuninstall_cmds \
 +finish_cmds \
 +sys_lib_search_path_spec \
 +sys_lib_dlsearch_path_spec; do
 +    case \`eval \\\\\$ECHO \\\\""\\\\\$\$var"\\\\"\` in
 +    *[\\\\\\\`\\"\\\$]*)
 +      eval "lt_\$var=\\\\\\"\\\`\\\$ECHO \\"\\\$\$var\\" | \\\$SED -e \\"\\\$double_quote_subst\\" -e \\"\\\$sed_quote_subst\\" -e \\"\\\$delay_variable_subst\\"\\\`\\\\\\""
 +      ;;
 +    *)
 +      eval "lt_\$var=\\\\\\"\\\$\$var\\\\\\""
 +      ;;
 +    esac
 +done
 +
 +ac_aux_dir='$ac_aux_dir'
 +xsi_shell='$xsi_shell'
 +lt_shell_append='$lt_shell_append'
 +
 +# See if we are running on zsh, and set the options which allow our
 +# commands through without removal of \ escapes INIT.
 +if test -n "\${ZSH_VERSION+set}" ; then
 +   setopt NO_GLOB_SUBST
 +fi
 +
 +
 +    PACKAGE='$PACKAGE'
 +    VERSION='$VERSION'
 +    TIMESTAMP='$TIMESTAMP'
 +    RM='$RM'
 +    ofile='$ofile'
 +
 +
 +
 +
 +_ACEOF
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +
 +# Handling of arguments.
 +for ac_config_target in $ac_config_targets
 +do
 +  case $ac_config_target in
 +    "libtool") CONFIG_COMMANDS="$CONFIG_COMMANDS libtool" ;;
 +    "disable-rpath") CONFIG_COMMANDS="$CONFIG_COMMANDS disable-rpath" ;;
 +    "Makefile") CONFIG_FILES="$CONFIG_FILES Makefile" ;;
 +    "doc/example.conf") CONFIG_FILES="$CONFIG_FILES doc/example.conf" ;;
 +    "doc/libunbound.3") CONFIG_FILES="$CONFIG_FILES doc/libunbound.3" ;;
 +    "doc/unbound.8") CONFIG_FILES="$CONFIG_FILES doc/unbound.8" ;;
 +    "doc/unbound-anchor.8") CONFIG_FILES="$CONFIG_FILES doc/unbound-anchor.8" ;;
 +    "doc/unbound-checkconf.8") CONFIG_FILES="$CONFIG_FILES doc/unbound-checkconf.8" ;;
 +    "doc/unbound.conf.5") CONFIG_FILES="$CONFIG_FILES doc/unbound.conf.5" ;;
 +    "doc/unbound-control.8") CONFIG_FILES="$CONFIG_FILES doc/unbound-control.8" ;;
 +    "doc/unbound-host.1") CONFIG_FILES="$CONFIG_FILES doc/unbound-host.1" ;;
 +    "smallapp/unbound-control-setup.sh") CONFIG_FILES="$CONFIG_FILES smallapp/unbound-control-setup.sh" ;;
 +    "dnstap/dnstap_config.h") CONFIG_FILES="$CONFIG_FILES dnstap/dnstap_config.h" ;;
 +    "config.h") CONFIG_HEADERS="$CONFIG_HEADERS config.h" ;;
 +
 +  *) as_fn_error $? "invalid argument: \`$ac_config_target'" "$LINENO" 5;;
 +  esac
 +done
 +
 +
 +# If the user did not use the arguments to specify the items to instantiate,
 +# then the envvar interface is used.  Set only those that are not.
 +# We use the long form for the default assignment because of an extremely
 +# bizarre bug on SunOS 4.1.3.
 +if $ac_need_defaults; then
 +  test "${CONFIG_FILES+set}" = set || CONFIG_FILES=$config_files
 +  test "${CONFIG_HEADERS+set}" = set || CONFIG_HEADERS=$config_headers
 +  test "${CONFIG_COMMANDS+set}" = set || CONFIG_COMMANDS=$config_commands
 +fi
 +
 +# Have a temporary directory for convenience.  Make it in the build tree
 +# simply because there is no reason against having it here, and in addition,
 +# creating and moving files from /tmp can sometimes cause problems.
 +# Hook for its removal unless debugging.
 +# Note that there is a small window in which the directory will not be cleaned:
 +# after its creation but before its name has been assigned to `$tmp'.
 +$debug ||
 +{
 +  tmp= ac_tmp=
 +  trap 'exit_status=$?
 +  : "${ac_tmp:=$tmp}"
 +  { test ! -d "$ac_tmp" || rm -fr "$ac_tmp"; } && exit $exit_status
 +' 0
 +  trap 'as_fn_exit 1' 1 2 13 15
 +}
 +# Create a (secure) tmp directory for tmp files.
 +
 +{
 +  tmp=`(umask 077 && mktemp -d "./confXXXXXX") 2>/dev/null` &&
 +  test -d "$tmp"
 +}  ||
 +{
 +  tmp=./conf$$-$RANDOM
 +  (umask 077 && mkdir "$tmp")
 +} || as_fn_error $? "cannot create a temporary directory in ." "$LINENO" 5
 +ac_tmp=$tmp
 +
 +# Set up the scripts for CONFIG_FILES section.
 +# No need to generate them if there are no CONFIG_FILES.
 +# This happens for instance with `./config.status config.h'.
 +if test -n "$CONFIG_FILES"; then
 +
 +
 +ac_cr=`echo X | tr X '\015'`
 +# On cygwin, bash can eat \r inside `` if the user requested igncr.
 +# But we know of no other shell where ac_cr would be empty at this
 +# point, so we can use a bashism as a fallback.
 +if test "x$ac_cr" = x; then
 +  eval ac_cr=\$\'\\r\'
 +fi
 +ac_cs_awk_cr=`$AWK 'BEGIN { print "a\rb" }' </dev/null 2>/dev/null`
 +if test "$ac_cs_awk_cr" = "a${ac_cr}b"; then
 +  ac_cs_awk_cr='\\r'
 +else
 +  ac_cs_awk_cr=$ac_cr
 +fi
 +
 +echo 'BEGIN {' >"$ac_tmp/subs1.awk" &&
 +_ACEOF
 +
 +
 +{
 +  echo "cat >conf$$subs.awk <<_ACEOF" &&
 +  echo "$ac_subst_vars" | sed 's/.*/&!$&$ac_delim/' &&
 +  echo "_ACEOF"
 +} >conf$$subs.sh ||
 +  as_fn_error $? "could not make $CONFIG_STATUS" "$LINENO" 5
 +ac_delim_num=`echo "$ac_subst_vars" | grep -c '^'`
 +ac_delim='%!_!# '
 +for ac_last_try in false false false false false :; do
 +  . ./conf$$subs.sh ||
 +    as_fn_error $? "could not make $CONFIG_STATUS" "$LINENO" 5
 +
 +  ac_delim_n=`sed -n "s/.*$ac_delim\$/X/p" conf$$subs.awk | grep -c X`
 +  if test $ac_delim_n = $ac_delim_num; then
 +    break
 +  elif $ac_last_try; then
 +    as_fn_error $? "could not make $CONFIG_STATUS" "$LINENO" 5
 +  else
 +    ac_delim="$ac_delim!$ac_delim _$ac_delim!! "
 +  fi
 +done
 +rm -f conf$$subs.sh
 +
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +cat >>"\$ac_tmp/subs1.awk" <<\\_ACAWK &&
 +_ACEOF
 +sed -n '
 +h
 +s/^/S["/; s/!.*/"]=/
 +p
 +g
 +s/^[^!]*!//
 +:repl
 +t repl
 +s/'"$ac_delim"'$//
 +t delim
 +:nl
 +h
 +s/\(.\{148\}\)..*/\1/
 +t more1
 +s/["\\]/\\&/g; s/^/"/; s/$/\\n"\\/
 +p
 +n
 +b repl
 +:more1
 +s/["\\]/\\&/g; s/^/"/; s/$/"\\/
 +p
 +g
 +s/.\{148\}//
 +t nl
 +:delim
 +h
 +s/\(.\{148\}\)..*/\1/
 +t more2
 +s/["\\]/\\&/g; s/^/"/; s/$/"/
 +p
 +b
 +:more2
 +s/["\\]/\\&/g; s/^/"/; s/$/"\\/
 +p
 +g
 +s/.\{148\}//
 +t delim
 +' <conf$$subs.awk | sed '
 +/^[^""]/{
 +  N
 +  s/\n//
 +}
 +' >>$CONFIG_STATUS || ac_write_fail=1
 +rm -f conf$$subs.awk
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +_ACAWK
 +cat >>"\$ac_tmp/subs1.awk" <<_ACAWK &&
 +  for (key in S) S_is_set[key] = 1
 +  FS = "\a"
 +
 +}
 +{
 +  line = $ 0
 +  nfields = split(line, field, "@")
 +  substed = 0
 +  len = length(field[1])
 +  for (i = 2; i < nfields; i++) {
 +    key = field[i]
 +    keylen = length(key)
 +    if (S_is_set[key]) {
 +      value = S[key]
 +      line = substr(line, 1, len) "" value "" substr(line, len + keylen + 3)
 +      len += length(value) + length(field[++i])
 +      substed = 1
 +    } else
 +      len += 1 + keylen
 +  }
 +
 +  print line
 +}
 +
 +_ACAWK
 +_ACEOF
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +if sed "s/$ac_cr//" < /dev/null > /dev/null 2>&1; then
 +  sed "s/$ac_cr\$//; s/$ac_cr/$ac_cs_awk_cr/g"
 +else
 +  cat
 +fi < "$ac_tmp/subs1.awk" > "$ac_tmp/subs.awk" \
 +  || as_fn_error $? "could not setup config files machinery" "$LINENO" 5
 +_ACEOF
 +
 +# VPATH may cause trouble with some makes, so we remove sole $(srcdir),
 +# ${srcdir} and @srcdir@ entries from VPATH if srcdir is ".", strip leading and
 +# trailing colons and then remove the whole line if VPATH becomes empty
 +# (actually we leave an empty line to preserve line numbers).
 +if test "x$srcdir" = x.; then
 +  ac_vpsub='/^[        ]*VPATH[        ]*=[    ]*/{
 +h
 +s///
 +s/^/:/
 +s/[    ]*$/:/
 +s/:\$(srcdir):/:/g
 +s/:\${srcdir}:/:/g
 +s/:@srcdir@:/:/g
 +s/^:*//
 +s/:*$//
 +x
 +s/\(=[         ]*\).*/\1/
 +G
 +s/\n//
 +s/^[^=]*=[     ]*$//
 +}'
 +fi
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +fi # test -n "$CONFIG_FILES"
 +
 +# Set up the scripts for CONFIG_HEADERS section.
 +# No need to generate them if there are no CONFIG_HEADERS.
 +# This happens for instance with `./config.status Makefile'.
 +if test -n "$CONFIG_HEADERS"; then
 +cat >"$ac_tmp/defines.awk" <<\_ACAWK ||
 +BEGIN {
 +_ACEOF
 +
 +# Transform confdefs.h into an awk script `defines.awk', embedded as
 +# here-document in config.status, that substitutes the proper values into
 +# config.h.in to produce config.h.
 +
 +# Create a delimiter string that does not exist in confdefs.h, to ease
 +# handling of long lines.
 +ac_delim='%!_!# '
 +for ac_last_try in false false :; do
 +  ac_tt=`sed -n "/$ac_delim/p" confdefs.h`
 +  if test -z "$ac_tt"; then
 +    break
 +  elif $ac_last_try; then
 +    as_fn_error $? "could not make $CONFIG_HEADERS" "$LINENO" 5
 +  else
 +    ac_delim="$ac_delim!$ac_delim _$ac_delim!! "
 +  fi
 +done
 +
 +# For the awk script, D is an array of macro values keyed by name,
 +# likewise P contains macro parameters if any.  Preserve backslash
 +# newline sequences.
 +
 +ac_word_re=[_$as_cr_Letters][_$as_cr_alnum]*
 +sed -n '
 +s/.\{148\}/&'"$ac_delim"'/g
 +t rset
 +:rset
 +s/^[   ]*#[    ]*define[       ][      ]*/ /
 +t def
 +d
 +:def
 +s/\\$//
 +t bsnl
 +s/["\\]/\\&/g
 +s/^ \('"$ac_word_re"'\)\(([^()]*)\)[   ]*\(.*\)/P["\1"]="\2"\
 +D["\1"]=" \3"/p
 +s/^ \('"$ac_word_re"'\)[       ]*\(.*\)/D["\1"]=" \2"/p
 +d
 +:bsnl
 +s/["\\]/\\&/g
 +s/^ \('"$ac_word_re"'\)\(([^()]*)\)[   ]*\(.*\)/P["\1"]="\2"\
 +D["\1"]=" \3\\\\\\n"\\/p
 +t cont
 +s/^ \('"$ac_word_re"'\)[       ]*\(.*\)/D["\1"]=" \2\\\\\\n"\\/p
 +t cont
 +d
 +:cont
 +n
 +s/.\{148\}/&'"$ac_delim"'/g
 +t clear
 +:clear
 +s/\\$//
 +t bsnlc
 +s/["\\]/\\&/g; s/^/"/; s/$/"/p
 +d
 +:bsnlc
 +s/["\\]/\\&/g; s/^/"/; s/$/\\\\\\n"\\/p
 +b cont
 +' <confdefs.h | sed '
 +s/'"$ac_delim"'/"\\\
 +"/g' >>$CONFIG_STATUS || ac_write_fail=1
 +
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +  for (key in D) D_is_set[key] = 1
 +  FS = "\a"
 +}
 +/^[\t ]*#[\t ]*(define|undef)[\t ]+$ac_word_re([\t (]|\$)/ {
 +  line = \$ 0
 +  split(line, arg, " ")
 +  if (arg[1] == "#") {
 +    defundef = arg[2]
 +    mac1 = arg[3]
 +  } else {
 +    defundef = substr(arg[1], 2)
 +    mac1 = arg[2]
 +  }
 +  split(mac1, mac2, "(") #)
 +  macro = mac2[1]
 +  prefix = substr(line, 1, index(line, defundef) - 1)
 +  if (D_is_set[macro]) {
 +    # Preserve the white space surrounding the "#".
 +    print prefix "define", macro P[macro] D[macro]
 +    next
 +  } else {
 +    # Replace #undef with comments.  This is necessary, for example,
 +    # in the case of _POSIX_SOURCE, which is predefined and required
 +    # on some systems where configure will not decide to define it.
 +    if (defundef == "undef") {
 +      print "/*", prefix defundef, macro, "*/"
 +      next
 +    }
 +  }
 +}
 +{ print }
 +_ACAWK
 +_ACEOF
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +  as_fn_error $? "could not setup config headers machinery" "$LINENO" 5
 +fi # test -n "$CONFIG_HEADERS"
 +
 +
 +eval set X "  :F $CONFIG_FILES  :H $CONFIG_HEADERS    :C $CONFIG_COMMANDS"
 +shift
 +for ac_tag
 +do
 +  case $ac_tag in
 +  :[FHLC]) ac_mode=$ac_tag; continue;;
 +  esac
 +  case $ac_mode$ac_tag in
 +  :[FHL]*:*);;
 +  :L* | :C*:*) as_fn_error $? "invalid tag \`$ac_tag'" "$LINENO" 5;;
 +  :[FH]-) ac_tag=-:-;;
 +  :[FH]*) ac_tag=$ac_tag:$ac_tag.in;;
 +  esac
 +  ac_save_IFS=$IFS
 +  IFS=:
 +  set x $ac_tag
 +  IFS=$ac_save_IFS
 +  shift
 +  ac_file=$1
 +  shift
 +
 +  case $ac_mode in
 +  :L) ac_source=$1;;
 +  :[FH])
 +    ac_file_inputs=
 +    for ac_f
 +    do
 +      case $ac_f in
 +      -) ac_f="$ac_tmp/stdin";;
 +      *) # Look for the file first in the build tree, then in the source tree
 +       # (if the path is not absolute).  The absolute path cannot be DOS-style,
 +       # because $ac_f cannot contain `:'.
 +       test -f "$ac_f" ||
 +         case $ac_f in
 +         [\\/$]*) false;;
 +         *) test -f "$srcdir/$ac_f" && ac_f="$srcdir/$ac_f";;
 +         esac ||
 +         as_fn_error 1 "cannot find input file: \`$ac_f'" "$LINENO" 5;;
 +      esac
 +      case $ac_f in *\'*) ac_f=`$as_echo "$ac_f" | sed "s/'/'\\\\\\\\''/g"`;; esac
 +      as_fn_append ac_file_inputs " '$ac_f'"
 +    done
 +
 +    # Let's still pretend it is `configure' which instantiates (i.e., don't
 +    # use $as_me), people would be surprised to read:
 +    #    /* config.h.  Generated by config.status.  */
 +    configure_input='Generated from '`
 +        $as_echo "$*" | sed 's|^[^:]*/||;s|:[^:]*/|, |g'
 +      `' by configure.'
 +    if test x"$ac_file" != x-; then
 +      configure_input="$ac_file.  $configure_input"
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: creating $ac_file" >&5
 +$as_echo "$as_me: creating $ac_file" >&6;}
 +    fi
 +    # Neutralize special characters interpreted by sed in replacement strings.
 +    case $configure_input in #(
 +    *\&* | *\|* | *\\* )
 +       ac_sed_conf_input=`$as_echo "$configure_input" |
 +       sed 's/[\\\\&|]/\\\\&/g'`;; #(
 +    *) ac_sed_conf_input=$configure_input;;
 +    esac
 +
 +    case $ac_tag in
 +    *:-:* | *:-) cat >"$ac_tmp/stdin" \
 +      || as_fn_error $? "could not create $ac_file" "$LINENO" 5 ;;
 +    esac
 +    ;;
 +  esac
 +
 +  ac_dir=`$as_dirname -- "$ac_file" ||
 +$as_expr X"$ac_file" : 'X\(.*[^/]\)//*[^/][^/]*/*$' \| \
 +       X"$ac_file" : 'X\(//\)[^/]' \| \
 +       X"$ac_file" : 'X\(//\)$' \| \
 +       X"$ac_file" : 'X\(/\)' \| . 2>/dev/null ||
 +$as_echo X"$ac_file" |
 +    sed '/^X\(.*[^/]\)\/\/*[^/][^/]*\/*$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)[^/].*/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\/\)$/{
 +          s//\1/
 +          q
 +        }
 +        /^X\(\/\).*/{
 +          s//\1/
 +          q
 +        }
 +        s/.*/./; q'`
 +  as_dir="$ac_dir"; as_fn_mkdir_p
 +  ac_builddir=.
 +
 +case "$ac_dir" in
 +.) ac_dir_suffix= ac_top_builddir_sub=. ac_top_build_prefix= ;;
 +*)
 +  ac_dir_suffix=/`$as_echo "$ac_dir" | sed 's|^\.[\\/]||'`
 +  # A ".." for each directory in $ac_dir_suffix.
 +  ac_top_builddir_sub=`$as_echo "$ac_dir_suffix" | sed 's|/[^\\/]*|/..|g;s|/||'`
 +  case $ac_top_builddir_sub in
 +  "") ac_top_builddir_sub=. ac_top_build_prefix= ;;
 +  *)  ac_top_build_prefix=$ac_top_builddir_sub/ ;;
 +  esac ;;
 +esac
 +ac_abs_top_builddir=$ac_pwd
 +ac_abs_builddir=$ac_pwd$ac_dir_suffix
 +# for backward compatibility:
 +ac_top_builddir=$ac_top_build_prefix
 +
 +case $srcdir in
 +  .)  # We are building in place.
 +    ac_srcdir=.
 +    ac_top_srcdir=$ac_top_builddir_sub
 +    ac_abs_top_srcdir=$ac_pwd ;;
 +  [\\/]* | ?:[\\/]* )  # Absolute name.
 +    ac_srcdir=$srcdir$ac_dir_suffix;
 +    ac_top_srcdir=$srcdir
 +    ac_abs_top_srcdir=$srcdir ;;
 +  *) # Relative name.
 +    ac_srcdir=$ac_top_build_prefix$srcdir$ac_dir_suffix
 +    ac_top_srcdir=$ac_top_build_prefix$srcdir
 +    ac_abs_top_srcdir=$ac_pwd/$srcdir ;;
 +esac
 +ac_abs_srcdir=$ac_abs_top_srcdir$ac_dir_suffix
 +
 +
 +  case $ac_mode in
 +  :F)
 +  #
 +  # CONFIG_FILE
 +  #
 +
 +_ACEOF
 +
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +# If the template does not know about datarootdir, expand it.
 +# FIXME: This hack should be removed a few years after 2.60.
 +ac_datarootdir_hack=; ac_datarootdir_seen=
 +ac_sed_dataroot='
 +/datarootdir/ {
 +  p
 +  q
 +}
 +/@datadir@/p
 +/@docdir@/p
 +/@infodir@/p
 +/@localedir@/p
 +/@mandir@/p'
 +case `eval "sed -n \"\$ac_sed_dataroot\" $ac_file_inputs"` in
 +*datarootdir*) ac_datarootdir_seen=yes;;
 +*@datadir@*|*@docdir@*|*@infodir@*|*@localedir@*|*@mandir@*)
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $ac_file_inputs seems to ignore the --datarootdir setting" >&5
 +$as_echo "$as_me: WARNING: $ac_file_inputs seems to ignore the --datarootdir setting" >&2;}
 +_ACEOF
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +  ac_datarootdir_hack='
 +  s&@datadir@&$datadir&g
 +  s&@docdir@&$docdir&g
 +  s&@infodir@&$infodir&g
 +  s&@localedir@&$localedir&g
 +  s&@mandir@&$mandir&g
 +  s&\\\${datarootdir}&$datarootdir&g' ;;
 +esac
 +_ACEOF
 +
 +# Neutralize VPATH when `$srcdir' = `.'.
 +# Shell code in configure.ac might set extrasub.
 +# FIXME: do we really want to maintain this feature?
 +cat >>$CONFIG_STATUS <<_ACEOF || ac_write_fail=1
 +ac_sed_extra="$ac_vpsub
 +$extrasub
 +_ACEOF
 +cat >>$CONFIG_STATUS <<\_ACEOF || ac_write_fail=1
 +:t
 +/@[a-zA-Z_][a-zA-Z_0-9]*@/!b
 +s|@configure_input@|$ac_sed_conf_input|;t t
 +s&@top_builddir@&$ac_top_builddir_sub&;t t
 +s&@top_build_prefix@&$ac_top_build_prefix&;t t
 +s&@srcdir@&$ac_srcdir&;t t
 +s&@abs_srcdir@&$ac_abs_srcdir&;t t
 +s&@top_srcdir@&$ac_top_srcdir&;t t
 +s&@abs_top_srcdir@&$ac_abs_top_srcdir&;t t
 +s&@builddir@&$ac_builddir&;t t
 +s&@abs_builddir@&$ac_abs_builddir&;t t
 +s&@abs_top_builddir@&$ac_abs_top_builddir&;t t
 +$ac_datarootdir_hack
 +"
 +eval sed \"\$ac_sed_extra\" "$ac_file_inputs" | $AWK -f "$ac_tmp/subs.awk" \
 +  >$ac_tmp/out || as_fn_error $? "could not create $ac_file" "$LINENO" 5
 +
 +test -z "$ac_datarootdir_hack$ac_datarootdir_seen" &&
 +  { ac_out=`sed -n '/\${datarootdir}/p' "$ac_tmp/out"`; test -n "$ac_out"; } &&
 +  { ac_out=`sed -n '/^[        ]*datarootdir[  ]*:*=/p' \
 +      "$ac_tmp/out"`; test -z "$ac_out"; } &&
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: $ac_file contains a reference to the variable \`datarootdir'
 +which seems to be undefined.  Please make sure it is defined" >&5
 +$as_echo "$as_me: WARNING: $ac_file contains a reference to the variable \`datarootdir'
 +which seems to be undefined.  Please make sure it is defined" >&2;}
 +
 +  rm -f "$ac_tmp/stdin"
 +  case $ac_file in
 +  -) cat "$ac_tmp/out" && rm -f "$ac_tmp/out";;
 +  *) rm -f "$ac_file" && mv "$ac_tmp/out" "$ac_file";;
 +  esac \
 +  || as_fn_error $? "could not create $ac_file" "$LINENO" 5
 + ;;
 +  :H)
 +  #
 +  # CONFIG_HEADER
 +  #
 +  if test x"$ac_file" != x-; then
 +    {
 +      $as_echo "/* $configure_input  */" \
 +      && eval '$AWK -f "$ac_tmp/defines.awk"' "$ac_file_inputs"
 +    } >"$ac_tmp/config.h" \
 +      || as_fn_error $? "could not create $ac_file" "$LINENO" 5
 +    if diff "$ac_file" "$ac_tmp/config.h" >/dev/null 2>&1; then
 +      { $as_echo "$as_me:${as_lineno-$LINENO}: $ac_file is unchanged" >&5
 +$as_echo "$as_me: $ac_file is unchanged" >&6;}
 +    else
 +      rm -f "$ac_file"
 +      mv "$ac_tmp/config.h" "$ac_file" \
 +      || as_fn_error $? "could not create $ac_file" "$LINENO" 5
 +    fi
 +  else
 +    $as_echo "/* $configure_input  */" \
 +      && eval '$AWK -f "$ac_tmp/defines.awk"' "$ac_file_inputs" \
 +      || as_fn_error $? "could not create -" "$LINENO" 5
 +  fi
 + ;;
 +
 +  :C)  { $as_echo "$as_me:${as_lineno-$LINENO}: executing $ac_file commands" >&5
 +$as_echo "$as_me: executing $ac_file commands" >&6;}
 + ;;
 +  esac
 +
 +
 +  case $ac_file$ac_mode in
 +    "libtool":C)
 +
 +    # See if we are running on zsh, and set the options which allow our
 +    # commands through without removal of \ escapes.
 +    if test -n "${ZSH_VERSION+set}" ; then
 +      setopt NO_GLOB_SUBST
 +    fi
 +
 +    cfgfile="${ofile}T"
 +    trap "$RM \"$cfgfile\"; exit 1" 1 2 15
 +    $RM "$cfgfile"
 +
 +    cat <<_LT_EOF >> "$cfgfile"
 +#! $SHELL
 +
 +# `$ECHO "$ofile" | sed 's%^.*/%%'` - Provide generalized library-building support services.
 +# Generated automatically by $as_me ($PACKAGE$TIMESTAMP) $VERSION
 +# Libtool was configured on host `(hostname || uname -n) 2>/dev/null | sed 1q`:
 +# NOTE: Changes made to this file will be lost: look at ltmain.sh.
 +#
 +#   Copyright (C) 1996, 1997, 1998, 1999, 2000, 2001, 2003, 2004, 2005,
 +#                 2006, 2007, 2008, 2009, 2010, 2011 Free Software
 +#                 Foundation, Inc.
 +#   Written by Gordon Matzigkeit, 1996
 +#
 +#   This file is part of GNU Libtool.
 +#
 +# GNU Libtool is free software; you can redistribute it and/or
 +# modify it under the terms of the GNU General Public License as
 +# published by the Free Software Foundation; either version 2 of
 +# the License, or (at your option) any later version.
 +#
 +# As a special exception to the GNU General Public License,
 +# if you distribute this file as part of a program or library that
 +# is built using GNU Libtool, you may include this file under the
 +# same distribution terms that you use for the rest of that program.
 +#
 +# GNU Libtool is distributed in the hope that it will be useful,
 +# but WITHOUT ANY WARRANTY; without even the implied warranty of
 +# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
 +# GNU General Public License for more details.
 +#
 +# You should have received a copy of the GNU General Public License
 +# along with GNU Libtool; see the file COPYING.  If not, a copy
 +# can be downloaded from http://www.gnu.org/licenses/gpl.html, or
 +# obtained by writing to the Free Software Foundation, Inc.,
 +# 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA.
 +
 +
 +# The names of the tagged configurations supported by this script.
 +available_tags=""
 +
 +# ### BEGIN LIBTOOL CONFIG
 +
 +# Which release of libtool.m4 was used?
 +macro_version=$macro_version
 +macro_revision=$macro_revision
 +
 +# Whether or not to build shared libraries.
 +build_libtool_libs=$enable_shared
 +
 +# Whether or not to build static libraries.
 +build_old_libs=$enable_static
 +
 +# What type of objects to build.
 +pic_mode=$pic_mode
 +
 +# Whether or not to optimize for fast installation.
 +fast_install=$enable_fast_install
 +
 +# Shell to use when invoking shell scripts.
 +SHELL=$lt_SHELL
 +
 +# An echo program that protects backslashes.
 +ECHO=$lt_ECHO
 +
 +# The PATH separator for the build system.
 +PATH_SEPARATOR=$lt_PATH_SEPARATOR
 +
 +# The host system.
 +host_alias=$host_alias
 +host=$host
 +host_os=$host_os
 +
 +# The build system.
 +build_alias=$build_alias
 +build=$build
 +build_os=$build_os
 +
 +# A sed program that does not truncate output.
 +SED=$lt_SED
 +
 +# Sed that helps us avoid accidentally triggering echo(1) options like -n.
 +Xsed="\$SED -e 1s/^X//"
 +
 +# A grep program that handles long lines.
 +GREP=$lt_GREP
 +
 +# An ERE matcher.
 +EGREP=$lt_EGREP
 +
 +# A literal string matcher.
 +FGREP=$lt_FGREP
 +
 +# A BSD- or MS-compatible name lister.
 +NM=$lt_NM
 +
 +# Whether we need soft or hard links.
 +LN_S=$lt_LN_S
 +
 +# What is the maximum length of a command?
 +max_cmd_len=$max_cmd_len
 +
 +# Object file suffix (normally "o").
 +objext=$ac_objext
 +
 +# Executable file suffix (normally "").
 +exeext=$exeext
 +
 +# whether the shell understands "unset".
 +lt_unset=$lt_unset
 +
 +# turn spaces into newlines.
 +SP2NL=$lt_lt_SP2NL
 +
 +# turn newlines into spaces.
 +NL2SP=$lt_lt_NL2SP
 +
 +# convert \$build file names to \$host format.
 +to_host_file_cmd=$lt_cv_to_host_file_cmd
 +
 +# convert \$build files to toolchain format.
 +to_tool_file_cmd=$lt_cv_to_tool_file_cmd
 +
 +# An object symbol dumper.
 +OBJDUMP=$lt_OBJDUMP
 +
 +# Method to check whether dependent libraries are shared objects.
 +deplibs_check_method=$lt_deplibs_check_method
 +
 +# Command to use when deplibs_check_method = "file_magic".
 +file_magic_cmd=$lt_file_magic_cmd
 +
 +# How to find potential files when deplibs_check_method = "file_magic".
 +file_magic_glob=$lt_file_magic_glob
 +
 +# Find potential files using nocaseglob when deplibs_check_method = "file_magic".
 +want_nocaseglob=$lt_want_nocaseglob
 +
 +# DLL creation program.
 +DLLTOOL=$lt_DLLTOOL
 +
 +# Command to associate shared and link libraries.
 +sharedlib_from_linklib_cmd=$lt_sharedlib_from_linklib_cmd
 +
 +# The archiver.
 +AR=$lt_AR
 +
 +# Flags to create an archive.
 +AR_FLAGS=$lt_AR_FLAGS
 +
 +# How to feed a file listing to the archiver.
 +archiver_list_spec=$lt_archiver_list_spec
 +
 +# A symbol stripping program.
 +STRIP=$lt_STRIP
 +
 +# Commands used to install an old-style archive.
 +RANLIB=$lt_RANLIB
 +old_postinstall_cmds=$lt_old_postinstall_cmds
 +old_postuninstall_cmds=$lt_old_postuninstall_cmds
 +
 +# Whether to use a lock for old archive extraction.
 +lock_old_archive_extraction=$lock_old_archive_extraction
 +
 +# A C compiler.
 +LTCC=$lt_CC
 +
 +# LTCC compiler flags.
 +LTCFLAGS=$lt_CFLAGS
 +
 +# Take the output of nm and produce a listing of raw symbols and C names.
 +global_symbol_pipe=$lt_lt_cv_sys_global_symbol_pipe
 +
 +# Transform the output of nm in a proper C declaration.
 +global_symbol_to_cdecl=$lt_lt_cv_sys_global_symbol_to_cdecl
 +
 +# Transform the output of nm in a C name address pair.
 +global_symbol_to_c_name_address=$lt_lt_cv_sys_global_symbol_to_c_name_address
 +
 +# Transform the output of nm in a C name address pair when lib prefix is needed.
 +global_symbol_to_c_name_address_lib_prefix=$lt_lt_cv_sys_global_symbol_to_c_name_address_lib_prefix
 +
 +# Specify filename containing input files for \$NM.
 +nm_file_list_spec=$lt_nm_file_list_spec
 +
 +# The root where to search for dependent libraries,and in which our libraries should be installed.
 +lt_sysroot=$lt_sysroot
 +
 +# The name of the directory that contains temporary libtool files.
 +objdir=$objdir
 +
 +# Used to examine libraries when file_magic_cmd begins with "file".
 +MAGIC_CMD=$MAGIC_CMD
 +
 +# Must we lock files when doing compilation?
 +need_locks=$lt_need_locks
 +
 +# Manifest tool.
 +MANIFEST_TOOL=$lt_MANIFEST_TOOL
 +
 +# Tool to manipulate archived DWARF debug symbol files on Mac OS X.
 +DSYMUTIL=$lt_DSYMUTIL
 +
 +# Tool to change global to local symbols on Mac OS X.
 +NMEDIT=$lt_NMEDIT
 +
 +# Tool to manipulate fat objects and archives on Mac OS X.
 +LIPO=$lt_LIPO
 +
 +# ldd/readelf like tool for Mach-O binaries on Mac OS X.
 +OTOOL=$lt_OTOOL
 +
 +# ldd/readelf like tool for 64 bit Mach-O binaries on Mac OS X 10.4.
 +OTOOL64=$lt_OTOOL64
 +
 +# Old archive suffix (normally "a").
 +libext=$libext
 +
 +# Shared library suffix (normally ".so").
 +shrext_cmds=$lt_shrext_cmds
 +
 +# The commands to extract the exported symbol list from a shared archive.
 +extract_expsyms_cmds=$lt_extract_expsyms_cmds
 +
 +# Variables whose values should be saved in libtool wrapper scripts and
 +# restored at link time.
 +variables_saved_for_relink=$lt_variables_saved_for_relink
 +
 +# Do we need the "lib" prefix for modules?
 +need_lib_prefix=$need_lib_prefix
 +
 +# Do we need a version for libraries?
 +need_version=$need_version
 +
 +# Library versioning type.
 +version_type=$version_type
 +
 +# Shared library runtime path variable.
 +runpath_var=$runpath_var
 +
 +# Shared library path variable.
 +shlibpath_var=$shlibpath_var
 +
 +# Is shlibpath searched before the hard-coded library search path?
 +shlibpath_overrides_runpath=$shlibpath_overrides_runpath
 +
 +# Format of library name prefix.
 +libname_spec=$lt_libname_spec
 +
 +# List of archive names.  First name is the real one, the rest are links.
 +# The last name is the one that the linker finds with -lNAME
 +library_names_spec=$lt_library_names_spec
 +
 +# The coded name of the library, if different from the real name.
 +soname_spec=$lt_soname_spec
 +
 +# Permission mode override for installation of shared libraries.
 +install_override_mode=$lt_install_override_mode
 +
 +# Command to use after installation of a shared archive.
 +postinstall_cmds=$lt_postinstall_cmds
 +
 +# Command to use after uninstallation of a shared archive.
 +postuninstall_cmds=$lt_postuninstall_cmds
 +
 +# Commands used to finish a libtool library installation in a directory.
 +finish_cmds=$lt_finish_cmds
 +
 +# As "finish_cmds", except a single script fragment to be evaled but
 +# not shown.
 +finish_eval=$lt_finish_eval
 +
 +# Whether we should hardcode library paths into libraries.
 +hardcode_into_libs=$hardcode_into_libs
 +
 +# Compile-time system search path for libraries.
 +sys_lib_search_path_spec=$lt_sys_lib_search_path_spec
 +
 +# Run-time system search path for libraries.
 +sys_lib_dlsearch_path_spec=$lt_sys_lib_dlsearch_path_spec
 +
 +# Whether dlopen is supported.
 +dlopen_support=$enable_dlopen
 +
 +# Whether dlopen of programs is supported.
 +dlopen_self=$enable_dlopen_self
 +
 +# Whether dlopen of statically linked programs is supported.
 +dlopen_self_static=$enable_dlopen_self_static
 +
 +# Commands to strip libraries.
 +old_striplib=$lt_old_striplib
 +striplib=$lt_striplib
 +
 +
 +# The linker used to build libraries.
 +LD=$lt_LD
 +
 +# How to create reloadable object files.
 +reload_flag=$lt_reload_flag
 +reload_cmds=$lt_reload_cmds
 +
 +# Commands used to build an old-style archive.
 +old_archive_cmds=$lt_old_archive_cmds
 +
 +# A language specific compiler.
 +CC=$lt_compiler
 +
 +# Is the compiler the GNU compiler?
 +with_gcc=$GCC
 +
 +# Compiler flag to turn off builtin functions.
 +no_builtin_flag=$lt_lt_prog_compiler_no_builtin_flag
 +
 +# Additional compiler flags for building library objects.
 +pic_flag=$lt_lt_prog_compiler_pic
 +
 +# How to pass a linker flag through the compiler.
 +wl=$lt_lt_prog_compiler_wl
 +
 +# Compiler flag to prevent dynamic linking.
 +link_static_flag=$lt_lt_prog_compiler_static
 +
 +# Does compiler simultaneously support -c and -o options?
 +compiler_c_o=$lt_lt_cv_prog_compiler_c_o
 +
 +# Whether or not to add -lc for building shared libraries.
 +build_libtool_need_lc=$archive_cmds_need_lc
 +
 +# Whether or not to disallow shared libs when runtime libs are static.
 +allow_libtool_libs_with_static_runtimes=$enable_shared_with_static_runtimes
 +
 +# Compiler flag to allow reflexive dlopens.
 +export_dynamic_flag_spec=$lt_export_dynamic_flag_spec
 +
 +# Compiler flag to generate shared objects directly from archives.
 +whole_archive_flag_spec=$lt_whole_archive_flag_spec
 +
 +# Whether the compiler copes with passing no objects directly.
 +compiler_needs_object=$lt_compiler_needs_object
 +
 +# Create an old-style archive from a shared archive.
 +old_archive_from_new_cmds=$lt_old_archive_from_new_cmds
 +
 +# Create a temporary old-style archive to link instead of a shared archive.
 +old_archive_from_expsyms_cmds=$lt_old_archive_from_expsyms_cmds
 +
 +# Commands used to build a shared archive.
 +archive_cmds=$lt_archive_cmds
 +archive_expsym_cmds=$lt_archive_expsym_cmds
 +
 +# Commands used to build a loadable module if different from building
 +# a shared archive.
 +module_cmds=$lt_module_cmds
 +module_expsym_cmds=$lt_module_expsym_cmds
 +
 +# Whether we are building with GNU ld or not.
 +with_gnu_ld=$lt_with_gnu_ld
 +
 +# Flag that allows shared libraries with undefined symbols to be built.
 +allow_undefined_flag=$lt_allow_undefined_flag
 +
 +# Flag that enforces no undefined symbols.
 +no_undefined_flag=$lt_no_undefined_flag
 +
 +# Flag to hardcode \$libdir into a binary during linking.
 +# This must work even if \$libdir does not exist
 +hardcode_libdir_flag_spec=$lt_hardcode_libdir_flag_spec
 +
 +# Whether we need a single "-rpath" flag with a separated argument.
 +hardcode_libdir_separator=$lt_hardcode_libdir_separator
 +
 +# Set to "yes" if using DIR/libNAME\${shared_ext} during linking hardcodes
 +# DIR into the resulting binary.
 +hardcode_direct=$hardcode_direct
 +
 +# Set to "yes" if using DIR/libNAME\${shared_ext} during linking hardcodes
 +# DIR into the resulting binary and the resulting library dependency is
 +# "absolute",i.e impossible to change by setting \${shlibpath_var} if the
 +# library is relocated.
 +hardcode_direct_absolute=$hardcode_direct_absolute
 +
 +# Set to "yes" if using the -LDIR flag during linking hardcodes DIR
 +# into the resulting binary.
 +hardcode_minus_L=$hardcode_minus_L
 +
 +# Set to "yes" if using SHLIBPATH_VAR=DIR during linking hardcodes DIR
 +# into the resulting binary.
 +hardcode_shlibpath_var=$hardcode_shlibpath_var
 +
 +# Set to "yes" if building a shared library automatically hardcodes DIR
 +# into the library and all subsequent libraries and executables linked
 +# against it.
 +hardcode_automatic=$hardcode_automatic
 +
 +# Set to yes if linker adds runtime paths of dependent libraries
 +# to runtime path list.
 +inherit_rpath=$inherit_rpath
 +
 +# Whether libtool must link a program against all its dependency libraries.
 +link_all_deplibs=$link_all_deplibs
 +
 +# Set to "yes" if exported symbols are required.
 +always_export_symbols=$always_export_symbols
 +
 +# The commands to list exported symbols.
 +export_symbols_cmds=$lt_export_symbols_cmds
 +
 +# Symbols that should not be listed in the preloaded symbols.
 +exclude_expsyms=$lt_exclude_expsyms
 +
 +# Symbols that must always be exported.
 +include_expsyms=$lt_include_expsyms
 +
 +# Commands necessary for linking programs (against libraries) with templates.
 +prelink_cmds=$lt_prelink_cmds
 +
 +# Commands necessary for finishing linking programs.
 +postlink_cmds=$lt_postlink_cmds
 +
 +# Specify filename containing input files.
 +file_list_spec=$lt_file_list_spec
 +
 +# How to hardcode a shared library path into an executable.
 +hardcode_action=$hardcode_action
 +
 +# ### END LIBTOOL CONFIG
 +
 +_LT_EOF
 +
 +  case $host_os in
 +  aix3*)
 +    cat <<\_LT_EOF >> "$cfgfile"
 +# AIX sometimes has problems with the GCC collect2 program.  For some
 +# reason, if we set the COLLECT_NAMES environment variable, the problems
 +# vanish in a puff of smoke.
 +if test "X${COLLECT_NAMES+set}" != Xset; then
 +  COLLECT_NAMES=
 +  export COLLECT_NAMES
 +fi
 +_LT_EOF
 +    ;;
 +  esac
 +
 +
 +ltmain="$ac_aux_dir/ltmain.sh"
 +
 +
 +  # We use sed instead of cat because bash on DJGPP gets confused if
 +  # if finds mixed CR/LF and LF-only lines.  Since sed operates in
 +  # text mode, it properly converts lines to CR/LF.  This bash problem
 +  # is reportedly fixed, but why not run on old versions too?
 +  sed '$q' "$ltmain" >> "$cfgfile" \
 +     || (rm -f "$cfgfile"; exit 1)
 +
 +  if test x"$xsi_shell" = xyes; then
 +  sed -e '/^func_dirname ()$/,/^} # func_dirname /c\
 +func_dirname ()\
 +{\
 +\    case ${1} in\
 +\      */*) func_dirname_result="${1%/*}${2}" ;;\
 +\      *  ) func_dirname_result="${3}" ;;\
 +\    esac\
 +} # Extended-shell func_dirname implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_basename ()$/,/^} # func_basename /c\
 +func_basename ()\
 +{\
 +\    func_basename_result="${1##*/}"\
 +} # Extended-shell func_basename implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_dirname_and_basename ()$/,/^} # func_dirname_and_basename /c\
 +func_dirname_and_basename ()\
 +{\
 +\    case ${1} in\
 +\      */*) func_dirname_result="${1%/*}${2}" ;;\
 +\      *  ) func_dirname_result="${3}" ;;\
 +\    esac\
 +\    func_basename_result="${1##*/}"\
 +} # Extended-shell func_dirname_and_basename implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_stripname ()$/,/^} # func_stripname /c\
 +func_stripname ()\
 +{\
 +\    # pdksh 5.2.14 does not do ${X%$Y} correctly if both X and Y are\
 +\    # positional parameters, so assign one to ordinary parameter first.\
 +\    func_stripname_result=${3}\
 +\    func_stripname_result=${func_stripname_result#"${1}"}\
 +\    func_stripname_result=${func_stripname_result%"${2}"}\
 +} # Extended-shell func_stripname implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_split_long_opt ()$/,/^} # func_split_long_opt /c\
 +func_split_long_opt ()\
 +{\
 +\    func_split_long_opt_name=${1%%=*}\
 +\    func_split_long_opt_arg=${1#*=}\
 +} # Extended-shell func_split_long_opt implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_split_short_opt ()$/,/^} # func_split_short_opt /c\
 +func_split_short_opt ()\
 +{\
 +\    func_split_short_opt_arg=${1#??}\
 +\    func_split_short_opt_name=${1%"$func_split_short_opt_arg"}\
 +} # Extended-shell func_split_short_opt implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_lo2o ()$/,/^} # func_lo2o /c\
 +func_lo2o ()\
 +{\
 +\    case ${1} in\
 +\      *.lo) func_lo2o_result=${1%.lo}.${objext} ;;\
 +\      *)    func_lo2o_result=${1} ;;\
 +\    esac\
 +} # Extended-shell func_lo2o implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_xform ()$/,/^} # func_xform /c\
 +func_xform ()\
 +{\
 +    func_xform_result=${1%.*}.lo\
 +} # Extended-shell func_xform implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_arith ()$/,/^} # func_arith /c\
 +func_arith ()\
 +{\
 +    func_arith_result=$(( $* ))\
 +} # Extended-shell func_arith implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_len ()$/,/^} # func_len /c\
 +func_len ()\
 +{\
 +    func_len_result=${#1}\
 +} # Extended-shell func_len implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +fi
 +
 +if test x"$lt_shell_append" = xyes; then
 +  sed -e '/^func_append ()$/,/^} # func_append /c\
 +func_append ()\
 +{\
 +    eval "${1}+=\\${2}"\
 +} # Extended-shell func_append implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  sed -e '/^func_append_quoted ()$/,/^} # func_append_quoted /c\
 +func_append_quoted ()\
 +{\
 +\    func_quote_for_eval "${2}"\
 +\    eval "${1}+=\\\\ \\$func_quote_for_eval_result"\
 +} # Extended-shell func_append_quoted implementation' "$cfgfile" > $cfgfile.tmp \
 +  && mv -f "$cfgfile.tmp" "$cfgfile" \
 +    || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +test 0 -eq $? || _lt_function_replace_fail=:
 +
 +
 +  # Save a `func_append' function call where possible by direct use of '+='
 +  sed -e 's%func_append \([a-zA-Z_]\{1,\}\) "%\1+="%g' $cfgfile > $cfgfile.tmp \
 +    && mv -f "$cfgfile.tmp" "$cfgfile" \
 +      || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +  test 0 -eq $? || _lt_function_replace_fail=:
 +else
 +  # Save a `func_append' function call even when '+=' is not available
 +  sed -e 's%func_append \([a-zA-Z_]\{1,\}\) "%\1="$\1%g' $cfgfile > $cfgfile.tmp \
 +    && mv -f "$cfgfile.tmp" "$cfgfile" \
 +      || (rm -f "$cfgfile" && cp "$cfgfile.tmp" "$cfgfile" && rm -f "$cfgfile.tmp")
 +  test 0 -eq $? || _lt_function_replace_fail=:
 +fi
 +
 +if test x"$_lt_function_replace_fail" = x":"; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: Unable to substitute extended shell functions in $ofile" >&5
 +$as_echo "$as_me: WARNING: Unable to substitute extended shell functions in $ofile" >&2;}
 +fi
 +
 +
 +   mv -f "$cfgfile" "$ofile" ||
 +    (rm -f "$ofile" && cp "$cfgfile" "$ofile" && rm -f "$cfgfile")
 +  chmod +x "$ofile"
 +
 + ;;
 +    "disable-rpath":C)
 +      sed < libtool > libtool-2 \
 +      's/^hardcode_libdir_flag_spec.*$'/'hardcode_libdir_flag_spec=" -D__LIBTOOL_RPATH_SED__ "/'
 +      mv libtool-2 libtool
 +      chmod 755 libtool
 +      libtool="./libtool"
 +       ;;
 +
 +  esac
 +done # for ac_tag
 +
 +
 +as_fn_exit 0
 +_ACEOF
 +ac_clean_files=$ac_clean_files_save
 +
 +test $ac_write_fail = 0 ||
 +  as_fn_error $? "write failure creating $CONFIG_STATUS" "$LINENO" 5
 +
 +
 +# configure is writing to config.log, and then calls config.status.
 +# config.status does its own redirection, appending to config.log.
 +# Unfortunately, on DOS this fails, as config.log is still kept open
 +# by configure, so config.status won't be able to write to it; its
 +# output is simply discarded.  So we exec the FD to /dev/null,
 +# effectively closing config.log, so it can be properly (re)opened and
 +# appended to by config.status.  When coming back to configure, we
 +# need to make the FD available again.
 +if test "$no_create" != yes; then
 +  ac_cs_success=:
 +  ac_config_status_args=
 +  test "$silent" = yes &&
 +    ac_config_status_args="$ac_config_status_args --quiet"
 +  exec 5>/dev/null
 +  $SHELL $CONFIG_STATUS $ac_config_status_args || ac_cs_success=false
 +  exec 5>>config.log
 +  # Use ||, not &&, to avoid exiting from the if with $? = 1, which
 +  # would make configure fail if this is the last instruction.
 +  $ac_cs_success || as_fn_exit 1
 +fi
 +if test -n "$ac_unrecognized_opts" && test "$enable_option_checking" != no; then
 +  { $as_echo "$as_me:${as_lineno-$LINENO}: WARNING: unrecognized options: $ac_unrecognized_opts" >&5
 +$as_echo "$as_me: WARNING: unrecognized options: $ac_unrecognized_opts" >&2;}
 +fi
 +
diff --cc contrib/unbound/configure.ac
index ae0525b540b0aa640a2ed725738d74dc6aa4ade4,0000000000000000000000000000000000000000..00145cf76f91bf48aad5fd4a441ce0eae25bc258
mode 100644,000000..100644
--- 1/contrib/unbound/configure.ac
--- /dev/null
+++ b/contrib/unbound/configure.ac
@@@ -1,1359 -1,0 +1,1368 @@@
- m4_define([VERSION_MICRO],[3])
 +#                                               -*- Autoconf -*-
 +# Process this file with autoconf to produce a configure script.
 +AC_PREREQ(2.56)
 +sinclude(acx_nlnetlabs.m4)
 +sinclude(ax_pthread.m4)
 +sinclude(acx_python.m4)
 +sinclude(ac_pkg_swig.m4)
 +sinclude(dnstap/dnstap.m4)
 +
 +# must be numbers. ac_defun because of later processing
 +m4_define([VERSION_MAJOR],[1])
 +m4_define([VERSION_MINOR],[5])
- LIBUNBOUND_REVISION=6
++m4_define([VERSION_MICRO],[4])
 +AC_INIT(unbound, m4_defn([VERSION_MAJOR]).m4_defn([VERSION_MINOR]).m4_defn([VERSION_MICRO]), unbound-bugs@nlnetlabs.nl, unbound)
 +AC_SUBST(UNBOUND_VERSION_MAJOR, [VERSION_MAJOR])
 +AC_SUBST(UNBOUND_VERSION_MINOR, [VERSION_MINOR])
 +AC_SUBST(UNBOUND_VERSION_MICRO, [VERSION_MICRO])
 +
 +LIBUNBOUND_CURRENT=5
-       AC_CHECK_DECLS([strlcpy,strlcat,arc4random,arc4random_uniform])
++LIBUNBOUND_REVISION=7
 +LIBUNBOUND_AGE=3
 +# 1.0.0 had 0:12:0
 +# 1.0.1 had 0:13:0
 +# 1.0.2 had 0:14:0
 +# 1.1.0 had 0:15:0
 +# 1.1.1 had 0:16:0
 +# 1.2.0 had 0:17:0
 +# 1.2.1 had 0:18:0
 +# 1.3.0 had 1:0:0   # ub_cancel and -export-symbols.
 +# 1.3.1 had 1:1:0
 +# 1.3.2 had 1:2:0
 +# 1.3.3 had 1:3:0
 +# 1.3.4 had 1:4:0
 +# 1.4.0-snapshots had 1:5:0
 +# 1.4.0 had 1:5:0 (not 2:0:0)   # ub_result.why_bogus
 +# 1.4.1 had 2:1:0
 +# 1.4.2 had 2:2:0
 +# 1.4.3 had 2:3:0
 +# 1.4.4 had 2:4:0
 +# 1.4.5 had 2:5:0
 +# 1.4.6 had 2:6:0
 +# 1.4.7 had 2:7:0
 +# 1.4.8 had 2:8:0
 +# 1.4.9 had 2:9:0
 +# 1.4.10 had 2:10:0
 +# 1.4.11 had 2:11:0
 +# 1.4.12 had 2:12:0
 +# 1.4.13 had 2:13:0
 +# and 1.4.13p1 and 1.4.13.p2
 +# 1.4.14 had 2:14:0
 +# 1.4.15 had 3:0:1 # adds ub_version()
 +# 1.4.16 had 3:1:1
 +# 1.4.17 had 3:2:1
 +# 1.4.18 had 3:3:1
 +# 1.4.19 had 3:4:1
 +# 1.4.20 had 4:0:2 # adds libunbound.ttl # but shipped 3:5:1
 +# 1.4.21 had 4:1:2
 +# 1.4.22 had 4:1:2
 +# 1.5.0 had 5:3:3 # adds ub_ctx_add_ta_autr
 +# 1.5.1 had 5:3:3
 +# 1.5.2 had 5:5:3
 +# 1.5.3 had 5:6:3
++# 1.5.4 had 5:7:3
 +
 +#   Current  -- the number of the binary API that we're implementing
 +#   Revision -- which iteration of the implementation of the binary
 +#               API are we supplying?
 +#   Age      -- How many previous binary API versions do we also
 +#               support?
 +#
 +# If we release a new version that does not change the binary API,
 +# increment Revision.
 +#
 +# If we release a new version that changes the binary API, but does
 +# not break programs compiled against the old binary API, increment
 +# Current and Age.  Set Revision to 0, since this is the first
 +# implementation of the new API.
 +#
 +# Otherwise, we're changing the binary API and breaking bakward
 +# compatibility with old binaries.  Increment Current.  Set Age to 0,
 +# since we're backward compatible with no previous APIs.  Set Revision
 +# to 0 too.
 +AC_SUBST(LIBUNBOUND_CURRENT)
 +AC_SUBST(LIBUNBOUND_REVISION)
 +AC_SUBST(LIBUNBOUND_AGE)
 +
 +CFLAGS="$CFLAGS"
 +AC_AIX
 +if test "$ac_cv_header_minix_config_h" = "yes"; then
 +      AC_DEFINE(_NETBSD_SOURCE,1, [Enable for compile on Minix])
 +fi
 +
 +dnl
 +dnl By default set prefix to /usr/local
 +dnl
 +case "$prefix" in
 +        NONE)
 +              prefix="/usr/local"
 +        ;;
 +esac
 +
 +# are we on MinGW?
 +if uname -s 2>&1 | grep MINGW32 >/dev/null; then on_mingw="yes"
 +else 
 +      if echo $target | grep mingw32 >/dev/null; then on_mingw="yes"
 +      else on_mingw="no"; fi
 +fi
 +
 +#
 +# Determine configuration file
 +# the eval is to evaluate shell expansion twice
 +if test $on_mingw = "no"; then
 +  ub_conf_file=`eval echo "${sysconfdir}/unbound/unbound.conf"`
 +else
 +  ub_conf_file="C:\\Program Files\\Unbound\\service.conf"
 +fi
 +AC_ARG_WITH([conf_file],
 +        AC_HELP_STRING([--with-conf-file=path], 
 +      [Pathname to the Unbound configuration file]),
 +      [ub_conf_file="$withval"])
 +AC_SUBST(ub_conf_file)
 +ACX_ESCAPE_BACKSLASH($ub_conf_file, hdr_config)
 +AC_DEFINE_UNQUOTED(CONFIGFILE, ["$hdr_config"], [Pathname to the Unbound configuration file])
 +ub_conf_dir=`AS_DIRNAME(["$ub_conf_file"])`
 +AC_SUBST(ub_conf_dir)
 +
 +# Determine run, chroot directory and pidfile locations
 +AC_ARG_WITH(run-dir, 
 +    AC_HELP_STRING([--with-run-dir=path], 
 +    [set default directory to chdir to (by default dir part of cfg file)]), 
 +    UNBOUND_RUN_DIR="$withval", 
 +if test $on_mingw = no; then
 +    UNBOUND_RUN_DIR=`dirname "$ub_conf_file"`
 +else
 +    UNBOUND_RUN_DIR=""
 +fi
 +)
 +AC_SUBST(UNBOUND_RUN_DIR)
 +ACX_ESCAPE_BACKSLASH($UNBOUND_RUN_DIR, hdr_run)
 +AC_DEFINE_UNQUOTED(RUN_DIR, ["$hdr_run"], [Directory to chdir to])
 +
 +AC_ARG_WITH(chroot-dir, 
 +    AC_HELP_STRING([--with-chroot-dir=path], 
 +    [set default directory to chroot to (by default same as run-dir)]), 
 +    UNBOUND_CHROOT_DIR="$withval", 
 +if test $on_mingw = no; then
 +    UNBOUND_CHROOT_DIR="$UNBOUND_RUN_DIR"
 +else
 +    UNBOUND_CHROOT_DIR=""
 +fi
 +)
 +AC_SUBST(UNBOUND_CHROOT_DIR)
 +ACX_ESCAPE_BACKSLASH($UNBOUND_CHROOT_DIR, hdr_chroot)
 +AC_DEFINE_UNQUOTED(CHROOT_DIR, ["$hdr_chroot"], [Directory to chroot to])
 +
 +AC_ARG_WITH(share-dir,
 +    AC_HELP_STRING([--with-share-dir=path],
 +    [set default directory with shared data (by default same as share/unbound)]),
 +    UNBOUND_SHARE_DIR="$withval",
 +    UNBOUND_SHARE_DIR="$UNBOUND_RUN_DIR")
 +AC_SUBST(UNBOUND_SHARE_DIR)
 +AC_DEFINE_UNQUOTED(SHARE_DIR, ["$UNBOUND_SHARE_DIR"], [Shared data])
 +
 +AC_ARG_WITH(pidfile, 
 +    AC_HELP_STRING([--with-pidfile=filename], 
 +    [set default pathname to unbound pidfile (default run-dir/unbound.pid)]), 
 +    UNBOUND_PIDFILE="$withval", 
 +if test $on_mingw = no; then
 +    UNBOUND_PIDFILE="$UNBOUND_RUN_DIR/unbound.pid"
 +else
 +    UNBOUND_PIDFILE=""
 +fi
 +)
 +AC_SUBST(UNBOUND_PIDFILE)
 +ACX_ESCAPE_BACKSLASH($UNBOUND_PIDFILE, hdr_pid)
 +AC_DEFINE_UNQUOTED(PIDFILE, ["$hdr_pid"], [default pidfile location])
 +
 +AC_ARG_WITH(rootkey-file, 
 +    AC_HELP_STRING([--with-rootkey-file=filename], 
 +    [set default pathname to root key file (default run-dir/root.key). This file is read and written.]), 
 +    UNBOUND_ROOTKEY_FILE="$withval", 
 +if test $on_mingw = no; then
 +    UNBOUND_ROOTKEY_FILE="$UNBOUND_RUN_DIR/root.key"
 +else
 +    UNBOUND_ROOTKEY_FILE="C:\\Program Files\\Unbound\\root.key"
 +fi
 +)
 +AC_SUBST(UNBOUND_ROOTKEY_FILE)
 +ACX_ESCAPE_BACKSLASH($UNBOUND_ROOTKEY_FILE, hdr_rkey)
 +AC_DEFINE_UNQUOTED(ROOT_ANCHOR_FILE, ["$hdr_rkey"], [default rootkey location])
 +
 +AC_ARG_WITH(rootcert-file, 
 +    AC_HELP_STRING([--with-rootcert-file=filename], 
 +    [set default pathname to root update certificate file (default run-dir/icannbundle.pem).  This file need not exist if you are content with the builtin.]), 
 +    UNBOUND_ROOTCERT_FILE="$withval", 
 +if test $on_mingw = no; then
 +    UNBOUND_ROOTCERT_FILE="$UNBOUND_RUN_DIR/icannbundle.pem"
 +else
 +    UNBOUND_ROOTCERT_FILE="C:\\Program Files\\Unbound\\icannbundle.pem"
 +fi
 +)
 +AC_SUBST(UNBOUND_ROOTCERT_FILE)
 +ACX_ESCAPE_BACKSLASH($UNBOUND_ROOTCERT_FILE, hdr_rpem)
 +AC_DEFINE_UNQUOTED(ROOT_CERT_FILE, ["$hdr_rpem"], [default rootcert location])
 +
 +AC_ARG_WITH(username, 
 +    AC_HELP_STRING([--with-username=user], 
 +    [set default user that unbound changes to (default user is unbound)]), 
 +    UNBOUND_USERNAME="$withval", 
 +    UNBOUND_USERNAME="unbound")
 +AC_SUBST(UNBOUND_USERNAME)
 +AC_DEFINE_UNQUOTED(UB_USERNAME, ["$UNBOUND_USERNAME"], [default username])
 +
 +AC_DEFINE(WINVER, 0x0502, [the version of the windows API enabled])
 +ACX_RSRC_VERSION(wnvs)
 +AC_DEFINE_UNQUOTED(RSRC_PACKAGE_VERSION, [$wnvs], [version number for resource files])
 +
 +# Checks for typedefs, structures, and compiler characteristics.
 +AC_C_CONST
 +AC_LANG_C
 +# allow user to override the -g -O2 flags.
 +if test "x$CFLAGS" = "x" ; then
 +ACX_CHECK_COMPILER_FLAG(g, [CFLAGS="$CFLAGS -g"])
 +ACX_CHECK_COMPILER_FLAG(O2, [CFLAGS="$CFLAGS -O2"])
 +fi
 +AC_PROG_CC
 +ACX_DEPFLAG
 +ACX_DETERMINE_EXT_FLAGS_UNBOUND
 +
 +# debug mode flags warnings
 +AC_ARG_ENABLE(checking, AC_HELP_STRING([--enable-checking], [Enable warnings, asserts, makefile-dependencies]))
 +AC_ARG_ENABLE(debug, AC_HELP_STRING([--enable-debug], [same as enable-checking]))
 +if test "$enable_debug" = "yes"; then debug_enabled="$enable_debug"; 
 +else debug_enabled="$enable_checking"; fi
 +AC_SUBST(debug_enabled)
 +case "$debug_enabled" in
 +        yes)
 +              ACX_CHECK_COMPILER_FLAG(W, [CFLAGS="$CFLAGS -W"])
 +              ACX_CHECK_COMPILER_FLAG(Wall, [CFLAGS="$CFLAGS -Wall"])
 +              ACX_CHECK_COMPILER_FLAG(Wextra, [CFLAGS="$CFLAGS -Wextra"])
 +              ACX_CHECK_COMPILER_FLAG(Wdeclaration-after-statement, [CFLAGS="$CFLAGS -Wdeclaration-after-statement"])
 +              AC_DEFINE([UNBOUND_DEBUG], [], [define this to enable debug checks.])
 +              ;;
 +      no|*)
 +              # nothing to do.
 +              ;;
 +esac
 +ACX_CHECK_FLTO
 +
 +AC_C_INLINE
 +ACX_CHECK_FORMAT_ATTRIBUTE
 +ACX_CHECK_UNUSED_ATTRIBUTE
 +
 +if test "$srcdir" != "."; then
 +      CPPFLAGS="$CPPFLAGS -I$srcdir"
 +fi
 +
 +AC_DEFUN([ACX_YYLEX_DESTROY], [
 +      AC_MSG_CHECKING([for yylex_destroy])
 +      if echo %% | $LEX -t 2>&1 | grep yylex_destroy >/dev/null 2>&1; then
 +              AC_DEFINE(LEX_HAS_YYLEX_DESTROY, 1, [if lex has yylex_destroy])
 +              AC_MSG_RESULT(yes)
 +      else AC_MSG_RESULT(no); fi
 +])
 +
 +AC_PROG_LEX
 +ACX_YYLEX_DESTROY
 +AC_PROG_YACC
 +AC_CHECK_PROG(doxygen, doxygen, doxygen)
 +AC_CHECK_TOOL(STRIP, strip)
 +ACX_LIBTOOL_C_ONLY
 +
 +# Checks for header files.
 +AC_CHECK_HEADERS([stdarg.h stdbool.h netinet/in.h sys/param.h sys/socket.h sys/un.h sys/uio.h sys/resource.h arpa/inet.h syslog.h netdb.h sys/wait.h pwd.h glob.h grp.h login_cap.h winsock2.h ws2tcpip.h endian.h],,, [AC_INCLUDES_DEFAULT])
 +
 +# check for types.  
 +# Using own tests for int64* because autoconf builtin only give 32bit.
 +AC_CHECK_TYPE(int8_t, signed char)
 +AC_CHECK_TYPE(int16_t, short)
 +AC_CHECK_TYPE(int32_t, int)
 +AC_CHECK_TYPE(int64_t, long long)
 +AC_CHECK_TYPE(uint8_t, unsigned char)
 +AC_CHECK_TYPE(uint16_t, unsigned short)
 +AC_CHECK_TYPE(uint32_t, unsigned int)
 +AC_CHECK_TYPE(uint64_t, unsigned long long)
 +AC_TYPE_SIZE_T
 +AC_CHECK_TYPE(ssize_t, int)
 +AC_TYPE_UID_T
 +AC_TYPE_PID_T
 +AC_TYPE_OFF_T
 +ACX_TYPE_U_CHAR
 +ACX_TYPE_RLIM_T
 +ACX_TYPE_SOCKLEN_T
 +ACX_TYPE_IN_ADDR_T
 +ACX_TYPE_IN_PORT_T
 +ACX_CHECK_MEMCMP_SIGNED
 +
 +AC_CHECK_SIZEOF(time_t,,[
 +AC_INCLUDES_DEFAULT
 +#ifdef TIME_WITH_SYS_TIME
 +# include <sys/time.h>
 +# include <time.h>
 +#else
 +# ifdef HAVE_SYS_TIME_H
 +#  include <sys/time.h>
 +# else
 +#  include <time.h>
 +# endif
 +#endif
 +])
 +
 +# add option to disable the evil rpath
 +ACX_ARG_RPATH
 +AC_SUBST(RUNTIME_PATH)
 +
 +# check to see if libraries are needed for these functions.
 +AC_SEARCH_LIBS([inet_pton], [nsl])
 +AC_SEARCH_LIBS([socket], [socket])
 +
 +# check wether strptime also works
 +AC_DEFUN([AC_CHECK_STRPTIME_WORKS],
 +[AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING(whether strptime works)
 +if test c${cross_compiling} = cno; then
 +AC_RUN_IFELSE([AC_LANG_SOURCE([[
 +#define _XOPEN_SOURCE 600
 +#include <time.h>
 +int main(void) { struct tm tm; char *res;
 +res = strptime("2010-07-15T00:00:00+00:00", "%t%Y%t-%t%m%t-%t%d%tT%t%H%t:%t%M%t:%t%S%t", &tm);
 +if (!res) return 2;
 +res = strptime("20070207111842", "%Y%m%d%H%M%S", &tm);
 +if (!res) return 1; return 0; }
 +]])] , [eval "ac_cv_c_strptime_works=yes"], [eval "ac_cv_c_strptime_works=no"])
 +else
 +eval "ac_cv_c_strptime_works=maybe"
 +fi
 +AC_MSG_RESULT($ac_cv_c_strptime_works)
 +if test $ac_cv_c_strptime_works = no; then
 +AC_LIBOBJ(strptime)
 +else
 +AC_DEFINE_UNQUOTED([STRPTIME_WORKS], 1, [use default strptime.])
 +fi
 +])dnl
 +
 +# check some functions of the OS before linking libs (while still runnable).
 +AC_FUNC_CHOWN
 +AC_FUNC_FORK
 +AC_TYPE_SIGNAL
 +AC_FUNC_FSEEKO
 +ACX_SYS_LARGEFILE
 +ACX_CHECK_NONBLOCKING_BROKEN
 +ACX_MKDIR_ONE_ARG
 +AC_CHECK_FUNCS([strptime],[AC_CHECK_STRPTIME_WORKS],[AC_LIBOBJ([strptime])])
 +
 +# set memory allocation checking if requested
 +AC_ARG_ENABLE(alloc-checks, AC_HELP_STRING([--enable-alloc-checks],
 +      [ enable to memory allocation statistics, for debug purposes ]), 
 +      , )
 +AC_ARG_ENABLE(alloc-lite, AC_HELP_STRING([--enable-alloc-lite],
 +      [ enable for lightweight alloc assertions, for debug purposes ]), 
 +      , )
 +AC_ARG_ENABLE(alloc-nonregional, AC_HELP_STRING([--enable-alloc-nonregional],
 +      [ enable nonregional allocs, slow but exposes regional allocations to other memory purifiers, for debug purposes ]), 
 +      , )
 +if test x_$enable_alloc_nonregional = x_yes; then
 +      AC_DEFINE(UNBOUND_ALLOC_NONREGIONAL, 1, [use malloc not regions, for debug use])
 +fi
 +if test x_$enable_alloc_checks = x_yes; then
 +      AC_DEFINE(UNBOUND_ALLOC_STATS, 1, [use statistics for allocs and frees, for debug use])
 +else
 +      if test x_$enable_alloc_lite = x_yes; then
 +              AC_DEFINE(UNBOUND_ALLOC_LITE, 1, [use to enable lightweight alloc assertions, for debug use])
 +      else
 +              ACX_FUNC_MALLOC([unbound])
 +      fi
 +fi
 +
 +# check windows threads (we use them, not pthreads, on windows).
 +if test "$on_mingw" = "yes"; then
 +# check windows threads
 +      AC_CHECK_HEADERS([windows.h],,, [AC_INCLUDES_DEFAULT])
 +      AC_MSG_CHECKING([for CreateThread])
 +      AC_COMPILE_IFELSE([AC_LANG_PROGRAM([
 +#ifdef HAVE_WINDOWS_H
 +#include <windows.h>
 +#endif
 +], [
 +      HANDLE t = CreateThread(NULL, 0, NULL, NULL, 0, NULL);
 +])],
 +      AC_MSG_RESULT(yes)
 +      AC_DEFINE(HAVE_WINDOWS_THREADS, 1, [Using Windows threads])
 +,     
 +      AC_MSG_RESULT(no)
 +)
 +
 +else
 +# not on mingw, check thread libraries.
 +
 +# check for thread library.
 +# check this first, so that the pthread lib does not get linked in via
 +# libssl or libpython, and thus distorts the tests, and we end up using
 +# the non-threadsafe C libraries.
 +AC_ARG_WITH(pthreads, AC_HELP_STRING([--with-pthreads], 
 + [use pthreads library, or --without-pthreads to disable threading support.]), 
 + [ ],[ withval="yes" ])
 +ub_have_pthreads=no
 +if test x_$withval != x_no; then
 +      AX_PTHREAD([
 +              AC_DEFINE(HAVE_PTHREAD,1,[Define if you have POSIX threads libraries and header files.])
 +              LIBS="$PTHREAD_LIBS $LIBS"
 +              CFLAGS="$CFLAGS $PTHREAD_CFLAGS"
 +              CC="$PTHREAD_CC"
 +              ub_have_pthreads=yes
 +              AC_CHECK_TYPES([pthread_spinlock_t, pthread_rwlock_t],,,[#include <pthread.h>])
 +              ])
 +fi
 +
 +# check solaris thread library 
 +AC_ARG_WITH(solaris-threads, AC_HELP_STRING([--with-solaris-threads], 
 +      [use solaris native thread library.]), [ ],[ withval="no" ])
 +ub_have_sol_threads=no
 +if test x_$withval != x_no; then
 +      if test x_$ub_have_pthreads != x_no; then
 +          AC_WARN([Have pthreads already, ignoring --with-solaris-threads])
 +      else
 +      AC_SEARCH_LIBS(thr_create, [thread],
 +      [
 +              AC_DEFINE(HAVE_SOLARIS_THREADS, 1, [Using Solaris threads])
 +
 +              ACX_CHECK_COMPILER_FLAG(mt, [CFLAGS="$CFLAGS -mt"],
 +                      [CFLAGS="$CFLAGS -D_REENTRANT"])
 +              ub_have_sol_threads=yes
 +      ] , [ 
 +              AC_ERROR([no solaris threads found.]) 
 +      ])
 +      fi
 +fi
 +
 +fi # end of non-mingw check of thread libraries
 +
 +# Check for PyUnbound
 +AC_ARG_WITH(pyunbound,
 +   AC_HELP_STRING([--with-pyunbound],
 +   [build PyUnbound, or --without-pyunbound to skip it. (default=no)]),
 +   [], [ withval="no" ])
 +
 +ub_test_python=no
 +ub_with_pyunbound=no
 +if test x_$withval != x_no; then
 +   ub_with_pyunbound=yes
 +   ub_test_python=yes
 +fi
 +
 +# Check for Python module
 +AC_ARG_WITH(pythonmodule,
 +   AC_HELP_STRING([--with-pythonmodule],
 +   [build Python module, or --without-pythonmodule to disable script engine. (default=no)]),
 +   [], [ withval="no" ])
 +
 +ub_with_pythonmod=no
 +if test x_$withval != x_no; then
 +   ub_with_pythonmod=yes
 +   ub_test_python=yes
 +fi
 +
 +# Check for Python & SWIG only on PyUnbound or PyModule
 +if test x_$ub_test_python != x_no; then
 +
 +   # Check for Python
 +   ub_have_python=no
 +   ac_save_LIBS="$LIBS" dnl otherwise AC_PYTHON_DEVEL thrashes $LIBS
 +   AC_PYTHON_DEVEL
 +   if test ! -z "$PYTHON_VERSION"; then
 +      if test `$PYTHON -c "print('$PYTHON_VERSION' >= '2.4.0')"` = "False"; then
 +              AC_ERROR([Python version >= 2.4.0 is required])
 +      fi
 +
++      PY_MAJOR_VERSION="`$PYTHON -c "import sys; print(sys.version_info.major)"`"
++      AC_SUBST(PY_MAJOR_VERSION)
 +      # Have Python
 +      AC_DEFINE(HAVE_PYTHON,1,[Define if you have Python libraries and header files.])
 +      LIBS="$PYTHON_LDFLAGS $LIBS"
 +      CPPFLAGS="$CPPFLAGS $PYTHON_CPPFLAGS"
 +      ub_have_python=yes
 +
 +      # Check for SWIG
 +      ub_have_swig=no
 +      AC_PROG_SWIG
 +      AC_MSG_CHECKING(SWIG)
 +      if test ! -x "$SWIG"; then
 +         AC_ERROR([failed to find swig tool, install it, or do not build Python module and PyUnbound])
 +      else
 +         AC_DEFINE(HAVE_SWIG, 1, [Define if you have Swig libraries and header files.])
 +         AC_SUBST(swig, "$SWIG")
 +         AC_MSG_RESULT(present)
 +
 +         # If have Python & SWIG
 +         # Declare PythonMod
 +         if test x_$ub_with_pythonmod != x_no; then
 +            AC_DEFINE(WITH_PYTHONMODULE, 1, [Define if you want Python module.])
 +            WITH_PYTHONMODULE=yes
 +            AC_SUBST(WITH_PYTHONMODULE)
 +          PYTHONMOD_OBJ="pythonmod.lo pythonmod_utils.lo"
 +          AC_SUBST(PYTHONMOD_OBJ)
 +          PYTHONMOD_HEADER='$(srcdir)/pythonmod/pythonmod.h'
 +          AC_SUBST(PYTHONMOD_HEADER)
 +          PYTHONMOD_INSTALL=pythonmod-install
 +          AC_SUBST(PYTHONMOD_INSTALL)
 +          PYTHONMOD_UNINSTALL=pythonmod-uninstall
 +          AC_SUBST(PYTHONMOD_UNINSTALL)
 +         fi
 +
 +         # Declare PyUnbound
 +         if test x_$ub_with_pyunbound != x_no; then
 +            AC_DEFINE(WITH_PYUNBOUND, 1, [Define if you want PyUnbound.])
 +            WITH_PYUNBOUND=yes
 +            AC_SUBST(WITH_PYUNBOUND)
 +          PYUNBOUND_OBJ="libunbound_wrap.lo"
 +          AC_SUBST(PYUNBOUND_OBJ)
 +          PYUNBOUND_TARGET="_unbound.la"
 +          AC_SUBST(PYUNBOUND_TARGET)
 +          PYUNBOUND_INSTALL=pyunbound-install
 +          AC_SUBST(PYUNBOUND_INSTALL)
 +          PYUNBOUND_UNINSTALL=pyunbound-uninstall
 +          AC_SUBST(PYUNBOUND_UNINSTALL)
 +         fi
 +      fi
 +   else
 +      AC_MSG_RESULT([*** Python libraries not found, won't build PythonMod or PyUnbound ***])
 +      ub_with_pyunbound=no
 +      ub_with_pythonmod=no
 +   fi
 +fi
 +
 +if test "`uname`" = "NetBSD"; then
 +      NETBSD_LINTFLAGS='"-D__RENAME(x)=" -D_NETINET_IN_H_'
 +      AC_SUBST(NETBSD_LINTFLAGS)
 +fi
 +CONFIG_DATE=`date +%Y%m%d`
 +AC_SUBST(CONFIG_DATE)
 +
 +# Checks for libraries.
 +
 +# libnss
 +USE_NSS="no"
 +AC_ARG_WITH([nss], AC_HELP_STRING([--with-nss=path],
 +      [use libnss instead of openssl, installed at path.]),
 +      [
 +      USE_NSS="yes"
 +      AC_DEFINE(HAVE_NSS, 1, [Use libnss for crypto])
 +      if test "$withval" != "" -a "$withval" != "yes"; then
 +              CPPFLAGS="$CPPFLAGS -I$withval/include/nss3"
 +              LDFLAGS="$LDFLAGS -L$withval/lib"
 +              ACX_RUNTIME_PATH_ADD([$withval/lib])
 +              CPPFLAGS="-I$withval/include/nspr4 $CPPFLAGS"
 +      else
 +              CPPFLAGS="$CPPFLAGS -I/usr/include/nss3"
 +              CPPFLAGS="-I/usr/include/nspr4 $CPPFLAGS"
 +      fi
 +        LIBS="$LIBS -lnss3 -lnspr4"
 +      ]
 +)
 +
 +# openssl
 +if test $USE_NSS = "no"; then
 +ACX_WITH_SSL
 +ACX_LIB_SSL
 +AC_MSG_CHECKING([for LibreSSL])
 +if grep OPENSSL_VERSION_TEXT $ssldir/include/openssl/opensslv.h | grep "LibreSSL" >/dev/null; then
 +      AC_MSG_RESULT([yes])
 +      AC_DEFINE([HAVE_LIBRESSL], [1], [Define if we have LibreSSL])
 +      # libressl provides these compat functions, but they may also be
 +      # declared by the OS in libc.  See if they have been declared.
++      AC_CHECK_DECLS([strlcpy,strlcat,arc4random,arc4random_uniform,reallocarray])
 +else
 +      AC_MSG_RESULT([no])
 +fi
 +AC_CHECK_HEADERS([openssl/conf.h],,, [AC_INCLUDES_DEFAULT])
 +AC_CHECK_HEADERS([openssl/engine.h],,, [AC_INCLUDES_DEFAULT])
 +AC_CHECK_FUNCS([OPENSSL_config EVP_sha1 EVP_sha256 EVP_sha512 FIPS_mode])
 +AC_CHECK_DECLS([SSL_COMP_get_compression_methods,sk_SSL_COMP_pop_free], [], [], [
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +#include <openssl/ssl.h>
 +#include <openssl/evp.h>
 +])
 +fi
 +
 +
 +AC_ARG_ENABLE(sha2, AC_HELP_STRING([--disable-sha2], [Disable SHA256 and SHA512 RRSIG support]))
 +case "$enable_sha2" in
 +      no)
 +      ;;
 +      yes|*)
 +      AC_DEFINE([USE_SHA2], [1], [Define this to enable SHA256 and SHA512 support.])
 +      ;;
 +esac
 +
 +# check wether gost also works
 +AC_DEFUN([AC_CHECK_GOST_WORKS],
 +[AC_REQUIRE([AC_PROG_CC])
 +AC_MSG_CHECKING([if GOST works])
 +if test c${cross_compiling} = cno; then
 +BAKCFLAGS="$CFLAGS"
 +if test -n "$ssldir"; then
 +      CFLAGS="$CFLAGS -Wl,-rpath,$ssldir/lib"
 +fi
 +AC_RUN_IFELSE([AC_LANG_SOURCE([[
 +#include <string.h>
 +#include <openssl/ssl.h>
 +#include <openssl/evp.h>
 +#include <openssl/engine.h>
 +#include <openssl/conf.h>
 +/* routine to load gost (from sldns) */
 +int load_gost_id(void)
 +{
 +      static int gost_id = 0;
 +      const EVP_PKEY_ASN1_METHOD* meth;
 +      ENGINE* e;
 +
 +      if(gost_id) return gost_id;
 +
 +      /* see if configuration loaded gost implementation from other engine*/
 +      meth = EVP_PKEY_asn1_find_str(NULL, "gost2001", -1);
 +      if(meth) {
 +              EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
 +              return gost_id;
 +      }
 +
 +      /* see if engine can be loaded already */
 +      e = ENGINE_by_id("gost");
 +      if(!e) {
 +              /* load it ourself, in case statically linked */
 +              ENGINE_load_builtin_engines();
 +              ENGINE_load_dynamic();
 +              e = ENGINE_by_id("gost");
 +      }
 +      if(!e) {
 +              /* no gost engine in openssl */
 +              return 0;
 +      }
 +      if(!ENGINE_set_default(e, ENGINE_METHOD_ALL)) {
 +              ENGINE_finish(e);
 +              ENGINE_free(e);
 +              return 0;
 +      }
 +
 +      meth = EVP_PKEY_asn1_find_str(&e, "gost2001", -1);
 +      if(!meth) {
 +              /* algo not found */
 +              ENGINE_finish(e);
 +              ENGINE_free(e);
 +              return 0;
 +      }
 +      EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
 +      return gost_id;
 +}
 +int main(void) { 
 +      EVP_MD_CTX* ctx;
 +      const EVP_MD* md;
 +      unsigned char digest[64]; /* its a 256-bit digest, so uses 32 bytes */
 +      const char* str = "Hello world";
 +      const unsigned char check[] = {
 +              0x40 , 0xed , 0xf8 , 0x56 , 0x5a , 0xc5 , 0x36 , 0xe1 ,
 +              0x33 , 0x7c , 0x7e , 0x87 , 0x62 , 0x1c , 0x42 , 0xe0 ,
 +              0x17 , 0x1b , 0x5e , 0xce , 0xa8 , 0x46 , 0x65 , 0x4d ,
 +              0x8d , 0x3e , 0x22 , 0x9b , 0xe1 , 0x30 , 0x19 , 0x9d
 +      };
 +      OPENSSL_config(NULL);
 +      (void)load_gost_id();
 +      md = EVP_get_digestbyname("md_gost94");
 +      if(!md) return 1;
 +      memset(digest, 0, sizeof(digest));
 +      ctx = EVP_MD_CTX_create();
 +      if(!ctx) return 2;
 +      if(!EVP_DigestInit_ex(ctx, md, NULL)) return 3;
 +      if(!EVP_DigestUpdate(ctx, str, 10)) return 4;
 +      if(!EVP_DigestFinal_ex(ctx, digest, NULL)) return 5;
 +      /* uncomment to see the hash calculated.
 +              {int i;
 +              for(i=0; i<32; i++)
 +                      printf(" %2.2x", (int)digest[i]);
 +              printf("\n");}
 +      */
 +      if(memcmp(digest, check, sizeof(check)) != 0)
 +              return 6;
 +      return 0;
 +}
 +]])] , [eval "ac_cv_c_gost_works=yes"], [eval "ac_cv_c_gost_works=no"])
 +CFLAGS="$BAKCFLAGS"
 +else
 +eval "ac_cv_c_gost_works=maybe"
 +fi
 +AC_MSG_RESULT($ac_cv_c_gost_works)
 +])dnl
 +
 +AC_ARG_ENABLE(gost, AC_HELP_STRING([--disable-gost], [Disable GOST support]))
 +use_gost="no"
 +if test $USE_NSS = "no"; then
 +case "$enable_gost" in
 +      no)
 +      ;;
 +      *)
 +      AC_CHECK_FUNC(EVP_PKEY_set_type_str, [:],[AC_MSG_ERROR([OpenSSL 1.0.0 is needed for GOST support])])
 +      AC_CHECK_FUNC(EC_KEY_new, [], [AC_MSG_ERROR([OpenSSL does not support ECC, needed for GOST support])])
 +      AC_CHECK_GOST_WORKS
 +      if test "$ac_cv_c_gost_works" != no; then
 +              use_gost="yes"
 +              AC_DEFINE([USE_GOST], [1], [Define this to enable GOST support.])
 +      fi
 +      ;;
 +esac
 +fi dnl !USE_NSS
 +
 +AC_ARG_ENABLE(ecdsa, AC_HELP_STRING([--disable-ecdsa], [Disable ECDSA support]))
 +use_ecdsa="no"
 +case "$enable_ecdsa" in
 +    no)
 +      ;;
 +    *)
 +      if test $USE_NSS = "no"; then
 +            AC_CHECK_FUNC(ECDSA_sign, [], [AC_MSG_ERROR([OpenSSL does not support ECDSA: please upgrade or rerun with --disable-ecdsa])])
 +            AC_CHECK_FUNC(SHA384_Init, [], [AC_MSG_ERROR([OpenSSL does not support SHA384: please upgrade or rerun with --disable-ecdsa])])
 +            AC_CHECK_DECLS([NID_X9_62_prime256v1, NID_secp384r1], [], [AC_MSG_ERROR([OpenSSL does not support the ECDSA curves: please upgrade or rerun with --disable-ecdsa])], [AC_INCLUDES_DEFAULT
 +#include <openssl/evp.h>
 +            ])
 +            # see if OPENSSL 1.0.0 or later (has EVP MD and Verify independency)
 +            AC_MSG_CHECKING([if openssl supports SHA2 and ECDSA with EVP])
 +            if grep OPENSSL_VERSION_TEXT $ssldir/include/openssl/opensslv.h | grep "OpenSSL" >/dev/null; then
 +              if grep OPENSSL_VERSION_NUMBER $ssldir/include/openssl/opensslv.h | grep 0x0 >/dev/null; then
 +                AC_MSG_RESULT([no])
 +                AC_DEFINE_UNQUOTED([USE_ECDSA_EVP_WORKAROUND], [1], [Define this to enable an EVP workaround for older openssl])
 +              else
 +                AC_MSG_RESULT([yes])
 +              fi
 +            else
 +              # not OpenSSL, thus likely LibreSSL, which supports it
 +              AC_MSG_RESULT([yes])
 +            fi
 +      fi
 +      # we now know we have ECDSA and the required curves.
 +      AC_DEFINE_UNQUOTED([USE_ECDSA], [1], [Define this to enable ECDSA support.])
 +      use_ecdsa="yes"
 +      ;;
 +esac
 +
 +AC_ARG_ENABLE(event-api, AC_HELP_STRING([--enable-event-api], [Enable (experimental) libevent-based libunbound API installed to unbound-event.h]))
 +use_unbound_event="no"
 +case "$enable_event_api" in
 +    yes)
 +      use_unbound_event="yes"
 +      ;;
 +    *)
 +      ;;
 +esac
 +
 +# check for libevent
 +AC_ARG_WITH(libevent, AC_HELP_STRING([--with-libevent=pathname],
 +    [use libevent (will check /usr/local /opt/local /usr/lib /usr/pkg /usr/sfw /usr  or you can specify an explicit path). Slower, but allows use of large outgoing port ranges.]),
 +    [ ],[ withval="no" ])
 +if test x_$withval = x_yes -o x_$withval != x_no; then
 +        AC_MSG_CHECKING(for libevent)
 +        if test x_$withval = x_ -o x_$withval = x_yes; then
 +            withval="/usr/local /opt/local /usr/lib /usr/pkg /usr/sfw /usr"
 +        fi
 +        for dir in $withval; do
 +            thedir="$dir"
 +            if test -f "$dir/include/event.h" -o -f "$dir/include/event2/event.h"; then
 +                found_libevent="yes"
 +              dnl assume /usr is in default path.
 +              if test "$thedir" != "/usr"; then
 +                    CPPFLAGS="$CPPFLAGS -I$thedir/include"
 +              fi
 +                break;
 +            fi
 +        done
 +        if test x_$found_libevent != x_yes; then
 +              if test -f "$dir/event.h" -a \( -f "$dir/libevent.la" -o -f "$dir/libev.la" \) ; then
 +                      # libevent source directory
 +                      AC_MSG_RESULT(found in $thedir)
 +                      CPPFLAGS="$CPPFLAGS -I$thedir -I$thedir/include"
 +                      BAK_LDFLAGS_SET="1"
 +                      BAK_LDFLAGS="$LDFLAGS"
 +                      # remove evdns from linking
 +                      mkdir build >/dev/null 2>&1
 +                      mkdir build/libevent >/dev/null 2>&1
 +                      mkdir build/libevent/.libs >/dev/null 2>&1
 +                      ev_files_o=`ls $thedir/*.o | grep -v evdns\.o | grep -v bufferevent_openssl\.o`
 +                      ev_files_lo=`ls $thedir/*.lo | grep -v evdns\.lo | grep -v bufferevent_openssl\.lo`
 +                      ev_files_libso=`ls $thedir/.libs/*.o | grep -v evdns\.o | grep -v bufferevent_openssl\.o`
 +                      cp $ev_files_o build/libevent
 +                      cp $ev_files_lo build/libevent
 +                      cp $ev_files_libso build/libevent/.libs
 +                      LATE_LDFLAGS="build/libevent/*.lo -lm"
 +                      LDFLAGS="build/libevent/*.o $LDFLAGS -lm"
 +              else
 +                      AC_MSG_ERROR([Cannot find the libevent library in $withval
 +You can restart ./configure --with-libevent=no to use a builtin alternative.
 +Please note that this alternative is not as capable as libevent when using
 +large outgoing port ranges.  ])
 +              fi
 +        else
 +            AC_MSG_RESULT(found in $thedir)
 +          dnl if event2 exists and no event lib in dir itself, use subdir
 +          if test ! -f $thedir/lib/libevent.a -a ! -f $thedir/lib/libevent.so -a -d "$thedir/lib/event2"; then
 +                  LDFLAGS="$LDFLAGS -L$thedir/lib/event2"
 +                  ACX_RUNTIME_PATH_ADD([$thedir/lib/event2])
 +          else
 +                  dnl assume /usr is in default path, do not add "".
 +                  if test "$thedir" != "/usr" -a "$thedir" != ""; then
 +                      LDFLAGS="$LDFLAGS -L$thedir/lib"
 +                      ACX_RUNTIME_PATH_ADD([$thedir/lib])
 +                  fi
 +          fi
 +        fi
 +      # check for library used by libevent after 1.3c
 +      AC_SEARCH_LIBS([clock_gettime], [rt])
 +
 +      # is the event.h header libev or libevent?
 +      AC_CHECK_HEADERS([event.h],,, [AC_INCLUDES_DEFAULT])
 +      AC_CHECK_DECL(EV_VERSION_MAJOR, [
 +              AC_SEARCH_LIBS(event_set, [ev])
 +      ],[
 +              AC_SEARCH_LIBS(event_set, [event])
 +      ],[AC_INCLUDES_DEFAULT
 +#include <event.h>
 +      ])
 +      AC_CHECK_FUNCS([event_base_free]) # only in libevent 1.2 and later
 +      AC_CHECK_FUNCS([event_base_once]) # only in libevent 1.4.1 and later
 +      AC_CHECK_FUNCS([event_base_new]) # only in libevent 1.4.1 and later
 +      AC_CHECK_FUNCS([event_base_get_method]) # only in libevent 1.4.3 and later
 +      AC_CHECK_FUNCS([ev_loop]) # only in libev. (tested on 3.51)
 +      AC_CHECK_FUNCS([ev_default_loop]) # only in libev. (tested on 4.00)
 +      if test -n "$BAK_LDFLAGS_SET"; then
 +              LDFLAGS="$BAK_LDFLAGS"
 +      fi
 +        if test "$use_unbound_event" = "yes"; then
 +              AC_SUBST(UNBOUND_EVENT_INSTALL, [unbound-event-install])
 +              AC_SUBST(UNBOUND_EVENT_UNINSTALL, [unbound-event-uninstall])
 +      fi
 +else
 +      AC_DEFINE(USE_MINI_EVENT, 1, [Define if you want to use internal select based events])
 +fi
 +
 +# check for libexpat
 +AC_ARG_WITH(libexpat, AC_HELP_STRING([--with-libexpat=path],
 +    [specify explicit path for libexpat.]),
 +    [ ],[ withval="/usr/local /opt/local /usr/lib /usr/pkg /usr/sfw /usr" ])
 +AC_MSG_CHECKING(for libexpat)
 +found_libexpat="no"
 +for dir in $withval ; do
 +            if test -f "$dir/include/expat.h"; then
 +              found_libexpat="yes"
 +              dnl assume /usr is in default path.
 +              if test "$dir" != "/usr"; then
 +                    CPPFLAGS="$CPPFLAGS -I$dir/include"
 +                  LDFLAGS="$LDFLAGS -L$dir/lib"
 +              fi
 +              AC_MSG_RESULT(found in $dir)
 +                break;
 +            fi
 +done
 +if test x_$found_libexpat != x_yes; then
 +      AC_ERROR([Could not find libexpat, expat.h])
 +fi
 +AC_CHECK_HEADERS([expat.h],,, [AC_INCLUDES_DEFAULT])
 +
 +# set static linking if requested
 +AC_SUBST(staticexe)
 +staticexe=""
 +AC_ARG_ENABLE(static-exe, AC_HELP_STRING([--enable-static-exe],
 +      [ enable to compile executables statically against (event) libs, for debug purposes ]), 
 +      , )
 +if test x_$enable_static_exe = x_yes; then
 +      staticexe="-static"
 +      if test "$on_mingw" = yes; then
 +              staticexe="-all-static"
 +              # for static crosscompile, include gdi32 and zlib here.
 +              if test "`uname`" = "Linux"; then
 +                      LIBS="$LIBS -lgdi32 -lz"
 +              fi
 +      fi
 +fi
 +
 +# set lock checking if requested
 +AC_ARG_ENABLE(lock_checks, AC_HELP_STRING([--enable-lock-checks],
 +      [ enable to check lock and unlock calls, for debug purposes ]), 
 +      , )
 +if test x_$enable_lock_checks = x_yes; then
 +      AC_DEFINE(ENABLE_LOCK_CHECKS, 1, [Define if you want to use debug lock checking (slow).])
 +      CHECKLOCK_OBJ="checklocks.lo"
 +      AC_SUBST(CHECKLOCK_OBJ)
 +fi
 +
 +ACX_CHECK_GETADDRINFO_WITH_INCLUDES
 +if test "$USE_WINSOCK" = 1; then
 +      AC_DEFINE(UB_ON_WINDOWS, 1, [Use win32 resources and API])
 +      AC_CHECK_HEADERS([iphlpapi.h],,, [AC_INCLUDES_DEFAULT
 +#include <windows.h>
 +      ])
 +      AC_CHECK_TOOL(WINDRES, windres)
 +      LIBS="$LIBS -liphlpapi"
 +      WINAPPS="unbound-service-install.exe unbound-service-remove.exe anchor-update.exe"
 +      AC_SUBST(WINAPPS)
 +      WIN_DAEMON_SRC="winrc/win_svc.c winrc/w_inst.c"
 +      AC_SUBST(WIN_DAEMON_SRC)
 +      WIN_DAEMON_OBJ="win_svc.lo w_inst.lo"
 +      AC_SUBST(WIN_DAEMON_OBJ)
 +      WIN_DAEMON_OBJ_LINK="rsrc_unbound.o"
 +      AC_SUBST(WIN_DAEMON_OBJ_LINK)
 +      WIN_HOST_OBJ_LINK="rsrc_unbound_host.o"
 +      AC_SUBST(WIN_HOST_OBJ_LINK)
 +      WIN_UBANCHOR_OBJ_LINK="rsrc_unbound_anchor.o log.lo locks.lo"
 +      AC_SUBST(WIN_UBANCHOR_OBJ_LINK)
 +      WIN_CONTROL_OBJ_LINK="rsrc_unbound_control.o"
 +      AC_SUBST(WIN_CONTROL_OBJ_LINK)
 +      WIN_CHECKCONF_OBJ_LINK="rsrc_unbound_checkconf.o"
 +      AC_SUBST(WIN_CHECKCONF_OBJ_LINK)
 +fi
 +if test $ac_cv_func_getaddrinfo = no; then
 +      AC_LIBOBJ([fake-rfc2553])
 +fi
 +# check after getaddrinfo for its libraries
 +ACX_FUNC_IOCTLSOCKET
 +
 +# see if daemon(3) exists, and if it is deprecated.
 +AC_CHECK_FUNCS([daemon])
 +if test $ac_cv_func_daemon = yes; then
 +      ACX_FUNC_DEPRECATED([daemon], [(void)daemon(0, 0);], [
 +#include <stdlib.h>
 +])
 +fi
 +
 +AC_CHECK_MEMBERS([struct sockaddr_un.sun_len],,,[
 +AC_INCLUDES_DEFAULT
 +#ifdef HAVE_SYS_UN_H
 +#include <sys/un.h>
 +#endif
 +])
 +AC_CHECK_MEMBERS([struct in_pktinfo.ipi_spec_dst],,,[
 +AC_INCLUDES_DEFAULT
 +#if HAVE_SYS_PARAM_H
 +#include <sys/param.h>
 +#endif
 +
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +
 +#ifdef HAVE_SYS_UIO_H
 +#include <sys/uio.h>
 +#endif
 +
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +])
 +AC_SEARCH_LIBS([setusercontext], [util])
 +AC_CHECK_FUNCS([tzset sigprocmask fcntl getpwnam getrlimit setrlimit setsid sbrk chroot kill chown sleep usleep random srandom recvmsg sendmsg writev socketpair glob initgroups strftime localtime_r setusercontext _beginthreadex endservent endprotoent])
 +AC_CHECK_FUNCS([setresuid],,[AC_CHECK_FUNCS([setreuid])])
 +AC_CHECK_FUNCS([setresgid],,[AC_CHECK_FUNCS([setregid])])
 +
 +# check if setreuid en setregid fail, on MacOSX10.4(darwin8).
 +if echo $build_os | grep darwin8 > /dev/null; then
 +      AC_DEFINE(DARWIN_BROKEN_SETREUID, 1, [Define this if on macOSX10.4-darwin8 and setreuid and setregid do not work])
 +fi
 +AC_REPLACE_FUNCS(inet_aton)
 +AC_REPLACE_FUNCS(inet_pton)
 +AC_REPLACE_FUNCS(inet_ntop)
 +AC_REPLACE_FUNCS(snprintf)
 +AC_REPLACE_FUNCS(strlcat)
 +AC_REPLACE_FUNCS(strlcpy)
 +AC_REPLACE_FUNCS(memmove)
 +AC_REPLACE_FUNCS(gmtime_r)
++dnl without CTIME, ARC4-functions and without reallocarray.
 +LIBOBJ_WITHOUT_CTIMEARC4="$LIBOBJS"
 +AC_SUBST(LIBOBJ_WITHOUT_CTIMEARC4)
++AC_REPLACE_FUNCS(reallocarray)
 +if test "$USE_NSS" = "no"; then
 +      AC_REPLACE_FUNCS(arc4random)
 +      AC_REPLACE_FUNCS(arc4random_uniform)
 +      if test "$ac_cv_func_arc4random" = "no"; then
 +              AC_LIBOBJ(explicit_bzero)
 +              AC_LIBOBJ(arc4_lock)
 +              AC_CHECK_FUNCS([getentropy],,[
 +                  if test "$USE_WINSOCK" = 1; then
 +                      AC_LIBOBJ(getentropy_win)
 +                  else
 +                      case `uname` in
 +                      Darwin)
 +                              AC_LIBOBJ(getentropy_osx)
 +                      ;;
 +                      SunOS)
 +                              AC_LIBOBJ(getentropy_solaris)
 +                              AC_CHECK_HEADERS([sys/sha2.h],, [
 +                                      AC_CHECK_FUNCS([SHA512_Update],,[
 +                                              AC_LIBOBJ(sha512)
 +                                      ])
 +                              ], [AC_INCLUDES_DEFAULT])
 +                              if test "$ac_cv_header_sys_sha2_h" = "yes"; then
 +                                      # this lib needed for sha2 on solaris
 +                                      LIBS="$LIBS -lmd"
 +                              fi
 +                              AC_SEARCH_LIBS([clock_gettime], [rt])
 +                      ;;
 +                      Linux|*)
 +                              AC_LIBOBJ(getentropy_linux)
 +                              AC_CHECK_FUNCS([SHA512_Update],,[
 +                                      AC_DEFINE([COMPAT_SHA512], [1], [Do sha512 definitions in config.h])
 +                                      AC_LIBOBJ(sha512)
 +                              ])
 +                              AC_CHECK_HEADERS([sys/sysctl.h],,, [AC_INCLUDES_DEFAULT])
 +                              AC_CHECK_FUNCS([getauxval])
 +                              AC_SEARCH_LIBS([clock_gettime], [rt])
 +                      ;;
 +                      esac
 +                  fi
 +              ])
 +      fi
 +fi
 +LIBOBJ_WITHOUT_CTIME="$LIBOBJS"
 +AC_SUBST(LIBOBJ_WITHOUT_CTIME)
 +AC_REPLACE_FUNCS(ctime_r)
 +
 +AC_ARG_ENABLE(allsymbols, AC_HELP_STRING([--enable-allsymbols], [export all symbols from libunbound and link binaries to it, smaller install size but libunbound export table is polluted by internal symbols]))
 +case "$enable_allsymbols" in
 +      yes)
 +      COMMON_OBJ_ALL_SYMBOLS=""
 +      UBSYMS=""
 +      EXTRALINK="-L. -L.libs -lunbound"
 +      AC_DEFINE(EXPORT_ALL_SYMBOLS, 1, [Define this if you enabled-allsymbols from libunbound to link binaries to it for smaller install size, but the libunbound export table is polluted by internal symbols])
 +      ;;
 +      no|*)
 +      COMMON_OBJ_ALL_SYMBOLS='$(COMMON_OBJ)'
 +      UBSYMS='-export-symbols $(srcdir)/libunbound/ubsyms.def'
 +      EXTRALINK=""
 +      ;;
 +esac
 +AC_SUBST(COMMON_OBJ_ALL_SYMBOLS)
 +AC_SUBST(EXTRALINK)
 +AC_SUBST(UBSYMS)
 +if test x_$enable_lock_checks = x_yes; then
 +      UBSYMS="-export-symbols clubsyms.def"
 +      cp ${srcdir}/libunbound/ubsyms.def clubsyms.def
 +      echo lock_protect >> clubsyms.def
 +      echo lock_unprotect >> clubsyms.def
 +      echo lock_get_mem >> clubsyms.def
 +      echo checklock_start >> clubsyms.def
 +      echo checklock_stop >> clubsyms.def
 +      echo checklock_lock >> clubsyms.def
 +      echo checklock_unlock >> clubsyms.def
 +      echo checklock_init >> clubsyms.def
 +      echo checklock_thrcreate >> clubsyms.def
 +      echo checklock_thrjoin >> clubsyms.def
 +fi
 +
 +# check for dnstap if requested
 +dt_DNSTAP([$UNBOUND_RUN_DIR/dnstap.sock],
 +    [
 +        AC_DEFINE([USE_DNSTAP], [1], [Define to 1 to enable dnstap support])
 +        AC_SUBST([ENABLE_DNSTAP], [1])
 +
 +        AC_SUBST([opt_dnstap_socket_path])
 +        ACX_ESCAPE_BACKSLASH($opt_dnstap_socket_path, hdr_dnstap_socket_path)
 +        AC_DEFINE_UNQUOTED(DNSTAP_SOCKET_PATH,
 +            ["$hdr_dnstap_socket_path"], [default dnstap socket path])
 +
 +        AC_SUBST([DNSTAP_SRC], ["dnstap/dnstap.c dnstap/dnstap.pb-c.c"])
 +        AC_SUBST([DNSTAP_OBJ], ["dnstap.lo dnstap.pb-c.lo"])
 +    ],
 +    [
 +        AC_SUBST([ENABLE_DNSTAP], [0])
 +    ]
 +)
 +
 +AC_MSG_CHECKING([if ${MAKE:-make} supports $< with implicit rule in scope])
 +# on openBSD, the implicit rule make $< work.
 +# on Solaris, it does not work ($? is changed sources, $^ lists dependencies).
 +# gmake works.
 +cat >conftest.make <<EOF
 +all:  conftest.lo
 +
 +conftest.lo foo.lo bla.lo:
 +      if test -f "\$<"; then touch \$@; fi
 +
 +.SUFFIXES: .lo
 +.c.lo:
 +      if test -f "\$<"; then touch \$@; fi
 +
 +conftest.lo:        conftest.dir/conftest.c
 +EOF
 +mkdir conftest.dir
 +touch conftest.dir/conftest.c
 +rm -f conftest.lo conftest.c
 +${MAKE:-make} -f conftest.make >/dev/null
 +rm -f conftest.make conftest.c conftest.dir/conftest.c
 +rm -rf conftest.dir
 +if test ! -f conftest.lo; then
 +      AC_MSG_RESULT(no)
 +      SOURCEDETERMINE='echo "$^" | awk "-F " "{print \$$1;}" > .source'
 +      SOURCEFILE='`cat .source`'
 +else
 +      AC_MSG_RESULT(yes)
 +      SOURCEDETERMINE=':'
 +      SOURCEFILE='$<'
 +fi
 +rm -f conftest.lo
 +AC_SUBST(SOURCEDETERMINE)
 +AC_SUBST(SOURCEFILE)
 +
 +# see if we want to build the library or everything
 +ALLTARGET="alltargets"
 +INSTALLTARGET="install-all"
 +AC_ARG_WITH(libunbound-only, AC_HELP_STRING([--with-libunbound-only],
 +      [do not build daemon and tool programs]),
 +      [
 +      if test "$withval" = "yes"; then
 +              ALLTARGET="lib"
 +              INSTALLTARGET="install-lib"
 +      fi
 +])
 +AC_SUBST(ALLTARGET)
 +AC_SUBST(INSTALLTARGET)
 +
 +ACX_STRIP_EXT_FLAGS
 +LDFLAGS="$LATE_LDFLAGS $LDFLAGS"
 +
 +AC_DEFINE_UNQUOTED([MAXSYSLOGMSGLEN], [10240], [Define to the maximum message length to pass to syslog.])
 +
 +AH_BOTTOM(
 +dnl this must be first AH_CONFIG, to define the flags before any includes.
 +AHX_CONFIG_EXT_FLAGS
 +
 +dnl includes
 +[
 +#ifndef UNBOUND_DEBUG
 +#  define NDEBUG
 +#endif
 +
 +/** Use small-ldns codebase */
 +#define USE_SLDNS 1
 +#ifdef HAVE_SSL
 +#  define LDNS_BUILD_CONFIG_HAVE_SSL 1
 +#endif
 +
 +#include <stdio.h>
 +#include <string.h>
 +#include <unistd.h>
 +#include <assert.h>
 +
 +#if STDC_HEADERS
 +#include <stdlib.h>
 +#include <stddef.h>
 +#endif
 +
 +#ifdef HAVE_STDARG_H
 +#include <stdarg.h>
 +#endif
 +
 +#ifdef HAVE_STDINT_H
 +#include <stdint.h>
 +#endif
 +
 +#include <errno.h>
 +
 +#if HAVE_SYS_PARAM_H
 +#include <sys/param.h>
 +#endif
 +
 +#ifdef HAVE_SYS_SOCKET_H
 +#include <sys/socket.h>
 +#endif
 +
 +#ifdef HAVE_SYS_UIO_H
 +#include <sys/uio.h>
 +#endif
 +
 +#ifdef HAVE_NETINET_IN_H
 +#include <netinet/in.h>
 +#endif
 +
 +#ifdef HAVE_ARPA_INET_H
 +#include <arpa/inet.h>
 +#endif
 +
 +#ifdef HAVE_WINSOCK2_H
 +#include <winsock2.h>
 +#endif
 +
 +#ifdef HAVE_WS2TCPIP_H
 +#include <ws2tcpip.h>
 +#endif
 +
 +#ifndef USE_WINSOCK
 +#define ARG_LL "%ll"
 +#else
 +#define ARG_LL "%I64"
 +#endif
 +
 +#ifndef AF_LOCAL
 +#define AF_LOCAL AF_UNIX
 +#endif
 +]
 +
 +AHX_CONFIG_FORMAT_ATTRIBUTE
 +AHX_CONFIG_UNUSED_ATTRIBUTE
 +AHX_CONFIG_FSEEKO
 +AHX_CONFIG_MAXHOSTNAMELEN
 +AHX_CONFIG_SNPRINTF(unbound)
 +AHX_CONFIG_INET_PTON(unbound)
 +AHX_CONFIG_INET_NTOP(unbound)
 +AHX_CONFIG_INET_ATON(unbound)
 +AHX_CONFIG_MEMMOVE(unbound)
 +AHX_CONFIG_STRLCAT(unbound)
 +AHX_CONFIG_STRLCPY(unbound)
 +AHX_CONFIG_GMTIME_R(unbound)
++AHX_CONFIG_REALLOCARRAY(unbound)
 +AHX_CONFIG_W32_SLEEP
 +AHX_CONFIG_W32_USLEEP
 +AHX_CONFIG_W32_RANDOM
 +AHX_CONFIG_W32_SRANDOM
 +AHX_CONFIG_W32_FD_SET_T
 +AHX_CONFIG_IPV6_MIN_MTU
 +AHX_MEMCMP_BROKEN(unbound)
 +
 +[
 +#ifndef HAVE_CTIME_R
 +#define ctime_r unbound_ctime_r
 +char *ctime_r(const time_t *timep, char *buf);
 +#endif
 +
 +#if !defined(HAVE_STRPTIME) || !defined(STRPTIME_WORKS)
 +#define strptime unbound_strptime
 +struct tm;
 +char *strptime(const char *s, const char *format, struct tm *tm);
 +#endif
 +
 +#ifdef HAVE_LIBRESSL
 +#  if !HAVE_DECL_STRLCPY
 +size_t strlcpy(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_STRLCAT
 +size_t strlcat(char *dst, const char *src, size_t siz);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM && defined(HAVE_ARC4RANDOM)
 +uint32_t arc4random(void);
 +#  endif
 +#  if !HAVE_DECL_ARC4RANDOM_UNIFORM && defined(HAVE_ARC4RANDOM_UNIFORM)
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#  endif
++#  if !HAVE_DECL_REALLOCARRAY
++void *reallocarray(void *ptr, size_t nmemb, size_t size);
++#  endif
 +#endif /* HAVE_LIBRESSL */
 +#ifndef HAVE_ARC4RANDOM
 +void explicit_bzero(void* buf, size_t len);
 +int getentropy(void* buf, size_t len);
 +uint32_t arc4random(void);
 +void arc4random_buf(void* buf, size_t n);
 +void _ARC4_LOCK(void);
 +void _ARC4_UNLOCK(void);
 +#endif
 +#ifndef HAVE_ARC4RANDOM_UNIFORM
 +uint32_t arc4random_uniform(uint32_t upper_bound);
 +#endif
 +#ifdef COMPAT_SHA512
 +#ifndef SHA512_DIGEST_LENGTH
 +#define SHA512_BLOCK_LENGTH           128
 +#define SHA512_DIGEST_LENGTH          64
 +#define SHA512_DIGEST_STRING_LENGTH   (SHA512_DIGEST_LENGTH * 2 + 1)
 +typedef struct _SHA512_CTX {
 +      uint64_t        state[8];
 +      uint64_t        bitcount[2];
 +      uint8_t buffer[SHA512_BLOCK_LENGTH];
 +} SHA512_CTX;
 +#endif /* SHA512_DIGEST_LENGTH */
 +void SHA512_Init(SHA512_CTX*);
 +void SHA512_Update(SHA512_CTX*, void*, size_t);
 +void SHA512_Final(uint8_t[SHA512_DIGEST_LENGTH], SHA512_CTX*);
 +unsigned char *SHA512(void* data, unsigned int data_len, unsigned char *digest);
 +#endif /* COMPAT_SHA512 */
 +
 +
 +
 +#if defined(HAVE_EVENT_H) && !defined(HAVE_EVENT_BASE_ONCE) && !(defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)) && (defined(HAVE_PTHREAD) || defined(HAVE_SOLARIS_THREADS))
 +   /* using version of libevent that is not threadsafe. */
 +#  define LIBEVENT_SIGNAL_PROBLEM 1
 +#endif
 +
 +#ifndef CHECKED_INET6
 +#  define CHECKED_INET6
 +#  ifdef AF_INET6
 +#    define INET6
 +#  else
 +#    define AF_INET6        28
 +#  endif
 +#endif /* CHECKED_INET6 */
 +
 +#ifndef HAVE_GETADDRINFO
 +struct sockaddr_storage;
 +#include "compat/fake-rfc2553.h"
 +#endif
 +
 +#ifdef UNBOUND_ALLOC_STATS
 +#  define malloc(s) unbound_stat_malloc_log(s, __FILE__, __LINE__, __func__)
 +#  define calloc(n,s) unbound_stat_calloc_log(n, s, __FILE__, __LINE__, __func__)
 +#  define free(p) unbound_stat_free_log(p, __FILE__, __LINE__, __func__)
 +#  define realloc(p,s) unbound_stat_realloc_log(p, s, __FILE__, __LINE__, __func__)
 +void *unbound_stat_malloc(size_t size);
 +void *unbound_stat_calloc(size_t nmemb, size_t size);
 +void unbound_stat_free(void *ptr);
 +void *unbound_stat_realloc(void *ptr, size_t size);
 +void *unbound_stat_malloc_log(size_t size, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_calloc_log(size_t nmemb, size_t size, const char* file,
 +      int line, const char* func);
 +void unbound_stat_free_log(void *ptr, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_realloc_log(void *ptr, size_t size, const char* file,
 +      int line, const char* func);
 +#elif defined(UNBOUND_ALLOC_LITE)
 +#  include "util/alloc.h"
 +#endif /* UNBOUND_ALLOC_LITE and UNBOUND_ALLOC_STATS */
 +
 +/** default port for DNS traffic. */
 +#define UNBOUND_DNS_PORT 53
 +/** default port for unbound control traffic, registered port with IANA,
 +    ub-dns-control  8953/tcp    unbound dns nameserver control */
 +#define UNBOUND_CONTROL_PORT 8953
 +/** the version of unbound-control that this software implements */
 +#define UNBOUND_CONTROL_VERSION 1
 +
 +])
 +
 +dnl if we build from source tree, the man pages need @date@ and @version@
 +dnl if this is a distro tarball, that was already done by makedist.sh
 +AC_SUBST(version, [VERSION_MAJOR.VERSION_MINOR.VERSION_MICRO])
 +AC_SUBST(date, [`date +'%b %e, %Y'`])
 +
 +AC_CONFIG_FILES([Makefile doc/example.conf doc/libunbound.3 doc/unbound.8 doc/unbound-anchor.8 doc/unbound-checkconf.8 doc/unbound.conf.5 doc/unbound-control.8 doc/unbound-host.1 smallapp/unbound-control-setup.sh dnstap/dnstap_config.h])
 +AC_CONFIG_HEADER([config.h])
 +AC_OUTPUT
diff --cc contrib/unbound/daemon/cachedump.c
index 20a46ae4dffb4e1851708685a81ff4735519f96c,0000000000000000000000000000000000000000..4b0a583a65474618eed373f0732f8d7e6a315f8d
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/cachedump.c
--- /dev/null
+++ b/contrib/unbound/daemon/cachedump.c
@@@ -1,886 -1,0 +1,896 @@@
- #include "ldns/sbuffer.h"
- #include "ldns/wire2str.h"
- #include "ldns/str2wire.h"
 +/*
 + * daemon/cachedump.c - dump the cache to text format.
 + *
 + * Copyright (c) 2008, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to read and write the cache(s)
 + * to text format.
 + */
 +#include "config.h"
 +#include <openssl/ssl.h>
 +#include "daemon/cachedump.h"
 +#include "daemon/remote.h"
 +#include "daemon/worker.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/dns.h"
 +#include "services/cache/infra.h"
 +#include "util/data/msgreply.h"
 +#include "util/regional.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_delegpt.h"
 +#include "iterator/iter_utils.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_hints.h"
++#include "sldns/sbuffer.h"
++#include "sldns/wire2str.h"
++#include "sldns/str2wire.h"
 +
 +/** dump one rrset zonefile line */
 +static int
 +dump_rrset_line(SSL* ssl, struct ub_packed_rrset_key* k, time_t now, size_t i)
 +{
 +      char s[65535];
 +      if(!packed_rr_to_string(k, i, now, s, sizeof(s))) {
 +              return ssl_printf(ssl, "BADRR\n");
 +      }
 +      return ssl_printf(ssl, "%s", s);
 +}
 +
 +/** dump rrset key and data info */
 +static int
 +dump_rrset(SSL* ssl, struct ub_packed_rrset_key* k, 
 +      struct packed_rrset_data* d, time_t now)
 +{
 +      size_t i;
 +      /* rd lock held by caller */
 +      if(!k || !d) return 1;
 +      if(d->ttl < now) return 1; /* expired */
 +
 +      /* meta line */
 +      if(!ssl_printf(ssl, ";rrset%s " ARG_LL "d %u %u %d %d\n",
 +              (k->rk.flags & PACKED_RRSET_NSEC_AT_APEX)?" nsec_apex":"",
 +              (long long)(d->ttl - now),
 +              (unsigned)d->count, (unsigned)d->rrsig_count,
 +              (int)d->trust, (int)d->security
 +              )) 
 +              return 0;
 +      for(i=0; i<d->count + d->rrsig_count; i++) {
 +              if(!dump_rrset_line(ssl, k, now, i))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** dump lruhash rrset cache */
 +static int
 +dump_rrset_lruhash(SSL* ssl, struct lruhash* h, time_t now)
 +{
 +      struct lruhash_entry* e;
 +      /* lruhash already locked by caller */
 +      /* walk in order of lru; best first */
 +      for(e=h->lru_start; e; e = e->lru_next) {
 +              lock_rw_rdlock(&e->lock);
 +              if(!dump_rrset(ssl, (struct ub_packed_rrset_key*)e->key,
 +                      (struct packed_rrset_data*)e->data, now)) {
 +                      lock_rw_unlock(&e->lock);
 +                      return 0;
 +              }
 +              lock_rw_unlock(&e->lock);
 +      }
 +      return 1;
 +}
 +
 +/** dump rrset cache */
 +static int
 +dump_rrset_cache(SSL* ssl, struct worker* worker)
 +{
 +      struct rrset_cache* r = worker->env.rrset_cache;
 +      size_t slab;
 +      if(!ssl_printf(ssl, "START_RRSET_CACHE\n")) return 0;
 +      for(slab=0; slab<r->table.size; slab++) {
 +              lock_quick_lock(&r->table.array[slab]->lock);
 +              if(!dump_rrset_lruhash(ssl, r->table.array[slab],
 +                      *worker->env.now)) {
 +                      lock_quick_unlock(&r->table.array[slab]->lock);
 +                      return 0;
 +              }
 +              lock_quick_unlock(&r->table.array[slab]->lock);
 +      }
 +      return ssl_printf(ssl, "END_RRSET_CACHE\n");
 +}
 +
 +/** dump message to rrset reference */
 +static int
 +dump_msg_ref(SSL* ssl, struct ub_packed_rrset_key* k)
 +{
 +      char* nm, *tp, *cl;
 +      nm = sldns_wire2str_dname(k->rk.dname, k->rk.dname_len);
 +      tp = sldns_wire2str_type(ntohs(k->rk.type));
 +      cl = sldns_wire2str_class(ntohs(k->rk.rrset_class));
 +      if(!nm || !cl || !tp) {
 +              free(nm);
 +              free(tp);
 +              free(cl);
 +              return ssl_printf(ssl, "BADREF\n");
 +      }
 +      if(!ssl_printf(ssl, "%s %s %s %d\n", nm, cl, tp, (int)k->rk.flags)) {
 +              free(nm);
 +              free(tp);
 +              free(cl);
 +              return 0;
 +      }
 +      free(nm);
 +      free(tp);
 +      free(cl);
 +
 +      return 1;
 +}
 +
 +/** dump message entry */
 +static int
 +dump_msg(SSL* ssl, struct query_info* k, struct reply_info* d, 
 +      time_t now)
 +{
 +      size_t i;
 +      char* nm, *tp, *cl;
 +      if(!k || !d) return 1;
 +      if(d->ttl < now) return 1; /* expired */
 +      
 +      nm = sldns_wire2str_dname(k->qname, k->qname_len);
 +      tp = sldns_wire2str_type(k->qtype);
 +      cl = sldns_wire2str_class(k->qclass);
 +      if(!nm || !tp || !cl) {
 +              free(nm);
 +              free(tp);
 +              free(cl);
 +              return 1; /* skip this entry */
 +      }
 +      if(!rrset_array_lock(d->ref, d->rrset_count, now)) {
 +              /* rrsets have timed out or do not exist */
 +              free(nm);
 +              free(tp);
 +              free(cl);
 +              return 1; /* skip this entry */
 +      }
 +      
 +      /* meta line */
 +      if(!ssl_printf(ssl, "msg %s %s %s %d %d " ARG_LL "d %d %u %u %u\n",
 +                      nm, cl, tp,
 +                      (int)d->flags, (int)d->qdcount, 
 +                      (long long)(d->ttl-now), (int)d->security,
 +                      (unsigned)d->an_numrrsets, 
 +                      (unsigned)d->ns_numrrsets,
 +                      (unsigned)d->ar_numrrsets)) {
 +              free(nm);
 +              free(tp);
 +              free(cl);
 +              rrset_array_unlock(d->ref, d->rrset_count);
 +              return 0;
 +      }
 +      free(nm);
 +      free(tp);
 +      free(cl);
 +      
 +      for(i=0; i<d->rrset_count; i++) {
 +              if(!dump_msg_ref(ssl, d->rrsets[i])) {
 +                      rrset_array_unlock(d->ref, d->rrset_count);
 +                      return 0;
 +              }
 +      }
 +      rrset_array_unlock(d->ref, d->rrset_count);
 +
 +      return 1;
 +}
 +
 +/** copy msg to worker pad */
 +static int
 +copy_msg(struct regional* region, struct lruhash_entry* e, 
 +      struct query_info** k, struct reply_info** d)
 +{
 +      struct reply_info* rep = (struct reply_info*)e->data;
++      if(rep->rrset_count > RR_COUNT_MAX)
++              return 0; /* to protect against integer overflow */
 +      *d = (struct reply_info*)regional_alloc_init(region, e->data,
 +              sizeof(struct reply_info) + 
 +              sizeof(struct rrset_ref) * (rep->rrset_count-1) +
 +              sizeof(struct ub_packed_rrset_key*) * rep->rrset_count);
 +      if(!*d)
 +              return 0;
 +      (*d)->rrsets = (struct ub_packed_rrset_key**)(void *)(
 +              (uint8_t*)(&((*d)->ref[0])) + 
 +              sizeof(struct rrset_ref) * rep->rrset_count);
 +      *k = (struct query_info*)regional_alloc_init(region, 
 +              e->key, sizeof(struct query_info));
 +      if(!*k)
 +              return 0;
 +      (*k)->qname = regional_alloc_init(region, 
 +              (*k)->qname, (*k)->qname_len);
 +      return (*k)->qname != NULL;
 +}
 +
 +/** dump lruhash msg cache */
 +static int
 +dump_msg_lruhash(SSL* ssl, struct worker* worker, struct lruhash* h)
 +{
 +      struct lruhash_entry* e;
 +      struct query_info* k;
 +      struct reply_info* d;
 +
 +      /* lruhash already locked by caller */
 +      /* walk in order of lru; best first */
 +      for(e=h->lru_start; e; e = e->lru_next) {
 +              regional_free_all(worker->scratchpad);
 +              lock_rw_rdlock(&e->lock);
 +              /* make copy of rrset in worker buffer */
 +              if(!copy_msg(worker->scratchpad, e, &k, &d)) {
 +                      lock_rw_unlock(&e->lock);
 +                      return 0;
 +              }
 +              lock_rw_unlock(&e->lock);
 +              /* release lock so we can lookup the rrset references 
 +               * in the rrset cache */
 +              if(!dump_msg(ssl, k, d, *worker->env.now)) {
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** dump msg cache */
 +static int
 +dump_msg_cache(SSL* ssl, struct worker* worker)
 +{
 +      struct slabhash* sh = worker->env.msg_cache;
 +      size_t slab;
 +      if(!ssl_printf(ssl, "START_MSG_CACHE\n")) return 0;
 +      for(slab=0; slab<sh->size; slab++) {
 +              lock_quick_lock(&sh->array[slab]->lock);
 +              if(!dump_msg_lruhash(ssl, worker, sh->array[slab])) {
 +                      lock_quick_unlock(&sh->array[slab]->lock);
 +                      return 0;
 +              }
 +              lock_quick_unlock(&sh->array[slab]->lock);
 +      }
 +      return ssl_printf(ssl, "END_MSG_CACHE\n");
 +}
 +
 +int
 +dump_cache(SSL* ssl, struct worker* worker)
 +{
 +      if(!dump_rrset_cache(ssl, worker))
 +              return 0;
 +      if(!dump_msg_cache(ssl, worker))
 +              return 0;
 +      return ssl_printf(ssl, "EOF\n");
 +}
 +
 +/** read a line from ssl into buffer */
 +static int
 +ssl_read_buf(SSL* ssl, sldns_buffer* buf)
 +{
 +      return ssl_read_line(ssl, (char*)sldns_buffer_begin(buf), 
 +              sldns_buffer_capacity(buf));
 +}
 +
 +/** check fixed text on line */
 +static int
 +read_fixed(SSL* ssl, sldns_buffer* buf, const char* str)
 +{
 +      if(!ssl_read_buf(ssl, buf)) return 0;
 +      return (strcmp((char*)sldns_buffer_begin(buf), str) == 0);
 +}
 +
 +/** load an RR into rrset */
 +static int
 +load_rr(SSL* ssl, sldns_buffer* buf, struct regional* region,
 +      struct ub_packed_rrset_key* rk, struct packed_rrset_data* d,
 +      unsigned int i, int is_rrsig, int* go_on, time_t now)
 +{
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      size_t rr_len = sizeof(rr), dname_len = 0;
 +      int status;
 +
 +      /* read the line */
 +      if(!ssl_read_buf(ssl, buf))
 +              return 0;
 +      if(strncmp((char*)sldns_buffer_begin(buf), "BADRR\n", 6) == 0) {
 +              *go_on = 0;
 +              return 1;
 +      }
 +      status = sldns_str2wire_rr_buf((char*)sldns_buffer_begin(buf), rr,
 +              &rr_len, &dname_len, 3600, NULL, 0, NULL, 0);
 +      if(status != 0) {
 +              log_warn("error cannot parse rr: %s: %s",
 +                      sldns_get_errorstr_parse(status),
 +                      (char*)sldns_buffer_begin(buf));
 +              return 0;
 +      }
 +      if(is_rrsig && sldns_wirerr_get_type(rr, rr_len, dname_len)
 +              != LDNS_RR_TYPE_RRSIG) {
 +              log_warn("error expected rrsig but got %s",
 +                      (char*)sldns_buffer_begin(buf));
 +              return 0;
 +      }
 +
 +      /* convert ldns rr into packed_rr */
 +      d->rr_ttl[i] = (time_t)sldns_wirerr_get_ttl(rr, rr_len, dname_len) + now;
 +      sldns_buffer_clear(buf);
 +      d->rr_len[i] = sldns_wirerr_get_rdatalen(rr, rr_len, dname_len)+2;
 +      d->rr_data[i] = (uint8_t*)regional_alloc_init(region, 
 +              sldns_wirerr_get_rdatawl(rr, rr_len, dname_len), d->rr_len[i]);
 +      if(!d->rr_data[i]) {
 +              log_warn("error out of memory");
 +              return 0;
 +      }
 +
 +      /* if first entry, fill the key structure */
 +      if(i==0) {
 +              rk->rk.type = htons(sldns_wirerr_get_type(rr, rr_len, dname_len));
 +              rk->rk.rrset_class = htons(sldns_wirerr_get_class(rr, rr_len, dname_len));
 +              rk->rk.dname_len = dname_len;
 +              rk->rk.dname = regional_alloc_init(region, rr, dname_len);
 +              if(!rk->rk.dname) {
 +                      log_warn("error out of memory");
 +                      return 0;
 +              }
 +      }
 +
 +      return 1;
 +}
 +
 +/** move entry into cache */
 +static int
 +move_into_cache(struct ub_packed_rrset_key* k, 
 +      struct packed_rrset_data* d, struct worker* worker)
 +{
 +      struct ub_packed_rrset_key* ak;
 +      struct packed_rrset_data* ad;
 +      size_t s, i, num = d->count + d->rrsig_count;
 +      struct rrset_ref ref;
 +      uint8_t* p;
 +
 +      ak = alloc_special_obtain(&worker->alloc);
 +      if(!ak) {
 +              log_warn("error out of memory");
 +              return 0;
 +      }
 +      ak->entry.data = NULL;
 +      ak->rk = k->rk;
 +      ak->entry.hash = rrset_key_hash(&k->rk);
 +      ak->rk.dname = (uint8_t*)memdup(k->rk.dname, k->rk.dname_len);
 +      if(!ak->rk.dname) {
 +              log_warn("error out of memory");
 +              ub_packed_rrset_parsedelete(ak, &worker->alloc);
 +              return 0;
 +      }
 +      s = sizeof(*ad) + (sizeof(size_t) + sizeof(uint8_t*) + 
 +              sizeof(time_t))* num;
 +      for(i=0; i<num; i++)
 +              s += d->rr_len[i];
 +      ad = (struct packed_rrset_data*)malloc(s);
 +      if(!ad) {
 +              log_warn("error out of memory");
 +              ub_packed_rrset_parsedelete(ak, &worker->alloc);
 +              return 0;
 +      }
 +      p = (uint8_t*)ad;
 +      memmove(p, d, sizeof(*ad));
 +      p += sizeof(*ad);
 +      memmove(p, &d->rr_len[0], sizeof(size_t)*num);
 +      p += sizeof(size_t)*num;
 +      memmove(p, &d->rr_data[0], sizeof(uint8_t*)*num);
 +      p += sizeof(uint8_t*)*num;
 +      memmove(p, &d->rr_ttl[0], sizeof(time_t)*num);
 +      p += sizeof(time_t)*num;
 +      for(i=0; i<num; i++) {
 +              memmove(p, d->rr_data[i], d->rr_len[i]);
 +              p += d->rr_len[i];
 +      }
 +      packed_rrset_ptr_fixup(ad);
 +
 +      ak->entry.data = ad;
 +
 +      ref.key = ak;
 +      ref.id = ak->id;
 +      (void)rrset_cache_update(worker->env.rrset_cache, &ref,
 +              &worker->alloc, *worker->env.now);
 +      return 1;
 +}
 +
 +/** load an rrset entry */
 +static int
 +load_rrset(SSL* ssl, sldns_buffer* buf, struct worker* worker)
 +{
 +      char* s = (char*)sldns_buffer_begin(buf);
 +      struct regional* region = worker->scratchpad;
 +      struct ub_packed_rrset_key* rk;
 +      struct packed_rrset_data* d;
 +      unsigned int rr_count, rrsig_count, trust, security;
 +      long long ttl;
 +      unsigned int i;
 +      int go_on = 1;
 +      regional_free_all(region);
 +
 +      rk = (struct ub_packed_rrset_key*)regional_alloc_zero(region, 
 +              sizeof(*rk));
 +      d = (struct packed_rrset_data*)regional_alloc_zero(region, sizeof(*d));
 +      if(!rk || !d) {
 +              log_warn("error out of memory");
 +              return 0;
 +      }
 +
 +      if(strncmp(s, ";rrset", 6) != 0) {
 +              log_warn("error expected ';rrset' but got %s", s);
 +              return 0;
 +      }
 +      s += 6;
 +      if(strncmp(s, " nsec_apex", 10) == 0) {
 +              s += 10;
 +              rk->rk.flags |= PACKED_RRSET_NSEC_AT_APEX;
 +      }
 +      if(sscanf(s, " " ARG_LL "d %u %u %u %u", &ttl, &rr_count, &rrsig_count,
 +              &trust, &security) != 5) {
 +              log_warn("error bad rrset spec %s", s);
 +              return 0;
 +      }
 +      if(rr_count == 0 && rrsig_count == 0) {
 +              log_warn("bad rrset without contents");
 +              return 0;
 +      }
++      if(rr_count > RR_COUNT_MAX || rrsig_count > RR_COUNT_MAX) {
++              log_warn("bad rrset with too many rrs");
++              return 0;
++      }
 +      d->count = (size_t)rr_count;
 +      d->rrsig_count = (size_t)rrsig_count;
 +      d->security = (enum sec_status)security;
 +      d->trust = (enum rrset_trust)trust;
 +      d->ttl = (time_t)ttl + *worker->env.now;
 +
 +      d->rr_len = regional_alloc_zero(region, 
 +              sizeof(size_t)*(d->count+d->rrsig_count));
 +      d->rr_ttl = regional_alloc_zero(region, 
 +              sizeof(time_t)*(d->count+d->rrsig_count));
 +      d->rr_data = regional_alloc_zero(region, 
 +              sizeof(uint8_t*)*(d->count+d->rrsig_count));
 +      if(!d->rr_len || !d->rr_ttl || !d->rr_data) {
 +              log_warn("error out of memory");
 +              return 0;
 +      }
 +      
 +      /* read the rr's themselves */
 +      for(i=0; i<rr_count; i++) {
 +              if(!load_rr(ssl, buf, region, rk, d, i, 0, 
 +                      &go_on, *worker->env.now)) {
 +                      log_warn("could not read rr %u", i);
 +                      return 0;
 +              }
 +      }
 +      for(i=0; i<rrsig_count; i++) {
 +              if(!load_rr(ssl, buf, region, rk, d, i+rr_count, 1, 
 +                      &go_on, *worker->env.now)) {
 +                      log_warn("could not read rrsig %u", i);
 +                      return 0;
 +              }
 +      }
 +      if(!go_on) {
 +              /* skip this entry */
 +              return 1;
 +      }
 +
 +      return move_into_cache(rk, d, worker);
 +}
 +
 +/** load rrset cache */
 +static int
 +load_rrset_cache(SSL* ssl, struct worker* worker)
 +{
 +      sldns_buffer* buf = worker->env.scratch_buffer;
 +      if(!read_fixed(ssl, buf, "START_RRSET_CACHE")) return 0;
 +      while(ssl_read_buf(ssl, buf) && 
 +              strcmp((char*)sldns_buffer_begin(buf), "END_RRSET_CACHE")!=0) {
 +              if(!load_rrset(ssl, buf, worker))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** read qinfo from next three words */
 +static char*
 +load_qinfo(char* str, struct query_info* qinfo, struct regional* region)
 +{
 +      /* s is part of the buf */
 +      char* s = str;
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      size_t rr_len = sizeof(rr), dname_len = 0;
 +      int status;
 +
 +      /* skip three words */
 +      s = strchr(str, ' ');
 +      if(s) s = strchr(s+1, ' ');
 +      if(s) s = strchr(s+1, ' ');
 +      if(!s) {
 +              log_warn("error line too short, %s", str);
 +              return NULL;
 +      }
 +      s[0] = 0;
 +      s++;
 +
 +      /* parse them */
 +      status = sldns_str2wire_rr_question_buf(str, rr, &rr_len, &dname_len,
 +              NULL, 0, NULL, 0);
 +      if(status != 0) {
 +              log_warn("error cannot parse: %s %s",
 +                      sldns_get_errorstr_parse(status), str);
 +              return NULL;
 +      }
 +      qinfo->qtype = sldns_wirerr_get_type(rr, rr_len, dname_len);
 +      qinfo->qclass = sldns_wirerr_get_class(rr, rr_len, dname_len);
 +      qinfo->qname_len = dname_len;
 +      qinfo->qname = (uint8_t*)regional_alloc_init(region, rr, dname_len);
 +      if(!qinfo->qname) {
 +              log_warn("error out of memory");
 +              return NULL;
 +      }
 +
 +      return s;
 +}
 +
 +/** load a msg rrset reference */
 +static int
 +load_ref(SSL* ssl, sldns_buffer* buf, struct worker* worker, 
 +      struct regional *region, struct ub_packed_rrset_key** rrset, 
 +      int* go_on)
 +{
 +      char* s = (char*)sldns_buffer_begin(buf);
 +      struct query_info qinfo;
 +      unsigned int flags;
 +      struct ub_packed_rrset_key* k;
 +
 +      /* read line */
 +      if(!ssl_read_buf(ssl, buf))
 +              return 0;
 +      if(strncmp(s, "BADREF", 6) == 0) {
 +              *go_on = 0; /* its bad, skip it and skip message */
 +              return 1;
 +      }
 +
 +      s = load_qinfo(s, &qinfo, region);
 +      if(!s) {
 +              return 0;
 +      }
 +      if(sscanf(s, " %u", &flags) != 1) {
 +              log_warn("error cannot parse flags: %s", s);
 +              return 0;
 +      }
 +
 +      /* lookup in cache */
 +      k = rrset_cache_lookup(worker->env.rrset_cache, qinfo.qname,
 +              qinfo.qname_len, qinfo.qtype, qinfo.qclass,
 +              (uint32_t)flags, *worker->env.now, 0);
 +      if(!k) {
 +              /* not found or expired */
 +              *go_on = 0;
 +              return 1;
 +      }
 +
 +      /* store in result */
 +      *rrset = packed_rrset_copy_region(k, region, *worker->env.now);
 +      lock_rw_unlock(&k->entry.lock);
 +
 +      return (*rrset != NULL);
 +}
 +
 +/** load a msg entry */
 +static int
 +load_msg(SSL* ssl, sldns_buffer* buf, struct worker* worker)
 +{
 +      struct regional* region = worker->scratchpad;
 +      struct query_info qinf;
 +      struct reply_info rep;
 +      char* s = (char*)sldns_buffer_begin(buf);
 +      unsigned int flags, qdcount, security, an, ns, ar;
 +      long long ttl;
 +      size_t i;
 +      int go_on = 1;
 +
 +      regional_free_all(region);
 +
 +      if(strncmp(s, "msg ", 4) != 0) {
 +              log_warn("error expected msg but got %s", s);
 +              return 0;
 +      }
 +      s += 4;
 +      s = load_qinfo(s, &qinf, region);
 +      if(!s) {
 +              return 0;
 +      }
 +
 +      /* read remainder of line */
 +      if(sscanf(s, " %u %u " ARG_LL "d %u %u %u %u", &flags, &qdcount, &ttl, 
 +              &security, &an, &ns, &ar) != 7) {
 +              log_warn("error cannot parse numbers: %s", s);
 +              return 0;
 +      }
 +      rep.flags = (uint16_t)flags;
 +      rep.qdcount = (uint16_t)qdcount;
 +      rep.ttl = (time_t)ttl;
 +      rep.prefetch_ttl = PREFETCH_TTL_CALC(rep.ttl);
 +      rep.security = (enum sec_status)security;
++      if(an > RR_COUNT_MAX || ns > RR_COUNT_MAX || ar > RR_COUNT_MAX) {
++              log_warn("error too many rrsets");
++              return 0; /* protect against integer overflow in alloc */
++      }
 +      rep.an_numrrsets = (size_t)an;
 +      rep.ns_numrrsets = (size_t)ns;
 +      rep.ar_numrrsets = (size_t)ar;
 +      rep.rrset_count = (size_t)an+(size_t)ns+(size_t)ar;
 +      rep.rrsets = (struct ub_packed_rrset_key**)regional_alloc_zero(
 +              region, sizeof(struct ub_packed_rrset_key*)*rep.rrset_count);
 +
 +      /* fill repinfo with references */
 +      for(i=0; i<rep.rrset_count; i++) {
 +              if(!load_ref(ssl, buf, worker, region, &rep.rrsets[i], 
 +                      &go_on)) {
 +                      return 0;
 +              }
 +      }
 +
 +      if(!go_on) 
 +              return 1; /* skip this one, not all references satisfied */
 +
 +      if(!dns_cache_store(&worker->env, &qinf, &rep, 0, 0, 0, NULL, flags)) {
 +              log_warn("error out of memory");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** load msg cache */
 +static int
 +load_msg_cache(SSL* ssl, struct worker* worker)
 +{
 +      sldns_buffer* buf = worker->env.scratch_buffer;
 +      if(!read_fixed(ssl, buf, "START_MSG_CACHE")) return 0;
 +      while(ssl_read_buf(ssl, buf) && 
 +              strcmp((char*)sldns_buffer_begin(buf), "END_MSG_CACHE")!=0) {
 +              if(!load_msg(ssl, buf, worker))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +int
 +load_cache(SSL* ssl, struct worker* worker)
 +{
 +      if(!load_rrset_cache(ssl, worker))
 +              return 0;
 +      if(!load_msg_cache(ssl, worker))
 +              return 0;
 +      return read_fixed(ssl, worker->env.scratch_buffer, "EOF");
 +}
 +
 +/** print details on a delegation point */
 +static void
 +print_dp_details(SSL* ssl, struct worker* worker, struct delegpt* dp)
 +{
 +      char buf[257];
 +      struct delegpt_addr* a;
 +      int lame, dlame, rlame, rto, edns_vs, to, delay,
 +              tA = 0, tAAAA = 0, tother = 0;
 +      long long entry_ttl;
 +      struct rtt_info ri;
 +      uint8_t edns_lame_known;
 +      for(a = dp->target_list; a; a = a->next_target) {
 +              addr_to_str(&a->addr, a->addrlen, buf, sizeof(buf));
 +              if(!ssl_printf(ssl, "%-16s\t", buf))
 +                      return;
 +              if(a->bogus) {
 +                      if(!ssl_printf(ssl, "Address is BOGUS. ")) 
 +                              return;
 +              }
 +              /* lookup in infra cache */
 +              delay=0;
 +              entry_ttl = infra_get_host_rto(worker->env.infra_cache,
 +                      &a->addr, a->addrlen, dp->name, dp->namelen,
 +                      &ri, &delay, *worker->env.now, &tA, &tAAAA, &tother);
 +              if(entry_ttl == -2 && ri.rto >= USEFUL_SERVER_TOP_TIMEOUT) {
 +                      if(!ssl_printf(ssl, "expired, rto %d msec, tA %d "
 +                              "tAAAA %d tother %d.\n", ri.rto, tA, tAAAA,
 +                              tother))
 +                              return;
 +                      continue;
 +              }
 +              if(entry_ttl == -1 || entry_ttl == -2) {
 +                      if(!ssl_printf(ssl, "not in infra cache.\n"))
 +                              return;
 +                      continue; /* skip stuff not in infra cache */
 +              }
 +
 +              /* uses type_A because most often looked up, but other
 +               * lameness won't be reported then */
 +              if(!infra_get_lame_rtt(worker->env.infra_cache, 
 +                      &a->addr, a->addrlen, dp->name, dp->namelen,
 +                      LDNS_RR_TYPE_A, &lame, &dlame, &rlame, &rto,
 +                      *worker->env.now)) {
 +                      if(!ssl_printf(ssl, "not in infra cache.\n"))
 +                              return;
 +                      continue; /* skip stuff not in infra cache */
 +              }
 +              if(!ssl_printf(ssl, "%s%s%s%srto %d msec, ttl " ARG_LL "d, "
 +                      "ping %d var %d rtt %d, tA %d, tAAAA %d, tother %d",
 +                      lame?"LAME ":"", dlame?"NoDNSSEC ":"",
 +                      a->lame?"AddrWasParentSide ":"",
 +                      rlame?"NoAuthButRecursive ":"", rto, entry_ttl,
 +                      ri.srtt, ri.rttvar, rtt_notimeout(&ri),
 +                      tA, tAAAA, tother))
 +                      return;
 +              if(delay)
 +                      if(!ssl_printf(ssl, ", probedelay %d", delay))
 +                              return;
 +              if(infra_host(worker->env.infra_cache, &a->addr, a->addrlen,
 +                      dp->name, dp->namelen, *worker->env.now, &edns_vs,
 +                      &edns_lame_known, &to)) {
 +                      if(edns_vs == -1) {
 +                              if(!ssl_printf(ssl, ", noEDNS%s.",
 +                                      edns_lame_known?" probed":" assumed"))
 +                                      return;
 +                      } else {
 +                              if(!ssl_printf(ssl, ", EDNS %d%s.", edns_vs,
 +                                      edns_lame_known?" probed":" assumed"))
 +                                      return;
 +                      }
 +              }
 +              if(!ssl_printf(ssl, "\n"))
 +                      return;
 +      }
 +}
 +
 +/** print main dp info */
 +static void
 +print_dp_main(SSL* ssl, struct delegpt* dp, struct dns_msg* msg)
 +{
 +      size_t i, n_ns, n_miss, n_addr, n_res, n_avail;
 +
 +      /* print the dp */
 +      if(msg)
 +          for(i=0; i<msg->rep->rrset_count; i++) {
 +              struct ub_packed_rrset_key* k = msg->rep->rrsets[i];
 +              struct packed_rrset_data* d = 
 +                      (struct packed_rrset_data*)k->entry.data;
 +              if(d->security == sec_status_bogus) {
 +                      if(!ssl_printf(ssl, "Address is BOGUS:\n"))
 +                              return;
 +              }
 +              if(!dump_rrset(ssl, k, d, 0))
 +                      return;
 +          }
 +      delegpt_count_ns(dp, &n_ns, &n_miss);
 +      delegpt_count_addr(dp, &n_addr, &n_res, &n_avail);
 +      /* since dp has not been used by iterator, all are available*/
 +      if(!ssl_printf(ssl, "Delegation with %d names, of which %d "
 +              "can be examined to query further addresses.\n"
 +              "%sIt provides %d IP addresses.\n", 
 +              (int)n_ns, (int)n_miss, (dp->bogus?"It is BOGUS. ":""),
 +              (int)n_addr))
 +              return;
 +}
 +
 +int print_deleg_lookup(SSL* ssl, struct worker* worker, uint8_t* nm,
 +      size_t nmlen, int ATTR_UNUSED(nmlabs))
 +{
 +      /* deep links into the iterator module */
 +      struct delegpt* dp;
 +      struct dns_msg* msg;
 +      struct regional* region = worker->scratchpad;
 +      char b[260];
 +      struct query_info qinfo;
 +      struct iter_hints_stub* stub;
 +      regional_free_all(region);
 +      qinfo.qname = nm;
 +      qinfo.qname_len = nmlen;
 +      qinfo.qtype = LDNS_RR_TYPE_A;
 +      qinfo.qclass = LDNS_RR_CLASS_IN;
 +
 +      dname_str(nm, b);
 +      if(!ssl_printf(ssl, "The following name servers are used for lookup "
 +              "of %s\n", b)) 
 +              return 0;
 +      
 +      dp = forwards_lookup(worker->env.fwds, nm, qinfo.qclass);
 +      if(dp) {
 +              if(!ssl_printf(ssl, "forwarding request:\n"))
 +                      return 0;
 +              print_dp_main(ssl, dp, NULL);
 +              print_dp_details(ssl, worker, dp);
 +              return 1;
 +      }
 +      
 +      while(1) {
 +              dp = dns_cache_find_delegation(&worker->env, nm, nmlen, 
 +                      qinfo.qtype, qinfo.qclass, region, &msg, 
 +                      *worker->env.now);
 +              if(!dp) {
 +                      return ssl_printf(ssl, "no delegation from "
 +                              "cache; goes to configured roots\n");
 +              }
 +              /* go up? */
 +              if(iter_dp_is_useless(&qinfo, BIT_RD, dp)) {
 +                      print_dp_main(ssl, dp, msg);
 +                      print_dp_details(ssl, worker, dp);
 +                      if(!ssl_printf(ssl, "cache delegation was "
 +                              "useless (no IP addresses)\n"))
 +                              return 0;
 +                      if(dname_is_root(nm)) {
 +                              /* goes to root config */
 +                              return ssl_printf(ssl, "no delegation from "
 +                                      "cache; goes to configured roots\n");
 +                      } else {
 +                              /* useless, goes up */
 +                              nm = dp->name;
 +                              nmlen = dp->namelen;
 +                              dname_remove_label(&nm, &nmlen);
 +                              dname_str(nm, b);
 +                              if(!ssl_printf(ssl, "going up, lookup %s\n", b))
 +                                      return 0;
 +                              continue;
 +                      }
 +              } 
 +              stub = hints_lookup_stub(worker->env.hints, nm, qinfo.qclass,
 +                      dp);
 +              if(stub) {
 +                      if(stub->noprime) {
 +                              if(!ssl_printf(ssl, "The noprime stub servers "
 +                                      "are used:\n"))
 +                                      return 0;
 +                      } else {
 +                              if(!ssl_printf(ssl, "The stub is primed "
 +                                              "with servers:\n"))
 +                                      return 0;
 +                      }
 +                      print_dp_main(ssl, stub->dp, NULL);
 +                      print_dp_details(ssl, worker, stub->dp);
 +              } else {
 +                      print_dp_main(ssl, dp, msg);
 +                      print_dp_details(ssl, worker, dp);
 +              }
 +              break;
 +      }
 +
 +      return 1;
 +}
diff --cc contrib/unbound/daemon/daemon.c
index f693a0285a2cf27664c44f54da5b32ec45543b10,0000000000000000000000000000000000000000..0cd37ae8231c10a1905e86159de4da8760a24706
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/daemon.c
--- /dev/null
+++ b/contrib/unbound/daemon/daemon.c
@@@ -1,693 -1,0 +1,693 @@@
- #include "ldns/keyraw.h"
 +/*
 + * daemon/daemon.c - collection of workers that handles requests.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * The daemon consists of global settings and a number of workers.
 + */
 +
 +#include "config.h"
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <sys/time.h>
 +
 +#ifdef HAVE_NSS
 +/* nss3 */
 +#include "nss.h"
 +#endif
 +
 +#include "daemon/daemon.h"
 +#include "daemon/worker.h"
 +#include "daemon/remote.h"
 +#include "daemon/acl_list.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/data/msgreply.h"
 +#include "util/storage/lookup3.h"
 +#include "util/storage/slabhash.h"
 +#include "services/listen_dnsport.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/infra.h"
 +#include "services/localzone.h"
 +#include "services/modstack.h"
 +#include "util/module.h"
 +#include "util/random.h"
 +#include "util/tube.h"
 +#include "util/net_help.h"
++#include "sldns/keyraw.h"
 +#include <signal.h>
 +
 +/** How many quit requests happened. */
 +static int sig_record_quit = 0;
 +/** How many reload requests happened. */
 +static int sig_record_reload = 0;
 +
 +#if HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS
 +/** cleaner ssl memory freeup */
 +static void* comp_meth = NULL;
 +#endif
 +#ifdef LEX_HAS_YYLEX_DESTROY
 +/** remove buffers for parsing and init */
 +int ub_c_lex_destroy(void);
 +#endif
 +
 +/** used when no other sighandling happens, so we don't die
 +  * when multiple signals in quick succession are sent to us. 
 +  * @param sig: signal number.
 +  * @return signal handler return type (void or int).
 +  */
 +static RETSIGTYPE record_sigh(int sig)
 +{
 +#ifdef LIBEVENT_SIGNAL_PROBLEM
 +      /* cannot log, verbose here because locks may be held */
 +      /* quit on signal, no cleanup and statistics, 
 +         because installed libevent version is not threadsafe */
 +      exit(0);
 +#endif 
 +      switch(sig)
 +      {
 +              case SIGTERM:
 +#ifdef SIGQUIT
 +              case SIGQUIT:
 +#endif
 +#ifdef SIGBREAK
 +              case SIGBREAK:
 +#endif
 +              case SIGINT:
 +                      sig_record_quit++;
 +                      break;
 +#ifdef SIGHUP
 +              case SIGHUP:
 +                      sig_record_reload++;
 +                      break;
 +#endif
 +#ifdef SIGPIPE
 +              case SIGPIPE:
 +                      break;
 +#endif
 +              default:
 +                      /* ignoring signal */
 +                      break;
 +      }
 +}
 +
 +/** 
 + * Signal handling during the time when netevent is disabled.
 + * Stores signals to replay later.
 + */
 +static void
 +signal_handling_record(void)
 +{
 +      if( signal(SIGTERM, record_sigh) == SIG_ERR ||
 +#ifdef SIGQUIT
 +              signal(SIGQUIT, record_sigh) == SIG_ERR ||
 +#endif
 +#ifdef SIGBREAK
 +              signal(SIGBREAK, record_sigh) == SIG_ERR ||
 +#endif
 +#ifdef SIGHUP
 +              signal(SIGHUP, record_sigh) == SIG_ERR ||
 +#endif
 +#ifdef SIGPIPE
 +              signal(SIGPIPE, SIG_IGN) == SIG_ERR ||
 +#endif
 +              signal(SIGINT, record_sigh) == SIG_ERR
 +              )
 +              log_err("install sighandler: %s", strerror(errno));
 +}
 +
 +/**
 + * Replay old signals.
 + * @param wrk: worker that handles signals.
 + */
 +static void
 +signal_handling_playback(struct worker* wrk)
 +{
 +#ifdef SIGHUP
 +      if(sig_record_reload)
 +              worker_sighandler(SIGHUP, wrk);
 +#endif
 +      if(sig_record_quit)
 +              worker_sighandler(SIGTERM, wrk);
 +      sig_record_quit = 0;
 +      sig_record_reload = 0;
 +}
 +
 +struct daemon* 
 +daemon_init(void)
 +{
 +      struct daemon* daemon = (struct daemon*)calloc(1, 
 +              sizeof(struct daemon));
 +#ifdef USE_WINSOCK
 +      int r;
 +      WSADATA wsa_data;
 +#endif
 +      if(!daemon)
 +              return NULL;
 +#ifdef USE_WINSOCK
 +      r = WSAStartup(MAKEWORD(2,2), &wsa_data);
 +      if(r != 0) {
 +              fatal_exit("could not init winsock. WSAStartup: %s",
 +                      wsa_strerror(r));
 +      }
 +#endif /* USE_WINSOCK */
 +      signal_handling_record();
 +      checklock_start();
 +#ifdef HAVE_SSL
 +      ERR_load_crypto_strings();
 +      ERR_load_SSL_strings();
 +#  ifdef HAVE_OPENSSL_CONFIG
 +      OPENSSL_config("unbound");
 +#  endif
 +#  ifdef USE_GOST
 +      (void)sldns_key_EVP_load_gost_id();
 +#  endif
 +      OpenSSL_add_all_algorithms();
 +#  if HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS
 +      /* grab the COMP method ptr because openssl leaks it */
 +      comp_meth = (void*)SSL_COMP_get_compression_methods();
 +#  endif
 +      (void)SSL_library_init();
 +#  if defined(HAVE_SSL) && defined(OPENSSL_THREADS) && !defined(THREADS_DISABLED)
 +      if(!ub_openssl_lock_init())
 +              fatal_exit("could not init openssl locks");
 +#  endif
 +#elif defined(HAVE_NSS)
 +      if(NSS_NoDB_Init(NULL) != SECSuccess)
 +              fatal_exit("could not init NSS");
 +#endif /* HAVE_SSL or HAVE_NSS */
 +#ifdef HAVE_TZSET
 +      /* init timezone info while we are not chrooted yet */
 +      tzset();
 +#endif
 +      /* open /dev/random if needed */
 +      ub_systemseed((unsigned)time(NULL)^(unsigned)getpid()^0xe67);
 +      daemon->need_to_exit = 0;
 +      modstack_init(&daemon->mods);
 +      if(!(daemon->env = (struct module_env*)calloc(1, 
 +              sizeof(*daemon->env)))) {
 +              free(daemon);
 +              return NULL;
 +      }
 +      alloc_init(&daemon->superalloc, NULL, 0);
 +      daemon->acl = acl_list_create();
 +      if(!daemon->acl) {
 +              free(daemon->env);
 +              free(daemon);
 +              return NULL;
 +      }
 +      if(gettimeofday(&daemon->time_boot, NULL) < 0)
 +              log_err("gettimeofday: %s", strerror(errno));
 +      daemon->time_last_stat = daemon->time_boot;
 +      return daemon;  
 +}
 +
 +int 
 +daemon_open_shared_ports(struct daemon* daemon)
 +{
 +      log_assert(daemon);
 +      if(daemon->cfg->port != daemon->listening_port) {
 +              size_t i;
 +              struct listen_port* p0;
 +              daemon->reuseport = 0;
 +              /* free and close old ports */
 +              if(daemon->ports != NULL) {
 +                      for(i=0; i<daemon->num_ports; i++)
 +                              listening_ports_free(daemon->ports[i]);
 +                      free(daemon->ports);
 +                      daemon->ports = NULL;
 +              }
 +              /* see if we want to reuseport */
 +#ifdef SO_REUSEPORT
 +              if(daemon->cfg->so_reuseport && daemon->cfg->num_threads > 0)
 +                      daemon->reuseport = 1;
 +#endif
 +              /* try to use reuseport */
 +              p0 = listening_ports_open(daemon->cfg, &daemon->reuseport);
 +              if(!p0) {
 +                      listening_ports_free(p0);
 +                      return 0;
 +              }
 +              if(daemon->reuseport) {
 +                      /* reuseport was successful, allocate for it */
 +                      daemon->num_ports = (size_t)daemon->cfg->num_threads;
 +              } else {
 +                      /* do the normal, singleportslist thing,
 +                       * reuseport not enabled or did not work */
 +                      daemon->num_ports = 1;
 +              }
 +              if(!(daemon->ports = (struct listen_port**)calloc(
 +                      daemon->num_ports, sizeof(*daemon->ports)))) {
 +                      listening_ports_free(p0);
 +                      return 0;
 +              }
 +              daemon->ports[0] = p0;
 +              if(daemon->reuseport) {
 +                      /* continue to use reuseport */
 +                      for(i=1; i<daemon->num_ports; i++) {
 +                              if(!(daemon->ports[i]=
 +                                      listening_ports_open(daemon->cfg,
 +                                              &daemon->reuseport))
 +                                      || !daemon->reuseport ) {
 +                                      for(i=0; i<daemon->num_ports; i++)
 +                                              listening_ports_free(daemon->ports[i]);
 +                                      free(daemon->ports);
 +                                      daemon->ports = NULL;
 +                                      return 0;
 +                              }
 +                      }
 +              }
 +              daemon->listening_port = daemon->cfg->port;
 +      }
 +      if(!daemon->cfg->remote_control_enable && daemon->rc_port) {
 +              listening_ports_free(daemon->rc_ports);
 +              daemon->rc_ports = NULL;
 +              daemon->rc_port = 0;
 +      }
 +      if(daemon->cfg->remote_control_enable && 
 +              daemon->cfg->control_port != daemon->rc_port) {
 +              listening_ports_free(daemon->rc_ports);
 +              if(!(daemon->rc_ports=daemon_remote_open_ports(daemon->cfg)))
 +                      return 0;
 +              daemon->rc_port = daemon->cfg->control_port;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Setup modules. setup module stack.
 + * @param daemon: the daemon
 + */
 +static void daemon_setup_modules(struct daemon* daemon)
 +{
 +      daemon->env->cfg = daemon->cfg;
 +      daemon->env->alloc = &daemon->superalloc;
 +      daemon->env->worker = NULL;
 +      daemon->env->need_to_validate = 0; /* set by module init below */
 +      if(!modstack_setup(&daemon->mods, daemon->cfg->module_conf, 
 +              daemon->env)) {
 +              fatal_exit("failed to setup modules");
 +      }
 +}
 +
 +/**
 + * Obtain allowed port numbers, concatenate the list, and shuffle them
 + * (ready to be handed out to threads).
 + * @param daemon: the daemon. Uses rand and cfg.
 + * @param shufport: the portlist output.
 + * @return number of ports available.
 + */
 +static int daemon_get_shufport(struct daemon* daemon, int* shufport)
 +{
 +      int i, n, k, temp;
 +      int avail = 0;
 +      for(i=0; i<65536; i++) {
 +              if(daemon->cfg->outgoing_avail_ports[i]) {
 +                      shufport[avail++] = daemon->cfg->
 +                              outgoing_avail_ports[i];
 +              }
 +      }
 +      if(avail == 0)
 +              fatal_exit("no ports are permitted for UDP, add "
 +                      "with outgoing-port-permit");
 +        /* Knuth shuffle */
 +      n = avail;
 +      while(--n > 0) {
 +              k = ub_random_max(daemon->rand, n+1); /* 0<= k<= n */
 +              temp = shufport[k];
 +              shufport[k] = shufport[n];
 +              shufport[n] = temp;
 +      }
 +      return avail;
 +}
 +
 +/**
 + * Allocate empty worker structures. With backptr and thread-number,
 + * from 0..numthread initialised. Used as user arguments to new threads.
 + * Creates the daemon random generator if it does not exist yet.
 + * The random generator stays existing between reloads with a unique state.
 + * @param daemon: the daemon with (new) config settings.
 + */
 +static void 
 +daemon_create_workers(struct daemon* daemon)
 +{
 +      int i, numport;
 +      int* shufport;
 +      log_assert(daemon && daemon->cfg);
 +      if(!daemon->rand) {
 +              unsigned int seed = (unsigned int)time(NULL) ^ 
 +                      (unsigned int)getpid() ^ 0x438;
 +              daemon->rand = ub_initstate(seed, NULL);
 +              if(!daemon->rand)
 +                      fatal_exit("could not init random generator");
 +      }
 +      hash_set_raninit((uint32_t)ub_random(daemon->rand));
 +      shufport = (int*)calloc(65536, sizeof(int));
 +      if(!shufport)
 +              fatal_exit("out of memory during daemon init");
 +      numport = daemon_get_shufport(daemon, shufport);
 +      verbose(VERB_ALGO, "total of %d outgoing ports available", numport);
 +      
 +      daemon->num = (daemon->cfg->num_threads?daemon->cfg->num_threads:1);
 +      daemon->workers = (struct worker**)calloc((size_t)daemon->num, 
 +              sizeof(struct worker*));
 +      if(daemon->cfg->dnstap) {
 +#ifdef USE_DNSTAP
 +              daemon->dtenv = dt_create(daemon->cfg->dnstap_socket_path,
 +                      (unsigned int)daemon->num);
 +              if (!daemon->dtenv)
 +                      fatal_exit("dt_create failed");
 +              dt_apply_cfg(daemon->dtenv, daemon->cfg);
 +#else
 +              fatal_exit("dnstap enabled in config but not built with dnstap support");
 +#endif
 +      }
 +      for(i=0; i<daemon->num; i++) {
 +              if(!(daemon->workers[i] = worker_create(daemon, i,
 +                      shufport+numport*i/daemon->num, 
 +                      numport*(i+1)/daemon->num - numport*i/daemon->num)))
 +                      /* the above is not ports/numthr, due to rounding */
 +                      fatal_exit("could not create worker");
 +      }
 +      free(shufport);
 +}
 +
 +#ifdef THREADS_DISABLED
 +/**
 + * Close all pipes except for the numbered thread.
 + * @param daemon: daemon to close pipes in.
 + * @param thr: thread number 0..num-1 of thread to skip.
 + */
 +static void close_other_pipes(struct daemon* daemon, int thr)
 +{
 +      int i;
 +      for(i=0; i<daemon->num; i++)
 +              if(i!=thr) {
 +                      if(i==0) {
 +                              /* only close read part, need to write stats */
 +                              tube_close_read(daemon->workers[i]->cmd);
 +                      } else {
 +                              /* complete close channel to others */
 +                              tube_delete(daemon->workers[i]->cmd);
 +                              daemon->workers[i]->cmd = NULL;
 +                      }
 +              }
 +}
 +#endif /* THREADS_DISABLED */
 +
 +/**
 + * Function to start one thread. 
 + * @param arg: user argument.
 + * @return: void* user return value could be used for thread_join results.
 + */
 +static void* 
 +thread_start(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      int port_num = 0;
 +      log_thread_set(&worker->thread_num);
 +      ub_thread_blocksigs();
 +#ifdef THREADS_DISABLED
 +      /* close pipe ends used by main */
 +      tube_close_write(worker->cmd);
 +      close_other_pipes(worker->daemon, worker->thread_num);
 +#endif
 +#ifdef SO_REUSEPORT
 +      if(worker->daemon->cfg->so_reuseport)
 +              port_num = worker->thread_num;
 +      else
 +              port_num = 0;
 +#endif
 +      if(!worker_init(worker, worker->daemon->cfg,
 +                      worker->daemon->ports[port_num], 0))
 +              fatal_exit("Could not initialize thread");
 +
 +      worker_work(worker);
 +      return NULL;
 +}
 +
 +/**
 + * Fork and init the other threads. Main thread returns for special handling.
 + * @param daemon: the daemon with other threads to fork.
 + */
 +static void
 +daemon_start_others(struct daemon* daemon)
 +{
 +      int i;
 +      log_assert(daemon);
 +      verbose(VERB_ALGO, "start threads");
 +      /* skip i=0, is this thread */
 +      for(i=1; i<daemon->num; i++) {
 +              ub_thread_create(&daemon->workers[i]->thr_id,
 +                      thread_start, daemon->workers[i]);
 +#ifdef THREADS_DISABLED
 +              /* close pipe end of child */
 +              tube_close_read(daemon->workers[i]->cmd);
 +#endif /* no threads */
 +      }
 +}
 +
 +/**
 + * Stop the other threads.
 + * @param daemon: the daemon with other threads.
 + */
 +static void
 +daemon_stop_others(struct daemon* daemon)
 +{
 +      int i;
 +      log_assert(daemon);
 +      verbose(VERB_ALGO, "stop threads");
 +      /* skip i=0, is this thread */
 +      /* use i=0 buffer for sending cmds; because we are #0 */
 +      for(i=1; i<daemon->num; i++) {
 +              worker_send_cmd(daemon->workers[i], worker_cmd_quit);
 +      }
 +      /* wait for them to quit */
 +      for(i=1; i<daemon->num; i++) {
 +              /* join it to make sure its dead */
 +              verbose(VERB_ALGO, "join %d", i);
 +              ub_thread_join(daemon->workers[i]->thr_id);
 +              verbose(VERB_ALGO, "join success %d", i);
 +      }
 +}
 +
 +void 
 +daemon_fork(struct daemon* daemon)
 +{
 +      log_assert(daemon);
 +      if(!acl_list_apply_cfg(daemon->acl, daemon->cfg))
 +              fatal_exit("Could not setup access control list");
 +      if(!(daemon->local_zones = local_zones_create()))
 +              fatal_exit("Could not create local zones: out of memory");
 +      if(!local_zones_apply_cfg(daemon->local_zones, daemon->cfg))
 +              fatal_exit("Could not set up local zones");
 +
 +      /* setup modules */
 +      daemon_setup_modules(daemon);
 +
 +      /* first create all the worker structures, so we can pass
 +       * them to the newly created threads. 
 +       */
 +      daemon_create_workers(daemon);
 +
 +#if defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)
 +      /* in libev the first inited base gets signals */
 +      if(!worker_init(daemon->workers[0], daemon->cfg, daemon->ports[0], 1))
 +              fatal_exit("Could not initialize main thread");
 +#endif
 +      
 +      /* Now create the threads and init the workers.
 +       * By the way, this is thread #0 (the main thread).
 +       */
 +      daemon_start_others(daemon);
 +
 +      /* Special handling for the main thread. This is the thread
 +       * that handles signals and remote control.
 +       */
 +#if !(defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP))
 +      /* libevent has the last inited base get signals (or any base) */
 +      if(!worker_init(daemon->workers[0], daemon->cfg, daemon->ports[0], 1))
 +              fatal_exit("Could not initialize main thread");
 +#endif
 +      signal_handling_playback(daemon->workers[0]);
 +
 +      /* Start resolver service on main thread. */
 +      log_info("start of service (%s).", PACKAGE_STRING);
 +      worker_work(daemon->workers[0]);
 +      log_info("service stopped (%s).", PACKAGE_STRING);
 +
 +      /* we exited! a signal happened! Stop other threads */
 +      daemon_stop_others(daemon);
 +
 +      daemon->need_to_exit = daemon->workers[0]->need_to_exit;
 +}
 +
 +void 
 +daemon_cleanup(struct daemon* daemon)
 +{
 +      int i;
 +      log_assert(daemon);
 +      /* before stopping main worker, handle signals ourselves, so we
 +         don't die on multiple reload signals for example. */
 +      signal_handling_record();
 +      log_thread_set(NULL);
 +      /* clean up caches because
 +       * a) RRset IDs will be recycled after a reload, causing collisions
 +       * b) validation config can change, thus rrset, msg, keycache clear 
 +       * The infra cache is kept, the timing and edns info is still valid */
 +      slabhash_clear(&daemon->env->rrset_cache->table);
 +      slabhash_clear(daemon->env->msg_cache);
 +      local_zones_delete(daemon->local_zones);
 +      daemon->local_zones = NULL;
 +      /* key cache is cleared by module desetup during next daemon_init() */
 +      daemon_remote_clear(daemon->rc);
 +      for(i=0; i<daemon->num; i++)
 +              worker_delete(daemon->workers[i]);
 +      free(daemon->workers);
 +      daemon->workers = NULL;
 +      daemon->num = 0;
 +#ifdef USE_DNSTAP
 +      dt_delete(daemon->dtenv);
 +#endif
 +      daemon->cfg = NULL;
 +}
 +
 +void 
 +daemon_delete(struct daemon* daemon)
 +{
 +      size_t i;
 +      if(!daemon)
 +              return;
 +      modstack_desetup(&daemon->mods, daemon->env);
 +      daemon_remote_delete(daemon->rc);
 +      for(i = 0; i < daemon->num_ports; i++)
 +              listening_ports_free(daemon->ports[i]);
 +      free(daemon->ports);
 +      listening_ports_free(daemon->rc_ports);
 +      if(daemon->env) {
 +              slabhash_delete(daemon->env->msg_cache);
 +              rrset_cache_delete(daemon->env->rrset_cache);
 +              infra_delete(daemon->env->infra_cache);
 +      }
 +      ub_randfree(daemon->rand);
 +      alloc_clear(&daemon->superalloc);
 +      acl_list_delete(daemon->acl);
 +      free(daemon->chroot);
 +      free(daemon->pidfile);
 +      free(daemon->env);
 +#ifdef HAVE_SSL
 +      SSL_CTX_free((SSL_CTX*)daemon->listen_sslctx);
 +      SSL_CTX_free((SSL_CTX*)daemon->connect_sslctx);
 +#endif
 +      free(daemon);
 +#ifdef LEX_HAS_YYLEX_DESTROY
 +      /* lex cleanup */
 +      ub_c_lex_destroy();
 +#endif
 +      /* libcrypto cleanup */
 +#ifdef HAVE_SSL
 +#  if defined(USE_GOST) && defined(HAVE_LDNS_KEY_EVP_UNLOAD_GOST)
 +      sldns_key_EVP_unload_gost();
 +#  endif
 +#  if HAVE_DECL_SSL_COMP_GET_COMPRESSION_METHODS && HAVE_DECL_SK_SSL_COMP_POP_FREE
 +#    ifndef S_SPLINT_S
 +      sk_SSL_COMP_pop_free(comp_meth, (void(*)())CRYPTO_free);
 +#    endif
 +#  endif
 +#  ifdef HAVE_OPENSSL_CONFIG
 +      EVP_cleanup();
 +      ENGINE_cleanup();
 +      CONF_modules_free();
 +#  endif
 +      CRYPTO_cleanup_all_ex_data(); /* safe, no more threads right now */
 +      ERR_remove_state(0);
 +      ERR_free_strings();
 +      RAND_cleanup();
 +#  if defined(HAVE_SSL) && defined(OPENSSL_THREADS) && !defined(THREADS_DISABLED)
 +      ub_openssl_lock_delete();
 +#  endif
 +#elif defined(HAVE_NSS)
 +      NSS_Shutdown();
 +#endif /* HAVE_SSL or HAVE_NSS */
 +      checklock_stop();
 +#ifdef USE_WINSOCK
 +      if(WSACleanup() != 0) {
 +              log_err("Could not WSACleanup: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +      }
 +#endif
 +}
 +
 +void daemon_apply_cfg(struct daemon* daemon, struct config_file* cfg)
 +{
 +        daemon->cfg = cfg;
 +      config_apply(cfg);
 +      if(!daemon->env->msg_cache ||
 +         cfg->msg_cache_size != slabhash_get_size(daemon->env->msg_cache) ||
 +         cfg->msg_cache_slabs != daemon->env->msg_cache->size) {
 +              slabhash_delete(daemon->env->msg_cache);
 +              daemon->env->msg_cache = slabhash_create(cfg->msg_cache_slabs,
 +                      HASH_DEFAULT_STARTARRAY, cfg->msg_cache_size,
 +                      msgreply_sizefunc, query_info_compare,
 +                      query_entry_delete, reply_info_delete, NULL);
 +              if(!daemon->env->msg_cache) {
 +                      fatal_exit("malloc failure updating config settings");
 +              }
 +      }
 +      if((daemon->env->rrset_cache = rrset_cache_adjust(
 +              daemon->env->rrset_cache, cfg, &daemon->superalloc)) == 0)
 +              fatal_exit("malloc failure updating config settings");
 +      if((daemon->env->infra_cache = infra_adjust(daemon->env->infra_cache,
 +              cfg))==0)
 +              fatal_exit("malloc failure updating config settings");
 +}
diff --cc contrib/unbound/daemon/remote.c
index 3ce55ee7ea1a245640f6b501e774f876816ce60e,0000000000000000000000000000000000000000..93d0eda28b86387ad513c221f093f11e9fad4a02
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/remote.c
--- /dev/null
+++ b/contrib/unbound/daemon/remote.c
@@@ -1,2546 -1,0 +1,2629 @@@
- #include "ldns/str2wire.h"
- #include "ldns/parseutil.h"
- #include "ldns/wire2str.h"
- #include "ldns/sbuffer.h"
 +/*
 + * daemon/remote.c - remote control for the unbound daemon.
 + *
 + * Copyright (c) 2008, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the remote control functionality for the daemon.
 + * The remote control can be performed using either the commandline
 + * unbound-control tool, or a TLS capable web browser. 
 + * The channel is secured using TLSv1, and certificates.
 + * Both the server and the client(control tool) have their own keys.
 + */
 +#include "config.h"
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +#ifndef HEADER_DH_H
 +#include <openssl/dh.h>
 +#endif
 +
 +#include <ctype.h>
 +#include "daemon/remote.h"
 +#include "daemon/worker.h"
 +#include "daemon/daemon.h"
 +#include "daemon/stats.h"
 +#include "daemon/cachedump.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +#include "util/module.h"
 +#include "services/listen_dnsport.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/infra.h"
 +#include "services/mesh.h"
 +#include "services/localzone.h"
 +#include "util/storage/slabhash.h"
 +#include "util/fptr_wlist.h"
 +#include "util/data/dname.h"
 +#include "validator/validator.h"
 +#include "validator/val_kcache.h"
 +#include "validator/val_kentry.h"
 +#include "validator/val_anchor.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_hints.h"
 +#include "iterator/iter_delegpt.h"
 +#include "services/outbound_list.h"
 +#include "services/outside_network.h"
-  * the command : "openssl dhparam -dsaparam -C 512"
++#include "sldns/str2wire.h"
++#include "sldns/parseutil.h"
++#include "sldns/wire2str.h"
++#include "sldns/sbuffer.h"
 +
 +#ifdef HAVE_SYS_TYPES_H
 +#  include <sys/types.h>
 +#endif
 +#ifdef HAVE_SYS_STAT_H
 +#include <sys/stat.h>
 +#endif
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +
 +/* just for portability */
 +#ifdef SQ
 +#undef SQ
 +#endif
 +
 +/** what to put on statistics lines between var and value, ": " or "=" */
 +#define SQ "="
 +/** if true, inhibits a lot of =0 lines from the stats output */
 +static const int inhibit_zero = 1;
 +
 +/** subtract timers and the values do not overflow or become negative */
 +static void
 +timeval_subtract(struct timeval* d, const struct timeval* end, 
 +      const struct timeval* start)
 +{
 +#ifndef S_SPLINT_S
 +      time_t end_usec = end->tv_usec;
 +      d->tv_sec = end->tv_sec - start->tv_sec;
 +      if(end_usec < start->tv_usec) {
 +              end_usec += 1000000;
 +              d->tv_sec--;
 +      }
 +      d->tv_usec = end_usec - start->tv_usec;
 +#endif
 +}
 +
 +/** divide sum of timers to get average */
 +static void
 +timeval_divide(struct timeval* avg, const struct timeval* sum, size_t d)
 +{
 +#ifndef S_SPLINT_S
 +      size_t leftover;
 +      if(d == 0) {
 +              avg->tv_sec = 0;
 +              avg->tv_usec = 0;
 +              return;
 +      }
 +      avg->tv_sec = sum->tv_sec / d;
 +      avg->tv_usec = sum->tv_usec / d;
 +      /* handle fraction from seconds divide */
 +      leftover = sum->tv_sec - avg->tv_sec*d;
 +      avg->tv_usec += (leftover*1000000)/d;
 +#endif
 +}
 +
 +/*
 + * The following function was generated using the openssl utility, using
- DH *get_dh512()
- {
-       static unsigned char dh512_p[]={
-               0xC9,0xD7,0x05,0xDA,0x5F,0xAB,0x14,0xE8,0x11,0x56,0x77,0x85,
-               0xB1,0x24,0x2C,0x95,0x60,0xEA,0xE2,0x10,0x6F,0x0F,0x84,0xEC,
-               0xF4,0x45,0xE8,0x90,0x7A,0xA7,0x03,0xFF,0x5B,0x88,0x53,0xDE,
-               0xC4,0xDE,0xBC,0x42,0x78,0x71,0x23,0x7E,0x24,0xA5,0x5E,0x4E,
-               0xEF,0x6F,0xFF,0x5F,0xAF,0xBE,0x8A,0x77,0x62,0xB4,0x65,0x82,
-               0x7E,0xC9,0xED,0x2F,
-       };
-       static unsigned char dh512_g[]={
-               0x8D,0x3A,0x52,0xBC,0x8A,0x71,0x94,0x33,0x2F,0xE1,0xE8,0x4C,
-               0x73,0x47,0x03,0x4E,0x7D,0x40,0xE5,0x84,0xA0,0xB5,0x6D,0x10,
-               0x6F,0x90,0x43,0x05,0x1A,0xF9,0x0B,0x6A,0xD1,0x2A,0x9C,0x25,
-               0x0A,0xB9,0xD1,0x14,0xDC,0x35,0x1C,0x48,0x7C,0xC6,0x0C,0x6D,
-               0x32,0x1D,0xD3,0xC8,0x10,0xA8,0x82,0x14,0xA2,0x1C,0xF4,0x53,
-               0x23,0x3B,0x1C,0xB9,
-       };
++ * the command : "openssl dhparam -dsaparam -C 1024"
++ * (some openssl versions reject DH that is 'too small', eg. 512).
 + */
 +#ifndef S_SPLINT_S
-       dh->p=BN_bin2bn(dh512_p,sizeof(dh512_p),NULL);
-       dh->g=BN_bin2bn(dh512_g,sizeof(dh512_g),NULL);
++DH *get_dh1024()
++{
++      static unsigned char dh1024_p[]={
++              0xB3,0x67,0x2E,0x3B,0x68,0xC5,0xDA,0x58,0x46,0xD6,0x2B,0xD3,
++              0x41,0x78,0x97,0xE4,0xE1,0x61,0x71,0x68,0xE6,0x0F,0x1D,0x78,
++              0x05,0xAA,0xF0,0xFF,0x30,0xDF,0xAC,0x49,0x7F,0xE0,0x90,0xFE,
++              0xB9,0x56,0x4E,0x3F,0xE2,0x98,0x8A,0xED,0xF5,0x28,0x39,0xEF,
++              0x2E,0xA6,0xB7,0x67,0xB2,0x43,0xE4,0x53,0xF8,0xEB,0x2C,0x1F,
++              0x06,0x77,0x3A,0x6F,0x62,0x98,0xC1,0x3B,0xF7,0xBA,0x4D,0x93,
++              0xF7,0xEB,0x5A,0xAD,0xC5,0x5F,0xF0,0xB7,0x24,0x35,0x81,0xF7,
++              0x7F,0x1F,0x24,0xC0,0xDF,0xD3,0xD8,0x40,0x72,0x7E,0xF3,0x19,
++              0x2B,0x26,0x27,0xF4,0xB6,0xB3,0xD4,0x7D,0x08,0x23,0xBE,0x68,
++              0x2B,0xCA,0xB4,0x46,0xA8,0x9E,0xDD,0x6C,0x3D,0x75,0xA6,0x48,
++              0xF7,0x44,0x43,0xBF,0x91,0xC2,0xB4,0x49,
++              };
++      static unsigned char dh1024_g[]={
++              0x5F,0x37,0xB5,0x80,0x4D,0xB4,0xC4,0xB2,0x37,0x12,0xD5,0x2F,
++              0x56,0x81,0xB0,0xDF,0x3D,0x27,0xA2,0x54,0xE7,0x14,0x65,0x2D,
++              0x72,0xA8,0x97,0xE0,0xA9,0x4A,0x09,0x5E,0x89,0xBE,0x34,0x9A,
++              0x90,0x98,0xC1,0xE8,0xBB,0x01,0x2B,0xC2,0x74,0x74,0x90,0x59,
++              0x0B,0x72,0x62,0x5C,0xFD,0x49,0x63,0x4B,0x38,0x91,0xF1,0x7F,
++              0x13,0x25,0xEB,0x52,0x50,0x47,0xA2,0x8C,0x32,0x28,0x42,0xAC,
++              0xBD,0x7A,0xCC,0x58,0xBE,0x36,0xDA,0x6A,0x24,0x06,0xC7,0xF1,
++              0xDA,0x8D,0x8A,0x3B,0x03,0xFA,0x6F,0x25,0xE5,0x20,0xA7,0xD6,
++              0x6F,0x74,0x61,0x53,0x14,0x81,0x29,0x04,0xB5,0x61,0x12,0x53,
++              0xA3,0xD6,0x09,0x98,0x0C,0x8F,0x1C,0xBB,0xD7,0x1C,0x2C,0xEE,
++              0x56,0x4B,0x74,0x8F,0x4A,0xF8,0xA9,0xD5,
++              };
 +      DH *dh;
 +
 +      if ((dh=DH_new()) == NULL) return(NULL);
-       { DH_free(dh); return(NULL); }
++      dh->p=BN_bin2bn(dh1024_p,sizeof(dh1024_p),NULL);
++      dh->g=BN_bin2bn(dh1024_g,sizeof(dh1024_g),NULL);
 +      if ((dh->p == NULL) || (dh->g == NULL))
-               if(!SSL_CTX_set_tmp_dh(rc->ctx,get_dh512())) {
++              { DH_free(dh); return(NULL); }
 +      dh->length = 160;
 +      return(dh);
 +}
 +#endif /* SPLINT */
 +
 +struct daemon_remote*
 +daemon_remote_create(struct config_file* cfg)
 +{
 +      char* s_cert;
 +      char* s_key;
 +      struct daemon_remote* rc = (struct daemon_remote*)calloc(1, 
 +              sizeof(*rc));
 +      if(!rc) {
 +              log_err("out of memory in daemon_remote_create");
 +              return NULL;
 +      }
 +      rc->max_active = 10;
 +
 +      if(!cfg->remote_control_enable) {
 +              rc->ctx = NULL;
 +              return rc;
 +      }
 +      rc->ctx = SSL_CTX_new(SSLv23_server_method());
 +      if(!rc->ctx) {
 +              log_crypto_err("could not SSL_CTX_new");
 +              free(rc);
 +              return NULL;
 +      }
 +      /* no SSLv2, SSLv3 because has defects */
 +      if(!(SSL_CTX_set_options(rc->ctx, SSL_OP_NO_SSLv2) & SSL_OP_NO_SSLv2)){
 +              log_crypto_err("could not set SSL_OP_NO_SSLv2");
 +              daemon_remote_delete(rc);
 +              return NULL;
 +      }
 +      if(!(SSL_CTX_set_options(rc->ctx, SSL_OP_NO_SSLv3) & SSL_OP_NO_SSLv3)){
 +              log_crypto_err("could not set SSL_OP_NO_SSLv3");
 +              daemon_remote_delete(rc);
 +              return NULL;
 +      }
 +
 +      if (cfg->remote_control_use_cert == 0) {
 +              /* No certificates are requested */
 +              if(!SSL_CTX_set_cipher_list(rc->ctx, "aNULL")) {
 +                      log_crypto_err("Failed to set aNULL cipher list");
 +                      return NULL;
 +              }
 +
 +              /* Since we have no certificates and hence no source of
 +               * DH params, let's generate and set them
 +               */
-               fd = create_tcp_accept_sock(res, 1, &noproto, 0);
++              if(!SSL_CTX_set_tmp_dh(rc->ctx,get_dh1024())) {
 +                      log_crypto_err("Wanted to set DH param, but failed");
 +                      return NULL;
 +              }
 +              return rc;
 +      }
 +      rc->use_cert = 1;
 +      s_cert = fname_after_chroot(cfg->server_cert_file, cfg, 1);
 +      s_key = fname_after_chroot(cfg->server_key_file, cfg, 1);
 +      if(!s_cert || !s_key) {
 +              log_err("out of memory in remote control fname");
 +              goto setup_error;
 +      }
 +      verbose(VERB_ALGO, "setup SSL certificates");
 +      if (!SSL_CTX_use_certificate_file(rc->ctx,s_cert,SSL_FILETYPE_PEM)) {
 +              log_err("Error for server-cert-file: %s", s_cert);
 +              log_crypto_err("Error in SSL_CTX use_certificate_file");
 +              goto setup_error;
 +      }
 +      if(!SSL_CTX_use_PrivateKey_file(rc->ctx,s_key,SSL_FILETYPE_PEM)) {
 +              log_err("Error for server-key-file: %s", s_key);
 +              log_crypto_err("Error in SSL_CTX use_PrivateKey_file");
 +              goto setup_error;
 +      }
 +      if(!SSL_CTX_check_private_key(rc->ctx)) {
 +              log_err("Error for server-key-file: %s", s_key);
 +              log_crypto_err("Error in SSL_CTX check_private_key");
 +              goto setup_error;
 +      }
 +      if(!SSL_CTX_load_verify_locations(rc->ctx, s_cert, NULL)) {
 +              log_crypto_err("Error setting up SSL_CTX verify locations");
 +      setup_error:
 +              free(s_cert);
 +              free(s_key);
 +              daemon_remote_delete(rc);
 +              return NULL;
 +      }
 +      SSL_CTX_set_client_CA_list(rc->ctx, SSL_load_client_CA_file(s_cert));
 +      SSL_CTX_set_verify(rc->ctx, SSL_VERIFY_PEER, NULL);
 +      free(s_cert);
 +      free(s_key);
 +
 +      return rc;
 +}
 +
 +void daemon_remote_clear(struct daemon_remote* rc)
 +{
 +      struct rc_state* p, *np;
 +      if(!rc) return;
 +      /* but do not close the ports */
 +      listen_list_delete(rc->accept_list);
 +      rc->accept_list = NULL;
 +      /* do close these sockets */
 +      p = rc->busy_list;
 +      while(p) {
 +              np = p->next;
 +              if(p->ssl)
 +                      SSL_free(p->ssl);
 +              comm_point_delete(p->c);
 +              free(p);
 +              p = np;
 +      }
 +      rc->busy_list = NULL;
 +      rc->active = 0;
 +      rc->worker = NULL;
 +}
 +
 +void daemon_remote_delete(struct daemon_remote* rc)
 +{
 +      if(!rc) return;
 +      daemon_remote_clear(rc);
 +      if(rc->ctx) {
 +              SSL_CTX_free(rc->ctx);
 +      }
 +      free(rc);
 +}
 +
 +/**
 + * Add and open a new control port
 + * @param ip: ip str
 + * @param nr: port nr
 + * @param list: list head
 + * @param noproto_is_err: if lack of protocol support is an error.
 + * @param cfg: config with username for chown of unix-sockets.
 + * @return false on failure.
 + */
 +static int
 +add_open(const char* ip, int nr, struct listen_port** list, int noproto_is_err,
 +      struct config_file* cfg)
 +{
 +      struct addrinfo hints;
 +      struct addrinfo* res;
 +      struct listen_port* n;
 +      int noproto;
 +      int fd, r;
 +      char port[15];
 +      snprintf(port, sizeof(port), "%d", nr);
 +      port[sizeof(port)-1]=0;
 +      memset(&hints, 0, sizeof(hints));
 +
 +      if(ip[0] == '/') {
 +              /* This looks like a local socket */
 +              fd = create_local_accept_sock(ip, &noproto);
 +              /*
 +               * Change socket ownership and permissions so users other
 +               * than root can access it provided they are in the same
 +               * group as the user we run as.
 +               */
 +              if(fd != -1) {
 +#ifdef HAVE_CHOWN
 +                      if (cfg->username && cfg->username[0] &&
 +                              cfg_uid != (uid_t)-1)
 +                              chown(ip, cfg_uid, cfg_gid);
 +                      chmod(ip, (mode_t)(S_IRUSR | S_IWUSR | S_IRGRP | S_IWGRP));
 +#else
 +                      (void)cfg;
 +#endif
 +              }
 +      } else {
 +              hints.ai_socktype = SOCK_STREAM;
 +              hints.ai_flags = AI_PASSIVE | AI_NUMERICHOST;
 +              if((r = getaddrinfo(ip, port, &hints, &res)) != 0 || !res) {
 +#ifdef USE_WINSOCK
 +                      if(!noproto_is_err && r == EAI_NONAME) {
 +                              /* tried to lookup the address as name */
 +                              return 1; /* return success, but do nothing */
 +                      }
 +#endif /* USE_WINSOCK */
 +                      log_err("control interface %s:%s getaddrinfo: %s %s",
 +                              ip?ip:"default", port, gai_strerror(r),
 +#ifdef EAI_SYSTEM
 +                              r==EAI_SYSTEM?(char*)strerror(errno):""
 +#else
 +                              ""
 +#endif
 +                      );
 +                      return 0;
 +              }
 +
 +              /* open fd */
-               (int)(a->now<d->probedelay?d->probedelay-a->now:0),
++              fd = create_tcp_accept_sock(res, 1, &noproto, 0,
++                      cfg->ip_transparent);
 +              freeaddrinfo(res);
 +      }
 +
 +      if(fd == -1 && noproto) {
 +              if(!noproto_is_err)
 +                      return 1; /* return success, but do nothing */
 +              log_err("cannot open control interface %s %d : "
 +                      "protocol not supported", ip, nr);
 +              return 0;
 +      }
 +      if(fd == -1) {
 +              log_err("cannot open control interface %s %d", ip, nr);
 +              return 0;
 +      }
 +
 +      /* alloc */
 +      n = (struct listen_port*)calloc(1, sizeof(*n));
 +      if(!n) {
 +#ifndef USE_WINSOCK
 +              close(fd);
 +#else
 +              closesocket(fd);
 +#endif
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      n->next = *list;
 +      *list = n;
 +      n->fd = fd;
 +      return 1;
 +}
 +
 +struct listen_port* daemon_remote_open_ports(struct config_file* cfg)
 +{
 +      struct listen_port* l = NULL;
 +      log_assert(cfg->remote_control_enable && cfg->control_port);
 +      if(cfg->control_ifs) {
 +              struct config_strlist* p;
 +              for(p = cfg->control_ifs; p; p = p->next) {
 +                      if(!add_open(p->str, cfg->control_port, &l, 1, cfg)) {
 +                              listening_ports_free(l);
 +                              return NULL;
 +                      }
 +              }
 +      } else {
 +              /* defaults */
 +              if(cfg->do_ip6 &&
 +                      !add_open("::1", cfg->control_port, &l, 0, cfg)) {
 +                      listening_ports_free(l);
 +                      return NULL;
 +              }
 +              if(cfg->do_ip4 &&
 +                      !add_open("127.0.0.1", cfg->control_port, &l, 1, cfg)) {
 +                      listening_ports_free(l);
 +                      return NULL;
 +              }
 +      }
 +      return l;
 +}
 +
 +/** open accept commpoint */
 +static int
 +accept_open(struct daemon_remote* rc, int fd)
 +{
 +      struct listen_list* n = (struct listen_list*)malloc(sizeof(*n));
 +      if(!n) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      n->next = rc->accept_list;
 +      rc->accept_list = n;
 +      /* open commpt */
 +      n->com = comm_point_create_raw(rc->worker->base, fd, 0, 
 +              &remote_accept_callback, rc);
 +      if(!n->com)
 +              return 0;
 +      /* keep this port open, its fd is kept in the rc portlist */
 +      n->com->do_not_close = 1;
 +      return 1;
 +}
 +
 +int daemon_remote_open_accept(struct daemon_remote* rc, 
 +      struct listen_port* ports, struct worker* worker)
 +{
 +      struct listen_port* p;
 +      rc->worker = worker;
 +      for(p = ports; p; p = p->next) {
 +              if(!accept_open(rc, p->fd)) {
 +                      log_err("could not create accept comm point");
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +void daemon_remote_stop_accept(struct daemon_remote* rc)
 +{
 +      struct listen_list* p;
 +      for(p=rc->accept_list; p; p=p->next) {
 +              comm_point_stop_listening(p->com);      
 +      }
 +}
 +
 +void daemon_remote_start_accept(struct daemon_remote* rc)
 +{
 +      struct listen_list* p;
 +      for(p=rc->accept_list; p; p=p->next) {
 +              comm_point_start_listening(p->com, -1, -1);     
 +      }
 +}
 +
 +int remote_accept_callback(struct comm_point* c, void* arg, int err, 
 +      struct comm_reply* ATTR_UNUSED(rep))
 +{
 +      struct daemon_remote* rc = (struct daemon_remote*)arg;
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      int newfd;
 +      struct rc_state* n;
 +      if(err != NETEVENT_NOERROR) {
 +              log_err("error %d on remote_accept_callback", err);
 +              return 0;
 +      }
 +      /* perform the accept */
 +      newfd = comm_point_perform_accept(c, &addr, &addrlen);
 +      if(newfd == -1)
 +              return 0;
 +      /* create new commpoint unless we are servicing already */
 +      if(rc->active >= rc->max_active) {
 +              log_warn("drop incoming remote control: too many connections");
 +      close_exit:
 +#ifndef USE_WINSOCK
 +              close(newfd);
 +#else
 +              closesocket(newfd);
 +#endif
 +              return 0;
 +      }
 +
 +      /* setup commpoint to service the remote control command */
 +      n = (struct rc_state*)calloc(1, sizeof(*n));
 +      if(!n) {
 +              log_err("out of memory");
 +              goto close_exit;
 +      }
 +      /* start in reading state */
 +      n->c = comm_point_create_raw(rc->worker->base, newfd, 0, 
 +              &remote_control_callback, n);
 +      if(!n->c) {
 +              log_err("out of memory");
 +              free(n);
 +              goto close_exit;
 +      }
 +      log_addr(VERB_QUERY, "new control connection from", &addr, addrlen);
 +      n->c->do_not_close = 0;
 +      comm_point_stop_listening(n->c);
 +      comm_point_start_listening(n->c, -1, REMOTE_CONTROL_TCP_TIMEOUT);
 +      memcpy(&n->c->repinfo.addr, &addr, addrlen);
 +      n->c->repinfo.addrlen = addrlen;
 +      n->shake_state = rc_hs_read;
 +      n->ssl = SSL_new(rc->ctx);
 +      if(!n->ssl) {
 +              log_crypto_err("could not SSL_new");
 +              comm_point_delete(n->c);
 +              free(n);
 +              goto close_exit;
 +      }
 +      SSL_set_accept_state(n->ssl);
 +        (void)SSL_set_mode(n->ssl, SSL_MODE_AUTO_RETRY);
 +      if(!SSL_set_fd(n->ssl, newfd)) {
 +              log_crypto_err("could not SSL_set_fd");
 +              SSL_free(n->ssl);
 +              comm_point_delete(n->c);
 +              free(n);
 +              goto close_exit;
 +      }
 +
 +      n->rc = rc;
 +      n->next = rc->busy_list;
 +      rc->busy_list = n;
 +      rc->active ++;
 +
 +      /* perform the first nonblocking read already, for windows, 
 +       * so it can return wouldblock. could be faster too. */
 +      (void)remote_control_callback(n->c, n, NETEVENT_NOERROR, NULL);
 +      return 0;
 +}
 +
 +/** delete from list */
 +static void
 +state_list_remove_elem(struct rc_state** list, struct comm_point* c)
 +{
 +      while(*list) {
 +              if( (*list)->c == c) {
 +                      *list = (*list)->next;
 +                      return;
 +              }
 +              list = &(*list)->next;
 +      }
 +}
 +
 +/** decrease active count and remove commpoint from busy list */
 +static void
 +clean_point(struct daemon_remote* rc, struct rc_state* s)
 +{
 +      state_list_remove_elem(&rc->busy_list, s->c);
 +      rc->active --;
 +      if(s->ssl) {
 +              SSL_shutdown(s->ssl);
 +              SSL_free(s->ssl);
 +      }
 +      comm_point_delete(s->c);
 +      free(s);
 +}
 +
 +int
 +ssl_print_text(SSL* ssl, const char* text)
 +{
 +      int r;
 +      if(!ssl) 
 +              return 0;
 +      ERR_clear_error();
 +      if((r=SSL_write(ssl, text, (int)strlen(text))) <= 0) {
 +              if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN) {
 +                      verbose(VERB_QUERY, "warning, in SSL_write, peer "
 +                              "closed connection");
 +                      return 0;
 +              }
 +              log_crypto_err("could not SSL_write");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** print text over the ssl connection */
 +static int
 +ssl_print_vmsg(SSL* ssl, const char* format, va_list args)
 +{
 +      char msg[1024];
 +      vsnprintf(msg, sizeof(msg), format, args);
 +      return ssl_print_text(ssl, msg);
 +}
 +
 +/** printf style printing to the ssl connection */
 +int ssl_printf(SSL* ssl, const char* format, ...)
 +{
 +      va_list args;
 +      int ret;
 +      va_start(args, format);
 +      ret = ssl_print_vmsg(ssl, format, args);
 +      va_end(args);
 +      return ret;
 +}
 +
 +int
 +ssl_read_line(SSL* ssl, char* buf, size_t max)
 +{
 +      int r;
 +      size_t len = 0;
 +      if(!ssl)
 +              return 0;
 +      while(len < max) {
 +              ERR_clear_error();
 +              if((r=SSL_read(ssl, buf+len, 1)) <= 0) {
 +                      if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN) {
 +                              buf[len] = 0;
 +                              return 1;
 +                      }
 +                      log_crypto_err("could not SSL_read");
 +                      return 0;
 +              }
 +              if(buf[len] == '\n') {
 +                      /* return string without \n */
 +                      buf[len] = 0;
 +                      return 1;
 +              }
 +              len++;
 +      }
 +      buf[max-1] = 0;
 +      log_err("control line too long (%d): %s", (int)max, buf);
 +      return 0;
 +}
 +
 +/** skip whitespace, return new pointer into string */
 +static char*
 +skipwhite(char* str)
 +{
 +      /* EOS \0 is not a space */
 +      while( isspace((unsigned char)*str) ) 
 +              str++;
 +      return str;
 +}
 +
 +/** send the OK to the control client */
 +static void send_ok(SSL* ssl)
 +{
 +      (void)ssl_printf(ssl, "ok\n");
 +}
 +
 +/** do the stop command */
 +static void
 +do_stop(SSL* ssl, struct daemon_remote* rc)
 +{
 +      rc->worker->need_to_exit = 1;
 +      comm_base_exit(rc->worker->base);
 +      send_ok(ssl);
 +}
 +
 +/** do the reload command */
 +static void
 +do_reload(SSL* ssl, struct daemon_remote* rc)
 +{
 +      rc->worker->need_to_exit = 0;
 +      comm_base_exit(rc->worker->base);
 +      send_ok(ssl);
 +}
 +
 +/** do the verbosity command */
 +static void
 +do_verbosity(SSL* ssl, char* str)
 +{
 +      int val = atoi(str);
 +      if(val == 0 && strcmp(str, "0") != 0) {
 +              ssl_printf(ssl, "error in verbosity number syntax: %s\n", str);
 +              return;
 +      }
 +      verbosity = val;
 +      send_ok(ssl);
 +}
 +
 +/** print stats from statinfo */
 +static int
 +print_stats(SSL* ssl, const char* nm, struct stats_info* s)
 +{
 +      struct timeval avg;
 +      if(!ssl_printf(ssl, "%s.num.queries"SQ"%lu\n", nm, 
 +              (unsigned long)s->svr.num_queries)) return 0;
 +      if(!ssl_printf(ssl, "%s.num.cachehits"SQ"%lu\n", nm, 
 +              (unsigned long)(s->svr.num_queries 
 +                      - s->svr.num_queries_missed_cache))) return 0;
 +      if(!ssl_printf(ssl, "%s.num.cachemiss"SQ"%lu\n", nm, 
 +              (unsigned long)s->svr.num_queries_missed_cache)) return 0;
 +      if(!ssl_printf(ssl, "%s.num.prefetch"SQ"%lu\n", nm, 
 +              (unsigned long)s->svr.num_queries_prefetch)) return 0;
 +      if(!ssl_printf(ssl, "%s.num.recursivereplies"SQ"%lu\n", nm, 
 +              (unsigned long)s->mesh_replies_sent)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.avg"SQ"%g\n", nm,
 +              (s->svr.num_queries_missed_cache+s->svr.num_queries_prefetch)?
 +                      (double)s->svr.sum_query_list_size/
 +                      (s->svr.num_queries_missed_cache+
 +                      s->svr.num_queries_prefetch) : 0.0)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.max"SQ"%lu\n", nm,
 +              (unsigned long)s->svr.max_query_list_size)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.overwritten"SQ"%lu\n", nm,
 +              (unsigned long)s->mesh_jostled)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.exceeded"SQ"%lu\n", nm,
 +              (unsigned long)s->mesh_dropped)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.current.all"SQ"%lu\n", nm,
 +              (unsigned long)s->mesh_num_states)) return 0;
 +      if(!ssl_printf(ssl, "%s.requestlist.current.user"SQ"%lu\n", nm,
 +              (unsigned long)s->mesh_num_reply_states)) return 0;
 +      timeval_divide(&avg, &s->mesh_replies_sum_wait, s->mesh_replies_sent);
 +      if(!ssl_printf(ssl, "%s.recursion.time.avg"SQ ARG_LL "d.%6.6d\n", nm,
 +              (long long)avg.tv_sec, (int)avg.tv_usec)) return 0;
 +      if(!ssl_printf(ssl, "%s.recursion.time.median"SQ"%g\n", nm, 
 +              s->mesh_time_median)) return 0;
++      if(!ssl_printf(ssl, "%s.tcpusage"SQ"%lu\n", nm,
++              (unsigned long)s->svr.tcp_accept_usage)) return 0;
 +      return 1;
 +}
 +
 +/** print stats for one thread */
 +static int
 +print_thread_stats(SSL* ssl, int i, struct stats_info* s)
 +{
 +      char nm[16];
 +      snprintf(nm, sizeof(nm), "thread%d", i);
 +      nm[sizeof(nm)-1]=0;
 +      return print_stats(ssl, nm, s);
 +}
 +
 +/** print long number */
 +static int
 +print_longnum(SSL* ssl, const char* desc, size_t x)
 +{
 +      if(x > 1024*1024*1024) {
 +              /* more than a Gb */
 +              size_t front = x / (size_t)1000000;
 +              size_t back = x % (size_t)1000000;
 +              return ssl_printf(ssl, "%s%u%6.6u\n", desc, 
 +                      (unsigned)front, (unsigned)back);
 +      } else {
 +              return ssl_printf(ssl, "%s%lu\n", desc, (unsigned long)x);
 +      }
 +}
 +
 +/** print mem stats */
 +static int
 +print_mem(SSL* ssl, struct worker* worker, struct daemon* daemon)
 +{
 +      int m;
 +      size_t msg, rrset, val, iter;
 +#ifdef HAVE_SBRK
 +      extern void* unbound_start_brk;
 +      void* cur = sbrk(0);
 +      if(!print_longnum(ssl, "mem.total.sbrk"SQ, 
 +              (size_t)((char*)cur - (char*)unbound_start_brk))) return 0;
 +#endif /* HAVE_SBRK */
 +      msg = slabhash_get_mem(daemon->env->msg_cache);
 +      rrset = slabhash_get_mem(&daemon->env->rrset_cache->table);
 +      val=0;
 +      iter=0;
 +      m = modstack_find(&worker->env.mesh->mods, "validator");
 +      if(m != -1) {
 +              fptr_ok(fptr_whitelist_mod_get_mem(worker->env.mesh->
 +                      mods.mod[m]->get_mem));
 +              val = (*worker->env.mesh->mods.mod[m]->get_mem)
 +                      (&worker->env, m);
 +      }
 +      m = modstack_find(&worker->env.mesh->mods, "iterator");
 +      if(m != -1) {
 +              fptr_ok(fptr_whitelist_mod_get_mem(worker->env.mesh->
 +                      mods.mod[m]->get_mem));
 +              iter = (*worker->env.mesh->mods.mod[m]->get_mem)
 +                      (&worker->env, m);
 +      }
 +
 +      if(!print_longnum(ssl, "mem.cache.rrset"SQ, rrset))
 +              return 0;
 +      if(!print_longnum(ssl, "mem.cache.message"SQ, msg))
 +              return 0;
 +      if(!print_longnum(ssl, "mem.mod.iterator"SQ, iter))
 +              return 0;
 +      if(!print_longnum(ssl, "mem.mod.validator"SQ, val))
 +              return 0;
 +      return 1;
 +}
 +
 +/** print uptime stats */
 +static int
 +print_uptime(SSL* ssl, struct worker* worker, int reset)
 +{
 +      struct timeval now = *worker->env.now_tv;
 +      struct timeval up, dt;
 +      timeval_subtract(&up, &now, &worker->daemon->time_boot);
 +      timeval_subtract(&dt, &now, &worker->daemon->time_last_stat);
 +      if(reset)
 +              worker->daemon->time_last_stat = now;
 +      if(!ssl_printf(ssl, "time.now"SQ ARG_LL "d.%6.6d\n", 
 +              (long long)now.tv_sec, (unsigned)now.tv_usec)) return 0;
 +      if(!ssl_printf(ssl, "time.up"SQ ARG_LL "d.%6.6d\n", 
 +              (long long)up.tv_sec, (unsigned)up.tv_usec)) return 0;
 +      if(!ssl_printf(ssl, "time.elapsed"SQ ARG_LL "d.%6.6d\n", 
 +              (long long)dt.tv_sec, (unsigned)dt.tv_usec)) return 0;
 +      return 1;
 +}
 +
 +/** print extended histogram */
 +static int
 +print_hist(SSL* ssl, struct stats_info* s)
 +{
 +      struct timehist* hist;
 +      size_t i;
 +      hist = timehist_setup();
 +      if(!hist) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      timehist_import(hist, s->svr.hist, NUM_BUCKETS_HIST);
 +      for(i=0; i<hist->num; i++) {
 +              if(!ssl_printf(ssl, 
 +                      "histogram.%6.6d.%6.6d.to.%6.6d.%6.6d=%lu\n",
 +                      (int)hist->buckets[i].lower.tv_sec,
 +                      (int)hist->buckets[i].lower.tv_usec,
 +                      (int)hist->buckets[i].upper.tv_sec,
 +                      (int)hist->buckets[i].upper.tv_usec,
 +                      (unsigned long)hist->buckets[i].count)) {
 +                      timehist_delete(hist);
 +                      return 0;
 +              }
 +      }
 +      timehist_delete(hist);
 +      return 1;
 +}
 +
 +/** print extended stats */
 +static int
 +print_ext(SSL* ssl, struct stats_info* s)
 +{
 +      int i;
 +      char nm[16];
 +      const sldns_rr_descriptor* desc;
 +      const sldns_lookup_table* lt;
 +      /* TYPE */
 +      for(i=0; i<STATS_QTYPE_NUM; i++) {
 +              if(inhibit_zero && s->svr.qtype[i] == 0)
 +                      continue;
 +              desc = sldns_rr_descript((uint16_t)i);
 +              if(desc && desc->_name) {
 +                      snprintf(nm, sizeof(nm), "%s", desc->_name);
 +              } else if (i == LDNS_RR_TYPE_IXFR) {
 +                      snprintf(nm, sizeof(nm), "IXFR");
 +              } else if (i == LDNS_RR_TYPE_AXFR) {
 +                      snprintf(nm, sizeof(nm), "AXFR");
 +              } else if (i == LDNS_RR_TYPE_MAILA) {
 +                      snprintf(nm, sizeof(nm), "MAILA");
 +              } else if (i == LDNS_RR_TYPE_MAILB) {
 +                      snprintf(nm, sizeof(nm), "MAILB");
 +              } else if (i == LDNS_RR_TYPE_ANY) {
 +                      snprintf(nm, sizeof(nm), "ANY");
 +              } else {
 +                      snprintf(nm, sizeof(nm), "TYPE%d", i);
 +              }
 +              if(!ssl_printf(ssl, "num.query.type.%s"SQ"%lu\n", 
 +                      nm, (unsigned long)s->svr.qtype[i])) return 0;
 +      }
 +      if(!inhibit_zero || s->svr.qtype_big) {
 +              if(!ssl_printf(ssl, "num.query.type.other"SQ"%lu\n", 
 +                      (unsigned long)s->svr.qtype_big)) return 0;
 +      }
 +      /* CLASS */
 +      for(i=0; i<STATS_QCLASS_NUM; i++) {
 +              if(inhibit_zero && s->svr.qclass[i] == 0)
 +                      continue;
 +              lt = sldns_lookup_by_id(sldns_rr_classes, i);
 +              if(lt && lt->name) {
 +                      snprintf(nm, sizeof(nm), "%s", lt->name);
 +              } else {
 +                      snprintf(nm, sizeof(nm), "CLASS%d", i);
 +              }
 +              if(!ssl_printf(ssl, "num.query.class.%s"SQ"%lu\n", 
 +                      nm, (unsigned long)s->svr.qclass[i])) return 0;
 +      }
 +      if(!inhibit_zero || s->svr.qclass_big) {
 +              if(!ssl_printf(ssl, "num.query.class.other"SQ"%lu\n", 
 +                      (unsigned long)s->svr.qclass_big)) return 0;
 +      }
 +      /* OPCODE */
 +      for(i=0; i<STATS_OPCODE_NUM; i++) {
 +              if(inhibit_zero && s->svr.qopcode[i] == 0)
 +                      continue;
 +              lt = sldns_lookup_by_id(sldns_opcodes, i);
 +              if(lt && lt->name) {
 +                      snprintf(nm, sizeof(nm), "%s", lt->name);
 +              } else {
 +                      snprintf(nm, sizeof(nm), "OPCODE%d", i);
 +              }
 +              if(!ssl_printf(ssl, "num.query.opcode.%s"SQ"%lu\n", 
 +                      nm, (unsigned long)s->svr.qopcode[i])) return 0;
 +      }
 +      /* transport */
 +      if(!ssl_printf(ssl, "num.query.tcp"SQ"%lu\n", 
 +              (unsigned long)s->svr.qtcp)) return 0;
 +      if(!ssl_printf(ssl, "num.query.tcpout"SQ"%lu\n", 
 +              (unsigned long)s->svr.qtcp_outgoing)) return 0;
 +      if(!ssl_printf(ssl, "num.query.ipv6"SQ"%lu\n", 
 +              (unsigned long)s->svr.qipv6)) return 0;
 +      /* flags */
 +      if(!ssl_printf(ssl, "num.query.flags.QR"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_QR)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.AA"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_AA)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.TC"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_TC)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.RD"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_RD)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.RA"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_RA)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.Z"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_Z)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.AD"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_AD)) return 0;
 +      if(!ssl_printf(ssl, "num.query.flags.CD"SQ"%lu\n", 
 +              (unsigned long)s->svr.qbit_CD)) return 0;
 +      if(!ssl_printf(ssl, "num.query.edns.present"SQ"%lu\n", 
 +              (unsigned long)s->svr.qEDNS)) return 0;
 +      if(!ssl_printf(ssl, "num.query.edns.DO"SQ"%lu\n", 
 +              (unsigned long)s->svr.qEDNS_DO)) return 0;
 +
 +      /* RCODE */
 +      for(i=0; i<STATS_RCODE_NUM; i++) {
 +              /* Always include RCODEs 0-5 */
 +              if(inhibit_zero && i > LDNS_RCODE_REFUSED && s->svr.ans_rcode[i] == 0)
 +                      continue;
 +              lt = sldns_lookup_by_id(sldns_rcodes, i);
 +              if(lt && lt->name) {
 +                      snprintf(nm, sizeof(nm), "%s", lt->name);
 +              } else {
 +                      snprintf(nm, sizeof(nm), "RCODE%d", i);
 +              }
 +              if(!ssl_printf(ssl, "num.answer.rcode.%s"SQ"%lu\n", 
 +                      nm, (unsigned long)s->svr.ans_rcode[i])) return 0;
 +      }
 +      if(!inhibit_zero || s->svr.ans_rcode_nodata) {
 +              if(!ssl_printf(ssl, "num.answer.rcode.nodata"SQ"%lu\n", 
 +                      (unsigned long)s->svr.ans_rcode_nodata)) return 0;
 +      }
 +      /* validation */
 +      if(!ssl_printf(ssl, "num.answer.secure"SQ"%lu\n", 
 +              (unsigned long)s->svr.ans_secure)) return 0;
 +      if(!ssl_printf(ssl, "num.answer.bogus"SQ"%lu\n", 
 +              (unsigned long)s->svr.ans_bogus)) return 0;
 +      if(!ssl_printf(ssl, "num.rrset.bogus"SQ"%lu\n", 
 +              (unsigned long)s->svr.rrset_bogus)) return 0;
 +      /* threat detection */
 +      if(!ssl_printf(ssl, "unwanted.queries"SQ"%lu\n", 
 +              (unsigned long)s->svr.unwanted_queries)) return 0;
 +      if(!ssl_printf(ssl, "unwanted.replies"SQ"%lu\n", 
 +              (unsigned long)s->svr.unwanted_replies)) return 0;
 +      /* cache counts */
 +      if(!ssl_printf(ssl, "msg.cache.count"SQ"%u\n",
 +              (unsigned)s->svr.msg_cache_count)) return 0;
 +      if(!ssl_printf(ssl, "rrset.cache.count"SQ"%u\n",
 +              (unsigned)s->svr.rrset_cache_count)) return 0;
 +      if(!ssl_printf(ssl, "infra.cache.count"SQ"%u\n",
 +              (unsigned)s->svr.infra_cache_count)) return 0;
 +      if(!ssl_printf(ssl, "key.cache.count"SQ"%u\n",
 +              (unsigned)s->svr.key_cache_count)) return 0;
 +      return 1;
 +}
 +
 +/** do the stats command */
 +static void
 +do_stats(SSL* ssl, struct daemon_remote* rc, int reset)
 +{
 +      struct daemon* daemon = rc->worker->daemon;
 +      struct stats_info total;
 +      struct stats_info s;
 +      int i;
 +      log_assert(daemon->num > 0);
 +      /* gather all thread statistics in one place */
 +      for(i=0; i<daemon->num; i++) {
 +              server_stats_obtain(rc->worker, daemon->workers[i], &s, reset);
 +              if(!print_thread_stats(ssl, i, &s))
 +                      return;
 +              if(i == 0)
 +                      total = s;
 +              else    server_stats_add(&total, &s);
 +      }
 +      /* print the thread statistics */
 +      total.mesh_time_median /= (double)daemon->num;
 +      if(!print_stats(ssl, "total", &total)) 
 +              return;
 +      if(!print_uptime(ssl, rc->worker, reset))
 +              return;
 +      if(daemon->cfg->stat_extended) {
 +              if(!print_mem(ssl, rc->worker, daemon)) 
 +                      return;
 +              if(!print_hist(ssl, &total))
 +                      return;
 +              if(!print_ext(ssl, &total))
 +                      return;
 +      }
 +}
 +
 +/** parse commandline argument domain name */
 +static int
 +parse_arg_name(SSL* ssl, char* str, uint8_t** res, size_t* len, int* labs)
 +{
 +      uint8_t nm[LDNS_MAX_DOMAINLEN+1];
 +      size_t nmlen = sizeof(nm);
 +      int status;
 +      *res = NULL;
 +      *len = 0;
 +      *labs = 0;
 +      status = sldns_str2wire_dname_buf(str, nm, &nmlen);
 +      if(status != 0) {
 +              ssl_printf(ssl, "error cannot parse name %s at %d: %s\n", str,
 +                      LDNS_WIREPARSE_OFFSET(status),
 +                      sldns_get_errorstr_parse(status));
 +              return 0;
 +      }
 +      *res = memdup(nm, nmlen);
 +      if(!*res) {
 +              ssl_printf(ssl, "error out of memory\n");
 +              return 0;
 +      }
 +      *labs = dname_count_size_labels(*res, len);
 +      return 1;
 +}
 +
 +/** find second argument, modifies string */
 +static int
 +find_arg2(SSL* ssl, char* arg, char** arg2)
 +{
 +      char* as = strchr(arg, ' ');
 +      char* at = strchr(arg, '\t');
 +      if(as && at) {
 +              if(at < as)
 +                      as = at;
 +              as[0]=0;
 +              *arg2 = skipwhite(as+1);
 +      } else if(as) {
 +              as[0]=0;
 +              *arg2 = skipwhite(as+1);
 +      } else if(at) {
 +              at[0]=0;
 +              *arg2 = skipwhite(at+1);
 +      } else {
 +              ssl_printf(ssl, "error could not find next argument "
 +                      "after %s\n", arg);
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** Add a new zone */
 +static void
 +do_zone_add(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      char* arg2;
 +      enum localzone_type t;
 +      struct local_zone* z;
 +      if(!find_arg2(ssl, arg, &arg2))
 +              return;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      if(!local_zone_str2type(arg2, &t)) {
 +              ssl_printf(ssl, "error not a zone type. %s\n", arg2);
 +              free(nm);
 +              return;
 +      }
 +      lock_rw_wrlock(&worker->daemon->local_zones->lock);
 +      if((z=local_zones_find(worker->daemon->local_zones, nm, nmlen, 
 +              nmlabs, LDNS_RR_CLASS_IN))) {
 +              /* already present in tree */
 +              lock_rw_wrlock(&z->lock);
 +              z->type = t; /* update type anyway */
 +              lock_rw_unlock(&z->lock);
 +              free(nm);
 +              lock_rw_unlock(&worker->daemon->local_zones->lock);
 +              send_ok(ssl);
 +              return;
 +      }
 +      if(!local_zones_add_zone(worker->daemon->local_zones, nm, nmlen, 
 +              nmlabs, LDNS_RR_CLASS_IN, t)) {
 +              lock_rw_unlock(&worker->daemon->local_zones->lock);
 +              ssl_printf(ssl, "error out of memory\n");
 +              return;
 +      }
 +      lock_rw_unlock(&worker->daemon->local_zones->lock);
 +      send_ok(ssl);
 +}
 +
 +/** Remove a zone */
 +static void
 +do_zone_remove(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      struct local_zone* z;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      lock_rw_wrlock(&worker->daemon->local_zones->lock);
 +      if((z=local_zones_find(worker->daemon->local_zones, nm, nmlen, 
 +              nmlabs, LDNS_RR_CLASS_IN))) {
 +              /* present in tree */
 +              local_zones_del_zone(worker->daemon->local_zones, z);
 +      }
 +      lock_rw_unlock(&worker->daemon->local_zones->lock);
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** Add new RR data */
 +static void
 +do_data_add(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      if(!local_zones_add_RR(worker->daemon->local_zones, arg)) {
 +              ssl_printf(ssl,"error in syntax or out of memory, %s\n", arg);
 +              return;
 +      }
 +      send_ok(ssl);
 +}
 +
 +/** Remove RR data */
 +static void
 +do_data_remove(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      local_zones_del_data(worker->daemon->local_zones, nm,
 +              nmlen, nmlabs, LDNS_RR_CLASS_IN);
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** cache lookup of nameservers */
 +static void
 +do_lookup(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      (void)print_deleg_lookup(ssl, worker, nm, nmlen, nmlabs);
 +      free(nm);
 +}
 +
 +/** flush something from rrset and msg caches */
 +static void
 +do_cache_remove(struct worker* worker, uint8_t* nm, size_t nmlen,
 +      uint16_t t, uint16_t c)
 +{
 +      hashvalue_t h;
 +      struct query_info k;
 +      rrset_cache_remove(worker->env.rrset_cache, nm, nmlen, t, c, 0);
 +      if(t == LDNS_RR_TYPE_SOA)
 +              rrset_cache_remove(worker->env.rrset_cache, nm, nmlen, t, c,
 +                      PACKED_RRSET_SOA_NEG);
 +      k.qname = nm;
 +      k.qname_len = nmlen;
 +      k.qtype = t;
 +      k.qclass = c;
 +      h = query_info_hash(&k, 0);
 +      slabhash_remove(worker->env.msg_cache, h, &k);
 +      if(t == LDNS_RR_TYPE_AAAA) {
 +              /* for AAAA also flush dns64 bit_cd packet */
 +              h = query_info_hash(&k, BIT_CD);
 +              slabhash_remove(worker->env.msg_cache, h, &k);
 +      }
 +}
 +
 +/** flush a type */
 +static void
 +do_flush_type(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      char* arg2;
 +      uint16_t t;
 +      if(!find_arg2(ssl, arg, &arg2))
 +              return;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      t = sldns_get_rr_type_by_name(arg2);
 +      do_cache_remove(worker, nm, nmlen, t, LDNS_RR_CLASS_IN);
 +      
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** flush statistics */
 +static void
 +do_flush_stats(SSL* ssl, struct worker* worker)
 +{
 +      worker_stats_clear(worker);
 +      send_ok(ssl);
 +}
 +
 +/**
 + * Local info for deletion functions
 + */
 +struct del_info {
 +      /** worker */
 +      struct worker* worker;
 +      /** name to delete */
 +      uint8_t* name;
 +      /** length */
 +      size_t len;
 +      /** labels */
 +      int labs;
 +      /** now */
 +      time_t now;
 +      /** time to invalidate to */
 +      time_t expired;
 +      /** number of rrsets removed */
 +      size_t num_rrsets;
 +      /** number of msgs removed */
 +      size_t num_msgs;
 +      /** number of key entries removed */
 +      size_t num_keys;
 +      /** length of addr */
 +      socklen_t addrlen;
 +      /** socket address for host deletion */
 +      struct sockaddr_storage addr;
 +};
 +
 +/** callback to delete hosts in infra cache */
 +static void
 +infra_del_host(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct infra_key* k = (struct infra_key*)e->key;
 +      if(sockaddr_cmp(&inf->addr, inf->addrlen, &k->addr, k->addrlen) == 0) {
 +              struct infra_data* d = (struct infra_data*)e->data;
 +              d->probedelay = 0;
 +              d->timeout_A = 0;
 +              d->timeout_AAAA = 0;
 +              d->timeout_other = 0;
 +              rtt_init(&d->rtt);
 +              if(d->ttl >= inf->now) {
 +                      d->ttl = inf->expired;
 +                      inf->num_keys++;
 +              }
 +      }
 +}
 +
 +/** flush infra cache */
 +static void
 +do_flush_infra(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      struct sockaddr_storage addr;
 +      socklen_t len;
 +      struct del_info inf;
 +      if(strcmp(arg, "all") == 0) {
 +              slabhash_clear(worker->env.infra_cache->hosts);
 +              send_ok(ssl);
 +              return;
 +      }
 +      if(!ipstrtoaddr(arg, UNBOUND_DNS_PORT, &addr, &len)) {
 +              (void)ssl_printf(ssl, "error parsing ip addr: '%s'\n", arg);
 +              return;
 +      }
 +      /* delete all entries from cache */
 +      /* what we do is to set them all expired */
 +      inf.worker = worker;
 +      inf.name = 0;
 +      inf.len = 0;
 +      inf.labs = 0;
 +      inf.now = *worker->env.now;
 +      inf.expired = *worker->env.now;
 +      inf.expired -= 3; /* handle 3 seconds skew between threads */
 +      inf.num_rrsets = 0;
 +      inf.num_msgs = 0;
 +      inf.num_keys = 0;
 +      inf.addrlen = len;
 +      memmove(&inf.addr, &addr, len);
 +      slabhash_traverse(worker->env.infra_cache->hosts, 1, &infra_del_host,
 +              &inf);
 +      send_ok(ssl);
 +}
 +
 +/** flush requestlist */
 +static void
 +do_flush_requestlist(SSL* ssl, struct worker* worker)
 +{
 +      mesh_delete_all(worker->env.mesh);
 +      send_ok(ssl);
 +}
 +
 +/** callback to delete rrsets in a zone */
 +static void
 +zone_del_rrset(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct ub_packed_rrset_key* k = (struct ub_packed_rrset_key*)e->key;
 +      if(dname_subdomain_c(k->rk.dname, inf->name)) {
 +              struct packed_rrset_data* d = 
 +                      (struct packed_rrset_data*)e->data;
 +              if(d->ttl >= inf->now) {
 +                      d->ttl = inf->expired;
 +                      inf->num_rrsets++;
 +              }
 +      }
 +}
 +
 +/** callback to delete messages in a zone */
 +static void
 +zone_del_msg(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct msgreply_entry* k = (struct msgreply_entry*)e->key;
 +      if(dname_subdomain_c(k->key.qname, inf->name)) {
 +              struct reply_info* d = (struct reply_info*)e->data;
 +              if(d->ttl >= inf->now) {
 +                      d->ttl = inf->expired;
 +                      inf->num_msgs++;
 +              }
 +      }
 +}
 +
 +/** callback to delete keys in zone */
 +static void
 +zone_del_kcache(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct key_entry_key* k = (struct key_entry_key*)e->key;
 +      if(dname_subdomain_c(k->name, inf->name)) {
 +              struct key_entry_data* d = (struct key_entry_data*)e->data;
 +              if(d->ttl >= inf->now) {
 +                      d->ttl = inf->expired;
 +                      inf->num_keys++;
 +              }
 +      }
 +}
 +
 +/** remove all rrsets and keys from zone from cache */
 +static void
 +do_flush_zone(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      struct del_info inf;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      /* delete all RRs and key entries from zone */
 +      /* what we do is to set them all expired */
 +      inf.worker = worker;
 +      inf.name = nm;
 +      inf.len = nmlen;
 +      inf.labs = nmlabs;
 +      inf.now = *worker->env.now;
 +      inf.expired = *worker->env.now;
 +      inf.expired -= 3; /* handle 3 seconds skew between threads */
 +      inf.num_rrsets = 0;
 +      inf.num_msgs = 0;
 +      inf.num_keys = 0;
 +      slabhash_traverse(&worker->env.rrset_cache->table, 1, 
 +              &zone_del_rrset, &inf);
 +
 +      slabhash_traverse(worker->env.msg_cache, 1, &zone_del_msg, &inf);
 +
 +      /* and validator cache */
 +      if(worker->env.key_cache) {
 +              slabhash_traverse(worker->env.key_cache->slab, 1, 
 +                      &zone_del_kcache, &inf);
 +      }
 +
 +      free(nm);
 +
 +      (void)ssl_printf(ssl, "ok removed %lu rrsets, %lu messages "
 +              "and %lu key entries\n", (unsigned long)inf.num_rrsets, 
 +              (unsigned long)inf.num_msgs, (unsigned long)inf.num_keys);
 +}
 +
 +/** callback to delete bogus rrsets */
 +static void
 +bogus_del_rrset(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)e->data;
 +      if(d->security == sec_status_bogus) {
 +              d->ttl = inf->expired;
 +              inf->num_rrsets++;
 +      }
 +}
 +
 +/** callback to delete bogus messages */
 +static void
 +bogus_del_msg(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct reply_info* d = (struct reply_info*)e->data;
 +      if(d->security == sec_status_bogus) {
 +              d->ttl = inf->expired;
 +              inf->num_msgs++;
 +      }
 +}
 +
 +/** callback to delete bogus keys */
 +static void
 +bogus_del_kcache(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct key_entry_data* d = (struct key_entry_data*)e->data;
 +      if(d->isbad) {
 +              d->ttl = inf->expired;
 +              inf->num_keys++;
 +      }
 +}
 +
 +/** remove all bogus rrsets, msgs and keys from cache */
 +static void
 +do_flush_bogus(SSL* ssl, struct worker* worker)
 +{
 +      struct del_info inf;
 +      /* what we do is to set them all expired */
 +      inf.worker = worker;
 +      inf.now = *worker->env.now;
 +      inf.expired = *worker->env.now;
 +      inf.expired -= 3; /* handle 3 seconds skew between threads */
 +      inf.num_rrsets = 0;
 +      inf.num_msgs = 0;
 +      inf.num_keys = 0;
 +      slabhash_traverse(&worker->env.rrset_cache->table, 1, 
 +              &bogus_del_rrset, &inf);
 +
 +      slabhash_traverse(worker->env.msg_cache, 1, &bogus_del_msg, &inf);
 +
 +      /* and validator cache */
 +      if(worker->env.key_cache) {
 +              slabhash_traverse(worker->env.key_cache->slab, 1, 
 +                      &bogus_del_kcache, &inf);
 +      }
 +
 +      (void)ssl_printf(ssl, "ok removed %lu rrsets, %lu messages "
 +              "and %lu key entries\n", (unsigned long)inf.num_rrsets, 
 +              (unsigned long)inf.num_msgs, (unsigned long)inf.num_keys);
 +}
 +
 +/** callback to delete negative and servfail rrsets */
 +static void
 +negative_del_rrset(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct ub_packed_rrset_key* k = (struct ub_packed_rrset_key*)e->key;
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)e->data;
 +      /* delete the parentside negative cache rrsets,
 +       * these are namerserver rrsets that failed lookup, rdata empty */
 +      if((k->rk.flags & PACKED_RRSET_PARENT_SIDE) && d->count == 1 &&
 +              d->rrsig_count == 0 && d->rr_len[0] == 0) {
 +              d->ttl = inf->expired;
 +              inf->num_rrsets++;
 +      }
 +}
 +
 +/** callback to delete negative and servfail messages */
 +static void
 +negative_del_msg(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct reply_info* d = (struct reply_info*)e->data;
 +      /* rcode not NOERROR: NXDOMAIN, SERVFAIL, ..: an nxdomain or error
 +       * or NOERROR rcode with ANCOUNT==0: a NODATA answer */
 +      if(FLAGS_GET_RCODE(d->flags) != 0 || d->an_numrrsets == 0) {
 +              d->ttl = inf->expired;
 +              inf->num_msgs++;
 +      }
 +}
 +
 +/** callback to delete negative key entries */
 +static void
 +negative_del_kcache(struct lruhash_entry* e, void* arg)
 +{
 +      /* entry is locked */
 +      struct del_info* inf = (struct del_info*)arg;
 +      struct key_entry_data* d = (struct key_entry_data*)e->data;
 +      /* could be bad because of lookup failure on the DS, DNSKEY, which
 +       * was nxdomain or servfail, and thus a result of negative lookups */
 +      if(d->isbad) {
 +              d->ttl = inf->expired;
 +              inf->num_keys++;
 +      }
 +}
 +
 +/** remove all negative(NODATA,NXDOMAIN), and servfail messages from cache */
 +static void
 +do_flush_negative(SSL* ssl, struct worker* worker)
 +{
 +      struct del_info inf;
 +      /* what we do is to set them all expired */
 +      inf.worker = worker;
 +      inf.now = *worker->env.now;
 +      inf.expired = *worker->env.now;
 +      inf.expired -= 3; /* handle 3 seconds skew between threads */
 +      inf.num_rrsets = 0;
 +      inf.num_msgs = 0;
 +      inf.num_keys = 0;
 +      slabhash_traverse(&worker->env.rrset_cache->table, 1, 
 +              &negative_del_rrset, &inf);
 +
 +      slabhash_traverse(worker->env.msg_cache, 1, &negative_del_msg, &inf);
 +
 +      /* and validator cache */
 +      if(worker->env.key_cache) {
 +              slabhash_traverse(worker->env.key_cache->slab, 1, 
 +                      &negative_del_kcache, &inf);
 +      }
 +
 +      (void)ssl_printf(ssl, "ok removed %lu rrsets, %lu messages "
 +              "and %lu key entries\n", (unsigned long)inf.num_rrsets, 
 +              (unsigned long)inf.num_msgs, (unsigned long)inf.num_keys);
 +}
 +
 +/** remove name rrset from cache */
 +static void
 +do_flush_name(SSL* ssl, struct worker* w, char* arg)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_A, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_AAAA, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_NS, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_SOA, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_CNAME, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_DNAME, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_MX, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_PTR, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_SRV, LDNS_RR_CLASS_IN);
 +      do_cache_remove(w, nm, nmlen, LDNS_RR_TYPE_NAPTR, LDNS_RR_CLASS_IN);
 +      
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** printout a delegation point info */
 +static int
 +ssl_print_name_dp(SSL* ssl, const char* str, uint8_t* nm, uint16_t dclass,
 +      struct delegpt* dp)
 +{
 +      char buf[257];
 +      struct delegpt_ns* ns;
 +      struct delegpt_addr* a;
 +      int f = 0;
 +      if(str) { /* print header for forward, stub */
 +              char* c = sldns_wire2str_class(dclass);
 +              dname_str(nm, buf);
 +              if(!ssl_printf(ssl, "%s %s %s ", buf, (c?c:"CLASS??"), str)) {
 +                      free(c);
 +                      return 0;
 +              }
 +              free(c);
 +      }
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              dname_str(ns->name, buf);
 +              if(!ssl_printf(ssl, "%s%s", (f?" ":""), buf))
 +                      return 0;
 +              f = 1;
 +      }
 +      for(a = dp->target_list; a; a = a->next_target) {
 +              addr_to_str(&a->addr, a->addrlen, buf, sizeof(buf));
 +              if(!ssl_printf(ssl, "%s%s", (f?" ":""), buf))
 +                      return 0;
 +              f = 1;
 +      }
 +      return ssl_printf(ssl, "\n");
 +}
 +
 +
 +/** print root forwards */
 +static int
 +print_root_fwds(SSL* ssl, struct iter_forwards* fwds, uint8_t* root)
 +{
 +      struct delegpt* dp;
 +      dp = forwards_lookup(fwds, root, LDNS_RR_CLASS_IN);
 +      if(!dp)
 +              return ssl_printf(ssl, "off (using root hints)\n");
 +      /* if dp is returned it must be the root */
 +      log_assert(query_dname_compare(dp->name, root)==0);
 +      return ssl_print_name_dp(ssl, NULL, root, LDNS_RR_CLASS_IN, dp);
 +}
 +
 +/** parse args into delegpt */
 +static struct delegpt*
 +parse_delegpt(SSL* ssl, char* args, uint8_t* nm, int allow_names)
 +{
 +      /* parse args and add in */
 +      char* p = args;
 +      char* todo;
 +      struct delegpt* dp = delegpt_create_mlc(nm);
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      if(!dp) {
 +              (void)ssl_printf(ssl, "error out of memory\n");
 +              return NULL;
 +      }
 +      while(p) {
 +              todo = p;
 +              p = strchr(p, ' '); /* find next spot, if any */
 +              if(p) {
 +                      *p++ = 0;       /* end this spot */
 +                      p = skipwhite(p); /* position at next spot */
 +              }
 +              /* parse address */
 +              if(!extstrtoaddr(todo, &addr, &addrlen)) {
 +                      if(allow_names) {
 +                              uint8_t* n = NULL;
 +                              size_t ln;
 +                              int lb;
 +                              if(!parse_arg_name(ssl, todo, &n, &ln, &lb)) {
 +                                      (void)ssl_printf(ssl, "error cannot "
 +                                              "parse IP address or name "
 +                                              "'%s'\n", todo);
 +                                      delegpt_free_mlc(dp);
 +                                      return NULL;
 +                              }
 +                              if(!delegpt_add_ns_mlc(dp, n, 0)) {
 +                                      (void)ssl_printf(ssl, "error out of memory\n");
 +                                      free(n);
 +                                      delegpt_free_mlc(dp);
 +                                      return NULL;
 +                              }
 +                              free(n);
 +
 +                      } else {
 +                              (void)ssl_printf(ssl, "error cannot parse"
 +                                      " IP address '%s'\n", todo);
 +                              delegpt_free_mlc(dp);
 +                              return NULL;
 +                      }
 +              } else {
 +                      /* add address */
 +                      if(!delegpt_add_addr_mlc(dp, &addr, addrlen, 0, 0)) {
 +                              (void)ssl_printf(ssl, "error out of memory\n");
 +                              delegpt_free_mlc(dp);
 +                              return NULL;
 +                      }
 +              }
 +      }
 +      return dp;
 +}
 +
 +/** do the status command */
 +static void
 +do_forward(SSL* ssl, struct worker* worker, char* args)
 +{
 +      struct iter_forwards* fwd = worker->env.fwds;
 +      uint8_t* root = (uint8_t*)"\000";
 +      if(!fwd) {
 +              (void)ssl_printf(ssl, "error: structure not allocated\n");
 +              return;
 +      }
 +      if(args == NULL || args[0] == 0) {
 +              (void)print_root_fwds(ssl, fwd, root);
 +              return;
 +      }
 +      /* set root forwards for this thread. since we are in remote control
 +       * the actual mesh is not running, so we can freely edit it. */
 +      /* delete all the existing queries first */
 +      mesh_delete_all(worker->env.mesh);
 +      if(strcmp(args, "off") == 0) {
 +              forwards_delete_zone(fwd, LDNS_RR_CLASS_IN, root);
 +      } else {
 +              struct delegpt* dp;
 +              if(!(dp = parse_delegpt(ssl, args, root, 0)))
 +                      return;
 +              if(!forwards_add_zone(fwd, LDNS_RR_CLASS_IN, dp)) {
 +                      (void)ssl_printf(ssl, "error out of memory\n");
 +                      return;
 +              }
 +      }
 +      send_ok(ssl);
 +}
 +
 +static int
 +parse_fs_args(SSL* ssl, char* args, uint8_t** nm, struct delegpt** dp,
 +      int* insecure, int* prime)
 +{
 +      char* zonename;
 +      char* rest;
 +      size_t nmlen;
 +      int nmlabs;
 +      /* parse all -x args */
 +      while(args[0] == '+') {
 +              if(!find_arg2(ssl, args, &rest))
 +                      return 0;
 +              while(*(++args) != 0) {
 +                      if(*args == 'i' && insecure)
 +                              *insecure = 1;
 +                      else if(*args == 'p' && prime)
 +                              *prime = 1;
 +                      else {
 +                              (void)ssl_printf(ssl, "error: unknown option %s\n", args);
 +                              return 0;
 +                      }
 +              }
 +              args = rest;
 +      }
 +      /* parse name */
 +      if(dp) {
 +              if(!find_arg2(ssl, args, &rest))
 +                      return 0;
 +              zonename = args;
 +              args = rest;
 +      } else  zonename = args;
 +      if(!parse_arg_name(ssl, zonename, nm, &nmlen, &nmlabs))
 +              return 0;
 +
 +      /* parse dp */
 +      if(dp) {
 +              if(!(*dp = parse_delegpt(ssl, args, *nm, 1))) {
 +                      free(*nm);
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** do the forward_add command */
 +static void
 +do_forward_add(SSL* ssl, struct worker* worker, char* args)
 +{
 +      struct iter_forwards* fwd = worker->env.fwds;
 +      int insecure = 0;
 +      uint8_t* nm = NULL;
 +      struct delegpt* dp = NULL;
 +      if(!parse_fs_args(ssl, args, &nm, &dp, &insecure, NULL))
 +              return;
 +      if(insecure && worker->env.anchors) {
 +              if(!anchors_add_insecure(worker->env.anchors, LDNS_RR_CLASS_IN,
 +                      nm)) {
 +                      (void)ssl_printf(ssl, "error out of memory\n");
 +                      delegpt_free_mlc(dp);
 +                      free(nm);
 +                      return;
 +              }
 +      }
 +      if(!forwards_add_zone(fwd, LDNS_RR_CLASS_IN, dp)) {
 +              (void)ssl_printf(ssl, "error out of memory\n");
 +              free(nm);
 +              return;
 +      }
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** do the forward_remove command */
 +static void
 +do_forward_remove(SSL* ssl, struct worker* worker, char* args)
 +{
 +      struct iter_forwards* fwd = worker->env.fwds;
 +      int insecure = 0;
 +      uint8_t* nm = NULL;
 +      if(!parse_fs_args(ssl, args, &nm, NULL, &insecure, NULL))
 +              return;
 +      if(insecure && worker->env.anchors)
 +              anchors_delete_insecure(worker->env.anchors, LDNS_RR_CLASS_IN,
 +                      nm);
 +      forwards_delete_zone(fwd, LDNS_RR_CLASS_IN, nm);
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** do the stub_add command */
 +static void
 +do_stub_add(SSL* ssl, struct worker* worker, char* args)
 +{
 +      struct iter_forwards* fwd = worker->env.fwds;
 +      int insecure = 0, prime = 0;
 +      uint8_t* nm = NULL;
 +      struct delegpt* dp = NULL;
 +      if(!parse_fs_args(ssl, args, &nm, &dp, &insecure, &prime))
 +              return;
 +      if(insecure && worker->env.anchors) {
 +              if(!anchors_add_insecure(worker->env.anchors, LDNS_RR_CLASS_IN,
 +                      nm)) {
 +                      (void)ssl_printf(ssl, "error out of memory\n");
 +                      delegpt_free_mlc(dp);
 +                      free(nm);
 +                      return;
 +              }
 +      }
 +      if(!forwards_add_stub_hole(fwd, LDNS_RR_CLASS_IN, nm)) {
 +              if(insecure && worker->env.anchors)
 +                      anchors_delete_insecure(worker->env.anchors,
 +                              LDNS_RR_CLASS_IN, nm);
 +              (void)ssl_printf(ssl, "error out of memory\n");
 +              delegpt_free_mlc(dp);
 +              free(nm);
 +              return;
 +      }
 +      if(!hints_add_stub(worker->env.hints, LDNS_RR_CLASS_IN, dp, !prime)) {
 +              (void)ssl_printf(ssl, "error out of memory\n");
 +              forwards_delete_stub_hole(fwd, LDNS_RR_CLASS_IN, nm);
 +              if(insecure && worker->env.anchors)
 +                      anchors_delete_insecure(worker->env.anchors,
 +                              LDNS_RR_CLASS_IN, nm);
 +              free(nm);
 +              return;
 +      }
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** do the stub_remove command */
 +static void
 +do_stub_remove(SSL* ssl, struct worker* worker, char* args)
 +{
 +      struct iter_forwards* fwd = worker->env.fwds;
 +      int insecure = 0;
 +      uint8_t* nm = NULL;
 +      if(!parse_fs_args(ssl, args, &nm, NULL, &insecure, NULL))
 +              return;
 +      if(insecure && worker->env.anchors)
 +              anchors_delete_insecure(worker->env.anchors, LDNS_RR_CLASS_IN,
 +                      nm);
 +      forwards_delete_stub_hole(fwd, LDNS_RR_CLASS_IN, nm);
 +      hints_delete_stub(worker->env.hints, LDNS_RR_CLASS_IN, nm);
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** do the insecure_add command */
 +static void
 +do_insecure_add(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      size_t nmlen;
 +      int nmlabs;
 +      uint8_t* nm = NULL;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      if(worker->env.anchors) {
 +              if(!anchors_add_insecure(worker->env.anchors,
 +                      LDNS_RR_CLASS_IN, nm)) {
 +                      (void)ssl_printf(ssl, "error out of memory\n");
 +                      free(nm);
 +                      return;
 +              }
 +      }
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
 +/** do the insecure_remove command */
 +static void
 +do_insecure_remove(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      size_t nmlen;
 +      int nmlabs;
 +      uint8_t* nm = NULL;
 +      if(!parse_arg_name(ssl, arg, &nm, &nmlen, &nmlabs))
 +              return;
 +      if(worker->env.anchors)
 +              anchors_delete_insecure(worker->env.anchors,
 +                      LDNS_RR_CLASS_IN, nm);
 +      free(nm);
 +      send_ok(ssl);
 +}
 +
++static void
++do_insecure_list(SSL* ssl, struct worker* worker)
++{
++      char buf[257];
++      struct trust_anchor* a;
++      if(worker->env.anchors) {
++              RBTREE_FOR(a, struct trust_anchor*, worker->env.anchors->tree) {
++                      if(a->numDS == 0 && a->numDNSKEY == 0) {
++                              dname_str(a->name, buf);
++                              ssl_printf(ssl, "%s\n", buf);
++                      }
++              }
++      }
++}
++
 +/** do the status command */
 +static void
 +do_status(SSL* ssl, struct worker* worker)
 +{
 +      int i;
 +      time_t uptime;
 +      if(!ssl_printf(ssl, "version: %s\n", PACKAGE_VERSION))
 +              return;
 +      if(!ssl_printf(ssl, "verbosity: %d\n", verbosity))
 +              return;
 +      if(!ssl_printf(ssl, "threads: %d\n", worker->daemon->num))
 +              return;
 +      if(!ssl_printf(ssl, "modules: %d [", worker->daemon->mods.num))
 +              return;
 +      for(i=0; i<worker->daemon->mods.num; i++) {
 +              if(!ssl_printf(ssl, " %s", worker->daemon->mods.mod[i]->name))
 +                      return;
 +      }
 +      if(!ssl_printf(ssl, " ]\n"))
 +              return;
 +      uptime = (time_t)time(NULL) - (time_t)worker->daemon->time_boot.tv_sec;
 +      if(!ssl_printf(ssl, "uptime: " ARG_LL "d seconds\n", (long long)uptime))
 +              return;
 +      if(!ssl_printf(ssl, "options:%s%s\n" , 
 +              (worker->daemon->reuseport?" reuseport":""),
 +              (worker->daemon->rc->accept_list?" control(ssl)":"")))
 +              return;
 +      if(!ssl_printf(ssl, "unbound (pid %d) is running...\n",
 +              (int)getpid()))
 +              return;
 +}
 +
 +/** get age for the mesh state */
 +static void
 +get_mesh_age(struct mesh_state* m, char* buf, size_t len, 
 +      struct module_env* env)
 +{
 +      if(m->reply_list) {
 +              struct timeval d;
 +              struct mesh_reply* r = m->reply_list;
 +              /* last reply is the oldest */
 +              while(r && r->next)
 +                      r = r->next;
 +              timeval_subtract(&d, env->now_tv, &r->start_time);
 +              snprintf(buf, len, ARG_LL "d.%6.6d",
 +                      (long long)d.tv_sec, (int)d.tv_usec);
 +      } else {
 +              snprintf(buf, len, "-");
 +      }
 +}
 +
 +/** get status of a mesh state */
 +static void
 +get_mesh_status(struct mesh_area* mesh, struct mesh_state* m, 
 +      char* buf, size_t len)
 +{
 +      enum module_ext_state s = m->s.ext_state[m->s.curmod];
 +      const char *modname = mesh->mods.mod[m->s.curmod]->name;
 +      size_t l;
 +      if(strcmp(modname, "iterator") == 0 && s == module_wait_reply &&
 +              m->s.minfo[m->s.curmod]) {
 +              /* break into iterator to find out who its waiting for */
 +              struct iter_qstate* qstate = (struct iter_qstate*)
 +                      m->s.minfo[m->s.curmod];
 +              struct outbound_list* ol = &qstate->outlist;
 +              struct outbound_entry* e;
 +              snprintf(buf, len, "%s wait for", modname);
 +              l = strlen(buf);
 +              buf += l; len -= l;
 +              if(ol->first == NULL)
 +                      snprintf(buf, len, " (empty_list)");
 +              for(e = ol->first; e; e = e->next) {
 +                      snprintf(buf, len, " ");
 +                      l = strlen(buf);
 +                      buf += l; len -= l;
 +                      addr_to_str(&e->qsent->addr, e->qsent->addrlen, 
 +                              buf, len);
 +                      l = strlen(buf);
 +                      buf += l; len -= l;
 +              }
 +      } else if(s == module_wait_subquery) {
 +              /* look in subs from mesh state to see what */
 +              char nm[257];
 +              struct mesh_state_ref* sub;
 +              snprintf(buf, len, "%s wants", modname);
 +              l = strlen(buf);
 +              buf += l; len -= l;
 +              if(m->sub_set.count == 0)
 +                      snprintf(buf, len, " (empty_list)");
 +              RBTREE_FOR(sub, struct mesh_state_ref*, &m->sub_set) {
 +                      char* t = sldns_wire2str_type(sub->s->s.qinfo.qtype);
 +                      char* c = sldns_wire2str_class(sub->s->s.qinfo.qclass);
 +                      dname_str(sub->s->s.qinfo.qname, nm);
 +                      snprintf(buf, len, " %s %s %s", (t?t:"TYPE??"),
 +                              (c?c:"CLASS??"), nm);
 +                      l = strlen(buf);
 +                      buf += l; len -= l;
 +                      free(t);
 +                      free(c);
 +              }
 +      } else {
 +              snprintf(buf, len, "%s is %s", modname, strextstate(s));
 +      }
 +}
 +
 +/** do the dump_requestlist command */
 +static void
 +do_dump_requestlist(SSL* ssl, struct worker* worker)
 +{
 +      struct mesh_area* mesh;
 +      struct mesh_state* m;
 +      int num = 0;
 +      char buf[257];
 +      char timebuf[32];
 +      char statbuf[10240];
 +      if(!ssl_printf(ssl, "thread #%d\n", worker->thread_num))
 +              return;
 +      if(!ssl_printf(ssl, "#   type cl name    seconds    module status\n"))
 +              return;
 +      /* show worker mesh contents */
 +      mesh = worker->env.mesh;
 +      if(!mesh) return;
 +      RBTREE_FOR(m, struct mesh_state*, &mesh->all) {
 +              char* t = sldns_wire2str_type(m->s.qinfo.qtype);
 +              char* c = sldns_wire2str_class(m->s.qinfo.qclass);
 +              dname_str(m->s.qinfo.qname, buf);
 +              get_mesh_age(m, timebuf, sizeof(timebuf), &worker->env);
 +              get_mesh_status(mesh, m, statbuf, sizeof(statbuf));
 +              if(!ssl_printf(ssl, "%3d %4s %2s %s %s %s\n", 
 +                      num, (t?t:"TYPE??"), (c?c:"CLASS??"), buf, timebuf,
 +                      statbuf)) {
 +                      free(t);
 +                      free(c);
 +                      return;
 +              }
 +              num++;
 +              free(t);
 +              free(c);
 +      }
 +}
 +
 +/** structure for argument data for dump infra host */
 +struct infra_arg {
 +      /** the infra cache */
 +      struct infra_cache* infra;
 +      /** the SSL connection */
 +      SSL* ssl;
 +      /** the time now */
 +      time_t now;
 +      /** ssl failure? stop writing and skip the rest.  If the tcp
 +       * connection is broken, and writes fail, we then stop writing. */
 +      int ssl_failed;
 +};
 +
 +/** callback for every host element in the infra cache */
 +static void
 +dump_infra_host(struct lruhash_entry* e, void* arg)
 +{
 +      struct infra_arg* a = (struct infra_arg*)arg;
 +      struct infra_key* k = (struct infra_key*)e->key;
 +      struct infra_data* d = (struct infra_data*)e->data;
 +      char ip_str[1024];
 +      char name[257];
 +      if(a->ssl_failed)
 +              return;
 +      addr_to_str(&k->addr, k->addrlen, ip_str, sizeof(ip_str));
 +      dname_str(k->zonename, name);
 +      /* skip expired stuff (only backed off) */
 +      if(d->ttl < a->now) {
 +              if(d->rtt.rto >= USEFUL_SERVER_TOP_TIMEOUT) {
 +                      if(!ssl_printf(a->ssl, "%s %s expired rto %d\n", ip_str,
 +                              name, d->rtt.rto))  {
 +                              a->ssl_failed = 1;
 +                              return;
 +                      }
 +              }
 +              return;
 +      }
 +      if(!ssl_printf(a->ssl, "%s %s ttl %lu ping %d var %d rtt %d rto %d "
 +              "tA %d tAAAA %d tother %d "
 +              "ednsknown %d edns %d delay %d lame dnssec %d rec %d A %d "
 +              "other %d\n", ip_str, name, (unsigned long)(d->ttl - a->now),
 +              d->rtt.srtt, d->rtt.rttvar, rtt_notimeout(&d->rtt), d->rtt.rto,
 +              d->timeout_A, d->timeout_AAAA, d->timeout_other,
 +              (int)d->edns_lame_known, (int)d->edns_version,
++              (int)(a->now<d->probedelay?(d->probedelay - a->now):0),
 +              (int)d->isdnsseclame, (int)d->rec_lame, (int)d->lame_type_A,
 +              (int)d->lame_other)) {
 +              a->ssl_failed = 1;
 +              return;
 +      }
 +}
 +
 +/** do the dump_infra command */
 +static void
 +do_dump_infra(SSL* ssl, struct worker* worker)
 +{
 +      struct infra_arg arg;
 +      arg.infra = worker->env.infra_cache;
 +      arg.ssl = ssl;
 +      arg.now = *worker->env.now;
 +      arg.ssl_failed = 0;
 +      slabhash_traverse(arg.infra->hosts, 0, &dump_infra_host, (void*)&arg);
 +}
 +
 +/** do the log_reopen command */
 +static void
 +do_log_reopen(SSL* ssl, struct worker* worker)
 +{
 +      struct config_file* cfg = worker->env.cfg;
 +      send_ok(ssl);
 +      log_init(cfg->logfile, cfg->use_syslog, cfg->chrootdir);
 +}
 +
 +/** do the set_option command */
 +static void
 +do_set_option(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      char* arg2;
 +      if(!find_arg2(ssl, arg, &arg2))
 +              return;
 +      if(!config_set_option(worker->env.cfg, arg, arg2)) {
 +              (void)ssl_printf(ssl, "error setting option\n");
 +              return;
 +      }
 +      send_ok(ssl);
 +}
 +
 +/* routine to printout option values over SSL */
 +void remote_get_opt_ssl(char* line, void* arg)
 +{
 +      SSL* ssl = (SSL*)arg;
 +      (void)ssl_printf(ssl, "%s\n", line);
 +}
 +
 +/** do the get_option command */
 +static void
 +do_get_option(SSL* ssl, struct worker* worker, char* arg)
 +{
 +      int r;
 +      r = config_get_option(worker->env.cfg, arg, remote_get_opt_ssl, ssl);
 +      if(!r) {
 +              (void)ssl_printf(ssl, "error unknown option\n");
 +              return;
 +      }
 +}
 +
 +/** do the list_forwards command */
 +static void
 +do_list_forwards(SSL* ssl, struct worker* worker)
 +{
 +      /* since its a per-worker structure no locks needed */
 +      struct iter_forwards* fwds = worker->env.fwds;
 +      struct iter_forward_zone* z;
 +      struct trust_anchor* a;
 +      int insecure;
 +      RBTREE_FOR(z, struct iter_forward_zone*, fwds->tree) {
 +              if(!z->dp) continue; /* skip empty marker for stub */
 +
 +              /* see if it is insecure */
 +              insecure = 0;
 +              if(worker->env.anchors &&
 +                      (a=anchor_find(worker->env.anchors, z->name,
 +                      z->namelabs, z->namelen,  z->dclass))) {
 +                      if(!a->keylist && !a->numDS && !a->numDNSKEY)
 +                              insecure = 1;
 +                      lock_basic_unlock(&a->lock);
 +              }
 +
 +              if(!ssl_print_name_dp(ssl, (insecure?"forward +i":"forward"),
 +                      z->name, z->dclass, z->dp))
 +                      return;
 +      }
 +}
 +
 +/** do the list_stubs command */
 +static void
 +do_list_stubs(SSL* ssl, struct worker* worker)
 +{
 +      struct iter_hints_stub* z;
 +      struct trust_anchor* a;
 +      int insecure;
 +      char str[32];
 +      RBTREE_FOR(z, struct iter_hints_stub*, &worker->env.hints->tree) {
 +
 +              /* see if it is insecure */
 +              insecure = 0;
 +              if(worker->env.anchors &&
 +                      (a=anchor_find(worker->env.anchors, z->node.name,
 +                      z->node.labs, z->node.len,  z->node.dclass))) {
 +                      if(!a->keylist && !a->numDS && !a->numDNSKEY)
 +                              insecure = 1;
 +                      lock_basic_unlock(&a->lock);
 +              }
 +
 +              snprintf(str, sizeof(str), "stub %sprime%s",
 +                      (z->noprime?"no":""), (insecure?" +i":""));
 +              if(!ssl_print_name_dp(ssl, str, z->node.name,
 +                      z->node.dclass, z->dp))
 +                      return;
 +      }
 +}
 +
 +/** do the list_local_zones command */
 +static void
 +do_list_local_zones(SSL* ssl, struct worker* worker)
 +{
 +      struct local_zones* zones = worker->daemon->local_zones;
 +      struct local_zone* z;
 +      char buf[257];
 +      lock_rw_rdlock(&zones->lock);
 +      RBTREE_FOR(z, struct local_zone*, &zones->ztree) {
 +              lock_rw_rdlock(&z->lock);
 +              dname_str(z->name, buf);
 +              if(!ssl_printf(ssl, "%s %s\n", buf, 
 +                      local_zone_type2str(z->type))) {
 +                      /* failure to print */
 +                      lock_rw_unlock(&z->lock);
 +                      lock_rw_unlock(&zones->lock);
 +                      return;
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +      lock_rw_unlock(&zones->lock);
 +}
 +
 +/** do the list_local_data command */
 +static void
 +do_list_local_data(SSL* ssl, struct worker* worker)
 +{
 +      struct local_zones* zones = worker->daemon->local_zones;
 +      struct local_zone* z;
 +      struct local_data* d;
 +      struct local_rrset* p;
 +      char* s = (char*)sldns_buffer_begin(worker->env.scratch_buffer);
 +      size_t slen = sldns_buffer_capacity(worker->env.scratch_buffer);
 +      lock_rw_rdlock(&zones->lock);
 +      RBTREE_FOR(z, struct local_zone*, &zones->ztree) {
 +              lock_rw_rdlock(&z->lock);
 +              RBTREE_FOR(d, struct local_data*, &z->data) {
 +                      for(p = d->rrsets; p; p = p->next) {
 +                              struct packed_rrset_data* d =
 +                                      (struct packed_rrset_data*)p->rrset->entry.data;
 +                              size_t i;
 +                              for(i=0; i<d->count + d->rrsig_count; i++) {
 +                                      if(!packed_rr_to_string(p->rrset, i,
 +                                              0, s, slen)) {
 +                                              if(!ssl_printf(ssl, "BADRR\n"))
 +                                                      return;
 +                                      }
 +                                      if(!ssl_printf(ssl, "%s\n", s))
 +                                              return;
 +                              }
 +                      }
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +      lock_rw_unlock(&zones->lock);
 +}
 +
++/** struct for user arg ratelimit list */
++struct ratelimit_list_arg {
++      /** the infra cache */
++      struct infra_cache* infra;
++      /** the SSL to print to */
++      SSL* ssl;
++      /** all or only ratelimited */
++      int all;
++      /** current time */
++      time_t now;
++};
++
++/** list items in the ratelimit table */
++static void
++rate_list(struct lruhash_entry* e, void* arg)
++{
++      struct ratelimit_list_arg* a = (struct ratelimit_list_arg*)arg;
++      struct rate_key* k = (struct rate_key*)e->key;
++      struct rate_data* d = (struct rate_data*)e->data;
++      char buf[257];
++      int lim = infra_find_ratelimit(a->infra, k->name, k->namelen);
++      int max = infra_rate_max(d, a->now);
++      if(a->all == 0) {
++              if(max < lim)
++                      return;
++      }
++      dname_str(k->name, buf);
++      ssl_printf(a->ssl, "%s %d limit %d\n", buf, max, lim);
++}
++
++/** do the ratelimit_list command */
++static void
++do_ratelimit_list(SSL* ssl, struct worker* worker, char* arg)
++{
++      struct ratelimit_list_arg a;
++      a.all = 0;
++      a.infra = worker->env.infra_cache;
++      a.now = *worker->env.now;
++      a.ssl = ssl;
++      arg = skipwhite(arg);
++      if(strcmp(arg, "+a") == 0)
++              a.all = 1;
++      if(a.infra->domain_rates==NULL ||
++              (a.all == 0 && infra_dp_ratelimit == 0))
++              return;
++      slabhash_traverse(a.infra->domain_rates, 0, rate_list, &a);
++}
++
 +/** tell other processes to execute the command */
 +static void
 +distribute_cmd(struct daemon_remote* rc, SSL* ssl, char* cmd)
 +{
 +      int i;
 +      if(!cmd || !ssl) 
 +              return;
 +      /* skip i=0 which is me */
 +      for(i=1; i<rc->worker->daemon->num; i++) {
 +              worker_send_cmd(rc->worker->daemon->workers[i],
 +                      worker_cmd_remote);
 +              if(!tube_write_msg(rc->worker->daemon->workers[i]->cmd,
 +                      (uint8_t*)cmd, strlen(cmd)+1, 0)) {
 +                      ssl_printf(ssl, "error could not distribute cmd\n");
 +                      return;
 +              }
 +      }
 +}
 +
 +/** check for name with end-of-string, space or tab after it */
 +static int
 +cmdcmp(char* p, const char* cmd, size_t len)
 +{
 +      return strncmp(p,cmd,len)==0 && (p[len]==0||p[len]==' '||p[len]=='\t');
 +}
 +
 +/** execute a remote control command */
 +static void
 +execute_cmd(struct daemon_remote* rc, SSL* ssl, char* cmd, 
 +      struct worker* worker)
 +{
 +      char* p = skipwhite(cmd);
 +      /* compare command */
 +      if(cmdcmp(p, "stop", 4)) {
 +              do_stop(ssl, rc);
 +              return;
 +      } else if(cmdcmp(p, "reload", 6)) {
 +              do_reload(ssl, rc);
 +              return;
 +      } else if(cmdcmp(p, "stats_noreset", 13)) {
 +              do_stats(ssl, rc, 0);
 +              return;
 +      } else if(cmdcmp(p, "stats", 5)) {
 +              do_stats(ssl, rc, 1);
 +              return;
 +      } else if(cmdcmp(p, "status", 6)) {
 +              do_status(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "dump_cache", 10)) {
 +              (void)dump_cache(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "load_cache", 10)) {
 +              if(load_cache(ssl, worker)) send_ok(ssl);
 +              return;
 +      } else if(cmdcmp(p, "list_forwards", 13)) {
 +              do_list_forwards(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "list_stubs", 10)) {
 +              do_list_stubs(ssl, worker);
 +              return;
++      } else if(cmdcmp(p, "list_insecure", 13)) {
++              do_insecure_list(ssl, worker);
++              return;
 +      } else if(cmdcmp(p, "list_local_zones", 16)) {
 +              do_list_local_zones(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "list_local_data", 15)) {
 +              do_list_local_data(ssl, worker);
 +              return;
++      } else if(cmdcmp(p, "ratelimit_list", 14)) {
++              do_ratelimit_list(ssl, worker, p+14);
++              return;
 +      } else if(cmdcmp(p, "stub_add", 8)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_stub_add(ssl, worker, skipwhite(p+8));
 +              return;
 +      } else if(cmdcmp(p, "stub_remove", 11)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_stub_remove(ssl, worker, skipwhite(p+11));
 +              return;
 +      } else if(cmdcmp(p, "forward_add", 11)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_forward_add(ssl, worker, skipwhite(p+11));
 +              return;
 +      } else if(cmdcmp(p, "forward_remove", 14)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_forward_remove(ssl, worker, skipwhite(p+14));
 +              return;
 +      } else if(cmdcmp(p, "insecure_add", 12)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_insecure_add(ssl, worker, skipwhite(p+12));
 +              return;
 +      } else if(cmdcmp(p, "insecure_remove", 15)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_insecure_remove(ssl, worker, skipwhite(p+15));
 +              return;
 +      } else if(cmdcmp(p, "forward", 7)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_forward(ssl, worker, skipwhite(p+7));
 +              return;
 +      } else if(cmdcmp(p, "flush_stats", 11)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_flush_stats(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "flush_requestlist", 17)) {
 +              /* must always distribute this cmd */
 +              if(rc) distribute_cmd(rc, ssl, cmd);
 +              do_flush_requestlist(ssl, worker);
 +              return;
 +      } else if(cmdcmp(p, "lookup", 6)) {
 +              do_lookup(ssl, worker, skipwhite(p+6));
 +              return;
 +      }
 +
 +#ifdef THREADS_DISABLED
 +      /* other processes must execute the command as well */
 +      /* commands that should not be distributed, returned above. */
 +      if(rc) { /* only if this thread is the master (rc) thread */
 +              /* done before the code below, which may split the string */
 +              distribute_cmd(rc, ssl, cmd);
 +      }
 +#endif
 +      if(cmdcmp(p, "verbosity", 9)) {
 +              do_verbosity(ssl, skipwhite(p+9));
 +      } else if(cmdcmp(p, "local_zone_remove", 17)) {
 +              do_zone_remove(ssl, worker, skipwhite(p+17));
 +      } else if(cmdcmp(p, "local_zone", 10)) {
 +              do_zone_add(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "local_data_remove", 17)) {
 +              do_data_remove(ssl, worker, skipwhite(p+17));
 +      } else if(cmdcmp(p, "local_data", 10)) {
 +              do_data_add(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "flush_zone", 10)) {
 +              do_flush_zone(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "flush_type", 10)) {
 +              do_flush_type(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "flush_infra", 11)) {
 +              do_flush_infra(ssl, worker, skipwhite(p+11));
 +      } else if(cmdcmp(p, "flush", 5)) {
 +              do_flush_name(ssl, worker, skipwhite(p+5));
 +      } else if(cmdcmp(p, "dump_requestlist", 16)) {
 +              do_dump_requestlist(ssl, worker);
 +      } else if(cmdcmp(p, "dump_infra", 10)) {
 +              do_dump_infra(ssl, worker);
 +      } else if(cmdcmp(p, "log_reopen", 10)) {
 +              do_log_reopen(ssl, worker);
 +      } else if(cmdcmp(p, "set_option", 10)) {
 +              do_set_option(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "get_option", 10)) {
 +              do_get_option(ssl, worker, skipwhite(p+10));
 +      } else if(cmdcmp(p, "flush_bogus", 11)) {
 +              do_flush_bogus(ssl, worker);
 +      } else if(cmdcmp(p, "flush_negative", 14)) {
 +              do_flush_negative(ssl, worker);
 +      } else {
 +              (void)ssl_printf(ssl, "error unknown command '%s'\n", p);
 +      }
 +}
 +
 +void 
 +daemon_remote_exec(struct worker* worker)
 +{
 +      /* read the cmd string */
 +      uint8_t* msg = NULL;
 +      uint32_t len = 0;
 +      if(!tube_read_msg(worker->cmd, &msg, &len, 0)) {
 +              log_err("daemon_remote_exec: tube_read_msg failed");
 +              return;
 +      }
 +      verbose(VERB_ALGO, "remote exec distributed: %s", (char*)msg);
 +      execute_cmd(NULL, NULL, (char*)msg, worker);
 +      free(msg);
 +}
 +
 +/** handle remote control request */
 +static void
 +handle_req(struct daemon_remote* rc, struct rc_state* s, SSL* ssl)
 +{
 +      int r;
 +      char pre[10];
 +      char magic[7];
 +      char buf[1024];
 +#ifdef USE_WINSOCK
 +      /* makes it possible to set the socket blocking again. */
 +      /* basically removes it from winsock_event ... */
 +      WSAEventSelect(s->c->fd, NULL, 0);
 +#endif
 +      fd_set_block(s->c->fd);
 +
 +      /* try to read magic UBCT[version]_space_ string */
 +      ERR_clear_error();
 +      if((r=SSL_read(ssl, magic, (int)sizeof(magic)-1)) <= 0) {
 +              if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN)
 +                      return;
 +              log_crypto_err("could not SSL_read");
 +              return;
 +      }
 +      magic[6] = 0;
 +      if( r != 6 || strncmp(magic, "UBCT", 4) != 0) {
 +              verbose(VERB_QUERY, "control connection has bad magic string");
 +              /* probably wrong tool connected, ignore it completely */
 +              return;
 +      }
 +
 +      /* read the command line */
 +      if(!ssl_read_line(ssl, buf, sizeof(buf))) {
 +              return;
 +      }
 +      snprintf(pre, sizeof(pre), "UBCT%d ", UNBOUND_CONTROL_VERSION);
 +      if(strcmp(magic, pre) != 0) {
 +              verbose(VERB_QUERY, "control connection had bad "
 +                      "version %s, cmd: %s", magic, buf);
 +              ssl_printf(ssl, "error version mismatch\n");
 +              return;
 +      }
 +      verbose(VERB_DETAIL, "control cmd: %s", buf);
 +
 +      /* figure out what to do */
 +      execute_cmd(rc, ssl, buf, rc->worker);
 +}
 +
 +int remote_control_callback(struct comm_point* c, void* arg, int err, 
 +      struct comm_reply* ATTR_UNUSED(rep))
 +{
 +      struct rc_state* s = (struct rc_state*)arg;
 +      struct daemon_remote* rc = s->rc;
 +      int r;
 +      if(err != NETEVENT_NOERROR) {
 +              if(err==NETEVENT_TIMEOUT) 
 +                      log_err("remote control timed out");
 +              clean_point(rc, s);
 +              return 0;
 +      }
 +      /* (continue to) setup the SSL connection */
 +      ERR_clear_error();
 +      r = SSL_do_handshake(s->ssl);
 +      if(r != 1) {
 +              int r2 = SSL_get_error(s->ssl, r);
 +              if(r2 == SSL_ERROR_WANT_READ) {
 +                      if(s->shake_state == rc_hs_read) {
 +                              /* try again later */
 +                              return 0;
 +                      }
 +                      s->shake_state = rc_hs_read;
 +                      comm_point_listen_for_rw(c, 1, 0);
 +                      return 0;
 +              } else if(r2 == SSL_ERROR_WANT_WRITE) {
 +                      if(s->shake_state == rc_hs_write) {
 +                              /* try again later */
 +                              return 0;
 +                      }
 +                      s->shake_state = rc_hs_write;
 +                      comm_point_listen_for_rw(c, 0, 1);
 +                      return 0;
 +              } else {
 +                      if(r == 0)
 +                              log_err("remote control connection closed prematurely");
 +                      log_addr(1, "failed connection from",
 +                              &s->c->repinfo.addr, s->c->repinfo.addrlen);
 +                      log_crypto_err("remote control failed ssl");
 +                      clean_point(rc, s);
 +                      return 0;
 +              }
 +      }
 +      s->shake_state = rc_none;
 +
 +      /* once handshake has completed, check authentication */
 +      if (!rc->use_cert) {
 +              verbose(VERB_ALGO, "unauthenticated remote control connection");
 +      } else if(SSL_get_verify_result(s->ssl) == X509_V_OK) {
 +              X509* x = SSL_get_peer_certificate(s->ssl);
 +              if(!x) {
 +                      verbose(VERB_DETAIL, "remote control connection "
 +                              "provided no client certificate");
 +                      clean_point(rc, s);
 +                      return 0;
 +              }
 +              verbose(VERB_ALGO, "remote control connection authenticated");
 +              X509_free(x);
 +      } else {
 +              verbose(VERB_DETAIL, "remote control connection failed to "
 +                      "authenticate with client certificate");
 +              clean_point(rc, s);
 +              return 0;
 +      }
 +
 +      /* if OK start to actually handle the request */
 +      handle_req(rc, s, s->ssl);
 +
 +      verbose(VERB_ALGO, "remote control operation completed");
 +      clean_point(rc, s);
 +      return 0;
 +}
diff --cc contrib/unbound/daemon/stats.c
index d3f41de037b4b768fba0c2b770f7b0f384ab9d40,0000000000000000000000000000000000000000..838cf05ae52c699ebf241c8d33be843eb5f12b20
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/stats.c
--- /dev/null
+++ b/contrib/unbound/daemon/stats.c
@@@ -1,321 -1,0 +1,331 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * daemon/stats.c - collect runtime performance indicators.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file describes the data structure used to collect runtime performance
 + * numbers. These 'statistics' may be of interest to the operator.
 + */
 +#include "config.h"
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include <sys/time.h>
 +#include <sys/types.h>
 +#include "daemon/stats.h"
 +#include "daemon/worker.h"
 +#include "daemon/daemon.h"
 +#include "services/mesh.h"
 +#include "services/outside_network.h"
++#include "services/listen_dnsport.h"
 +#include "util/config_file.h"
 +#include "util/tube.h"
 +#include "util/timehist.h"
 +#include "util/net_help.h"
 +#include "validator/validator.h"
++#include "sldns/sbuffer.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/infra.h"
 +#include "validator/val_kcache.h"
 +
 +/** add timers and the values do not overflow or become negative */
 +static void
 +timeval_add(struct timeval* d, const struct timeval* add)
 +{
 +#ifndef S_SPLINT_S
 +      d->tv_sec += add->tv_sec;
 +      d->tv_usec += add->tv_usec;
 +      if(d->tv_usec > 1000000) {
 +              d->tv_usec -= 1000000;
 +              d->tv_sec++;
 +      }
 +#endif
 +}
 +
 +void server_stats_init(struct server_stats* stats, struct config_file* cfg)
 +{
 +      memset(stats, 0, sizeof(*stats));
 +      stats->extended = cfg->stat_extended;
 +}
 +
 +void server_stats_querymiss(struct server_stats* stats, struct worker* worker)
 +{
 +      stats->num_queries_missed_cache++;
 +      stats->sum_query_list_size += worker->env.mesh->all.count;
 +      if(worker->env.mesh->all.count > stats->max_query_list_size)
 +              stats->max_query_list_size = worker->env.mesh->all.count;
 +}
 +
 +void server_stats_prefetch(struct server_stats* stats, struct worker* worker)
 +{
 +      stats->num_queries_prefetch++;
 +      /* changes the query list size so account that, like a querymiss */
 +      stats->sum_query_list_size += worker->env.mesh->all.count;
 +      if(worker->env.mesh->all.count > stats->max_query_list_size)
 +              stats->max_query_list_size = worker->env.mesh->all.count;
 +}
 +
 +void server_stats_log(struct server_stats* stats, struct worker* worker,
 +      int threadnum)
 +{
 +      log_info("server stats for thread %d: %u queries, "
 +              "%u answers from cache, %u recursions, %u prefetch", 
 +              threadnum, (unsigned)stats->num_queries, 
 +              (unsigned)(stats->num_queries - 
 +                      stats->num_queries_missed_cache),
 +              (unsigned)stats->num_queries_missed_cache,
 +              (unsigned)stats->num_queries_prefetch);
 +      log_info("server stats for thread %d: requestlist max %u avg %g "
 +              "exceeded %u jostled %u", threadnum,
 +              (unsigned)stats->max_query_list_size,
 +              (stats->num_queries_missed_cache+stats->num_queries_prefetch)?
 +                      (double)stats->sum_query_list_size/
 +                      (stats->num_queries_missed_cache+
 +                      stats->num_queries_prefetch) : 0.0,
 +              (unsigned)worker->env.mesh->stats_dropped,
 +              (unsigned)worker->env.mesh->stats_jostled);
 +}
 +
 +/** get rrsets bogus number from validator */
 +static size_t
 +get_rrset_bogus(struct worker* worker)
 +{
 +      int m = modstack_find(&worker->env.mesh->mods, "validator");
 +      struct val_env* ve;
 +      size_t r;
 +      if(m == -1)
 +              return 0;
 +      ve = (struct val_env*)worker->env.modinfo[m];
 +      lock_basic_lock(&ve->bogus_lock);
 +      r = ve->num_rrset_bogus;
 +      if(!worker->env.cfg->stat_cumulative)
 +              ve->num_rrset_bogus = 0;
 +      lock_basic_unlock(&ve->bogus_lock);
 +      return r;
 +}
 +
 +void
 +server_stats_compile(struct worker* worker, struct stats_info* s, int reset)
 +{
 +      int i;
++      struct listen_list* lp;
 +
 +      s->svr = worker->stats;
 +      s->mesh_num_states = worker->env.mesh->all.count;
 +      s->mesh_num_reply_states = worker->env.mesh->num_reply_states;
 +      s->mesh_jostled = worker->env.mesh->stats_jostled;
 +      s->mesh_dropped = worker->env.mesh->stats_dropped;
 +      s->mesh_replies_sent = worker->env.mesh->replies_sent;
 +      s->mesh_replies_sum_wait = worker->env.mesh->replies_sum_wait;
 +      s->mesh_time_median = timehist_quartile(worker->env.mesh->histogram,
 +              0.50);
 +
 +      /* add in the values from the mesh */
 +      s->svr.ans_secure += worker->env.mesh->ans_secure;
 +      s->svr.ans_bogus += worker->env.mesh->ans_bogus;
 +      s->svr.ans_rcode_nodata += worker->env.mesh->ans_nodata;
 +      for(i=0; i<16; i++)
 +              s->svr.ans_rcode[i] += worker->env.mesh->ans_rcode[i];
 +      timehist_export(worker->env.mesh->histogram, s->svr.hist, 
 +              NUM_BUCKETS_HIST);
 +      /* values from outside network */
 +      s->svr.unwanted_replies = worker->back->unwanted_replies;
 +      s->svr.qtcp_outgoing = worker->back->num_tcp_outgoing;
 +
 +      /* get and reset validator rrset bogus number */
 +      s->svr.rrset_bogus = get_rrset_bogus(worker);
 +
 +      /* get cache sizes */
 +      s->svr.msg_cache_count = count_slabhash_entries(worker->env.msg_cache);
 +      s->svr.rrset_cache_count = count_slabhash_entries(&worker->env.rrset_cache->table);
 +      s->svr.infra_cache_count = count_slabhash_entries(worker->env.infra_cache->hosts);
 +      if(worker->env.key_cache)
 +              s->svr.key_cache_count = count_slabhash_entries(worker->env.key_cache->slab);
 +      else    s->svr.key_cache_count = 0;
 +
++      /* get tcp accept usage */
++      s->svr.tcp_accept_usage = 0;
++      for(lp = worker->front->cps; lp; lp = lp->next) {
++              if(lp->com->type == comm_tcp_accept)
++                      s->svr.tcp_accept_usage += lp->com->cur_tcp_count;
++      }
++
 +      if(reset && !worker->env.cfg->stat_cumulative) {
 +              worker_stats_clear(worker);
 +      }
 +}
 +
 +void server_stats_obtain(struct worker* worker, struct worker* who,
 +      struct stats_info* s, int reset)
 +{
 +      uint8_t *reply = NULL;
 +      uint32_t len = 0;
 +      if(worker == who) {
 +              /* just fill it in */
 +              server_stats_compile(worker, s, reset);
 +              return;
 +      }
 +      /* communicate over tube */
 +      verbose(VERB_ALGO, "write stats cmd");
 +      if(reset)
 +              worker_send_cmd(who, worker_cmd_stats);
 +      else    worker_send_cmd(who, worker_cmd_stats_noreset);
 +      verbose(VERB_ALGO, "wait for stats reply");
 +      if(!tube_read_msg(worker->cmd, &reply, &len, 0))
 +              fatal_exit("failed to read stats over cmd channel");
 +      if(len != (uint32_t)sizeof(*s))
 +              fatal_exit("stats on cmd channel wrong length %d %d",
 +                      (int)len, (int)sizeof(*s));
 +      memcpy(s, reply, (size_t)len);
 +      free(reply);
 +}
 +
 +void server_stats_reply(struct worker* worker, int reset)
 +{
 +      struct stats_info s;
 +      server_stats_compile(worker, &s, reset);
 +      verbose(VERB_ALGO, "write stats replymsg");
 +      if(!tube_write_msg(worker->daemon->workers[0]->cmd, 
 +              (uint8_t*)&s, sizeof(s), 0))
 +              fatal_exit("could not write stat values over cmd channel");
 +}
 +
 +void server_stats_add(struct stats_info* total, struct stats_info* a)
 +{
 +      total->svr.num_queries += a->svr.num_queries;
 +      total->svr.num_queries_missed_cache += a->svr.num_queries_missed_cache;
 +      total->svr.num_queries_prefetch += a->svr.num_queries_prefetch;
 +      total->svr.sum_query_list_size += a->svr.sum_query_list_size;
 +      /* the max size reached is upped to higher of both */
 +      if(a->svr.max_query_list_size > total->svr.max_query_list_size)
 +              total->svr.max_query_list_size = a->svr.max_query_list_size;
 +
 +      if(a->svr.extended) {
 +              int i;
 +              total->svr.qtype_big += a->svr.qtype_big;
 +              total->svr.qclass_big += a->svr.qclass_big;
 +              total->svr.qtcp += a->svr.qtcp;
 +              total->svr.qtcp_outgoing += a->svr.qtcp_outgoing;
 +              total->svr.qipv6 += a->svr.qipv6;
 +              total->svr.qbit_QR += a->svr.qbit_QR;
 +              total->svr.qbit_AA += a->svr.qbit_AA;
 +              total->svr.qbit_TC += a->svr.qbit_TC;
 +              total->svr.qbit_RD += a->svr.qbit_RD;
 +              total->svr.qbit_RA += a->svr.qbit_RA;
 +              total->svr.qbit_Z += a->svr.qbit_Z;
 +              total->svr.qbit_AD += a->svr.qbit_AD;
 +              total->svr.qbit_CD += a->svr.qbit_CD;
 +              total->svr.qEDNS += a->svr.qEDNS;
 +              total->svr.qEDNS_DO += a->svr.qEDNS_DO;
 +              total->svr.ans_rcode_nodata += a->svr.ans_rcode_nodata;
 +              total->svr.ans_secure += a->svr.ans_secure;
 +              total->svr.ans_bogus += a->svr.ans_bogus;
 +              total->svr.rrset_bogus += a->svr.rrset_bogus;
 +              total->svr.unwanted_replies += a->svr.unwanted_replies;
 +              total->svr.unwanted_queries += a->svr.unwanted_queries;
++              total->svr.tcp_accept_usage += a->svr.tcp_accept_usage;
 +              for(i=0; i<STATS_QTYPE_NUM; i++)
 +                      total->svr.qtype[i] += a->svr.qtype[i];
 +              for(i=0; i<STATS_QCLASS_NUM; i++)
 +                      total->svr.qclass[i] += a->svr.qclass[i];
 +              for(i=0; i<STATS_OPCODE_NUM; i++)
 +                      total->svr.qopcode[i] += a->svr.qopcode[i];
 +              for(i=0; i<STATS_RCODE_NUM; i++)
 +                      total->svr.ans_rcode[i] += a->svr.ans_rcode[i];
 +              for(i=0; i<NUM_BUCKETS_HIST; i++)
 +                      total->svr.hist[i] += a->svr.hist[i];
 +      }
 +
 +      total->mesh_num_states += a->mesh_num_states;
 +      total->mesh_num_reply_states += a->mesh_num_reply_states;
 +      total->mesh_jostled += a->mesh_jostled;
 +      total->mesh_dropped += a->mesh_dropped;
 +      total->mesh_replies_sent += a->mesh_replies_sent;
 +      timeval_add(&total->mesh_replies_sum_wait, &a->mesh_replies_sum_wait);
 +      /* the medians are averaged together, this is not as accurate as
 +       * taking the median over all of the data, but is good and fast
 +       * added up here, division later*/
 +      total->mesh_time_median += a->mesh_time_median;
 +}
 +
 +void server_stats_insquery(struct server_stats* stats, struct comm_point* c,
 +      uint16_t qtype, uint16_t qclass, struct edns_data* edns,
 +      struct comm_reply* repinfo)
 +{
 +      uint16_t flags = sldns_buffer_read_u16_at(c->buffer, 2);
 +      if(qtype < STATS_QTYPE_NUM)
 +              stats->qtype[qtype]++;
 +      else    stats->qtype_big++;
 +      if(qclass < STATS_QCLASS_NUM)
 +              stats->qclass[qclass]++;
 +      else    stats->qclass_big++;
 +      stats->qopcode[ LDNS_OPCODE_WIRE(sldns_buffer_begin(c->buffer)) ]++;
 +      if(c->type != comm_udp)
 +              stats->qtcp++;
 +      if(repinfo && addr_is_ip6(&repinfo->addr, repinfo->addrlen))
 +              stats->qipv6++;
 +      if( (flags&BIT_QR) )
 +              stats->qbit_QR++;
 +      if( (flags&BIT_AA) )
 +              stats->qbit_AA++;
 +      if( (flags&BIT_TC) )
 +              stats->qbit_TC++;
 +      if( (flags&BIT_RD) )
 +              stats->qbit_RD++;
 +      if( (flags&BIT_RA) )
 +              stats->qbit_RA++;
 +      if( (flags&BIT_Z) )
 +              stats->qbit_Z++;
 +      if( (flags&BIT_AD) )
 +              stats->qbit_AD++;
 +      if( (flags&BIT_CD) )
 +              stats->qbit_CD++;
 +      if(edns->edns_present) {
 +              stats->qEDNS++;
 +              if( (edns->bits & EDNS_DO) )
 +                      stats->qEDNS_DO++;
 +      }
 +}
 +
 +void server_stats_insrcode(struct server_stats* stats, sldns_buffer* buf)
 +{
 +      if(stats->extended && sldns_buffer_limit(buf) != 0) {
 +              int r = (int)LDNS_RCODE_WIRE( sldns_buffer_begin(buf) );
 +              stats->ans_rcode[r] ++;
 +              if(r == 0 && LDNS_ANCOUNT( sldns_buffer_begin(buf) ) == 0)
 +                      stats->ans_rcode_nodata ++;
 +      }
 +}
diff --cc contrib/unbound/daemon/stats.h
index 5ea00a0da5b7111720fa6b036266aa236407c530,0000000000000000000000000000000000000000..6985446ce299a26ec1eadbbde63bf3148b43d5b7
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/stats.h
--- /dev/null
+++ b/contrib/unbound/daemon/stats.h
@@@ -1,246 -1,0 +1,248 @@@
 +/*
 + * daemon/stats.h - collect runtime performance indicators.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file describes the data structure used to collect runtime performance
 + * numbers. These 'statistics' may be of interest to the operator.
 + */
 +
 +#ifndef DAEMON_STATS_H
 +#define DAEMON_STATS_H
 +#include "util/timehist.h"
 +struct worker;
 +struct config_file;
 +struct comm_point;
 +struct comm_reply;
 +struct edns_data;
 +struct sldns_buffer;
 +
 +/** number of qtype that is stored for in array */
 +#define STATS_QTYPE_NUM 256
 +/** number of qclass that is stored for in array */
 +#define STATS_QCLASS_NUM 256
 +/** number of rcodes in stats */
 +#define STATS_RCODE_NUM 16
 +/** number of opcodes in stats */
 +#define STATS_OPCODE_NUM 16
 +
 +/** per worker statistics */
 +struct server_stats {
 +      /** number of queries from clients received. */
 +      size_t num_queries;
 +      /** number of queries that had a cache-miss. */
 +      size_t num_queries_missed_cache;
 +      /** number of prefetch queries - cachehits with prefetch */
 +      size_t num_queries_prefetch;
 +
 +      /**
 +       * Sum of the querylistsize of the worker for 
 +       * every query that missed cache. To calculate average.
 +       */
 +      size_t sum_query_list_size;
 +      /** max value of query list size reached. */
 +      size_t max_query_list_size;
 +
 +      /** Extended stats below (bool) */
 +      int extended;
 +
 +      /** qtype stats */
 +      size_t qtype[STATS_QTYPE_NUM];
 +      /** bigger qtype values not in array */
 +      size_t qtype_big;
 +      /** qclass stats */
 +      size_t qclass[STATS_QCLASS_NUM];
 +      /** bigger qclass values not in array */
 +      size_t qclass_big;
 +      /** query opcodes */
 +      size_t qopcode[STATS_OPCODE_NUM];
 +      /** number of queries over TCP */
 +      size_t qtcp;
 +      /** number of outgoing queries over TCP */
 +      size_t qtcp_outgoing;
 +      /** number of queries over IPv6 */
 +      size_t qipv6;
 +      /** number of queries with QR bit */
 +      size_t qbit_QR;
 +      /** number of queries with AA bit */
 +      size_t qbit_AA;
 +      /** number of queries with TC bit */
 +      size_t qbit_TC;
 +      /** number of queries with RD bit */
 +      size_t qbit_RD;
 +      /** number of queries with RA bit */
 +      size_t qbit_RA;
 +      /** number of queries with Z bit */
 +      size_t qbit_Z;
 +      /** number of queries with AD bit */
 +      size_t qbit_AD;
 +      /** number of queries with CD bit */
 +      size_t qbit_CD;
 +      /** number of queries with EDNS OPT record */
 +      size_t qEDNS;
 +      /** number of queries with EDNS with DO flag */
 +      size_t qEDNS_DO;
 +      /** answer rcodes */
 +      size_t ans_rcode[STATS_RCODE_NUM];
 +      /** answers with pseudo rcode 'nodata' */
 +      size_t ans_rcode_nodata;
 +      /** answers that were secure (AD) */
 +      size_t ans_secure;
 +      /** answers that were bogus (withheld as SERVFAIL) */
 +      size_t ans_bogus;
 +      /** rrsets marked bogus by validator */
 +      size_t rrset_bogus;
 +      /** unwanted traffic received on server-facing ports */
 +      size_t unwanted_replies;
 +      /** unwanted traffic received on client-facing ports */
 +      size_t unwanted_queries;
++      /** usage of tcp accept list */
++      size_t tcp_accept_usage;
 +
 +      /** histogram data exported to array 
 +       * if the array is the same size, no data is lost, and
 +       * if all histograms are same size (is so by default) then
 +       * adding up works well. */
 +      size_t hist[NUM_BUCKETS_HIST];
 +      
 +      /** number of message cache entries */
 +      size_t msg_cache_count;
 +      /** number of rrset cache entries */
 +      size_t rrset_cache_count;
 +      /** number of infra cache entries */
 +      size_t infra_cache_count;
 +      /** number of key cache entries */
 +      size_t key_cache_count;
 +};
 +
 +/** 
 + * Statistics to send over the control pipe when asked
 + * This struct is made to be memcpied, sent in binary.
 + */
 +struct stats_info {
 +      /** the thread stats */
 +      struct server_stats svr;
 +
 +      /** mesh stats: current number of states */
 +      size_t mesh_num_states;
 +      /** mesh stats: current number of reply (user) states */
 +      size_t mesh_num_reply_states;
 +      /** mesh stats: number of reply states overwritten with a new one */
 +      size_t mesh_jostled;
 +      /** mesh stats: number of incoming queries dropped */
 +      size_t mesh_dropped;
 +      /** mesh stats: replies sent */
 +      size_t mesh_replies_sent;
 +      /** mesh stats: sum of waiting times for the replies */
 +      struct timeval mesh_replies_sum_wait;
 +      /** mesh stats: median of waiting times for replies (in sec) */
 +      double mesh_time_median;
 +};
 +
 +/** 
 + * Initialize server stats to 0.
 + * @param stats: what to init (this is alloced by the caller).
 + * @param cfg: with extended statistics option.
 + */
 +void server_stats_init(struct server_stats* stats, struct config_file* cfg);
 +
 +/** add query if it missed the cache */
 +void server_stats_querymiss(struct server_stats* stats, struct worker* worker);
 +
 +/** add query if was cached and also resulted in a prefetch */
 +void server_stats_prefetch(struct server_stats* stats, struct worker* worker);
 +
 +/** display the stats to the log */
 +void server_stats_log(struct server_stats* stats, struct worker* worker,
 +      int threadnum);
 +
 +/**
 + * Obtain the stats info for a given thread. Uses pipe to communicate.
 + * @param worker: the worker that is executing (the first worker).
 + * @param who: on who to get the statistics info.
 + * @param s: the stats block to fill in.
 + * @param reset: if stats can be reset.
 + */
 +void server_stats_obtain(struct worker* worker, struct worker* who,
 +      struct stats_info* s, int reset);
 +
 +/**
 + * Compile stats into structure for this thread worker.
 + * Also clears the statistics counters (if that is set by config file).
 + * @param worker: the worker to compile stats for, also the executing worker.
 + * @param s: stats block.
 + * @param reset: if true, depending on config stats are reset.
 + *    if false, statistics are not reset.
 + */
 +void server_stats_compile(struct worker* worker, struct stats_info* s, 
 +      int reset);
 +
 +/**
 + * Send stats over comm tube in reply to query cmd
 + * @param worker: this worker.
 + * @param reset: if true, depending on config stats are reset.
 + *    if false, statistics are not reset.
 + */
 +void server_stats_reply(struct worker* worker, int reset);
 +
 +/**
 + * Addup stat blocks.
 + * @param total: sum of the two entries.
 + * @param a: to add to it.
 + */
 +void server_stats_add(struct stats_info* total, struct stats_info* a);
 +
 +/**
 + * Add stats for this query
 + * @param stats: the stats
 + * @param c: commpoint with type and buffer.
 + * @param qtype: query type
 + * @param qclass: query class
 + * @param edns: edns record
 + * @param repinfo: reply info with remote address
 + */
 +void server_stats_insquery(struct server_stats* stats, struct comm_point* c,
 +      uint16_t qtype, uint16_t qclass, struct edns_data* edns, 
 +      struct comm_reply* repinfo);
 +
 +/**
 + * Add rcode for this query.
 + * @param stats: the stats
 + * @param buf: buffer with rcode. If buffer is length0: not counted.
 + */
 +void server_stats_insrcode(struct server_stats* stats, struct sldns_buffer* buf);
 +
 +#endif /* DAEMON_STATS_H */
diff --cc contrib/unbound/daemon/worker.c
index 5edc21dd46e7570869d62c9f5cfb42b627f5e01b,0000000000000000000000000000000000000000..79aec4d3a4b29d2c205537810bfe292d18f146a8
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/worker.c
--- /dev/null
+++ b/contrib/unbound/daemon/worker.c
@@@ -1,1452 -1,0 +1,1478 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * daemon/worker.c - worker that handles a pending list of requests.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file implements the worker that handles callbacks on events, for
 + * pending requests.
 + */
 +#include "config.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/random.h"
 +#include "daemon/worker.h"
 +#include "daemon/daemon.h"
 +#include "daemon/remote.h"
 +#include "daemon/acl_list.h"
 +#include "util/netevent.h"
 +#include "util/config_file.h"
 +#include "util/module.h"
 +#include "util/regional.h"
 +#include "util/storage/slabhash.h"
 +#include "services/listen_dnsport.h"
 +#include "services/outside_network.h"
 +#include "services/outbound_list.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/infra.h"
 +#include "services/cache/dns.h"
 +#include "services/mesh.h"
 +#include "services/localzone.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/msgencode.h"
 +#include "util/data/dname.h"
 +#include "util/fptr_wlist.h"
 +#include "util/tube.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_hints.h"
 +#include "validator/autotrust.h"
 +#include "validator/val_anchor.h"
 +#include "libunbound/context.h"
 +#include "libunbound/libworker.h"
-               return LDNS_RCODE_FORMERR;
++#include "sldns/sbuffer.h"
 +
 +#ifdef HAVE_SYS_TYPES_H
 +#  include <sys/types.h>
 +#endif
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +#include <signal.h>
 +#ifdef UB_ON_WINDOWS
 +#include "winrc/win_svc.h"
 +#endif
 +
 +/** Size of an UDP datagram */
 +#define NORMAL_UDP_SIZE       512 /* bytes */
++/** ratelimit for error responses */
++#define ERROR_RATELIMIT 100 /* qps */
 +
 +/** 
 + * seconds to add to prefetch leeway.  This is a TTL that expires old rrsets
 + * earlier than they should in order to put the new update into the cache.
 + * This additional value is to make sure that if not all TTLs are equal in
 + * the message to be updated(and replaced), that rrsets with up to this much
 + * extra TTL are also replaced.  This means that the resulting new message
 + * will have (most likely) this TTL at least, avoiding very small 'split
 + * second' TTLs due to operators choosing relative primes for TTLs (or so).
 + * Also has to be at least one to break ties (and overwrite cached entry).
 + */
 +#define PREFETCH_EXPIRY_ADD 60
 +
 +#ifdef UNBOUND_ALLOC_STATS
 +/** measure memory leakage */
 +static void
 +debug_memleak(size_t accounted, size_t heap, 
 +      size_t total_alloc, size_t total_free)
 +{
 +      static int init = 0;
 +      static size_t base_heap, base_accounted, base_alloc, base_free;
 +      size_t base_af, cur_af, grow_af, grow_acc;
 +      if(!init) {
 +              init = 1;
 +              base_heap = heap;
 +              base_accounted = accounted;
 +              base_alloc = total_alloc;
 +              base_free = total_free;
 +      }
 +      base_af = base_alloc - base_free;
 +      cur_af = total_alloc - total_free;
 +      grow_af = cur_af - base_af;
 +      grow_acc = accounted - base_accounted;
 +      log_info("Leakage: %d leaked. growth: %u use, %u acc, %u heap",
 +              (int)(grow_af - grow_acc), (unsigned)grow_af, 
 +              (unsigned)grow_acc, (unsigned)(heap - base_heap));
 +}
 +
 +/** give debug heap size indication */
 +static void
 +debug_total_mem(size_t calctotal)
 +{
 +#ifdef HAVE_SBRK
 +      extern void* unbound_start_brk;
 +      extern size_t unbound_mem_alloc, unbound_mem_freed;
 +      void* cur = sbrk(0);
 +      int total = cur-unbound_start_brk;
 +      log_info("Total heap memory estimate: %u  total-alloc: %u  "
 +              "total-free: %u", (unsigned)total, 
 +              (unsigned)unbound_mem_alloc, (unsigned)unbound_mem_freed);
 +      debug_memleak(calctotal, (size_t)total, 
 +              unbound_mem_alloc, unbound_mem_freed);
 +#else
 +      (void)calctotal;
 +#endif /* HAVE_SBRK */
 +}
 +#endif /* UNBOUND_ALLOC_STATS */
 +
 +/** Report on memory usage by this thread and global */
 +static void
 +worker_mem_report(struct worker* ATTR_UNUSED(worker), 
 +      struct serviced_query* ATTR_UNUSED(cur_serv))
 +{
 +#ifdef UNBOUND_ALLOC_STATS
 +      /* debug func in validator module */
 +      size_t total, front, back, mesh, msg, rrset, infra, ac, superac;
 +      size_t me, iter, val, anch;
 +      int i;
 +      if(verbosity < VERB_ALGO) 
 +              return;
 +      front = listen_get_mem(worker->front);
 +      back = outnet_get_mem(worker->back);
 +      msg = slabhash_get_mem(worker->env.msg_cache);
 +      rrset = slabhash_get_mem(&worker->env.rrset_cache->table);
 +      infra = infra_get_mem(worker->env.infra_cache);
 +      mesh = mesh_get_mem(worker->env.mesh);
 +      ac = alloc_get_mem(&worker->alloc);
 +      superac = alloc_get_mem(&worker->daemon->superalloc);
 +      anch = anchors_get_mem(worker->env.anchors);
 +      iter = 0;
 +      val = 0;
 +      for(i=0; i<worker->env.mesh->mods.num; i++) {
 +              fptr_ok(fptr_whitelist_mod_get_mem(worker->env.mesh->
 +                      mods.mod[i]->get_mem));
 +              if(strcmp(worker->env.mesh->mods.mod[i]->name, "validator")==0)
 +                      val += (*worker->env.mesh->mods.mod[i]->get_mem)
 +                              (&worker->env, i);
 +              else    iter += (*worker->env.mesh->mods.mod[i]->get_mem)
 +                              (&worker->env, i);
 +      }
 +      me = sizeof(*worker) + sizeof(*worker->base) + sizeof(*worker->comsig)
 +              + comm_point_get_mem(worker->cmd_com) 
 +              + sizeof(worker->rndstate) 
 +              + regional_get_mem(worker->scratchpad) 
 +              + sizeof(*worker->env.scratch_buffer) 
 +              + sldns_buffer_capacity(worker->env.scratch_buffer)
 +              + forwards_get_mem(worker->env.fwds)
 +              + hints_get_mem(worker->env.hints);
 +      if(worker->thread_num == 0)
 +              me += acl_list_get_mem(worker->daemon->acl);
 +      if(cur_serv) {
 +              me += serviced_get_mem(cur_serv);
 +      }
 +      total = front+back+mesh+msg+rrset+infra+iter+val+ac+superac+me;
 +      log_info("Memory conditions: %u front=%u back=%u mesh=%u msg=%u "
 +              "rrset=%u infra=%u iter=%u val=%u anchors=%u "
 +              "alloccache=%u globalalloccache=%u me=%u",
 +              (unsigned)total, (unsigned)front, (unsigned)back, 
 +              (unsigned)mesh, (unsigned)msg, (unsigned)rrset, 
 +              (unsigned)infra, (unsigned)iter, (unsigned)val, (unsigned)anch,
 +              (unsigned)ac, (unsigned)superac, (unsigned)me);
 +      debug_total_mem(total);
 +#else /* no UNBOUND_ALLOC_STATS */
 +      size_t val = 0;
 +      int i;
 +      if(verbosity < VERB_QUERY)
 +              return;
 +      for(i=0; i<worker->env.mesh->mods.num; i++) {
 +              fptr_ok(fptr_whitelist_mod_get_mem(worker->env.mesh->
 +                      mods.mod[i]->get_mem));
 +              if(strcmp(worker->env.mesh->mods.mod[i]->name, "validator")==0)
 +                      val += (*worker->env.mesh->mods.mod[i]->get_mem)
 +                              (&worker->env, i);
 +      }
 +      verbose(VERB_QUERY, "cache memory msg=%u rrset=%u infra=%u val=%u",
 +              (unsigned)slabhash_get_mem(worker->env.msg_cache),
 +              (unsigned)slabhash_get_mem(&worker->env.rrset_cache->table),
 +              (unsigned)infra_get_mem(worker->env.infra_cache),
 +              (unsigned)val);
 +#endif /* UNBOUND_ALLOC_STATS */
 +}
 +
 +void 
 +worker_send_cmd(struct worker* worker, enum worker_commands cmd)
 +{
 +      uint32_t c = (uint32_t)htonl(cmd);
 +      if(!tube_write_msg(worker->cmd, (uint8_t*)&c, sizeof(c), 0)) {
 +              log_err("worker send cmd %d failed", (int)cmd);
 +      }
 +}
 +
 +int 
 +worker_handle_reply(struct comm_point* c, void* arg, int error, 
 +      struct comm_reply* reply_info)
 +{
 +      struct module_qstate* q = (struct module_qstate*)arg;
 +      struct worker* worker = q->env->worker;
 +      struct outbound_entry e;
 +      e.qstate = q;
 +      e.qsent = NULL;
 +
 +      if(error != 0) {
 +              mesh_report_reply(worker->env.mesh, &e, reply_info, error);
 +              worker_mem_report(worker, NULL);
 +              return 0;
 +      }
 +      /* sanity check. */
 +      if(!LDNS_QR_WIRE(sldns_buffer_begin(c->buffer))
 +              || LDNS_OPCODE_WIRE(sldns_buffer_begin(c->buffer)) != 
 +                      LDNS_PACKET_QUERY
 +              || LDNS_QDCOUNT(sldns_buffer_begin(c->buffer)) > 1) {
 +              /* error becomes timeout for the module as if this reply
 +               * never arrived. */
 +              mesh_report_reply(worker->env.mesh, &e, reply_info, 
 +                      NETEVENT_TIMEOUT);
 +              worker_mem_report(worker, NULL);
 +              return 0;
 +      }
 +      mesh_report_reply(worker->env.mesh, &e, reply_info, NETEVENT_NOERROR);
 +      worker_mem_report(worker, NULL);
 +      return 0;
 +}
 +
 +int 
 +worker_handle_service_reply(struct comm_point* c, void* arg, int error, 
 +      struct comm_reply* reply_info)
 +{
 +      struct outbound_entry* e = (struct outbound_entry*)arg;
 +      struct worker* worker = e->qstate->env->worker;
 +      struct serviced_query *sq = e->qsent;
 +
 +      verbose(VERB_ALGO, "worker svcd callback for qstate %p", e->qstate);
 +      if(error != 0) {
 +              mesh_report_reply(worker->env.mesh, e, reply_info, error);
 +              worker_mem_report(worker, sq);
 +              return 0;
 +      }
 +      /* sanity check. */
 +      if(!LDNS_QR_WIRE(sldns_buffer_begin(c->buffer))
 +              || LDNS_OPCODE_WIRE(sldns_buffer_begin(c->buffer)) != 
 +                      LDNS_PACKET_QUERY
 +              || LDNS_QDCOUNT(sldns_buffer_begin(c->buffer)) > 1) {
 +              /* error becomes timeout for the module as if this reply
 +               * never arrived. */
 +              verbose(VERB_ALGO, "worker: bad reply handled as timeout");
 +              mesh_report_reply(worker->env.mesh, e, reply_info, 
 +                      NETEVENT_TIMEOUT);
 +              worker_mem_report(worker, sq);
 +              return 0;
 +      }
 +      mesh_report_reply(worker->env.mesh, e, reply_info, NETEVENT_NOERROR);
 +      worker_mem_report(worker, sq);
 +      return 0;
 +}
 +
++/** ratelimit error replies
++ * @param worker: the worker struct with ratelimit counter
++ * @param err: error code that would be wanted.
++ * @return value of err if okay, or -1 if it should be discarded instead.
++ */
++static int
++worker_err_ratelimit(struct worker* worker, int err)
++{
++      if(worker->err_limit_time == *worker->env.now) {
++              /* see if limit is exceeded for this second */
++              if(worker->err_limit_count++ > ERROR_RATELIMIT)
++                      return -1;
++      } else {
++              /* new second, new limits */
++              worker->err_limit_time = *worker->env.now;
++              worker->err_limit_count = 1;
++      }
++      return err;
++}
++
 +/** check request sanity.
 + * @param pkt: the wire packet to examine for sanity.
 + * @param worker: parameters for checking.
 + * @return error code, 0 OK, or -1 discard.
 +*/
 +static int 
 +worker_check_request(sldns_buffer* pkt, struct worker* worker)
 +{
 +      if(sldns_buffer_limit(pkt) < LDNS_HEADER_SIZE) {
 +              verbose(VERB_QUERY, "request too short, discarded");
 +              return -1;
 +      }
 +      if(sldns_buffer_limit(pkt) > NORMAL_UDP_SIZE && 
 +              worker->daemon->cfg->harden_large_queries) {
 +              verbose(VERB_QUERY, "request too large, discarded");
 +              return -1;
 +      }
 +      if(LDNS_QR_WIRE(sldns_buffer_begin(pkt))) {
 +              verbose(VERB_QUERY, "request has QR bit on, discarded");
 +              return -1;
 +      }
 +      if(LDNS_TC_WIRE(sldns_buffer_begin(pkt))) {
 +              LDNS_TC_CLR(sldns_buffer_begin(pkt));
 +              verbose(VERB_QUERY, "request bad, has TC bit on");
-               return LDNS_RCODE_NOTIMPL;
++              return worker_err_ratelimit(worker, LDNS_RCODE_FORMERR);
 +      }
 +      if(LDNS_OPCODE_WIRE(sldns_buffer_begin(pkt)) != LDNS_PACKET_QUERY) {
 +              verbose(VERB_QUERY, "request unknown opcode %d", 
 +                      LDNS_OPCODE_WIRE(sldns_buffer_begin(pkt)));
-               return LDNS_RCODE_FORMERR;
++              return worker_err_ratelimit(worker, LDNS_RCODE_NOTIMPL);
 +      }
 +      if(LDNS_QDCOUNT(sldns_buffer_begin(pkt)) != 1) {
 +              verbose(VERB_QUERY, "request wrong nr qd=%d", 
 +                      LDNS_QDCOUNT(sldns_buffer_begin(pkt)));
-               return LDNS_RCODE_FORMERR;
++              return worker_err_ratelimit(worker, LDNS_RCODE_FORMERR);
 +      }
 +      if(LDNS_ANCOUNT(sldns_buffer_begin(pkt)) != 0) {
 +              verbose(VERB_QUERY, "request wrong nr an=%d", 
 +                      LDNS_ANCOUNT(sldns_buffer_begin(pkt)));
-               return LDNS_RCODE_FORMERR;
++              return worker_err_ratelimit(worker, LDNS_RCODE_FORMERR);
 +      }
 +      if(LDNS_NSCOUNT(sldns_buffer_begin(pkt)) != 0) {
 +              verbose(VERB_QUERY, "request wrong nr ns=%d", 
 +                      LDNS_NSCOUNT(sldns_buffer_begin(pkt)));
-               return LDNS_RCODE_FORMERR;
++              return worker_err_ratelimit(worker, LDNS_RCODE_FORMERR);
 +      }
 +      if(LDNS_ARCOUNT(sldns_buffer_begin(pkt)) > 1) {
 +              verbose(VERB_QUERY, "request wrong nr ar=%d", 
 +                      LDNS_ARCOUNT(sldns_buffer_begin(pkt)));
-               if(!reply_check_cname_chain(rep)) {
++              return worker_err_ratelimit(worker, LDNS_RCODE_FORMERR);
 +      }
 +      return 0;
 +}
 +
 +void 
 +worker_handle_control_cmd(struct tube* ATTR_UNUSED(tube), uint8_t* msg,
 +      size_t len, int error, void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      enum worker_commands cmd;
 +      if(error != NETEVENT_NOERROR) {
 +              free(msg);
 +              if(error == NETEVENT_CLOSED)
 +                      comm_base_exit(worker->base);
 +              else    log_info("control event: %d", error);
 +              return;
 +      }
 +      if(len != sizeof(uint32_t)) {
 +              fatal_exit("bad control msg length %d", (int)len);
 +      }
 +      cmd = sldns_read_uint32(msg);
 +      free(msg);
 +      switch(cmd) {
 +      case worker_cmd_quit:
 +              verbose(VERB_ALGO, "got control cmd quit");
 +              comm_base_exit(worker->base);
 +              break;
 +      case worker_cmd_stats:
 +              verbose(VERB_ALGO, "got control cmd stats");
 +              server_stats_reply(worker, 1);
 +              break;
 +      case worker_cmd_stats_noreset:
 +              verbose(VERB_ALGO, "got control cmd stats_noreset");
 +              server_stats_reply(worker, 0);
 +              break;
 +      case worker_cmd_remote:
 +              verbose(VERB_ALGO, "got control cmd remote");
 +              daemon_remote_exec(worker);
 +              break;
 +      default:
 +              log_err("bad command %d", (int)cmd);
 +              break;
 +      }
 +}
 +
 +/** check if a delegation is secure */
 +static enum sec_status
 +check_delegation_secure(struct reply_info *rep) 
 +{
 +      /* return smallest security status */
 +      size_t i;
 +      enum sec_status sec = sec_status_secure;
 +      enum sec_status s;
 +      size_t num = rep->an_numrrsets + rep->ns_numrrsets;
 +      /* check if answer and authority are OK */
 +      for(i=0; i<num; i++) {
 +              s = ((struct packed_rrset_data*)rep->rrsets[i]->entry.data)
 +                      ->security;
 +              if(s < sec)
 +                      sec = s;
 +      }
 +      /* in additional, only unchecked triggers revalidation */
 +      for(i=num; i<rep->rrset_count; i++) {
 +              s = ((struct packed_rrset_data*)rep->rrsets[i]->entry.data)
 +                      ->security;
 +              if(s == sec_status_unchecked)
 +                      return s;
 +      }
 +      return sec;
 +}
 +
 +/** remove nonsecure from a delegation referral additional section */
 +static void
 +deleg_remove_nonsecure_additional(struct reply_info* rep)
 +{
 +      /* we can simply edit it, since we are working in the scratch region */
 +      size_t i;
 +      enum sec_status s;
 +
 +      for(i = rep->an_numrrsets+rep->ns_numrrsets; i<rep->rrset_count; i++) {
 +              s = ((struct packed_rrset_data*)rep->rrsets[i]->entry.data)
 +                      ->security;
 +              if(s != sec_status_secure) {
 +                      memmove(rep->rrsets+i, rep->rrsets+i+1, 
 +                              sizeof(struct ub_packed_rrset_key*)* 
 +                              (rep->rrset_count - i - 1));
 +                      rep->ar_numrrsets--; 
 +                      rep->rrset_count--;
 +                      i--;
 +              }
 +      }
 +}
 +
 +/** answer nonrecursive query from the cache */
 +static int
 +answer_norec_from_cache(struct worker* worker, struct query_info* qinfo,
 +      uint16_t id, uint16_t flags, struct comm_reply* repinfo, 
 +      struct edns_data* edns)
 +{
 +      /* for a nonrecursive query return either:
 +       *      o an error (servfail; we try to avoid this)
 +       *      o a delegation (closest we have; this routine tries that)
 +       *      o the answer (checked by answer_from_cache) 
 +       *
 +       * So, grab a delegation from the rrset cache. 
 +       * Then check if it needs validation, if so, this routine fails,
 +       * so that iterator can prime and validator can verify rrsets.
 +       */
 +      uint16_t udpsize = edns->udp_size;
 +      int secure = 0;
 +      time_t timenow = *worker->env.now;
 +      int must_validate = (!(flags&BIT_CD) || worker->env.cfg->ignore_cd)
 +              && worker->env.need_to_validate;
 +      struct dns_msg *msg = NULL;
 +      struct delegpt *dp;
 +
 +      dp = dns_cache_find_delegation(&worker->env, qinfo->qname, 
 +              qinfo->qname_len, qinfo->qtype, qinfo->qclass,
 +              worker->scratchpad, &msg, timenow);
 +      if(!dp) { /* no delegation, need to reprime */
 +              regional_free_all(worker->scratchpad);
 +              return 0;
 +      }
 +      if(must_validate) {
 +              switch(check_delegation_secure(msg->rep)) {
 +              case sec_status_unchecked:
 +                      /* some rrsets have not been verified yet, go and 
 +                       * let validator do that */
 +                      regional_free_all(worker->scratchpad);
 +                      return 0;
 +              case sec_status_bogus:
 +                      /* some rrsets are bogus, reply servfail */
 +                      edns->edns_version = EDNS_ADVERTISED_VERSION;
 +                      edns->udp_size = EDNS_ADVERTISED_SIZE;
 +                      edns->ext_rcode = 0;
 +                      edns->bits &= EDNS_DO;
 +                      error_encode(repinfo->c->buffer, LDNS_RCODE_SERVFAIL, 
 +                              &msg->qinfo, id, flags, edns);
 +                      regional_free_all(worker->scratchpad);
 +                      if(worker->stats.extended) {
 +                              worker->stats.ans_bogus++;
 +                              worker->stats.ans_rcode[LDNS_RCODE_SERVFAIL]++;
 +                      }
 +                      return 1;
 +              case sec_status_secure:
 +                      /* all rrsets are secure */
 +                      /* remove non-secure rrsets from the add. section*/
 +                      if(worker->env.cfg->val_clean_additional)
 +                              deleg_remove_nonsecure_additional(msg->rep);
 +                      secure = 1;
 +                      break;
 +              case sec_status_indeterminate:
 +              case sec_status_insecure:
 +              default:
 +                      /* not secure */
 +                      secure = 0;
 +                      break;
 +              }
 +      }
 +      /* return this delegation from the cache */
 +      edns->edns_version = EDNS_ADVERTISED_VERSION;
 +      edns->udp_size = EDNS_ADVERTISED_SIZE;
 +      edns->ext_rcode = 0;
 +      edns->bits &= EDNS_DO;
 +      msg->rep->flags |= BIT_QR|BIT_RA;
 +      if(!reply_info_answer_encode(&msg->qinfo, msg->rep, id, flags, 
 +              repinfo->c->buffer, 0, 1, worker->scratchpad,
 +              udpsize, edns, (int)(edns->bits & EDNS_DO), secure)) {
 +              error_encode(repinfo->c->buffer, LDNS_RCODE_SERVFAIL, 
 +                      &msg->qinfo, id, flags, edns);
 +      }
 +      regional_free_all(worker->scratchpad);
 +      if(worker->stats.extended) {
 +              if(secure) worker->stats.ans_secure++;
 +              server_stats_insrcode(&worker->stats, repinfo->c->buffer);
 +      }
 +      return 1;
 +}
 +
 +/** answer query from the cache */
 +static int
 +answer_from_cache(struct worker* worker, struct query_info* qinfo,
 +      struct reply_info* rep, uint16_t id, uint16_t flags, 
 +      struct comm_reply* repinfo, struct edns_data* edns)
 +{
 +      time_t timenow = *worker->env.now;
 +      uint16_t udpsize = edns->udp_size;
 +      int secure;
 +      int must_validate = (!(flags&BIT_CD) || worker->env.cfg->ignore_cd)
 +              && worker->env.need_to_validate;
 +      /* see if it is possible */
 +      if(rep->ttl < timenow) {
 +              /* the rrsets may have been updated in the meantime.
 +               * we will refetch the message format from the
 +               * authoritative server 
 +               */
 +              return 0;
 +      }
 +      if(!rrset_array_lock(rep->ref, rep->rrset_count, timenow))
 +              return 0;
 +      /* locked and ids and ttls are OK. */
 +      /* check CNAME chain (if any) */
 +      if(rep->an_numrrsets > 0 && (rep->rrsets[0]->rk.type == 
 +              htons(LDNS_RR_TYPE_CNAME) || rep->rrsets[0]->rk.type == 
 +              htons(LDNS_RR_TYPE_DNAME))) {
++              if(!reply_check_cname_chain(qinfo, rep)) {
 +                      /* cname chain invalid, redo iterator steps */
 +                      verbose(VERB_ALGO, "Cache reply: cname chain broken");
 +              bail_out:
 +                      rrset_array_unlock_touch(worker->env.rrset_cache, 
 +                              worker->scratchpad, rep->ref, rep->rrset_count);
 +                      regional_free_all(worker->scratchpad);
 +                      return 0;
 +              }
 +      }
 +      /* check security status of the cached answer */
 +      if( rep->security == sec_status_bogus && must_validate) {
 +              /* BAD cached */
 +              edns->edns_version = EDNS_ADVERTISED_VERSION;
 +              edns->udp_size = EDNS_ADVERTISED_SIZE;
 +              edns->ext_rcode = 0;
 +              edns->bits &= EDNS_DO;
 +              error_encode(repinfo->c->buffer, LDNS_RCODE_SERVFAIL, 
 +                      qinfo, id, flags, edns);
 +              rrset_array_unlock_touch(worker->env.rrset_cache, 
 +                      worker->scratchpad, rep->ref, rep->rrset_count);
 +              regional_free_all(worker->scratchpad);
 +              if(worker->stats.extended) {
 +                      worker->stats.ans_bogus ++;
 +                      worker->stats.ans_rcode[LDNS_RCODE_SERVFAIL] ++;
 +              }
 +              return 1;
 +      } else if( rep->security == sec_status_unchecked && must_validate) {
 +              verbose(VERB_ALGO, "Cache reply: unchecked entry needs "
 +                      "validation");
 +              goto bail_out; /* need to validate cache entry first */
 +      } else if(rep->security == sec_status_secure) {
 +              if(reply_all_rrsets_secure(rep))
 +                      secure = 1;
 +              else    {
 +                      if(must_validate) {
 +                              verbose(VERB_ALGO, "Cache reply: secure entry"
 +                                      " changed status");
 +                              goto bail_out; /* rrset changed, re-verify */
 +                      }
 +                      secure = 0;
 +              }
 +      } else  secure = 0;
 +
 +      edns->edns_version = EDNS_ADVERTISED_VERSION;
 +      edns->udp_size = EDNS_ADVERTISED_SIZE;
 +      edns->ext_rcode = 0;
 +      edns->bits &= EDNS_DO;
 +      if(!reply_info_answer_encode(qinfo, rep, id, flags, 
 +              repinfo->c->buffer, timenow, 1, worker->scratchpad,
 +              udpsize, edns, (int)(edns->bits & EDNS_DO), secure)) {
 +              error_encode(repinfo->c->buffer, LDNS_RCODE_SERVFAIL, 
 +                      qinfo, id, flags, edns);
 +      }
 +      /* cannot send the reply right now, because blocking network syscall
 +       * is bad while holding locks. */
 +      rrset_array_unlock_touch(worker->env.rrset_cache, worker->scratchpad,
 +              rep->ref, rep->rrset_count);
 +      regional_free_all(worker->scratchpad);
 +      if(worker->stats.extended) {
 +              if(secure) worker->stats.ans_secure++;
 +              server_stats_insrcode(&worker->stats, repinfo->c->buffer);
 +      }
 +      /* go and return this buffer to the client */
 +      return 1;
 +}
 +
 +/** Reply to client and perform prefetch to keep cache up to date */
 +static void
 +reply_and_prefetch(struct worker* worker, struct query_info* qinfo, 
 +      uint16_t flags, struct comm_reply* repinfo, time_t leeway)
 +{
 +      /* first send answer to client to keep its latency 
 +       * as small as a cachereply */
 +      comm_point_send_reply(repinfo);
 +      server_stats_prefetch(&worker->stats, worker);
 +      
 +      /* create the prefetch in the mesh as a normal lookup without
 +       * client addrs waiting, which has the cache blacklisted (to bypass
 +       * the cache and go to the network for the data). */
 +      /* this (potentially) runs the mesh for the new query */
 +      mesh_new_prefetch(worker->env.mesh, qinfo, flags, leeway + 
 +              PREFETCH_EXPIRY_ADD);
 +}
 +
 +/**
 + * Fill CH class answer into buffer. Keeps query.
 + * @param pkt: buffer
 + * @param str: string to put into text record (<255).
 + * @param edns: edns reply information.
 + */
 +static void
 +chaos_replystr(sldns_buffer* pkt, const char* str, struct edns_data* edns)
 +{
 +      size_t len = strlen(str);
 +      unsigned int rd = LDNS_RD_WIRE(sldns_buffer_begin(pkt));
 +      unsigned int cd = LDNS_CD_WIRE(sldns_buffer_begin(pkt));
 +      if(len>255) len=255; /* cap size of TXT record */
 +      sldns_buffer_clear(pkt);
 +      sldns_buffer_skip(pkt, (ssize_t)sizeof(uint16_t)); /* skip id */
 +      sldns_buffer_write_u16(pkt, (uint16_t)(BIT_QR|BIT_RA));
 +      if(rd) LDNS_RD_SET(sldns_buffer_begin(pkt));
 +      if(cd) LDNS_CD_SET(sldns_buffer_begin(pkt));
 +      sldns_buffer_write_u16(pkt, 1); /* qdcount */
 +      sldns_buffer_write_u16(pkt, 1); /* ancount */
 +      sldns_buffer_write_u16(pkt, 0); /* nscount */
 +      sldns_buffer_write_u16(pkt, 0); /* arcount */
 +      (void)query_dname_len(pkt); /* skip qname */
 +      sldns_buffer_skip(pkt, (ssize_t)sizeof(uint16_t)); /* skip qtype */
 +      sldns_buffer_skip(pkt, (ssize_t)sizeof(uint16_t)); /* skip qclass */
 +      sldns_buffer_write_u16(pkt, 0xc00c); /* compr ptr to query */
 +      sldns_buffer_write_u16(pkt, LDNS_RR_TYPE_TXT);
 +      sldns_buffer_write_u16(pkt, LDNS_RR_CLASS_CH);
 +      sldns_buffer_write_u32(pkt, 0); /* TTL */
 +      sldns_buffer_write_u16(pkt, sizeof(uint8_t) + len);
 +      sldns_buffer_write_u8(pkt, len);
 +      sldns_buffer_write(pkt, str, len);
 +      sldns_buffer_flip(pkt);
 +      edns->edns_version = EDNS_ADVERTISED_VERSION;
 +      edns->udp_size = EDNS_ADVERTISED_SIZE;
 +      edns->bits &= EDNS_DO;
 +      attach_edns_record(pkt, edns);
 +}
 +
 +/**
 + * Answer CH class queries.
 + * @param w: worker
 + * @param qinfo: query info. Pointer into packet buffer.
 + * @param edns: edns info from query.
 + * @param pkt: packet buffer.
 + * @return: true if a reply is to be sent.
 + */
 +static int
 +answer_chaos(struct worker* w, struct query_info* qinfo, 
 +      struct edns_data* edns, sldns_buffer* pkt)
 +{
 +      struct config_file* cfg = w->env.cfg;
 +      if(qinfo->qtype != LDNS_RR_TYPE_ANY && qinfo->qtype != LDNS_RR_TYPE_TXT)
 +              return 0;
 +      if(query_dname_compare(qinfo->qname, 
 +              (uint8_t*)"\002id\006server") == 0 ||
 +              query_dname_compare(qinfo->qname, 
 +              (uint8_t*)"\010hostname\004bind") == 0)
 +      {
 +              if(cfg->hide_identity) 
 +                      return 0;
 +              if(cfg->identity==NULL || cfg->identity[0]==0) {
 +                      char buf[MAXHOSTNAMELEN+1];
 +                      if (gethostname(buf, MAXHOSTNAMELEN) == 0) {
 +                              buf[MAXHOSTNAMELEN] = 0;
 +                              chaos_replystr(pkt, buf, edns);
 +                      } else  {
 +                              log_err("gethostname: %s", strerror(errno));
 +                              chaos_replystr(pkt, "no hostname", edns);
 +                      }
 +              }
 +              else    chaos_replystr(pkt, cfg->identity, edns);
 +              return 1;
 +      }
 +      if(query_dname_compare(qinfo->qname, 
 +              (uint8_t*)"\007version\006server") == 0 ||
 +              query_dname_compare(qinfo->qname, 
 +              (uint8_t*)"\007version\004bind") == 0)
 +      {
 +              if(cfg->hide_version) 
 +                      return 0;
 +              if(cfg->version==NULL || cfg->version[0]==0)
 +                      chaos_replystr(pkt, PACKAGE_STRING, edns);
 +              else    chaos_replystr(pkt, cfg->version, edns);
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +static int
 +deny_refuse(struct comm_point* c, enum acl_access acl,
 +      enum acl_access deny, enum acl_access refuse,
 +      struct worker* worker, struct comm_reply* repinfo)
 +{
 +      if(acl == deny) {
 +              comm_point_drop_reply(repinfo);
 +              if(worker->stats.extended)
 +                      worker->stats.unwanted_queries++;
 +              return 0;
 +      } else if(acl == refuse) {
 +              log_addr(VERB_ALGO, "refused query from",
 +                      &repinfo->addr, repinfo->addrlen);
 +              log_buf(VERB_ALGO, "refuse", c->buffer);
 +              if(worker->stats.extended)
 +                      worker->stats.unwanted_queries++;
 +              if(worker_check_request(c->buffer, worker) == -1) {
 +                      comm_point_drop_reply(repinfo);
 +                      return 0; /* discard this */
 +              }
 +              sldns_buffer_set_limit(c->buffer, LDNS_HEADER_SIZE);
 +              sldns_buffer_write_at(c->buffer, 4, 
 +                      (uint8_t*)"\0\0\0\0\0\0\0\0", 8);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), 
 +                      LDNS_RCODE_REFUSED);
 +              return 1;
 +      }
 +
 +      return -1;
 +}
 +
 +static int
 +deny_refuse_all(struct comm_point* c, enum acl_access acl,
 +      struct worker* worker, struct comm_reply* repinfo)
 +{
 +      return deny_refuse(c, acl, acl_deny, acl_refuse, worker, repinfo);
 +}
 +
 +static int
 +deny_refuse_non_local(struct comm_point* c, enum acl_access acl,
 +      struct worker* worker, struct comm_reply* repinfo)
 +{
 +      return deny_refuse(c, acl, acl_deny_non_local, acl_refuse_non_local, worker, repinfo);
 +}
 +
 +int 
 +worker_handle_request(struct comm_point* c, void* arg, int error,
 +      struct comm_reply* repinfo)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      int ret;
 +      hashvalue_t h;
 +      struct lruhash_entry* e;
 +      struct query_info qinfo;
 +      struct edns_data edns;
 +      enum acl_access acl;
 +      int rc = 0;
 +
 +      if(error != NETEVENT_NOERROR) {
 +              /* some bad tcp query DNS formats give these error calls */
 +              verbose(VERB_ALGO, "handle request called with err=%d", error);
 +              return 0;
 +      }
 +#ifdef USE_DNSTAP
 +      if(worker->dtenv.log_client_query_messages)
 +              dt_msg_send_client_query(&worker->dtenv, &repinfo->addr, c->type,
 +                      c->buffer);
 +#endif
 +      acl = acl_list_lookup(worker->daemon->acl, &repinfo->addr, 
 +              repinfo->addrlen);
 +      if((ret=deny_refuse_all(c, acl, worker, repinfo)) != -1)
 +      {
 +              if(ret == 1)
 +                      goto send_reply;
 +              return ret;
 +      }
 +      if((ret=worker_check_request(c->buffer, worker)) != 0) {
 +              verbose(VERB_ALGO, "worker check request: bad query.");
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              if(ret != -1) {
 +                      LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +                      LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), ret);
 +                      return 1;
 +              }
 +              comm_point_drop_reply(repinfo);
 +              return 0;
 +      }
 +      worker->stats.num_queries++;
 +      /* see if query is in the cache */
 +      if(!query_info_parse(&qinfo, c->buffer)) {
 +              verbose(VERB_ALGO, "worker parse request: formerror.");
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
++              if(worker_err_ratelimit(worker, LDNS_RCODE_FORMERR) == -1) {
++                      comm_point_drop_reply(repinfo);
++                      return 0;
++              }
 +              sldns_buffer_rewind(c->buffer);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), 
 +                      LDNS_RCODE_FORMERR);
 +              server_stats_insrcode(&worker->stats, c->buffer);
 +              goto send_reply;
 +      }
 +      if(worker->env.cfg->log_queries) {
 +              char ip[128];
 +              addr_to_str(&repinfo->addr, repinfo->addrlen, ip, sizeof(ip));
 +              log_nametypeclass(0, ip, qinfo.qname, qinfo.qtype, qinfo.qclass);
 +      }
 +      if(qinfo.qtype == LDNS_RR_TYPE_AXFR || 
 +              qinfo.qtype == LDNS_RR_TYPE_IXFR) {
 +              verbose(VERB_ALGO, "worker request: refused zone transfer.");
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              sldns_buffer_rewind(c->buffer);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), 
 +                      LDNS_RCODE_REFUSED);
 +              if(worker->stats.extended) {
 +                      worker->stats.qtype[qinfo.qtype]++;
 +                      server_stats_insrcode(&worker->stats, c->buffer);
 +              }
 +              goto send_reply;
 +      }
 +      if((ret=parse_edns_from_pkt(c->buffer, &edns)) != 0) {
 +              verbose(VERB_ALGO, "worker parse edns: formerror.");
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              sldns_buffer_rewind(c->buffer);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), ret);
 +              server_stats_insrcode(&worker->stats, c->buffer);
 +              goto send_reply;
 +      }
 +      if(edns.edns_present && edns.edns_version != 0) {
 +              edns.ext_rcode = (uint8_t)(EDNS_RCODE_BADVERS>>4);
 +              edns.edns_version = EDNS_ADVERTISED_VERSION;
 +              edns.udp_size = EDNS_ADVERTISED_SIZE;
 +              edns.bits &= EDNS_DO;
 +              verbose(VERB_ALGO, "query with bad edns version.");
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              error_encode(c->buffer, EDNS_RCODE_BADVERS&0xf, &qinfo,
 +                      *(uint16_t*)(void *)sldns_buffer_begin(c->buffer),
 +                      sldns_buffer_read_u16_at(c->buffer, 2), NULL);
 +              attach_edns_record(c->buffer, &edns);
 +              goto send_reply;
 +      }
 +      if(edns.edns_present && edns.udp_size < NORMAL_UDP_SIZE &&
 +              worker->daemon->cfg->harden_short_bufsize) {
 +              verbose(VERB_QUERY, "worker request: EDNS bufsize %d ignored",
 +                      (int)edns.udp_size);
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              edns.udp_size = NORMAL_UDP_SIZE;
 +      }
 +      if(edns.udp_size > worker->daemon->cfg->max_udp_size &&
 +              c->type == comm_udp) {
 +              verbose(VERB_QUERY,
 +                      "worker request: max UDP reply size modified"
 +                      " (%d to max-udp-size)", (int)edns.udp_size);
 +              log_addr(VERB_CLIENT,"from",&repinfo->addr, repinfo->addrlen);
 +              edns.udp_size = worker->daemon->cfg->max_udp_size;
 +      }
 +      if(edns.udp_size < LDNS_HEADER_SIZE) {
 +              verbose(VERB_ALGO, "worker request: edns is too small.");
 +              log_addr(VERB_CLIENT, "from", &repinfo->addr, repinfo->addrlen);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_TC_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), 
 +                      LDNS_RCODE_SERVFAIL);
 +              sldns_buffer_set_position(c->buffer, LDNS_HEADER_SIZE);
 +              sldns_buffer_write_at(c->buffer, 4, 
 +                      (uint8_t*)"\0\0\0\0\0\0\0\0", 8);
 +              sldns_buffer_flip(c->buffer);
 +              goto send_reply;
 +      }
 +      if(worker->stats.extended)
 +              server_stats_insquery(&worker->stats, c, qinfo.qtype,
 +                      qinfo.qclass, &edns, repinfo);
 +      if(c->type != comm_udp)
 +              edns.udp_size = 65535; /* max size for TCP replies */
 +      if(qinfo.qclass == LDNS_RR_CLASS_CH && answer_chaos(worker, &qinfo,
 +              &edns, c->buffer)) {
 +              server_stats_insrcode(&worker->stats, c->buffer);
 +              goto send_reply;
 +      }
 +      if(local_zones_answer(worker->daemon->local_zones, &qinfo, &edns, 
 +              c->buffer, worker->scratchpad, repinfo)) {
 +              regional_free_all(worker->scratchpad);
 +              if(sldns_buffer_limit(c->buffer) == 0) {
 +                      comm_point_drop_reply(repinfo);
 +                      return 0;
 +              }
 +              server_stats_insrcode(&worker->stats, c->buffer);
 +              goto send_reply;
 +      }
 +
 +      /* We've looked in our local zones. If the answer isn't there, we
 +       * might need to bail out based on ACLs now. */
 +      if((ret=deny_refuse_non_local(c, acl, worker, repinfo)) != -1)
 +      {
 +              if(ret == 1)
 +                      goto send_reply;
 +              return ret;
 +      }
 +
 +      /* If this request does not have the recursion bit set, verify
 +       * ACLs allow the snooping. */
 +      if(!(LDNS_RD_WIRE(sldns_buffer_begin(c->buffer))) &&
 +              acl != acl_allow_snoop ) {
 +              sldns_buffer_set_limit(c->buffer, LDNS_HEADER_SIZE);
 +              sldns_buffer_write_at(c->buffer, 4, 
 +                      (uint8_t*)"\0\0\0\0\0\0\0\0", 8);
 +              LDNS_QR_SET(sldns_buffer_begin(c->buffer));
 +              LDNS_RCODE_SET(sldns_buffer_begin(c->buffer), 
 +                      LDNS_RCODE_REFUSED);
 +              sldns_buffer_flip(c->buffer);
 +              server_stats_insrcode(&worker->stats, c->buffer);
 +              log_addr(VERB_ALGO, "refused nonrec (cache snoop) query from",
 +                      &repinfo->addr, repinfo->addrlen);
 +              goto send_reply;
 +      }
 +      h = query_info_hash(&qinfo, sldns_buffer_read_u16_at(c->buffer, 2));
 +      if((e=slabhash_lookup(worker->env.msg_cache, h, &qinfo, 0))) {
 +              /* answer from cache - we have acquired a readlock on it */
 +              if(answer_from_cache(worker, &qinfo, 
 +                      (struct reply_info*)e->data, 
 +                      *(uint16_t*)(void *)sldns_buffer_begin(c->buffer), 
 +                      sldns_buffer_read_u16_at(c->buffer, 2), repinfo, 
 +                      &edns)) {
 +                      /* prefetch it if the prefetch TTL expired */
 +                      if(worker->env.cfg->prefetch && *worker->env.now >=
 +                              ((struct reply_info*)e->data)->prefetch_ttl) {
 +                              time_t leeway = ((struct reply_info*)e->
 +                                      data)->ttl - *worker->env.now;
 +                              lock_rw_unlock(&e->lock);
 +                              reply_and_prefetch(worker, &qinfo, 
 +                                      sldns_buffer_read_u16_at(c->buffer, 2),
 +                                      repinfo, leeway);
 +                              rc = 0;
 +                              goto send_reply_rc;
 +                      }
 +                      lock_rw_unlock(&e->lock);
 +                      goto send_reply;
 +              }
 +              verbose(VERB_ALGO, "answer from the cache failed");
 +              lock_rw_unlock(&e->lock);
 +      }
 +      if(!LDNS_RD_WIRE(sldns_buffer_begin(c->buffer))) {
 +              if(answer_norec_from_cache(worker, &qinfo,
 +                      *(uint16_t*)(void *)sldns_buffer_begin(c->buffer), 
 +                      sldns_buffer_read_u16_at(c->buffer, 2), repinfo, 
 +                      &edns)) {
 +                      goto send_reply;
 +              }
 +              verbose(VERB_ALGO, "answer norec from cache -- "
 +                      "need to validate or not primed");
 +      }
 +      sldns_buffer_rewind(c->buffer);
 +      server_stats_querymiss(&worker->stats, worker);
 +
 +      if(verbosity >= VERB_CLIENT) {
 +              if(c->type == comm_udp)
 +                      log_addr(VERB_CLIENT, "udp request from",
 +                              &repinfo->addr, repinfo->addrlen);
 +              else    log_addr(VERB_CLIENT, "tcp request from",
 +                              &repinfo->addr, repinfo->addrlen);
 +      }
 +
 +      /* grab a work request structure for this new request */
 +      mesh_new_client(worker->env.mesh, &qinfo, 
 +              sldns_buffer_read_u16_at(c->buffer, 2),
 +              &edns, repinfo, *(uint16_t*)(void *)sldns_buffer_begin(c->buffer));
 +      worker_mem_report(worker, NULL);
 +      return 0;
 +
 +send_reply:
 +      rc = 1;
 +send_reply_rc:
 +#ifdef USE_DNSTAP
 +      if(worker->dtenv.log_client_response_messages)
 +              dt_msg_send_client_response(&worker->dtenv, &repinfo->addr,
 +                      c->type, c->buffer);
 +#endif
 +      return rc;
 +}
 +
 +void 
 +worker_sighandler(int sig, void* arg)
 +{
 +      /* note that log, print, syscalls here give race conditions. 
 +       * And cause hangups if the log-lock is held by the application. */
 +      struct worker* worker = (struct worker*)arg;
 +      switch(sig) {
 +#ifdef SIGHUP
 +              case SIGHUP:
 +                      comm_base_exit(worker->base);
 +                      break;
 +#endif
 +              case SIGINT:
 +                      worker->need_to_exit = 1;
 +                      comm_base_exit(worker->base);
 +                      break;
 +#ifdef SIGQUIT
 +              case SIGQUIT:
 +                      worker->need_to_exit = 1;
 +                      comm_base_exit(worker->base);
 +                      break;
 +#endif
 +              case SIGTERM:
 +                      worker->need_to_exit = 1;
 +                      comm_base_exit(worker->base);
 +                      break;
 +              default:
 +                      /* unknown signal, ignored */
 +                      break;
 +      }
 +}
 +
 +/** restart statistics timer for worker, if enabled */
 +static void
 +worker_restart_timer(struct worker* worker)
 +{
 +      if(worker->env.cfg->stat_interval > 0) {
 +              struct timeval tv;
 +#ifndef S_SPLINT_S
 +              tv.tv_sec = worker->env.cfg->stat_interval;
 +              tv.tv_usec = 0;
 +#endif
 +              comm_timer_set(worker->stat_timer, &tv);
 +      }
 +}
 +
 +void worker_stat_timer_cb(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      server_stats_log(&worker->stats, worker, worker->thread_num);
 +      mesh_stats(worker->env.mesh, "mesh has");
 +      worker_mem_report(worker, NULL);
 +      if(!worker->daemon->cfg->stat_cumulative) {
 +              worker_stats_clear(worker);
 +      }
 +      /* start next timer */
 +      worker_restart_timer(worker);
 +}
 +
 +void worker_probe_timer_cb(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      struct timeval tv;
 +#ifndef S_SPLINT_S
 +      tv.tv_sec = (time_t)autr_probe_timer(&worker->env);
 +      tv.tv_usec = 0;
 +#endif
 +      if(tv.tv_sec != 0)
 +              comm_timer_set(worker->env.probe_timer, &tv);
 +}
 +
 +struct worker* 
 +worker_create(struct daemon* daemon, int id, int* ports, int n)
 +{
 +      unsigned int seed;
 +      struct worker* worker = (struct worker*)calloc(1, 
 +              sizeof(struct worker));
 +      if(!worker) 
 +              return NULL;
 +      worker->numports = n;
 +      worker->ports = (int*)memdup(ports, sizeof(int)*n);
 +      if(!worker->ports) {
 +              free(worker);
 +              return NULL;
 +      }
 +      worker->daemon = daemon;
 +      worker->thread_num = id;
 +      if(!(worker->cmd = tube_create())) {
 +              free(worker->ports);
 +              free(worker);
 +              return NULL;
 +      }
 +      /* create random state here to avoid locking trouble in RAND_bytes */
 +      seed = (unsigned int)time(NULL) ^ (unsigned int)getpid() ^
 +              (((unsigned int)worker->thread_num)<<17);
 +              /* shift thread_num so it does not match out pid bits */
 +      if(!(worker->rndstate = ub_initstate(seed, daemon->rand))) {
 +              seed = 0;
 +              log_err("could not init random numbers.");
 +              tube_delete(worker->cmd);
 +              free(worker->ports);
 +              free(worker);
 +              return NULL;
 +      }
 +      seed = 0;
 +#ifdef USE_DNSTAP
 +      if(daemon->cfg->dnstap) {
 +              log_assert(daemon->dtenv != NULL);
 +              memcpy(&worker->dtenv, daemon->dtenv, sizeof(struct dt_env));
 +              if(!dt_init(&worker->dtenv))
 +                      fatal_exit("dt_init failed");
 +      }
 +#endif
 +      return worker;
 +}
 +
 +int
 +worker_init(struct worker* worker, struct config_file *cfg, 
 +      struct listen_port* ports, int do_sigs)
 +{
 +#ifdef USE_DNSTAP
 +      struct dt_env* dtenv = &worker->dtenv;
 +#else
 +      void* dtenv = NULL;
 +#endif
 +      worker->need_to_exit = 0;
 +      worker->base = comm_base_create(do_sigs);
 +      if(!worker->base) {
 +              log_err("could not create event handling base");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      comm_base_set_slow_accept_handlers(worker->base, &worker_stop_accept,
 +              &worker_start_accept, worker);
 +      if(do_sigs) {
 +#ifdef SIGHUP
 +              ub_thread_sig_unblock(SIGHUP);
 +#endif
 +              ub_thread_sig_unblock(SIGINT);
 +#ifdef SIGQUIT
 +              ub_thread_sig_unblock(SIGQUIT);
 +#endif
 +              ub_thread_sig_unblock(SIGTERM);
 +#ifndef LIBEVENT_SIGNAL_PROBLEM
 +              worker->comsig = comm_signal_create(worker->base, 
 +                      worker_sighandler, worker);
 +              if(!worker->comsig 
 +#ifdef SIGHUP
 +                      || !comm_signal_bind(worker->comsig, SIGHUP)
 +#endif
 +#ifdef SIGQUIT
 +                      || !comm_signal_bind(worker->comsig, SIGQUIT)
 +#endif
 +                      || !comm_signal_bind(worker->comsig, SIGTERM)
 +                      || !comm_signal_bind(worker->comsig, SIGINT)) {
 +                      log_err("could not create signal handlers");
 +                      worker_delete(worker);
 +                      return 0;
 +              }
 +#endif /* LIBEVENT_SIGNAL_PROBLEM */
 +              if(!daemon_remote_open_accept(worker->daemon->rc, 
 +                      worker->daemon->rc_ports, worker)) {
 +                      worker_delete(worker);
 +                      return 0;
 +              }
 +#ifdef UB_ON_WINDOWS
 +              wsvc_setup_worker(worker);
 +#endif /* UB_ON_WINDOWS */
 +      } else { /* !do_sigs */
 +              worker->comsig = NULL;
 +      }
 +      worker->front = listen_create(worker->base, ports,
 +              cfg->msg_buffer_size, (int)cfg->incoming_num_tcp, 
 +              worker->daemon->listen_sslctx, dtenv, worker_handle_request,
 +              worker);
 +      if(!worker->front) {
 +              log_err("could not create listening sockets");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      worker->back = outside_network_create(worker->base,
 +              cfg->msg_buffer_size, (size_t)cfg->outgoing_num_ports, 
 +              cfg->out_ifs, cfg->num_out_ifs, cfg->do_ip4, cfg->do_ip6, 
 +              cfg->do_tcp?cfg->outgoing_num_tcp:0, 
 +              worker->daemon->env->infra_cache, worker->rndstate,
 +              cfg->use_caps_bits_for_id, worker->ports, worker->numports,
 +              cfg->unwanted_threshold, &worker_alloc_cleanup, worker,
 +              cfg->do_udp, worker->daemon->connect_sslctx, cfg->delay_close,
 +              dtenv);
 +      if(!worker->back) {
 +              log_err("could not create outgoing sockets");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      /* start listening to commands */
 +      if(!tube_setup_bg_listen(worker->cmd, worker->base,
 +              &worker_handle_control_cmd, worker)) {
 +              log_err("could not create control compt.");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      worker->stat_timer = comm_timer_create(worker->base, 
 +              worker_stat_timer_cb, worker);
 +      if(!worker->stat_timer) {
 +              log_err("could not create statistics timer");
 +      }
 +
 +      /* we use the msg_buffer_size as a good estimate for what the 
 +       * user wants for memory usage sizes */
 +      worker->scratchpad = regional_create_custom(cfg->msg_buffer_size);
 +      if(!worker->scratchpad) {
 +              log_err("malloc failure");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +
 +      server_stats_init(&worker->stats, cfg);
 +      alloc_init(&worker->alloc, &worker->daemon->superalloc, 
 +              worker->thread_num);
 +      alloc_set_id_cleanup(&worker->alloc, &worker_alloc_cleanup, worker);
 +      worker->env = *worker->daemon->env;
 +      comm_base_timept(worker->base, &worker->env.now, &worker->env.now_tv);
 +      if(worker->thread_num == 0)
 +              log_set_time(worker->env.now);
 +      worker->env.worker = worker;
 +      worker->env.send_query = &worker_send_query;
 +      worker->env.alloc = &worker->alloc;
 +      worker->env.rnd = worker->rndstate;
 +      worker->env.scratch = worker->scratchpad;
 +      worker->env.mesh = mesh_create(&worker->daemon->mods, &worker->env);
 +      worker->env.detach_subs = &mesh_detach_subs;
 +      worker->env.attach_sub = &mesh_attach_sub;
 +      worker->env.kill_sub = &mesh_state_delete;
 +      worker->env.detect_cycle = &mesh_detect_cycle;
 +      worker->env.scratch_buffer = sldns_buffer_new(cfg->msg_buffer_size);
 +      if(!(worker->env.fwds = forwards_create()) ||
 +              !forwards_apply_cfg(worker->env.fwds, cfg)) {
 +              log_err("Could not set forward zones");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      if(!(worker->env.hints = hints_create()) ||
 +              !hints_apply_cfg(worker->env.hints, cfg)) {
 +              log_err("Could not set root or stub hints");
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      /* one probe timer per process -- if we have 5011 anchors */
 +      if(autr_get_num_anchors(worker->env.anchors) > 0
 +#ifndef THREADS_DISABLED
 +              && worker->thread_num == 0
 +#endif
 +              ) {
 +              struct timeval tv;
 +              tv.tv_sec = 0;
 +              tv.tv_usec = 0;
 +              worker->env.probe_timer = comm_timer_create(worker->base,
 +                      worker_probe_timer_cb, worker);
 +              if(!worker->env.probe_timer) {
 +                      log_err("could not create 5011-probe timer");
 +              } else {
 +                      /* let timer fire, then it can reset itself */
 +                      comm_timer_set(worker->env.probe_timer, &tv);
 +              }
 +      }
 +      if(!worker->env.mesh || !worker->env.scratch_buffer) {
 +              worker_delete(worker);
 +              return 0;
 +      }
 +      worker_mem_report(worker, NULL);
 +      /* if statistics enabled start timer */
 +      if(worker->env.cfg->stat_interval > 0) {
 +              verbose(VERB_ALGO, "set statistics interval %d secs", 
 +                      worker->env.cfg->stat_interval);
 +              worker_restart_timer(worker);
 +      }
 +      return 1;
 +}
 +
 +void 
 +worker_work(struct worker* worker)
 +{
 +      comm_base_dispatch(worker->base);
 +}
 +
 +void 
 +worker_delete(struct worker* worker)
 +{
 +      if(!worker) 
 +              return;
 +      if(worker->env.mesh && verbosity >= VERB_OPS) {
 +              server_stats_log(&worker->stats, worker, worker->thread_num);
 +              mesh_stats(worker->env.mesh, "mesh has");
 +              worker_mem_report(worker, NULL);
 +      }
 +      outside_network_quit_prepare(worker->back);
 +      mesh_delete(worker->env.mesh);
 +      sldns_buffer_free(worker->env.scratch_buffer);
 +      forwards_delete(worker->env.fwds);
 +      hints_delete(worker->env.hints);
 +      listen_delete(worker->front);
 +      outside_network_delete(worker->back);
 +      comm_signal_delete(worker->comsig);
 +      tube_delete(worker->cmd);
 +      comm_timer_delete(worker->stat_timer);
 +      comm_timer_delete(worker->env.probe_timer);
 +      free(worker->ports);
 +      if(worker->thread_num == 0) {
 +              log_set_time(NULL);
 +#ifdef UB_ON_WINDOWS
 +              wsvc_desetup_worker(worker);
 +#endif /* UB_ON_WINDOWS */
 +      }
 +      comm_base_delete(worker->base);
 +      ub_randfree(worker->rndstate);
 +      alloc_clear(&worker->alloc);
 +      regional_destroy(worker->scratchpad);
 +      free(worker);
 +}
 +
 +struct outbound_entry*
 +worker_send_query(uint8_t* qname, size_t qnamelen, uint16_t qtype,
 +      uint16_t qclass, uint16_t flags, int dnssec, int want_dnssec,
 +      int nocaps, struct sockaddr_storage* addr, socklen_t addrlen,
 +      uint8_t* zone, size_t zonelen, struct module_qstate* q)
 +{
 +      struct worker* worker = q->env->worker;
 +      struct outbound_entry* e = (struct outbound_entry*)regional_alloc(
 +              q->region, sizeof(*e));
 +      if(!e) 
 +              return NULL;
 +      e->qstate = q;
 +      e->qsent = outnet_serviced_query(worker->back, qname,
 +              qnamelen, qtype, qclass, flags, dnssec, want_dnssec, nocaps,
 +              q->env->cfg->tcp_upstream, q->env->cfg->ssl_upstream, addr,
 +              addrlen, zone, zonelen, worker_handle_service_reply, e,
 +              worker->back->udp_buff);
 +      if(!e->qsent) {
 +              return NULL;
 +      }
 +      return e;
 +}
 +
 +void 
 +worker_alloc_cleanup(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      slabhash_clear(&worker->env.rrset_cache->table);
 +      slabhash_clear(worker->env.msg_cache);
 +}
 +
 +void worker_stats_clear(struct worker* worker)
 +{
 +      server_stats_init(&worker->stats, worker->env.cfg);
 +      mesh_stats_clear(worker->env.mesh);
 +      worker->back->unwanted_replies = 0;
 +      worker->back->num_tcp_outgoing = 0;
 +}
 +
 +void worker_start_accept(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      listen_start_accept(worker->front);
 +      if(worker->thread_num == 0)
 +              daemon_remote_start_accept(worker->daemon->rc);
 +}
 +
 +void worker_stop_accept(void* arg)
 +{
 +      struct worker* worker = (struct worker*)arg;
 +      listen_stop_accept(worker->front);
 +      if(worker->thread_num == 0)
 +              daemon_remote_stop_accept(worker->daemon->rc);
 +}
 +
 +/* --- fake callbacks for fptr_wlist to work --- */
 +struct outbound_entry* libworker_send_query(uint8_t* ATTR_UNUSED(qname), 
 +      size_t ATTR_UNUSED(qnamelen), uint16_t ATTR_UNUSED(qtype), 
 +      uint16_t ATTR_UNUSED(qclass), uint16_t ATTR_UNUSED(flags), 
 +      int ATTR_UNUSED(dnssec), int ATTR_UNUSED(want_dnssec),
 +      int ATTR_UNUSED(nocaps), struct sockaddr_storage* ATTR_UNUSED(addr), 
 +      socklen_t ATTR_UNUSED(addrlen), uint8_t* ATTR_UNUSED(zone),
 +      size_t ATTR_UNUSED(zonelen), struct module_qstate* ATTR_UNUSED(q))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int libworker_handle_reply(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(reply_info))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int libworker_handle_service_reply(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(reply_info))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +void libworker_handle_control_cmd(struct tube* ATTR_UNUSED(tube),
 +        uint8_t* ATTR_UNUSED(buffer), size_t ATTR_UNUSED(len),
 +        int ATTR_UNUSED(error), void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +void libworker_fg_done_cb(void* ATTR_UNUSED(arg), int ATTR_UNUSED(rcode),
 +        sldns_buffer* ATTR_UNUSED(buf), enum sec_status ATTR_UNUSED(s),
 +      char* ATTR_UNUSED(why_bogus))
 +{
 +      log_assert(0);
 +}
 +
 +void libworker_bg_done_cb(void* ATTR_UNUSED(arg), int ATTR_UNUSED(rcode),
 +        sldns_buffer* ATTR_UNUSED(buf), enum sec_status ATTR_UNUSED(s),
 +      char* ATTR_UNUSED(why_bogus))
 +{
 +      log_assert(0);
 +}
 +
 +void libworker_event_done_cb(void* ATTR_UNUSED(arg), int ATTR_UNUSED(rcode),
 +        sldns_buffer* ATTR_UNUSED(buf), enum sec_status ATTR_UNUSED(s),
 +      char* ATTR_UNUSED(why_bogus))
 +{
 +      log_assert(0);
 +}
 +
 +int context_query_cmp(const void* ATTR_UNUSED(a), const void* ATTR_UNUSED(b))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int order_lock_cmp(const void* ATTR_UNUSED(e1), const void* ATTR_UNUSED(e2))
 +{
 +        log_assert(0);
 +        return 0;
 +}
 +
 +int codeline_cmp(const void* ATTR_UNUSED(a), const void* ATTR_UNUSED(b))
 +{
 +        log_assert(0);
 +        return 0;
 +}
 +
diff --cc contrib/unbound/daemon/worker.h
index ff69bc1acfd4ee905d39b06bb34707841ae11dab,0000000000000000000000000000000000000000..63613430b0544a589d400b3c1b4ce433e4d8223d
mode 100644,000000..100644
--- 1/contrib/unbound/daemon/worker.h
--- /dev/null
+++ b/contrib/unbound/daemon/worker.h
@@@ -1,173 -1,0 +1,177 @@@
 +/*
 + * daemon/worker.h - worker that handles a pending list of requests.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file describes the worker structure that holds a list of 
 + * pending requests and handles them.
 + */
 +
 +#ifndef DAEMON_WORKER_H
 +#define DAEMON_WORKER_H
 +
 +#include "libunbound/worker.h"
 +#include "util/netevent.h"
 +#include "util/locks.h"
 +#include "util/alloc.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgparse.h"
 +#include "daemon/stats.h"
 +#include "util/module.h"
 +#include "dnstap/dnstap.h"
 +struct listen_dnsport;
 +struct outside_network;
 +struct config_file;
 +struct daemon;
 +struct listen_port;
 +struct ub_randstate;
 +struct regional;
 +struct tube;
 +struct daemon_remote;
 +
 +/** worker commands */
 +enum worker_commands {
 +      /** make the worker quit */
 +      worker_cmd_quit,
 +      /** obtain statistics */
 +      worker_cmd_stats,
 +      /** obtain statistics without statsclear */
 +      worker_cmd_stats_noreset,
 +      /** execute remote control command */
 +      worker_cmd_remote
 +};
 +
 +/**
 + * Structure holding working information for unbound.
 + * Holds globally visible information.
 + */
 +struct worker {
 +      /** the thread number (in daemon array). First in struct for debug. */
 +      int thread_num;
 +      /** global shared daemon structure */
 +      struct daemon* daemon;
 +      /** thread id */
 +      ub_thread_t thr_id;
 +      /** pipe, for commands for this worker */
 +      struct tube* cmd;
 +      /** the event base this worker works with */
 +      struct comm_base* base;
 +      /** the frontside listening interface where request events come in */
 +      struct listen_dnsport* front;
 +      /** the backside outside network interface to the auth servers */
 +      struct outside_network* back;
 +      /** ports to be used by this worker. */
 +      int* ports;
 +      /** number of ports for this worker */
 +      int numports;
 +      /** the signal handler */
 +      struct comm_signal* comsig;
 +      /** commpoint to listen to commands. */
 +      struct comm_point* cmd_com;
 +      /** timer for statistics */
 +      struct comm_timer* stat_timer;
++      /** ratelimit for errors, time value */
++      time_t err_limit_time;
++      /** ratelimit for errors, packet count */
++      unsigned int err_limit_count;
 +
 +      /** random() table for this worker. */
 +      struct ub_randstate* rndstate;
 +      /** do we need to restart or quit (on signal) */
 +      int need_to_exit;
 +      /** allocation cache for this thread */
 +      struct alloc_cache alloc;
 +      /** per thread statistics */
 +      struct server_stats stats;
 +      /** thread scratch regional */
 +      struct regional* scratchpad;
 +
 +      /** module environment passed to modules, changed for this thread */
 +      struct module_env env;
 +
 +#ifdef USE_DNSTAP
 +      /** dnstap environment, changed for this thread */
 +      struct dt_env dtenv;
 +#endif
 +};
 +
 +/**
 + * Create the worker structure. Bare bones version, zeroed struct,
 + * with backpointers only. Use worker_init on it later.
 + * @param daemon: the daemon that this worker thread is part of.
 + * @param id: the thread number from 0.. numthreads-1.
 + * @param ports: the ports it is allowed to use, array.
 + * @param n: the number of ports.
 + * @return: the new worker or NULL on alloc failure.
 + */
 +struct worker* worker_create(struct daemon* daemon, int id, int* ports, int n);
 +
 +/**
 + * Initialize worker.
 + * Allocates event base, listens to ports
 + * @param worker: worker to initialize, created with worker_create.
 + * @param cfg: configuration settings.
 + * @param ports: list of shared query ports.
 + * @param do_sigs: if true, worker installs signal handlers.
 + * @return: false on error.
 + */
 +int worker_init(struct worker* worker, struct config_file *cfg, 
 +      struct listen_port* ports, int do_sigs);
 +
 +/**
 + * Make worker work.
 + */
 +void worker_work(struct worker* worker);
 +
 +/**
 + * Delete worker.
 + */
 +void worker_delete(struct worker* worker);
 +
 +/**
 + * Send a command to a worker. Uses blocking writes.
 + * @param worker: worker to send command to.
 + * @param cmd: command to send.
 + */
 +void worker_send_cmd(struct worker* worker, enum worker_commands cmd);
 +
 +/**
 + * Init worker stats - includes server_stats_init, outside network and mesh.
 + * @param worker: the worker to init
 + */
 +void worker_stats_clear(struct worker* worker);
 +
 +#endif /* DAEMON_WORKER_H */
diff --cc contrib/unbound/dns64/dns64.c
index eaaa26f7c91035b4a18f62896575eed46a9137b1,0000000000000000000000000000000000000000..63cc8084e35f07f3231a650eeb64bcd9e5b1765d
mode 100644,000000..100644
--- 1/contrib/unbound/dns64/dns64.c
--- /dev/null
+++ b/contrib/unbound/dns64/dns64.c
@@@ -1,867 -1,0 +1,873 @@@
 +/*
 + * dns64/dns64.c - DNS64 module
 + *
 + * Copyright (c) 2009, Viagénie. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of Viagénie nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + * TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + * POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a module that performs DNS64 query processing.
 + */
 +
 +#include "config.h"
 +#include "dns64/dns64.h"
 +#include "services/cache/dns.h"
 +#include "services/cache/rrset.h"
 +#include "util/config_file.h"
 +#include "util/data/msgreply.h"
 +#include "util/fptr_wlist.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +
 +/******************************************************************************
 + *                                                                            *
 + *                             STATIC CONSTANTS                               *
 + *                                                                            *
 + ******************************************************************************/
 +
 +/**
 + * This is the default DNS64 prefix that is used whent he dns64 module is listed
 + * in module-config but when the dns64-prefix variable is not present.
 + */
 +static const char DEFAULT_DNS64_PREFIX[] = "64:ff9b::/96";
 +
 +/**
 + * Maximum length of a domain name in a PTR query in the .in-addr.arpa tree.
 + */
 +#define MAX_PTR_QNAME_IPV4 30
 +
 +/**
 + * Per-query module-specific state. This is usually a dynamically-allocated
 + * structure, but in our case we only need to store one variable describing the
 + * state the query is in. So we repurpose the minfo pointer by storing an
 + * integer in there.
 + */
 +enum dns64_qstate {
 +    DNS64_INTERNAL_QUERY,    /**< Internally-generated query, no DNS64
 +                                  processing. */
 +    DNS64_NEW_QUERY,         /**< Query for which we're the first module in
 +                                  line. */
 +    DNS64_SUBQUERY_FINISHED  /**< Query for which we generated a sub-query, and
 +                                  for which this sub-query is finished. */
 +};
 +
 +
 +/******************************************************************************
 + *                                                                            *
 + *                                 STRUCTURES                                 *
 + *                                                                            *
 + ******************************************************************************/
 +
 +/**
 + * This structure contains module configuration information. One instance of
 + * this structure exists per instance of the module. Normally there is only one
 + * instance of the module.
 + */
 +struct dns64_env {
 +    /**
 +     * DNS64 prefix address. We're using a full sockaddr instead of just an
 +     * in6_addr because we can reuse Unbound's generic string parsing functions.
 +     * It will always contain a sockaddr_in6, and only the sin6_addr member will
 +     * ever be used.
 +     */
 +    struct sockaddr_storage prefix_addr;
 +
 +    /**
 +     * This is always sizeof(sockaddr_in6).
 +     */
 +    socklen_t prefix_addrlen;
 +
 +    /**
 +     * This is the CIDR length of the prefix. It needs to be between 0 and 96.
 +     */
 +    int prefix_net;
 +};
 +
 +
 +/******************************************************************************
 + *                                                                            *
 + *                             UTILITY FUNCTIONS                              *
 + *                                                                            *
 + ******************************************************************************/
 +
 +/**
 + * Generic macro for swapping two variables.
 + *
 + * \param t Type of the variables. (e.g. int)
 + * \param a First variable.
 + * \param b Second variable.
 + *
 + * \warning Do not attempt something foolish such as swap(int,a++,b++)!
 + */
 +#define swap(t,a,b) do {t x = a; a = b; b = x;} while(0)
 +
 +/**
 + * Reverses a string.
 + *
 + * \param begin Points to the first character of the string.
 + * \param end   Points one past the last character of the string.
 + */
 +static void
 +reverse(char* begin, char* end)
 +{
 +    while ( begin < --end ) {
 +        swap(char, *begin, *end);
 +        ++begin;
 +    }
 +}
 +
 +/**
 + * Convert an unsigned integer to a string. The point of this function is that
 + * of being faster than sprintf().
 + *
 + * \param n The number to be converted.
 + * \param s The result will be written here. Must be large enough, be careful!
 + *
 + * \return The number of characters written.
 + */
 +static int
 +uitoa(unsigned n, char* s)
 +{
 +    char* ss = s;
 +    do {
 +        *ss++ = '0' + n % 10;
 +    } while (n /= 10);
 +    reverse(s, ss);
 +    return ss - s;
 +}
 +
 +/**
 + * Extract an IPv4 address embedded in the IPv6 address \a ipv6 at offset \a
 + * offset (in bits). Note that bits are not necessarily aligned on bytes so we
 + * need to be careful.
 + *
 + * \param ipv6   IPv6 address represented as a 128-bit array in big-endian
 + *               order.
 + * \param offset Index of the MSB of the IPv4 address embedded in the IPv6
 + *               address.
 + */
 +static uint32_t
 +extract_ipv4(const uint8_t ipv6[16], const int offset)
 +{
 +    uint32_t ipv4 = (uint32_t)ipv6[offset/8+0] << (24 + (offset%8))
 +                  | (uint32_t)ipv6[offset/8+1] << (16 + (offset%8))
 +                  | (uint32_t)ipv6[offset/8+2] << ( 8 + (offset%8))
 +                  | (uint32_t)ipv6[offset/8+3] << ( 0 + (offset%8));
 +    if (offset/8+4 < 16)
 +        ipv4 |= (uint32_t)ipv6[offset/8+4] >> (8 - offset%8);
 +    return ipv4;
 +}
 +
 +/**
 + * Builds the PTR query name corresponding to an IPv4 address. For example,
 + * given the number 3,464,175,361, this will build the string
 + * "\03206\03123\0231\011\07in-addr\04arpa".
 + *
 + * \param ipv4 IPv4 address represented as an unsigned 32-bit number.
 + * \param ptr  The result will be written here. Must be large enough, be
 + *             careful!
 + *
 + * \return The number of characters written.
 + */
 +static size_t
 +ipv4_to_ptr(uint32_t ipv4, char ptr[MAX_PTR_QNAME_IPV4])
 +{
 +    static const char IPV4_PTR_SUFFIX[] = "\07in-addr\04arpa";
 +    int i;
 +    char* c = ptr;
 +
 +    for (i = 0; i < 4; ++i) {
 +        *c = uitoa((unsigned int)(ipv4 % 256), c + 1);
 +        c += *c + 1;
 +        ipv4 /= 256;
 +    }
 +
 +    memmove(c, IPV4_PTR_SUFFIX, sizeof(IPV4_PTR_SUFFIX));
 +
 +    return c + sizeof(IPV4_PTR_SUFFIX) - ptr;
 +}
 +
 +/**
 + * Converts an IPv6-related domain name string from a PTR query into an IPv6
 + * address represented as a 128-bit array.
 + *
 + * \param ptr  The domain name. (e.g. "\011[...]\010\012\016\012\03ip6\04arpa")
 + * \param ipv6 The result will be written here, in network byte order.
 + *
 + * \return 1 on success, 0 on failure.
 + */
 +static int
 +ptr_to_ipv6(const char* ptr, uint8_t ipv6[16])
 +{
 +    int i;
 +
 +    for (i = 0; i < 64; i++) {
 +        int x;
 +
 +        if (ptr[i++] != 1)
 +            return 0;
 +
 +        if (ptr[i] >= '0' && ptr[i] <= '9') {
 +            x = ptr[i] - '0';
 +        } else if (ptr[i] >= 'a' && ptr[i] <= 'f') {
 +            x = ptr[i] - 'a' + 10;
 +        } else if (ptr[i] >= 'A' && ptr[i] <= 'F') {
 +            x = ptr[i] - 'A' + 10;
 +        } else {
 +            return 0;
 +        }
 +
 +        ipv6[15-i/4] |= x << (2 * ((i-1) % 4));
 +    }
 +
 +    return 1;
 +}
 +
 +/**
 + * Synthesize an IPv6 address based on an IPv4 address and the DNS64 prefix.
 + *
 + * \param prefix_addr DNS64 prefix address.
 + * \param prefix_net  CIDR length of the DNS64 prefix. Must be between 0 and 96.
 + * \param a           IPv4 address.
 + * \param aaaa        IPv6 address. The result will be written here.
 + */
 +static void
 +synthesize_aaaa(const uint8_t prefix_addr[16], int prefix_net,
 +        const uint8_t a[4], uint8_t aaaa[16])
 +{
 +    memcpy(aaaa, prefix_addr, 16);
 +    aaaa[prefix_net/8+0] |= a[0] >> (0+prefix_net%8);
 +    aaaa[prefix_net/8+1] |= a[0] << (8-prefix_net%8);
 +    aaaa[prefix_net/8+1] |= a[1] >> (0+prefix_net%8);
 +    aaaa[prefix_net/8+2] |= a[1] << (8-prefix_net%8);
 +    aaaa[prefix_net/8+2] |= a[2] >> (0+prefix_net%8);
 +    aaaa[prefix_net/8+3] |= a[2] << (8-prefix_net%8);
 +    aaaa[prefix_net/8+3] |= a[3] >> (0+prefix_net%8);
 +    if (prefix_net/8+4 < 16)  /* <-- my beautiful symmetry is destroyed! */
 +    aaaa[prefix_net/8+4] |= a[3] << (8-prefix_net%8);
 +}
 +
 +
 +/******************************************************************************
 + *                                                                            *
 + *                           DNS64 MODULE FUNCTIONS                           *
 + *                                                                            *
 + ******************************************************************************/
 +
 +/**
 + * This function applies the configuration found in the parsed configuration
 + * file \a cfg to this instance of the dns64 module. Currently only the DNS64
 + * prefix (a.k.a. Pref64) is configurable.
 + *
 + * \param dns64_env Module-specific global parameters.
 + * \param cfg       Parsed configuration file.
 + */
 +static int
 +dns64_apply_cfg(struct dns64_env* dns64_env, struct config_file* cfg)
 +{
 +    verbose(VERB_ALGO, "dns64-prefix: %s", cfg->dns64_prefix);
 +    if (!netblockstrtoaddr(cfg->dns64_prefix ? cfg->dns64_prefix :
 +                DEFAULT_DNS64_PREFIX, 0, &dns64_env->prefix_addr,
 +                &dns64_env->prefix_addrlen, &dns64_env->prefix_net)) {
 +        log_err("cannot parse dns64-prefix netblock: %s", cfg->dns64_prefix);
 +        return 0;
 +    }
 +    if (!addr_is_ip6(&dns64_env->prefix_addr, dns64_env->prefix_addrlen)) {
 +        log_err("dns64_prefix is not IPv6: %s", cfg->dns64_prefix);
 +        return 0;
 +    }
 +    if (dns64_env->prefix_net < 0 || dns64_env->prefix_net > 96) {
 +        log_err("dns64-prefix length it not between 0 and 96: %s",
 +                cfg->dns64_prefix);
 +        return 0;
 +    }
 +    return 1;
 +}
 +
 +/**
 + * Initializes this instance of the dns64 module.
 + *
 + * \param env Global state of all module instances.
 + * \param id  This instance's ID number.
 + */
 +int
 +dns64_init(struct module_env* env, int id)
 +{
 +    struct dns64_env* dns64_env =
 +        (struct dns64_env*)calloc(1, sizeof(struct dns64_env));
 +    if (!dns64_env) {
 +        log_err("malloc failure");
 +        return 0;
 +    }
 +      env->modinfo[id] = (void*)dns64_env;
 +    if (!dns64_apply_cfg(dns64_env, env->cfg)) {
 +        log_err("dns64: could not apply configuration settings.");
 +        return 0;
 +    }
 +    return 1;
 +}
 +
 +/**
 + * Deinitializes this instance of the dns64 module.
 + *
 + * \param env Global state of all module instances.
 + * \param id  This instance's ID number.
 + */
 +void
 +dns64_deinit(struct module_env* env, int id)
 +{
 +    if (!env)
 +        return;
 +    free(env->modinfo[id]);
 +    env->modinfo[id] = NULL;
 +}
 +
 +/**
 + * Handle PTR queries for IPv6 addresses. If the address belongs to the DNS64
 + * prefix, we must do a PTR query for the corresponding IPv4 address instead.
 + *
 + * \param qstate Query state structure.
 + * \param id     This module instance's ID number.
 + *
 + * \return The new state of the query.
 + */
 +static enum module_ext_state
 +handle_ipv6_ptr(struct module_qstate* qstate, int id)
 +{
 +    struct dns64_env* dns64_env = (struct dns64_env*)qstate->env->modinfo[id];
 +    struct module_qstate* subq = NULL;
 +    struct query_info qinfo;
 +    struct sockaddr_in6 sin6;
 +
 +    /* Convert the PTR query string to an IPv6 address. */
 +    memset(&sin6, 0, sizeof(sin6));
 +    sin6.sin6_family = AF_INET6;
 +    if (!ptr_to_ipv6((char*)qstate->qinfo.qname, sin6.sin6_addr.s6_addr))
 +        return module_wait_module;  /* Let other module handle this. */
 +
 +    /*
 +     * If this IPv6 address is not part of our DNS64 prefix, then we don't need
 +     * to do anything. Let another module handle the query.
 +     */
 +    if (addr_in_common((struct sockaddr_storage*)&sin6, 128,
 +                &dns64_env->prefix_addr, dns64_env->prefix_net,
 +                (socklen_t)sizeof(sin6)) != dns64_env->prefix_net)
 +        return module_wait_module;
 +
 +    verbose(VERB_ALGO, "dns64: rewrite PTR record");
 +
 +    /*
 +     * Create a new PTR query info for the domain name corresponding to the IPv4
 +     * address corresponding to the IPv6 address corresponding to the original
 +     * PTR query domain name.
 +     */
 +    qinfo = qstate->qinfo;
 +    if (!(qinfo.qname = regional_alloc(qstate->region, MAX_PTR_QNAME_IPV4)))
 +        return module_error;
 +    qinfo.qname_len = ipv4_to_ptr(extract_ipv4(sin6.sin6_addr.s6_addr,
 +                dns64_env->prefix_net), (char*)qinfo.qname);
 +
 +    /* Create the new sub-query. */
 +    fptr_ok(fptr_whitelist_modenv_attach_sub(qstate->env->attach_sub));
 +    if(!(*qstate->env->attach_sub)(qstate, &qinfo, qstate->query_flags, 0, 0,
 +                &subq))
 +        return module_error;
 +    if (subq) {
 +        subq->curmod = id;
 +        subq->ext_state[id] = module_state_initial;
 +        subq->minfo[id] = NULL;
 +    }
 +
 +    return module_wait_subquery;
 +}
 +
 +/** allocate (special) rrset keys, return 0 on error */
 +static int
 +repinfo_alloc_rrset_keys(struct reply_info* rep, 
 +      struct regional* region)
 +{
 +      size_t i;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              if(region) {
 +                      rep->rrsets[i] = (struct ub_packed_rrset_key*)
 +                              regional_alloc(region, 
 +                              sizeof(struct ub_packed_rrset_key));
 +                      if(rep->rrsets[i]) {
 +                              memset(rep->rrsets[i], 0, 
 +                                      sizeof(struct ub_packed_rrset_key));
 +                              rep->rrsets[i]->entry.key = rep->rrsets[i];
 +                      }
 +              }
 +              else return 0;/*        rep->rrsets[i] = alloc_special_obtain(alloc);*/
 +              if(!rep->rrsets[i])
 +                      return 0;
 +              rep->rrsets[i]->entry.data = NULL;
 +      }
 +      return 1;
 +}
 +
 +static enum module_ext_state
 +generate_type_A_query(struct module_qstate* qstate, int id)
 +{
 +      struct module_qstate* subq = NULL;
 +      struct query_info qinfo;
 +
 +      verbose(VERB_ALGO, "dns64: query A record");
 +
 +      /* Create a new query info. */
 +      qinfo = qstate->qinfo;
 +      qinfo.qtype = LDNS_RR_TYPE_A;
 +
 +      /* Start the sub-query. */
 +      fptr_ok(fptr_whitelist_modenv_attach_sub(qstate->env->attach_sub));
 +      if(!(*qstate->env->attach_sub)(qstate, &qinfo, qstate->query_flags, 0,
 +                                     0, &subq))
 +      {
 +              verbose(VERB_ALGO, "dns64: sub-query creation failed");
 +              return module_error;
 +      }
 +      if (subq) {
 +              subq->curmod = id;
 +              subq->ext_state[id] = module_state_initial;
 +              subq->minfo[id] = NULL;
 +      }
 +
 +      return module_wait_subquery;
 +}
 +
 +/**
 + * Handles the "pass" event for a query. This event is received when a new query
 + * is received by this module. The query may have been generated internally by
 + * another module, in which case we don't want to do any special processing
 + * (this is an interesting discussion topic),  or it may be brand new, e.g.
 + * received over a socket, in which case we do want to apply DNS64 processing.
 + *
 + * \param qstate A structure representing the state of the query that has just
 + *               received the "pass" event.
 + * \param id     This module's instance ID.
 + *
 + * \return The new state of the query.
 + */
 +static enum module_ext_state
 +handle_event_pass(struct module_qstate* qstate, int id)
 +{
 +      if ((uintptr_t)qstate->minfo[id] == DNS64_NEW_QUERY
 +            && qstate->qinfo.qtype == LDNS_RR_TYPE_PTR
 +            && qstate->qinfo.qname_len == 74
 +            && !strcmp((char*)&qstate->qinfo.qname[64], "\03ip6\04arpa"))
 +        /* Handle PTR queries for IPv6 addresses. */
 +        return handle_ipv6_ptr(qstate, id);
 +
 +      if (qstate->env->cfg->dns64_synthall &&
 +          (uintptr_t)qstate->minfo[id] == DNS64_NEW_QUERY
 +          && qstate->qinfo.qtype == LDNS_RR_TYPE_AAAA)
 +              return generate_type_A_query(qstate, id);
 +
 +      /* We are finished when our sub-query is finished. */
 +      if ((uintptr_t)qstate->minfo[id] == DNS64_SUBQUERY_FINISHED)
 +              return module_finished;
 +
 +      /* Otherwise, pass request to next module. */
 +      verbose(VERB_ALGO, "dns64: pass to next module");
 +      return module_wait_module;
 +}
 +
 +/**
 + * Handles the "done" event for a query. We need to analyze the response and
 + * maybe issue a new sub-query for the A record.
 + *
 + * \param qstate A structure representing the state of the query that has just
 + *               received the "pass" event.
 + * \param id     This module's instance ID.
 + *
 + * \return The new state of the query.
 + */
 +static enum module_ext_state
 +handle_event_moddone(struct module_qstate* qstate, int id)
 +{
 +    /*
 +     * In many cases we have nothing special to do. From most to least common:
 +     *
 +     *   - An internal query.
 +     *   - A query for a record type other than AAAA.
 +     *   - CD FLAG was set on querier
 +     *   - An AAAA query for which an error was returned.
 +     *   - A successful AAAA query with an answer.
 +     */
 +      if ( (enum dns64_qstate)qstate->minfo[id] == DNS64_INTERNAL_QUERY
 +            || qstate->qinfo.qtype != LDNS_RR_TYPE_AAAA
 +          || (qstate->query_flags & BIT_CD)
 +          || qstate->return_rcode != LDNS_RCODE_NOERROR  
 +          || (qstate->return_msg &&
 +                  qstate->return_msg->rep &&
 +                  reply_find_answer_rrset(&qstate->qinfo,
 +                          qstate->return_msg->rep)))
 +              return module_finished;
 +
 +    /* So, this is a AAAA noerror/nodata answer */
 +      return generate_type_A_query(qstate, id);
 +}
 +
 +/**
 + * This is the module's main() function. It gets called each time a query
 + * receives an event which we may need to handle. We respond by updating the
 + * state of the query.
 + *
 + * \param qstate   Structure containing the state of the query.
 + * \param event    Event that has just been received.
 + * \param id       This module's instance ID.
 + * \param outbound State of a DNS query on an authoritative server. We never do
 + *                 our own queries ourselves (other modules do it for us), so
 + *                 this is unused.
 + */
 +void
 +dns64_operate(struct module_qstate* qstate, enum module_ev event, int id,
 +              struct outbound_entry* outbound)
 +{
 +      (void)outbound;
 +      verbose(VERB_QUERY, "dns64[module %d] operate: extstate:%s event:%s",
 +                      id, strextstate(qstate->ext_state[id]),
 +                      strmodulevent(event));
 +      log_query_info(VERB_QUERY, "dns64 operate: query", &qstate->qinfo);
 +
 +      switch(event) {
 +              case module_event_new:
 +                      /* Tag this query as being new and fall through. */
 +                      qstate->minfo[id] = (void*)DNS64_NEW_QUERY;
 +              case module_event_pass:
 +                      qstate->ext_state[id] = handle_event_pass(qstate, id);
 +                      break;
 +              case module_event_moddone:
 +                      qstate->ext_state[id] = handle_event_moddone(qstate, id);
 +                      break;
 +              default:
 +                      qstate->ext_state[id] = module_finished;
 +                      break;
 +      }
 +}
 +
 +static void
 +dns64_synth_aaaa_data(const struct ub_packed_rrset_key* fk, 
 +                    const struct packed_rrset_data* fd, 
 +                    struct ub_packed_rrset_key *dk, 
 +                    struct packed_rrset_data **dd_out, struct regional *region, 
 +                    struct dns64_env* dns64_env )
 +{
 +      struct packed_rrset_data *dd;
 +      size_t i;
 +      /*
 +       * Create synthesized AAAA RR set data. We need to allocated extra memory
 +       * for the RRs themselves. Each RR has a length, TTL, pointer to wireformat
 +       * data, 2 bytes of data length, and 16 bytes of IPv6 address.
 +       */
++      if(fd->count > RR_COUNT_MAX) {
++              *dd_out = NULL;
++              return; /* integer overflow protection in alloc */
++      }
 +      if (!(dd = *dd_out = regional_alloc(region,
 +                sizeof(struct packed_rrset_data)
 +                + fd->count * (sizeof(size_t) + sizeof(time_t) +
 +                           sizeof(uint8_t*) + 2 + 16)))) {
 +              log_err("out of memory");
 +              return;
 +      }
 +
 +      /* Copy attributes from A RR set. */
 +      dd->ttl = fd->ttl;
 +      dd->count = fd->count;
 +      dd->rrsig_count = 0;
 +      dd->trust = fd->trust;
 +      dd->security = fd->security;
 +
 +      /*
 +       * Synthesize AAAA records. Adjust pointers in structure.
 +       */
 +      dd->rr_len =
 +          (size_t*)((uint8_t*)dd + sizeof(struct packed_rrset_data));
 +      dd->rr_data = (uint8_t**)&dd->rr_len[dd->count];
 +      dd->rr_ttl = (time_t*)&dd->rr_data[dd->count];
 +      for(i = 0; i < fd->count; ++i) {
 +              if (fd->rr_len[i] != 6 || fd->rr_data[i][0] != 0
 +                  || fd->rr_data[i][1] != 4)
 +                      return;
 +              dd->rr_len[i] = 18;
 +              dd->rr_data[i] =
 +                  (uint8_t*)&dd->rr_ttl[dd->count] + 18*i;
 +              dd->rr_data[i][0] = 0;
 +              dd->rr_data[i][1] = 16;
 +              synthesize_aaaa(
 +                              ((struct sockaddr_in6*)&dns64_env->prefix_addr)->sin6_addr.s6_addr,
 +                              dns64_env->prefix_net, &fd->rr_data[i][2],
 +                              &dd->rr_data[i][2] );
 +              dd->rr_ttl[i] = fd->rr_ttl[i];
 +      }
 +
 +      /*
 +       * Create synthesized AAAA RR set key. This is mostly just bookkeeping,
 +       * nothing interesting here.
 +       */
 +      if(!dk) {
 +              log_err("no key");
 +              return;
 +      }
 +
 +      dk->rk.dname = (uint8_t*)regional_alloc_init(region,
 +                   fk->rk.dname, fk->rk.dname_len);
 +
 +      if(!dk->rk.dname) {
 +              log_err("out of memory");
 +              return;
 +      }
 +
 +      dk->rk.type = htons(LDNS_RR_TYPE_AAAA);
 +      memset(&dk->entry, 0, sizeof(dk->entry));
 +      dk->entry.key = dk;
 +      dk->entry.hash = rrset_key_hash(&dk->rk);
 +      dk->entry.data = dd;
 +
 +}
 +
 +/**
 + * Synthesize an AAAA RR set from an A sub-query's answer and add it to the
 + * original empty response.
 + *
 + * \param id     This module's instance ID.
 + * \param super  Original AAAA query.
 + * \param qstate A query.
 + */
 +static void
 +dns64_adjust_a(int id, struct module_qstate* super, struct module_qstate* qstate)
 +{
 +      struct dns64_env* dns64_env = (struct dns64_env*)super->env->modinfo[id];
 +      struct reply_info *rep, *cp;
 +      size_t i, s;
 +      struct packed_rrset_data* fd, *dd;
 +      struct ub_packed_rrset_key* fk, *dk;
 +
 +      verbose(VERB_ALGO, "converting A answers to AAAA answers");
 +
 +      log_assert(super->region);
 +      log_assert(qstate->return_msg);
 +      log_assert(qstate->return_msg->rep);
 +
 +      /* If dns64-synthall is enabled, return_msg is not initialized */
 +      if(!super->return_msg) {
 +              super->return_msg = (struct dns_msg*)regional_alloc(
 +                  super->region, sizeof(struct dns_msg));
 +              if(!super->return_msg)
 +                      return;
 +              memset(super->return_msg, 0, sizeof(*super->return_msg));
 +              super->return_msg->qinfo = super->qinfo;
 +      }
 +
 +      rep = qstate->return_msg->rep;
 +
 +      /*
 +       * Build the actual reply.
 +       */
 +      cp = construct_reply_info_base(super->region, rep->flags, rep->qdcount,
 +              rep->ttl, rep->prefetch_ttl, rep->an_numrrsets, rep->ns_numrrsets,
 +              rep->ar_numrrsets, rep->rrset_count, rep->security);
 +      if(!cp)
 +              return;
 +
 +      /* allocate ub_key structures special or not */
 +      if(!repinfo_alloc_rrset_keys(cp, super->region)) {
 +              return;
 +      }
 +
 +      /* copy everything and replace A by AAAA */
 +      for(i=0; i<cp->rrset_count; i++) {
 +              fk = rep->rrsets[i];
 +              dk = cp->rrsets[i];
 +              fd = (struct packed_rrset_data*)fk->entry.data;
 +              dk->rk = fk->rk;
 +              dk->id = fk->id;
 +
 +              if(i<rep->an_numrrsets && fk->rk.type == htons(LDNS_RR_TYPE_A)) {
 +                      /* also sets dk->entry.hash */
 +                      dns64_synth_aaaa_data(fk, fd, dk, &dd, super->region, dns64_env);
++                      if(!dd)
++                              return;
 +                      /* Delete negative AAAA record from cache stored by
 +                       * the iterator module */
 +                      rrset_cache_remove(super->env->rrset_cache, dk->rk.dname, 
 +                                         dk->rk.dname_len, LDNS_RR_TYPE_AAAA, 
 +                                         LDNS_RR_CLASS_IN, 0);
 +              } else {
 +                      dk->entry.hash = fk->entry.hash;
 +                      dk->rk.dname = (uint8_t*)regional_alloc_init(super->region,
 +                              fk->rk.dname, fk->rk.dname_len);
 +
 +                      if(!dk->rk.dname)
 +                              return;
 +
 +                      s = packed_rrset_sizeof(fd);
 +                      dd = (struct packed_rrset_data*)regional_alloc_init(
 +                              super->region, fd, s);
 +
 +                      if(!dd)
 +                              return;
 +              }
 +
 +              packed_rrset_ptr_fixup(dd);
 +              dk->entry.data = (void*)dd;
 +      }
 +
 +      /* Commit changes. */
 +      super->return_msg->rep = cp;
 +}
 +
 +/**
 + * Generate a response for the original IPv6 PTR query based on an IPv4 PTR
 + * sub-query's response.
 + *
 + * \param qstate IPv4 PTR sub-query.
 + * \param super  Original IPv6 PTR query.
 + */
 +static void
 +dns64_adjust_ptr(struct module_qstate* qstate, struct module_qstate* super)
 +{
 +    struct ub_packed_rrset_key* answer;
 +
 +    verbose(VERB_ALGO, "adjusting PTR reply");
 +
 +    /* Copy the sub-query's reply to the parent. */
 +    if (!(super->return_msg = (struct dns_msg*)regional_alloc(super->region,
 +                    sizeof(struct dns_msg))))
 +        return;
 +    super->return_msg->qinfo = super->qinfo;
 +    super->return_msg->rep = reply_info_copy(qstate->return_msg->rep, NULL,
 +            super->region);
 +
 +    /*
 +     * Adjust the domain name of the answer RR set so that it matches the
 +     * initial query's domain name.
 +     */
 +    answer = reply_find_answer_rrset(&qstate->qinfo, super->return_msg->rep);
 +    log_assert(answer);
 +    answer->rk.dname = super->qinfo.qname;
 +    answer->rk.dname_len = super->qinfo.qname_len;
 +}
 +
 +/**
 + * This function is called when a sub-query finishes to inform the parent query.
 + *
 + * We issue two kinds of sub-queries: PTR and A.
 + *
 + * \param qstate State of the sub-query.
 + * \param id     This module's instance ID.
 + * \param super  State of the super-query.
 + */
 +void
 +dns64_inform_super(struct module_qstate* qstate, int id,
 +              struct module_qstate* super)
 +{
 +      log_query_info(VERB_ALGO, "dns64: inform_super, sub is",
 +                     &qstate->qinfo);
 +      log_query_info(VERB_ALGO, "super is", &super->qinfo);
 +
 +      /*
 +       * Signal that the sub-query is finished, no matter whether we are
 +       * successful or not. This lets the state machine terminate.
 +       */
 +      super->minfo[id] = (void*)DNS64_SUBQUERY_FINISHED;
 +
 +      /* If there is no successful answer, we're done. */
 +      if (qstate->return_rcode != LDNS_RCODE_NOERROR
 +          || !qstate->return_msg
 +          || !qstate->return_msg->rep
 +          || !reply_find_answer_rrset(&qstate->qinfo,
 +                                      qstate->return_msg->rep))
 +              return;
 +
 +      /* Generate a response suitable for the original query. */
 +      if (qstate->qinfo.qtype == LDNS_RR_TYPE_A) {
 +              dns64_adjust_a(id, super, qstate);
 +      } else {
 +              log_assert(qstate->qinfo.qtype == LDNS_RR_TYPE_PTR);
 +              dns64_adjust_ptr(qstate, super);
 +      }
 +
 +      /* Store the generated response in cache. */
 +      if (!dns_cache_store(super->env, &super->qinfo, super->return_msg->rep,
 +          0, 0, 0, NULL, super->query_flags))
 +              log_err("out of memory");
 +}
 +
 +/**
 + * Clear module-specific data from query state. Since we do not allocate memory,
 + * it's just a matter of setting a pointer to NULL.
 + *
 + * \param qstate Query state.
 + * \param id     This module's instance ID.
 + */
 +void
 +dns64_clear(struct module_qstate* qstate, int id)
 +{
 +    qstate->minfo[id] = NULL;
 +}
 +
 +/**
 + * Returns the amount of global memory that this module uses, not including
 + * per-query data.
 + *
 + * \param env Module environment.
 + * \param id  This module's instance ID.
 + */
 +size_t
 +dns64_get_mem(struct module_env* env, int id)
 +{
 +    struct dns64_env* dns64_env = (struct dns64_env*)env->modinfo[id];
 +    if (!dns64_env)
 +        return 0;
 +    return sizeof(*dns64_env);
 +}
 +
 +/**
 + * The dns64 function block.
 + */
 +static struct module_func_block dns64_block = {
 +      "dns64",
 +      &dns64_init, &dns64_deinit, &dns64_operate, &dns64_inform_super,
 +      &dns64_clear, &dns64_get_mem
 +};
 +
 +/**
 + * Function for returning the above function block.
 + */
 +struct module_func_block *
 +dns64_get_funcblock()
 +{
 +      return &dns64_block;
 +}
diff --cc contrib/unbound/dnstap/dnstap.c
index b2dc053bdbf6e038b8d17c2f1edf720c98cd0177,0000000000000000000000000000000000000000..b62dc5b8cfc592df0ecd74bd88385a958df56bb3
mode 100644,000000..100644
--- 1/contrib/unbound/dnstap/dnstap.c
--- /dev/null
+++ b/contrib/unbound/dnstap/dnstap.c
@@@ -1,510 -1,0 +1,510 @@@
- #include "ldns/sbuffer.h"
 +/* dnstap support for Unbound */
 +
 +/*
 + * Copyright (c) 2013-2014, Farsight Security, Inc.
 + * All rights reserved.
 + *
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + *
 + * 1. Redistributions of source code must retain the above copyright
 + * notice, this list of conditions and the following disclaimer.
 + *
 + * 2. Redistributions in binary form must reproduce the above copyright
 + * notice, this list of conditions and the following disclaimer in the
 + * documentation and/or other materials provided with the distribution.
 + *
 + * 3. Neither the name of the copyright holder nor the names of its
 + * contributors may be used to endorse or promote products derived from
 + * this software without specific prior written permission.
 + *
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + * TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT HOLDER OR
 + * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 + * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 + * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS;
 + * OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
 + * WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
 + * OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF
 + * ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +#include "dnstap/dnstap_config.h"
 +
 +#ifdef USE_DNSTAP
 +
 +#include "config.h"
 +#include <string.h>
 +#include <sys/time.h>
++#include "sldns/sbuffer.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +#include "util/netevent.h"
 +#include "util/log.h"
 +
 +#include <fstrm.h>
 +#include <protobuf-c/protobuf-c.h>
 +
 +#include "dnstap/dnstap.h"
 +#include "dnstap/dnstap.pb-c.h"
 +
 +#define DNSTAP_CONTENT_TYPE           "protobuf:dnstap.Dnstap"
 +#define DNSTAP_INITIAL_BUF_SIZE               256
 +
 +struct dt_msg {
 +      void            *buf;
 +      size_t          len_buf;
 +      Dnstap__Dnstap  d;
 +      Dnstap__Message m;
 +};
 +
 +static int
 +dt_pack(const Dnstap__Dnstap *d, void **buf, size_t *sz)
 +{
 +      ProtobufCBufferSimple sbuf;
 +
 +      memset(&sbuf, 0, sizeof(sbuf));
 +      sbuf.base.append = protobuf_c_buffer_simple_append;
 +      sbuf.len = 0;
 +      sbuf.alloced = DNSTAP_INITIAL_BUF_SIZE;
 +      sbuf.data = malloc(sbuf.alloced);
 +      if (sbuf.data == NULL)
 +              return 0;
 +      sbuf.must_free_data = 1;
 +
 +      *sz = dnstap__dnstap__pack_to_buffer(d, (ProtobufCBuffer *) &sbuf);
 +      if (sbuf.data == NULL)
 +              return 0;
 +      *buf = sbuf.data;
 +
 +      return 1;
 +}
 +
 +static void
 +dt_send(const struct dt_env *env, void *buf, size_t len_buf)
 +{
 +      fstrm_res res;
 +      if (!buf)
 +              return;
 +      res = fstrm_iothr_submit(env->iothr, env->ioq, buf, len_buf,
 +                               fstrm_free_wrapper, NULL);
 +      if (res != fstrm_res_success)
 +              free(buf);
 +}
 +
 +static void
 +dt_msg_init(const struct dt_env *env,
 +          struct dt_msg *dm,
 +          Dnstap__Message__Type mtype)
 +{
 +      memset(dm, 0, sizeof(*dm));
 +      dm->d.base.descriptor = &dnstap__dnstap__descriptor;
 +      dm->m.base.descriptor = &dnstap__message__descriptor;
 +      dm->d.type = DNSTAP__DNSTAP__TYPE__MESSAGE;
 +      dm->d.message = &dm->m;
 +      dm->m.type = mtype;
 +      if (env->identity != NULL) {
 +              dm->d.identity.data = (uint8_t *) env->identity;
 +              dm->d.identity.len = (size_t) env->len_identity;
 +              dm->d.has_identity = 1;
 +      }
 +      if (env->version != NULL) {
 +              dm->d.version.data = (uint8_t *) env->version;
 +              dm->d.version.len = (size_t) env->len_version;
 +              dm->d.has_version = 1;
 +      }
 +}
 +
 +struct dt_env *
 +dt_create(const char *socket_path, unsigned num_workers)
 +{
 +      fstrm_res res;
 +      struct dt_env *env;
 +      struct fstrm_iothr_options *fopt;
 +      struct fstrm_unix_writer_options *fuwopt;
 +      struct fstrm_writer *fw;
 +      struct fstrm_writer_options *fwopt;
 +
 +      verbose(VERB_OPS, "opening dnstap socket %s", socket_path);
 +      log_assert(socket_path != NULL);
 +      log_assert(num_workers > 0);
 +
 +      env = (struct dt_env *) calloc(1, sizeof(struct dt_env));
 +      if (!env)
 +              return NULL;
 +
 +      fwopt = fstrm_writer_options_init();
 +      res = fstrm_writer_options_add_content_type(fwopt,
 +              DNSTAP_CONTENT_TYPE, sizeof(DNSTAP_CONTENT_TYPE) - 1);
 +      log_assert(res == fstrm_res_success);
 +
 +      fuwopt = fstrm_unix_writer_options_init();
 +      fstrm_unix_writer_options_set_socket_path(fuwopt, socket_path);
 +
 +      fw = fstrm_unix_writer_init(fuwopt, fwopt);
 +      log_assert(fw != NULL);
 +
 +      fopt = fstrm_iothr_options_init();
 +      fstrm_iothr_options_set_num_input_queues(fopt, num_workers);
 +      env->iothr = fstrm_iothr_init(fopt, &fw);
 +      if (env->iothr == NULL) {
 +              verbose(VERB_DETAIL, "dt_create: fstrm_iothr_init() failed");
 +              fstrm_writer_destroy(&fw);
 +              free(env);
 +              env = NULL;
 +      }
 +      fstrm_iothr_options_destroy(&fopt);
 +      fstrm_unix_writer_options_destroy(&fuwopt);
 +      fstrm_writer_options_destroy(&fwopt);
 +
 +      return env;
 +}
 +
 +static void
 +dt_apply_identity(struct dt_env *env, struct config_file *cfg)
 +{
 +      char buf[MAXHOSTNAMELEN+1];
 +      if (!cfg->dnstap_send_identity)
 +              return;
 +      free(env->identity);
 +      if (cfg->dnstap_identity == NULL || cfg->dnstap_identity[0] == 0) {
 +              if (gethostname(buf, MAXHOSTNAMELEN) == 0) {
 +                      buf[MAXHOSTNAMELEN] = 0;
 +                      env->identity = strdup(buf);
 +              } else {
 +                      fatal_exit("dt_apply_identity: gethostname() failed");
 +              }
 +      } else {
 +              env->identity = strdup(cfg->dnstap_identity);
 +      }
 +      if (env->identity == NULL)
 +              fatal_exit("dt_apply_identity: strdup() failed");
 +      env->len_identity = (unsigned int)strlen(env->identity);
 +      verbose(VERB_OPS, "dnstap identity field set to \"%s\"",
 +              env->identity);
 +}
 +
 +static void
 +dt_apply_version(struct dt_env *env, struct config_file *cfg)
 +{
 +      if (!cfg->dnstap_send_version)
 +              return;
 +      free(env->version);
 +      if (cfg->dnstap_version == NULL || cfg->dnstap_version[0] == 0)
 +              env->version = strdup(PACKAGE_STRING);
 +      else
 +              env->version = strdup(cfg->dnstap_version);
 +      if (env->version == NULL)
 +              fatal_exit("dt_apply_version: strdup() failed");
 +      env->len_version = (unsigned int)strlen(env->version);
 +      verbose(VERB_OPS, "dnstap version field set to \"%s\"",
 +              env->version);
 +}
 +
 +void
 +dt_apply_cfg(struct dt_env *env, struct config_file *cfg)
 +{
 +      if (!cfg->dnstap)
 +              return;
 +
 +      dt_apply_identity(env, cfg);
 +      dt_apply_version(env, cfg);
 +      if ((env->log_resolver_query_messages = (unsigned int)
 +           cfg->dnstap_log_resolver_query_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/RESOLVER_QUERY enabled");
 +      }
 +      if ((env->log_resolver_response_messages = (unsigned int)
 +           cfg->dnstap_log_resolver_response_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/RESOLVER_RESPONSE enabled");
 +      }
 +      if ((env->log_client_query_messages = (unsigned int)
 +           cfg->dnstap_log_client_query_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/CLIENT_QUERY enabled");
 +      }
 +      if ((env->log_client_response_messages = (unsigned int)
 +           cfg->dnstap_log_client_response_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/CLIENT_RESPONSE enabled");
 +      }
 +      if ((env->log_forwarder_query_messages = (unsigned int)
 +           cfg->dnstap_log_forwarder_query_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/FORWARDER_QUERY enabled");
 +      }
 +      if ((env->log_forwarder_response_messages = (unsigned int)
 +           cfg->dnstap_log_forwarder_response_messages))
 +      {
 +              verbose(VERB_OPS, "dnstap Message/FORWARDER_RESPONSE enabled");
 +      }
 +}
 +
 +int
 +dt_init(struct dt_env *env)
 +{
 +      env->ioq = fstrm_iothr_get_input_queue(env->iothr);
 +      if (env->ioq == NULL)
 +              return 0;
 +      return 1;
 +}
 +
 +void
 +dt_delete(struct dt_env *env)
 +{
 +      if (!env)
 +              return;
 +      verbose(VERB_OPS, "closing dnstap socket");
 +      fstrm_iothr_destroy(&env->iothr);
 +      free(env->identity);
 +      free(env->version);
 +      free(env);
 +}
 +
 +static void
 +dt_fill_timeval(const struct timeval *tv,
 +              uint64_t *time_sec, protobuf_c_boolean *has_time_sec,
 +              uint32_t *time_nsec, protobuf_c_boolean *has_time_nsec)
 +{
 +#ifndef S_SPLINT_S
 +      *time_sec = tv->tv_sec;
 +      *time_nsec = tv->tv_usec * 1000;
 +#endif
 +      *has_time_sec = 1;
 +      *has_time_nsec = 1;
 +}
 +
 +static void
 +dt_fill_buffer(sldns_buffer *b, ProtobufCBinaryData *p, protobuf_c_boolean *has)
 +{
 +      log_assert(b != NULL);
 +      p->len = sldns_buffer_limit(b);
 +      p->data = sldns_buffer_begin(b);
 +      *has = 1;
 +}
 +
 +static void
 +dt_msg_fill_net(struct dt_msg *dm,
 +              struct sockaddr_storage *ss,
 +              enum comm_point_type cptype,
 +              ProtobufCBinaryData *addr, protobuf_c_boolean *has_addr,
 +              uint32_t *port, protobuf_c_boolean *has_port)
 +{
 +      log_assert(ss->ss_family == AF_INET6 || ss->ss_family == AF_INET);
 +      if (ss->ss_family == AF_INET6) {
 +              struct sockaddr_in6 *s = (struct sockaddr_in6 *) ss;
 +
 +              /* socket_family */
 +              dm->m.socket_family = DNSTAP__SOCKET_FAMILY__INET6;
 +              dm->m.has_socket_family = 1;
 +
 +              /* addr: query_address or response_address */
 +              addr->data = s->sin6_addr.s6_addr;
 +              addr->len = 16; /* IPv6 */
 +              *has_addr = 1;
 +
 +              /* port: query_port or response_port */
 +              *port = ntohs(s->sin6_port);
 +              *has_port = 1;
 +      } else if (ss->ss_family == AF_INET) {
 +              struct sockaddr_in *s = (struct sockaddr_in *) ss;
 +
 +              /* socket_family */
 +              dm->m.socket_family = DNSTAP__SOCKET_FAMILY__INET;
 +              dm->m.has_socket_family = 1;
 +
 +              /* addr: query_address or response_address */
 +              addr->data = (uint8_t *) &s->sin_addr.s_addr;
 +              addr->len = 4; /* IPv4 */
 +              *has_addr = 1;
 +
 +              /* port: query_port or response_port */
 +              *port = ntohs(s->sin_port);
 +              *has_port = 1;
 +      }
 +
 +      log_assert(cptype == comm_udp || cptype == comm_tcp);
 +      if (cptype == comm_udp) {
 +              /* socket_protocol */
 +              dm->m.socket_protocol = DNSTAP__SOCKET_PROTOCOL__UDP;
 +              dm->m.has_socket_protocol = 1;
 +      } else if (cptype == comm_tcp) {
 +              /* socket_protocol */
 +              dm->m.socket_protocol = DNSTAP__SOCKET_PROTOCOL__TCP;
 +              dm->m.has_socket_protocol = 1;
 +      }
 +}
 +
 +void
 +dt_msg_send_client_query(struct dt_env *env,
 +                       struct sockaddr_storage *qsock,
 +                       enum comm_point_type cptype,
 +                       sldns_buffer *qmsg)
 +{
 +      struct dt_msg dm;
 +      struct timeval qtime;
 +
 +      gettimeofday(&qtime, NULL);
 +
 +      /* type */
 +      dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__CLIENT_QUERY);
 +
 +      /* query_time */
 +      dt_fill_timeval(&qtime,
 +                      &dm.m.query_time_sec, &dm.m.has_query_time_sec,
 +                      &dm.m.query_time_nsec, &dm.m.has_query_time_nsec);
 +
 +      /* query_message */
 +      dt_fill_buffer(qmsg, &dm.m.query_message, &dm.m.has_query_message);
 +
 +      /* socket_family, socket_protocol, query_address, query_port */
 +      log_assert(cptype == comm_udp || cptype == comm_tcp);
 +      dt_msg_fill_net(&dm, qsock, cptype,
 +                      &dm.m.query_address, &dm.m.has_query_address,
 +                      &dm.m.query_port, &dm.m.has_query_port);
 +
 +      if (dt_pack(&dm.d, &dm.buf, &dm.len_buf))
 +              dt_send(env, dm.buf, dm.len_buf);
 +}
 +
 +void
 +dt_msg_send_client_response(struct dt_env *env,
 +                          struct sockaddr_storage *qsock,
 +                          enum comm_point_type cptype,
 +                          sldns_buffer *rmsg)
 +{
 +      struct dt_msg dm;
 +      struct timeval rtime;
 +
 +      gettimeofday(&rtime, NULL);
 +
 +      /* type */
 +      dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__CLIENT_RESPONSE);
 +
 +      /* response_time */
 +      dt_fill_timeval(&rtime,
 +                      &dm.m.response_time_sec, &dm.m.has_response_time_sec,
 +                      &dm.m.response_time_nsec, &dm.m.has_response_time_nsec);
 +
 +      /* response_message */
 +      dt_fill_buffer(rmsg, &dm.m.response_message, &dm.m.has_response_message);
 +
 +      /* socket_family, socket_protocol, query_address, query_port */
 +      log_assert(cptype == comm_udp || cptype == comm_tcp);
 +      dt_msg_fill_net(&dm, qsock, cptype,
 +                      &dm.m.query_address, &dm.m.has_query_address,
 +                      &dm.m.query_port, &dm.m.has_query_port);
 +
 +      if (dt_pack(&dm.d, &dm.buf, &dm.len_buf))
 +              dt_send(env, dm.buf, dm.len_buf);
 +}
 +
 +void
 +dt_msg_send_outside_query(struct dt_env *env,
 +                        struct sockaddr_storage *rsock,
 +                        enum comm_point_type cptype,
 +                        uint8_t *zone, size_t zone_len,
 +                        sldns_buffer *qmsg)
 +{
 +      struct dt_msg dm;
 +      struct timeval qtime;
 +      uint16_t qflags;
 +
 +      gettimeofday(&qtime, NULL);
 +      qflags = sldns_buffer_read_u16_at(qmsg, 2);
 +
 +      /* type */
 +      if (qflags & BIT_RD) {
 +              if (!env->log_forwarder_query_messages)
 +                      return;
 +              dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__FORWARDER_QUERY);
 +      } else {
 +              if (!env->log_resolver_query_messages)
 +                      return;
 +              dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__RESOLVER_QUERY);
 +      }
 +
 +      /* query_zone */
 +      dm.m.query_zone.data = zone;
 +      dm.m.query_zone.len = zone_len;
 +      dm.m.has_query_zone = 1;
 +
 +      /* query_time_sec, query_time_nsec */
 +      dt_fill_timeval(&qtime,
 +                      &dm.m.query_time_sec, &dm.m.has_query_time_sec,
 +                      &dm.m.query_time_nsec, &dm.m.has_query_time_nsec);
 +
 +      /* query_message */
 +      dt_fill_buffer(qmsg, &dm.m.query_message, &dm.m.has_query_message);
 +
 +      /* socket_family, socket_protocol, response_address, response_port */
 +      log_assert(cptype == comm_udp || cptype == comm_tcp);
 +      dt_msg_fill_net(&dm, rsock, cptype,
 +                      &dm.m.response_address, &dm.m.has_response_address,
 +                      &dm.m.response_port, &dm.m.has_response_port);
 +
 +      if (dt_pack(&dm.d, &dm.buf, &dm.len_buf))
 +              dt_send(env, dm.buf, dm.len_buf);
 +}
 +
 +void
 +dt_msg_send_outside_response(struct dt_env *env,
 +                           struct sockaddr_storage *rsock,
 +                           enum comm_point_type cptype,
 +                           uint8_t *zone, size_t zone_len,
 +                           uint8_t *qbuf, size_t qbuf_len,
 +                           const struct timeval *qtime,
 +                           const struct timeval *rtime,
 +                           sldns_buffer *rmsg)
 +{
 +      struct dt_msg dm;
 +      uint16_t qflags;
 +
 +      log_assert(qbuf_len >= sizeof(qflags));
 +      memcpy(&qflags, qbuf, sizeof(qflags));
 +      qflags = ntohs(qflags);
 +
 +      /* type */
 +      if (qflags & BIT_RD) {
 +              if (!env->log_forwarder_response_messages)
 +                      return;
 +              dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__FORWARDER_RESPONSE);
 +      } else {
 +              if (!env->log_resolver_query_messages)
 +                      return;
 +              dt_msg_init(env, &dm, DNSTAP__MESSAGE__TYPE__RESOLVER_RESPONSE);
 +      }
 +
 +      /* query_zone */
 +      dm.m.query_zone.data = zone;
 +      dm.m.query_zone.len = zone_len;
 +      dm.m.has_query_zone = 1;
 +
 +      /* query_time_sec, query_time_nsec */
 +      dt_fill_timeval(qtime,
 +                      &dm.m.query_time_sec, &dm.m.has_query_time_sec,
 +                      &dm.m.query_time_nsec, &dm.m.has_query_time_nsec);
 +
 +      /* response_time_sec, response_time_nsec */
 +      dt_fill_timeval(rtime,
 +                      &dm.m.response_time_sec, &dm.m.has_response_time_sec,
 +                      &dm.m.response_time_nsec, &dm.m.has_response_time_nsec);
 +
 +      /* response_message */
 +      dt_fill_buffer(rmsg, &dm.m.response_message, &dm.m.has_response_message);
 +
 +      /* socket_family, socket_protocol, response_address, response_port */
 +      log_assert(cptype == comm_udp || cptype == comm_tcp);
 +      dt_msg_fill_net(&dm, rsock, cptype,
 +                      &dm.m.response_address, &dm.m.has_response_address,
 +                      &dm.m.response_port, &dm.m.has_response_port);
 +
 +      if (dt_pack(&dm.d, &dm.buf, &dm.len_buf))
 +              dt_send(env, dm.buf, dm.len_buf);
 +}
 +
 +#endif /* USE_DNSTAP */
diff --cc contrib/unbound/doc/Changelog
index a1c2f76cd21d8347c59d9c0f26bc3dd43f917168,0000000000000000000000000000000000000000..525bb365e3d9fecf2d4ca80db236890fdfd84146
mode 100644,000000..100644
--- 1/contrib/unbound/doc/Changelog
--- /dev/null
+++ b/contrib/unbound/doc/Changelog
@@@ -1,5826 -1,0 +1,5984 @@@
++29 June 2015: Wouter
++      - iana portlist update.
++      - Fix alloc with log for allocation size checks.
++
++26 June 2015: Wouter
++      - Fix #677 Fix DNAME responses from cache that failed internal chain
++        test.
++      - iana portlist update.
++
++22 June 2015: Wouter
++      - Fix #677 Fix CNAME corresponding to a DNAME was checked incorrectly
++        and was therefore always synthesized (thanks to Valentin Dietrich).
++
++4 June 2015: Wouter
++      - RFC 7553 RR type URI support, is now enabled by default.
++
++2 June 2015: Wouter
++      - Fix #674: Do not free pointers given by getenv.
++
++29 May 2015: Wouter
++      - Fix that unparseable error responses are ratelimited.
++      - SOA negative TTL is capped at minimumttl in its rdata section.
++      - cache-max-negative-ttl config option, default 3600.
++
++26 May 2015: Wouter
++      - Document that ratelimit works with unbound-control set_option.
++
++21 May 2015: Wouter
++      - iana portlist update.
++      - documentation proposes ratelimit of 1000 (closer to what upstream
++        servers expect from us).
++
++20 May 2015: Wouter
++      - DLV is going to be decommissioned.  Advice to stop using it, and
++        put text in the example configuration and man page to that effect.
++
++10 May 2015: Wouter
++      - Change syntax of particular validator error to be easier for
++        machine parse, swap rrset and ip adres info so it looks like:
++        validation failure <www.example.nl. TXT IN>: signature crypto
++        failed from 2001:DB8:7:bba4::53 for <*.example.nl. NSEC IN>
++
++1 May 2015: Wouter
++      - caps-whitelist in unbound.conf allows whitelist of loadbalancers
++        that cannot work with caps-for-id or its fallback.
++
++30 April 2015: Wouter
++      - Unit test for type ANY synthesis.
++
++22 April 2015: Wouter
++      - Removed contrib/unbound_unixsock.diff, because it has been
++        integrated, use control-interface: /path in unbound.conf.
++      - iana portlist update.
++
++17 April 2015: Wouter
++      - Synthesize ANY responses from cache.  Does not search exhaustively,
++        but MX,A,AAAA,SOA,NS also CNAME.
++      - Fix leaked dns64prefix configuration string.
++
++16 April 2015: Wouter
++      - Add local-zone type inform_deny, that logs query and drops answer.
++      - Ratelimit does not apply to prefetched queries, and ratelimit-factor
++        is default 10.  Repeated normal queries get resolved and with
++        prefetch stay in the cache.
++      - Fix bug#664: libunbound python3 related fixes (from Tomas Hozza)
++        Use print_function also for Python2.
++        libunbound examples: produce sorted output.
++        libunbound-Python: libldns is not used anymore.
++        Fix issue with Python 3 mapping of FILE* using file_py3.i from ldns.
++
++10 April 2015: Wouter
++      - unbound-control ratelimit_list lists high rate domains.
++      - ratelimit feature, ratelimit: 100, or some sensible qps, can be
++        used to turn it on.  It ratelimits recursion effort per zone.
++        For particular names you can configure exceptions in unbound.conf.
++      - Fix that get_option for cache-sizes does not print double newline.
++      - Fix#663: ssl handshake fails when using unix socket because dh size
++        is too small.
++
++8 April 2015: Wouter
++      - Fix crash in dnstap: Do not try to log TCP responses after timeout.
++
++7 April 2015: Wouter
++      - Libunbound skips dos-line-endings from etc/hosts.
++      - Unbound exits with a fatal error when the auto-trust-anchor-file
++        fails to be writable.  This is seconds after startup.  You can
++        load a readonly auto-trust-anchor-file with trust-anchor-file.
++        The file has to be writable to notice the trust anchor change,
++        without it, a trust anchor change will be unnoticed and the system
++        will then become inoperable.
++      - unbound-control list_insecure command shows the negative trust
++        anchors currently configured, patch from Jelte Jansen.
++
++2 April 2015: Wouter
++      - Fix #660: Fix interface-automatic broken in the presence of
++        asymmetric routing.
++
++26 March 2015: Wouter
++      - remote.c probedelay line is easier to read.
++      - rename ldns subdirectory to sldns to avoid name collision.
++
++25 March 2015: Wouter
++      - Fix #657:  libunbound(3) recommends deprecated
++        CRYPTO_set_id_callback.
++      - If unknown trust anchor algorithm, and libressl is used, error
++        message encourages upgrade of the libressl package.
++
 +23 March 2015: Wouter
 +      - Fix segfault on user not found at startup (from Maciej Soltysiak).
 +
++20 March 2015: Wouter
++      - Fixed to add integer overflow checks on allocation (defense in depth).
++
++19 March 2015: Wouter
++      - Add ip-transparent config option for bind to non-local addresses.
++
++17 March 2015: Wouter
++      - Use reallocarray for integer overflow protection, patch submitted
++        by Loganaden Velvindron.
++
++16 March 2015: Wouter
++      - Fixup compile on cygwin, more portable openssl thread id.
++
++12 March 2015: Wouter
++      - Updated default keylength in unbound-control-setup to 3k.
++
++10 March 2015: Wouter
++      - Fix lintian warning in unbound-checkconf man page (from Andreas
++        Schulze).
++      - print svnroot when building windows dist.
++      - iana portlist update.
++      - Fix warning on sign compare in getentropy_linux.
++
++9 March 2015: Wouter
++      - Fix #644: harden-algo-downgrade option, if turned off, fixes the
++        reported excessive validation failure when multiple algorithms
++        are present.  It allows the weakest algorithm to validate the zone.
++      - iana portlist update.
++
++5 March 2015: Wouter
++      - contrib/unbound_smf22.tar.gz: Solaris SMF installation/removal
++        scripts.  Contributed by Yuri Voinov.
++      - Document that incoming-num-tcp increase is good for large servers.
++      - stats reports tcp usage, of incoming-num-tcp buffers.
++
++4 March 2015: Wouter
++      - Patch from Brad Smith that syncs compat/getentropy_linux with
++        OpenBSD's version (2015-03-04).
++      - 0x20 fallback improved: servfail responses do not count as missing
++        comparisons (except if all responses are errors),
++        inability to find nameservers does not fail equality comparisons,
++        many nameservers does not try to compare more than max-sent-count,
++        parse failures start 0x20 fallback procedure.
++      - store caps_response with best response in case downgrade response
++        happens to be the last one.
++      - Document windows 8 tests.
++
++3 March 2015: Wouter
++      - tag 1.5.3rc1
++      [ This became 1.5.3 on 10 March, trunk is 1.5.4 in development ]
++
 +2 March 2015: Wouter
 +      - iana portlist update.
 +
 +20 February 2015: Wouter
 +      - Use the getrandom syscall introduced in Linux 3.17 (from Heiner
 +        Kallweit).
 +      - Fix #645 Portability to Solaris 10, use AF_LOCAL.
 +      - Fix #646 Portability to Solaris, -lrt for getentropy_solaris.
 +      - Fix #647 crash in 1.5.2 because pwd.db no longer accessible after
 +        reload.
 +
 +19 February 2015: Wouter
 +      - 1.5.2 release tag.
 +      - svn trunk contains 1.5.3 under development.
 +
 +13 February 2015: Wouter
 +      - Fix #643: doc/example.conf.in: unnecessary whitespace.
 +
 +12 February 2015: Wouter
 +      - tag 1.5.2rc1
 +
 +11 February 2015: Wouter
 +      - iana portlist update.
 +
 +10 February 2015: Wouter
 +      - Fix scrubber with harden-glue turned off to reject NS (and other
 +        not-address) records.
 +
 +9 February 2015: Wouter
 +      - Fix validation failure in case upstream forwarder (ISC BIND) does
 +        not have the same trust anchors and decides to insert unsigned NS
 +        record in authority section.
 +
 +2 February 2015: Wouter
 +      - infra-cache-min-rtt patch from Florian Riehm, for expected long
 +        uplink roundtrip times.
 +
 +30 January 2015: Wouter
 +      - Fix 0x20 capsforid fallback to omit gratuitous NS and additional
 +        section changes.
 +      - Portability fix for Solaris ('sun' is not usable for a variable).
 +
 +29 January 2015: Wouter
 +      - Fix pyunbound byte string representation for python3.
 +
 +26 January 2015: Wouter
 +      - Fix unintended use of gcc extension for incomplete enum types,
 +        compile with pedantic c99 compliance (from Daniel Dickman).
 +
 +23 January 2015: Wouter
 +      - windows port fixes, no AF_LOCAL, no chown, no chmod(grp).
 +
 +16 January 2015: Wouter
 +      - unit test for local unix connection.  Documentation and log_addr
 +        does not inspect port for AF_LOCAL.
 +      - unbound-checkconf -f prints chroot with pidfile path.
 +
 +13 January 2015: Wouter
 +      - iana portlist update.
 +
 +12 January 2015: Wouter
 +      - Cast sun_len sizeof to socklen_t.
 +      - Fix pyunbound ord call, portable for python 2 and 3.
 +
 +7 January 2015: Wouter
 +      - Fix warnings in pythonmod changes.
 +
 +6 January 2015: Wouter
 +      - iana portlist update.
 +      - patch for remote control over local sockets, from Dag-Erling
 +        Smorgrav, Ilya Bakulin.  Use control-interface: /path/sock and
 +        control-use-cert: no.
 +      - Fixup that patch and uid lookup (only for daemon).
 +      - coded the default of control-use-cert, to yes.
 +
 +5 January 2015: Wouter
 +      - getauxval test for ppc64 linux compatibility.
 +      - make strip works for unbound-host and unbound-anchor.
 +      - patch from Stephane Lapie that adds to the python API, that
 +        exposes struct delegpt, and adds the find_delegation function.
 +      - print query name when max target count is exceeded.
 +      - patch from Stuart Henderson that fixes DESTDIR in
 +        unbound-control-setup for installs where config is not in
 +        the prefix location.
 +      - Fix #634: fix fail to start on Linux LTS 3.14.X, ignores missing
 +        IP_MTU_DISCOVER OMIT option (fix from Remi Gacogne).
 +      - Updated contrib warmup.cmd/sh to support two modes - load
 +        from pre-defined list of domains or (with filename as argument)
 +        load from user-specified list of domains, and updated contrib
 +        unbound_cache.sh/cmd to support loading/save/reload cache to/from
 +        default path or (with secondary argument) arbitrary path/filename,
 +        from Yuri Voinov.
 +      - Patch from Philip Paeps to contrib/unbound_munin_ that uses
 +        type ABSOLUTE.  Allows munin.conf: [idleserver.example.net]
 +        unbound_munin_hits.graph_period minute
 +
 +9 December 2014: Wouter
 +      - svn trunk has 1.5.2 in development.
 +      - config.guess and config.sub update from libtoolize.
 +      - local-zone: example.com inform makes unbound log a message with
 +        client IP for queries in that zone.  Eg. for finding infected hosts.
 +
 +8 December 2014: Wouter
 +      - Fix CVE-2014-8602: denial of service by making resolver chase
 +        endless series of delegations.
 +
 +1 December 2014: Wouter
 +      - Fix bug#632: unbound fails to build on AArch64, protects
 +        getentropy compat code from calling sysctl if it is has been removed.
 +
 +29 November 2014: Wouter
 +      - Add include to getentropy_linux.c, hopefully fixing debian build.
 +
 +28 November 2014: Wouter
 +      - Fix makefile for build from noexec source tree.
 +
 +26 November 2014: Wouter
 +      - Fix libunbound undefined symbol errors for main.
 +        Referencing main does not seem to be possible for libunbound.
 +
 +24 November 2014: Wouter
 +      - Fix log at high verbosity and memory allocation failure.
 +      - iana portlist update.
 +
 +21 November 2014: Wouter
 +      - Fix crash on multiple thread random usage on systems without
 +        arc4random.
 +
 +20 November 2014: Wouter
 +      - fix compat/getentropy_win.c check if CryptGenRandom works and no
 +        immediate exit on windows.
 +
 +19 November 2014: Wouter
 +      - Fix cdflag dns64 processing.
 +
 +18 November 2014: Wouter
 +      - Fix that CD flag disables DNS64 processing, returning the DNSSEC
 +        signed AAAA denial.
 +      - iana portlist update.
 +
 +17 November 2014: Wouter
 +      - Fix #627: SSL_CTX_load_verify_locations return code not properly
 +        checked.
 +
 +14 November 2014: Wouter
 +      - parser with bison 2.7
 +
 +13 November 2014: Wouter
 +      - Patch from Stephane Lapie for ASAHI Net that implements aaaa-filter,
 +      added to contrib/aaaa-filter-iterator.patch.
 +
 +12 November 2014: Wouter
 +      - trunk has 1.5.1 in development.
 +      - Patch from Robert Edmonds to build pyunbound python module
 +        differently.  No versioninfo, with -shared and without $(LIBS).
 +      - Patch from Robert Edmonds fixes hyphens in unbound-anchor man page.
 +      - Removed 'increased limit open files' log message that is written
 +        to console.  It is only written on verbosity 4 and higher.
 +        This keeps system bootup console cleaner.
 +      - Patch from James Raftery, always print stats for rcodes 0..5.
 +
 +11 November 2014: Wouter
 +      - iana portlist update.
 +      - Fix bug where forward or stub addresses with same address but
 +        different port number were not tried.
 +      - version number in svn trunk is 1.5.0
 +      - tag 1.5.0rc1
 +      - review fix from Ralph.
 +
 +7 November 2014: Wouter
 +      - dnstap fixes by Robert Edmonds:
 +              dnstap/dnstap.m4: cosmetic fixes
 +              dnstap/: Remove compiled protoc-c output files
 +              dnstap/dnstap.m4: Error out if required libraries are not found
 +              dnstap: Fix ProtobufCBufferSimple usage that is incorrect as of
 +                      protobuf-c 1.0.0
 +              dnstap/: Adapt to API changes in latest libfstrm (>= 0.2.0)
 +
 +4 November 2014: Wouter
 +      - Add ub_ctx_add_ta_autr function to add a RFC5011 automatically
 +        tracked trust anchor to libunbound.
 +      - Redefine internal minievent symbols to unique symbols that helps
 +        linking on platforms where the linker leaks names across modules.
 +
 +27 October 2014: Wouter
 +      - Disabled use of SSLv3 in remote-control and ssl-upstream.
 +      - iana portlist update.
 +
 +16 October 2014: Wouter
 +      - Documented dns64 configuration in unbound.conf man page.
 +
 +13 October 2014: Wouter
 +      - Fix #617: in ldns in unbound, lowercase WKS services.
 +      - Fix ctype invocation casts.
 +
 +10 October 2014: Wouter
 +      - Fix unbound-checkconf check for module config with dns64 module.
 +      - Fix unbound capsforid fallback, it ignores TTLs in comparison.
 +
 +6 October 2014: Wouter
 +      - Fix #614: man page variable substitution bug.
 +6 October 2014: Willem
 +      - Whitespaces after $ORIGIN are not part of the origin dname (ldns).
 +      - $TTL's value starts at position 5 (ldns).
 +
 +1 October 2014: Wouter
 +      - fix #613: Allow tab ws in var length last rdfs (in ldns str2wire).
 +
 +29 September 2014: Wouter
 +      - Fix #612: create service with service.conf in present directory and
 +        auto load it.
 +      - Fix for mingw compile openssl ranlib.
 +
 +25 September 2014: Wouter
 +      - updated configure and aclocal with newer autoconf 1.13.
 +
 +22 September 2014: Wouter
 +      - Fix swig and python examples for Python 3.x.
 +      - Fix for mingw compile with openssl-1.0.1i.
 +
 +19 September 2014: Wouter
 +      - improve python configuration detection to build on Fedora 22.
 +
 +18 September 2014: Wouter
 +      - patches to also build with Python 3.x (from Pavel Simerda).
 +
 +16 September 2014: Wouter
 +      - Fix tcp timer waiting list removal code.
 +      - iana portlist update.
 +      - Updated the TCP_BACLOG from 5 to 256, so that the tcp accept queue
 +        is longer and more tcp connections can be handled.
 +
 +15 September 2014: Wouter
 +      - Fix unit test for CDS typecode.
 +
 +5 September 2014: Wouter
 +      - type CDS and CDNSKEY types in sldns.
 +
 +25 August 2014: Wouter
 +      - Fixup checklock code for log lock and its mutual initialization
 +        dependency.
 +      - iana portlist update.
 +      - Removed necessity for pkg-config from the dnstap.m4, new are
 +        the --with-libfstrm and --with-protobuf-c configure options.
 +
 +19 August 2014: Wouter
 +      - Update unbound manpage with more explanation (from Florian Obser).
 +
 +18 August 2014: Wouter
 +      - Fix #603: unbound-checkconf -o <option> should skip verification
 +        checks.
 +      - iana portlist update.
 +      - Fixup doc/unbound.doxygen to remove obsolete 1.8.7 settings.
 +
 +5 August 2014: Wouter
 +      - dnstap support, with a patch from Farsight Security, written by
 +        Robert Edmonds. The --enable-dnstap needs libfstrm and protobuf-c.
 +        It is BSD licensed (see dnstap/dnstap.c).
 +        Building with --enable-dnstap needs pkg-config with this patch.
 +      - Noted dnstap in doc/README and doc/CREDITS.
 +      - Changes to the dnstap patch.
 +        - lint fixes.
 +        - dnstap/dnstap_config.h should not have been added to the repo,
 +          because is it generated.
 +
 +1 August 2014: Wouter
 +      - Patch add msg, rrset, infra and key cache sizes to stats command
 +        from Maciej Soltysiak.
 +      - iana portlist update.
 +
 +31 July 2014: Wouter
 +      - DNS64 from Viagenie (BSD Licensed), written by Simon Perrault.
 +        Initial commit of the patch from the FreeBSD base (with its fixes).
 +        This adds a module (for module-config in unbound.conf) dns64 that
 +        performs DNS64 processing, see README.DNS64.
 +      - Changes from DNS64:
 +        strcpy changed to memmove.
 +        arraybound check fixed from prefix_net/8/4 to prefix_net/8+4.
 +        allocation of result consistently in the correct region.
 +        time_t is now used for ttl in unbound (since the patch's version).
 +      - testdata/dns64_lookup.rpl for unit test for dns64 functionality.
 +
 +29 July 2014: Wouter
 +      - Patch from Dag-Erling Smorgrav that implements feature, unbound -dd
 +        does not fork in the background and also logs to stderr.
 +
 +21 July 2014: Wouter
 +      - Fix endian.h include for OpenBSD.
 +
 +16 July 2014: Wouter
 +      - And Fix#596: Bail out of unbound-control dump_infra when ssl
 +        write fails.
 +
 +15 July 2014: Wouter
 +      - Fix #596: Bail out of unbound-control list_local_zones when ssl
 +        write fails.
 +      - iana portlist update.
 +
 +13 July 2014: Wouter
 +      - Configure tests if main can be linked to from getentropy compat.
 +
 +12 July 2014: Wouter
 +      - Fix getentropy compat code, function refs were not portable.
 +      - Fix to check openssl version number only for OpenSSL.
 +      - LibreSSL provides compat items, check for that in configure.
 +      - Fix bug in fix for log locks that caused deadlock in signal handler.
 +      - update compat/getentropy and arc4random to the most recent ones from OpenBSD.
 +
 +11 July 2014: Matthijs
 +      - fake-rfc2553 patch (thanks Benjamin Baier).
 +
 +11 July 2014: Wouter
 +      - arc4random in compat/ and getentropy, explicit_bzero, chacha for
 +        dependencies, from OpenBSD.  arc4_lock and sha512 in compat.
 +        This makes arc4random available on all platforms, except when
 +        compiled with LIBNSS (it uses libNSS crypto random).
 +      - fix strptime implicit declaration error on OpenBSD.
 +      - arc4random, getentropy and explicit_bzero compat for Windows.
 +
 +4 July 2014: Wouter
 +      - Fix #593: segfault or crash upon rotating logfile.
 +
 +3 July 2014: Wouter
 +      - DLV tests added.
 +      - signit tool fixup for compile with libldns library.
 +      - iana portlist updated.
 +
 +27 June 2014: Wouter
 +      - so-reuseport is available on BSDs(such as FreeBSD 10) and OS/X.
 +
 +26 June 2014: Wouter
 +      - unbound-control status reports if so-reuseport was successful.
 +      - iana portlist updated.
 +
 +24 June 2014: Wouter
 +      - Fix caps-for-id fallback, and added fallback attempt when servers
 +        drop 0x20 perturbed queries.
 +      - Fixup testsetup for VM tests (run testcode/run_vm.sh).
 +
 +17 June 2014: Wouter
 +      - iana portlist updated.
 +
 +3 June 2014: Wouter
 +      - Add AAAA for B root server to default root hints.
 +
 +2 June 2014: Wouter
 +      - Remove unused define from iterator.h
 +
 +30 May 2014: Wouter
 +      - Fixup sldns_enum_edns_option typedef definition.
 +
 +28 May 2014: Wouter
 +      - Code cleanup patch from Dag-Erling Smorgrav, with compiler issue
 +        fixes from FreeBSD's copy of Unbound, he notes:
 +        Generate unbound-control-setup.sh at build time so it respects
 +        prefix and sysconfdir from the configure script.  Also fix the
 +        umask to match the comment, and the comment to match the umask.
 +        Add const and static where needed.  Use unions instead of
 +        playing pointer poker.  Move declarations that are needed in
 +        multiple source files into a shared header.  Move sldns_bgetc()
 +        from parse.c to buffer.c where it belongs.  Introduce a new
 +        header file, worker.h, which declares the callbacks that
 +        all workers must define.  Remove those declarations from
 +        libworker.h.  Include the correct headers in the correct places.
 +        Fix a few dummy callbacks that don't match their prototype.
 +        Fix some casts.  Hide the sbrk madness behind #ifdef HAVE_SBRK.
 +        Remove a useless printf which breaks reproducible builds.
 +        Get rid of CONFIGURE_{TARGET,DATE,BUILD_WITH} now that they're
 +        no longer used.  Add unbound-control-setup.sh to the list of
 +        generated files.  The prototype for libworker_event_done_cb()
 +        needs to be moved from libunbound/libworker.h to
 +        libunbound/worker.h.
 +      - Fixup out-of-directory compile with unbound-control-setup.sh.in.
 +      - make depend.
 +
 +23 May 2014: Wouter
 +      - unbound-host -D enabled dnssec and reads root trust anchor from
 +        the default root key file that was compiled in.
 +
 +20 May 2014: Wouter
 +      - Feature, unblock-lan-zones: yesno that you can use to make unbound
 +        perform 10.0.0.0/8 and other reverse lookups normally, for use if
 +        unbound is running service for localhost on localhost.
 +
 +16 May 2014: Wouter
 +      - Updated create_unbound_ad_servers and unbound_cache scripts from
 +        Yuri Voinov in the source/contrib directory. Added
 +        warmup.cmd (and .sh): warm up the DNS cache with your MRU domains.
 +
 +9 May 2014: Wouter
 +      - Implement draft-ietf-dnsop-rfc6598-rfc6303-01.
 +      - iana portlist updated.
 +
 +8 May 2014: Wouter
 +      - Contrib windows scripts from Yuri Voinov added to src/contrib:
 +        create_unbound_ad_servers.cmd: enters anti-ad server lists.
 +        unbound_cache.cmd: saves and loads the cache.
 +      - Added unbound-control-setup.cmd from Yuri Voinov to the windows
 +        unbound distribution set.  It requires openssl installed in %PATH%.
 +
 +6 May 2014: Wouter
 +      - Change MAX_SENT_COUNT from 16 to 32 to resolve some cases easier.
 +
 +5 May 2014: Wouter
 +      - More #567: remove : from output of stub and forward lists, this is
 +        easier to parse.
 +
 +29 April 2014: Wouter
 +      - iana portlist updated.
 +      - Add unbound-control flush_negative that flushed nxdomains, nodata,
 +        and errors from the cache.  For dnssec-trigger and NetworkManager,
 +        fixes cases where network changes have localdata that was already
 +        negatively cached from the previous network.
 +
 +23 April 2014: Wouter
 +      - Patch from Jeremie Courreges-Anglas to use arc4random_uniform
 +        if available on the OS, it gets entropy from the OS.
 +
 +15 April 2014: Wouter
 +      - Fix compile with libevent2 on FreeBSD.
 +
 +11 April 2014: Wouter
 +      - Fix #502: explain that do-ip6 disable does not stop AAAA lookups,
 +        but it stops the use of the ipv6 transport layer for DNS traffic.
 +      - iana portlist updated.
 +
 +10 April 2014: Wouter
 +      - iana portlist updated.
 +      - Patch from Hannes Frederic Sowa for Linux 3.15 fragmentation
 +        option for DNS fragmentation defense.
 +      - Document that dump_requestlist only prints queries from thread 0.
 +      - unbound-control stats prints num.query.tcpout with number of TCP
 +        outgoing queries made in the previous statistics interval.
 +      - Fix #567: unbound lists if forward zone is secure or insecure with
 +        +i annotation in output of list_forwards, also for list_stubs
 +        (for NetworkManager integration.)
 +      - Fix #554: use unsigned long to print 64bit statistics counters on
 +        64bit systems.
 +      - Fix #558: failed prefetch lookup does not remove cached response
 +        but delays next prefetch (in lieu of caching a SERVFAIL).
 +      - Fix #545: improved logging, the ip address of the error is printed
 +        on the same log-line as the error.
 +
 +8 April 2014: Wouter
 +      - Fix #574: make test fails on Ubuntu 14.04.  Disabled remote-control
 +        in testbound scripts.
 +      - iana portlist updated.
 +
 +7 April 2014: Wouter
 +      - C.ROOT-SERVERS.NET has an IPv6 address, and we updated the root
 +        hints (patch from Anand Buddhdev).
 +      - Fix #572: Fix unit test failure for systems with different
 +        /etc/services.
 +
 +28 March 2014: Wouter
 +      - Fix #569: do_tcp is do-tcp in unbound.conf man page.
 +
 +25 March 2014: Wouter
 +      - Patch from Stuart Henderson to build unbound-host man from .1.in.
 +
 +24 March 2014: Wouter
 +      - Fix print filename of encompassing config file on read failure.
 +
 +12 March 2014: Wouter
 +      - tag 1.4.22
 +      - trunk has 1.4.23 in development.
 +
 +10 March 2014: Wouter
 +      - Fix bug#561: contrib/cacti plugin did not report SERVFAIL rcodes
 +        because of spelling.  Patch from Chris Coates.
 +
 +27 February 2014: Wouter
 +      - tag 1.4.22rc1
 +
 +21 February 2014: Wouter
 +      - iana portlist updated.
 +
 +20 February 2014: Matthijs
 +      - Be lenient when a NSEC NameError response with RCODE=NXDOMAIN is
 +        received. This is okay according 4035, but not after revising
 +        existence in 4592.  NSEC empty non-terminals exist and thus the
 +        RCODE should have been NOERROR. If this occurs, and the RRsets
 +        are secure, we set the RCODE to NOERROR and the security status
 +        of the reponse is also considered secure.
 +
 +14 February 2014: Wouter
 +      - Works on Minix (3.2.1).
 +
 +11 February 2014: Wouter
 +      - Fix parse of #553(NSD) string in sldns, quotes without spaces.
 +
 +7 February 2014: Wouter
 +      - iana portlist updated.
 +      - add body to ifstatement if locks disabled.
 +      - add TXT string"string" test case to unit test.
 +      - Fix #551: License change "Regents" to "Copyright holder", matching
 +        the BSD license on opensource.org.
 +
 +6 February 2014: Wouter
 +      - sldns has type HIP.
 +      - code documentation on the module interface.
 +
 +5 February 2014: Wouter
 +      - Fix sldns parse tests on osx.
 +
 +3 February 2014: Wouter
 +      - Detect libevent2 install automatically by configure.
 +      - Fixup link with lib/event2 subdir.
 +      - Fix parse in sldns of quoted parenthesized text strings.
 +
 +31 January 2014: Wouter
 +      - unit test for ldns wire to str and back with zones, root, nlnetlabs
 +        and types.sidnlabs.
 +      - Fix for hex to string in unknown, atma and nsap.
 +      - fixup nss compile (no ldns in it).
 +      - fixup warning in unitldns
 +      - fixup WKS and rdata type service to print unsigned because strings
 +        are not portable; they cannot be read (for sure) on other computers.
 +      - fixup type EUI48 and EUI64, type APL and type IPSECKEY in string
 +        parse sldns.
 +
 +30 January 2014: Wouter
 +      - delay-close does not act if there are udp-wait queries, so that
 +        it does not make a socketdrain DoS easier.
 +
 +28 January 2014: Wouter
 +      - iana portlist updated.
 +      - iana portlist test updated so it does not touch the source
 +        if there are no changes.
 +      - delay-close: msec option that delays closing ports for which
 +        the UDP reply has timed out.  Keeps the port open, only accepts
 +        the correct reply.  This correct reply is not used, but the port
 +        is open so that no port-denied ICMPs are generated.
 +
 +27 January 2014: Wouter
 +      - reuseport is attempted, then fallback to without on failure.
 +
 +24 January 2014: Wouter
 +      - Change unbound-event.h to use void* buffer, length idiom.
 +      - iana portlist updated.
 +      - unbound-event.h is installed if you configure --enable-event-api.
 +      - speed up unbound (reports say it could be up to 10%), by reducing
 +        lock contention on localzones.lock.  It is changed to an rwlock.
 +      - so-reuseport: yesno option to distribute queries evenly over
 +        threads on Linux (Thanks Robert Edmonds).
 +      - made lint clean.
 +
 +21 January 2014: Wouter
 +      - Fix #547: no trustanchor written if filesystem full, fclose checked.
 +
 +17 January 2014: Wouter
 +      - Fix isprint() portability in sldns, uses unsigned int.
 +      - iana portlist updated.
 +
 +16 January 2014: Wouter
 +      - fix #544: Fixed +i causes segfault when running with module conf
 +        "iterator".
 +      - Windows port, adjust %lld to %I64d, and warning in win_event.c.
 +
 +14 January 2014: Wouter
 +      - iana portlist updated.
 +
 +5 Dec 2013: Wouter
 +      - Fix bug in cachedump that uses sldns.
 +      - update pythonmod for ldns_ to sldns_ name change.
 +
 +3 Dec 2013: Wouter
 +      - Fix sldns to use sldns_ prefix for all ldns_ variables.
 +      - Fix windows compile to compile with sldns.
 +
 +30 Nov 2013: Wouter
 +      - Fix sldns to make globals use sldns_ prefix.  This fixes
 +        linking with libldns that uses global variables ldns_ .
 +
 +13 Nov 2013: Wouter
 +      - Fix bug#537: compile python plugin without ldns library.
 +
 +12 Nov 2013: Wouter
 +      - Fix bug#536: acl_deny_non_local and refuse_non_local added.
 +
 +5 Nov 2013: Wouter
 +      - Patch from Neel Goyal to fix async id assignment if callback
 +        is called by libunbound in the mesh attach.
 +      - Accept ip-address: as an alternative for interface: for
 +        consistency with nsd.conf syntax.
 +
 +4 Nov 2013: Wouter
 +      - Patch from Neel Goyal to fix callback in libunbound.
 +
 +3 Nov 2013: Wouter
 +      - if configured --with-libunbound-only fix make install.
 +
 +31 Oct 2013: Wouter
 +      - Fix #531: Set SO_REUSEADDR so that the wildcard interface and a 
 +        more specific interface port 53 can be used at the same time, and
 +        one of the daemons is unbound.
 +      - iana portlist update.
 +      - separate ldns into core ldns inside ldns/ subdirectory.  No more
 +        --with-ldns is needed and unbound does not rely on libldns.
 +      - portability fixes for new USE_SLDNS ldns subdir codebase.
 +
 +22 Oct 2013: Wouter
 +      - Patch from Neel Goyal: Add an API call to set an event base on an
 +        existing ub_ctx.  This basically just destroys the current worker and
 +        sets the event base to the current.  And fix a deadlock in
 +        ub_resolve_event – the cfglock is held when libworker_create is
 +        called.  This ends up trying to acquire the lock again in
 +        context_obtain_alloc in the call chain.
 +      - Fix #528: if very high logging (4 or more) segfault on allow_snoop.
 +
 +26 Sep 2013: Wouter
 +      - unbound-event.h is installed if configured --with-libevent.  It
 +        contains low-level library calls, that use libevent's event_base
 +        and an ldns_buffer for the wire return packet to perform async
 +        resolution in the client's eventloop.
 +
 +19 Sep 2013: Wouter
 +      - 1.4.21 tag created.
 +      - trunk has 1.4.22 number inside it.
 +      - iana portlist updated.
 +      - acx_nlnetlabs.m4 to 26; improve FLTO help text.
 +
 +16 Sep 2013: Wouter
 +      - Fix#524: max-udp-size not effective to non-EDNS0 queries, from
 +        Daisuke HIGASHI.
 +
 +10 Sep 2013: Wouter
 +      - MIN_TTL and MAX_TTL also in time_t.
 +      - tag 1.4.21rc1 made again.
 +
 +26 Aug 2013: Wouter
 +      - More fixes for bug#519: for the threaded case test if the bg
 +        thread has been killed, on ub_ctx_delete, to avoid hangs.
 +
 +22 Aug 2013: Wouter
 +      - more fixes that I overlooked.
 +      - review fixes from Willem.
 +
 +21 Aug 2013: Wouter
 +      - Fix#520: Errors found by static analysis from Tomas Hozza(redhat).
 +
 +20 Aug 2013: Wouter
 +      - Fix for 2038, with time_t instead of uint32_t.
 +
 +19 Aug 2013: Wouter
 +      - Fix#519 ub_ctx_delete may hang in some scenarios (libunbound).
 +
 +14 Aug 2013: Wouter
 +      - Fix uninit variable in fix#516.
 +
 +8 Aug 2013: Wouter
 +      - Fix#516 dnssec lameness detection for answers that are improper.
 +
 +30 Jun 2013: Wouter
 +      - tag 1.4.21rc1
 +
 +29 Jun 2013: Wouter
 +      - Fix#512 memleak in testcode for testbound (if it fails).
 +      - Fix#512 NSS returned arrays out of setup function to be statics.
 +
 +26 Jun 2013: Wouter
 +      - max include of 100.000 files (depth and globbed at one time).
 +        This is to preserve system memory in bug cases, or endless cases.
 +      - iana portlist updated.
 +
 +19 Jun 2013: Wouter
 +      - streamtcp man page, contributed by Tomas Hozza.
 +      - iana portlist updated.
 +      - libunbound documentation on how to avoid openssl race conditions.
 +
 +25 Jun 2013: Wouter
 +      - Squelch sendto-permission denied errors when the network is
 +        not connected, to avoid spamming syslog.
 +      - configure --disable-flto option (from Robert Edmonds).
 +
 +18 Jun 2013: Wouter
 +      - Fix for const string literals in C++ for libunbound, from Karel
 +        Slany.
 +      - iana portlist updated.
 +
 +17 Jun 2013: Wouter
 +      - Fixup manpage syntax.
 +
 +14 Jun 2013: Wouter
 +      - get_option and set_option support for log-time-ascii, python-script
 +        val-sig-skew-min and val-sig-skew-max.  log-time-ascii takes effect
 +        immediately.  The others are mostly useful for libunbound users.
 +
 +13 Jun 2013: Wouter
 +      - get_option, set_option, unbound-checkconf -o and libunbound
 +        getoption and setoption support cache-min-ttl and cache-max-ttl.
 +
 +10 Jun 2013: Wouter
 +      - Fix#501: forward-first does not recurse, when forward name is ".".
 +      - iana portlist update.
 +      - Max include depth is unlimited.
 +
 +27 May 2013: Wouter
 +      - Update acx_pthreads.m4 to ax_pthreads.4 (2013-03-29), and apply
 +        patch to it to not fail when -Werror is also specified, from the
 +        autoconf-archives.
 +      - iana portlist update.
 +
 +21 May 2013: Wouter
 +      - Explain bogus and secure flags in libunbound more.
 +
 +16 May 2013: Wouter
 +      - Fix#499 use-after-free in out-of-memory handling code (thanks Jake
 +        Montgomery).
 +      - Fix#500 use on non-initialised values on socket bind failures.
 +
 +15 May 2013: Wouter
 +      - Fix round-robin doesn't work with some Windows clients (from Ilya
 +        Bakulin).
 +
 +3 May 2013: Wouter
 +      - update acx_nlnetlabs.m4 to v23, sleep w32 fix.
 +
 +26 April 2013: Wouter
 +      - add unbound-control insecure_add and insecure_remove for the
 +        administration of negative trust anchors.
 +
 +25 April 2013: Wouter
 +      - Implement max-udp-size config option, default 4096 (thanks
 +        Daisuke Higashi).
 +      - Robust checks on dname validity from rdata for dname compare.
 +      - updated iana portlist.
 +
 +19 April 2013: Wouter
 +      - Fixup snprintf return value usage, fixed libunbound_get_option.
 +
 +18 April 2013: Wouter
 +      - fix bug #491: pick program name (0th argument) as syslog identity.
 +      - own implementation of compat/snprintf.c.
 +
 +15 April 2013: Wouter
 +      - Fix so that for a configuration line of include: "*.conf" it is not
 +        an error if there are no files matching the glob pattern.
 +      - unbound-anchor review: BIO_write can return 0 successfully if it
 +        has successfully appended a zero length string.
 +
 +11 April 2013: Wouter
 +      - Fix queries leaking up for stubs and forwards, if the configured
 +        nameservers all fail to answer.
 +
 +10 April 2013: Wouter
 +      - code improve for minimal responses, small speed increase.
 +
 +9 April 2013: Wouter
 +      - updated iana portlist.
 +      - Fix crash in previous private address fixup of 22 March.
 +
 +28 March 2013: Wouter
 +      - Make reverse zones easier by documenting the nodefault statements
 +        commented-out in the example config file.
 +
 +26 March 2013: Wouter
 +      - more fixes to lookup3.c endianness detection.
 +
 +25 March 2013: Wouter
 +      - #492: Fix endianness detection, revert to older lookup3.c detection
 +        and put new detect lines after previous tests, to avoid regressions
 +        but allow new detections to succeed.
 +        And add detection for machine/endian.h to it.
 +
 +22 March 2013: Wouter
 +      - Fix resolve of names that use a mix of public and private addresses.
 +      - iana portlist update.
 +      - Fix makedist for new svn for -d option.
 +      - unbound.h header file has UNBOUND_VERSION_MAJOR define.
 +      - Fix windows RSRC version for long version numbers.
 +
 +21 March 2013: Wouter
 +      - release 1.4.20
 +      - trunk has 1.4.21
 +      - committed libunbound version 4:1:2 for binary API updated in 1.4.20
 +      - install copy of unbound-control.8 man page for unbound-control-setup
 +
 +14 March 2013: Wouter
 +      - iana portlist update.
 +      - tag 1.4.20rc1
 +
 +12 March 2013: Wouter
 +      - Fixup makedist.sh for windows compile.
 +
 +11 March 2013: Wouter
 +      - iana portlist update.
 +      - testcode/ldns-testpkts.c check for makedist is informational.
 +
 +15 February 2013: Wouter
 +      - fix defines in lookup3 for bigendian bsd alpha
 +
 +11 February 2013: Wouter
 +      - Fixup openssl_thread init code to only run if compiled with SSL.
 +
 +7 February 2013: Wouter
 +      - detect endianness in lookup3 on BSD.
 +      - add libunbound.ttl at end of result structure, version bump for
 +        libunbound and binary backwards compatible, but 1.4.19 is not
 +        forward compatible with 1.4.20.
 +      - update iana port list.
 +
 +30 January 2013: Wouter
 +      - includes and have_ssl fixes for nss.
 +
 +29 January 2013: Wouter
 +      - printout name of zone with duplicate fwd and hint errors.
 +
 +28 January 2013: Wouter
 +      - updated fwd_zero for newer nc. Updated common.sh for newer netstat.
 +
 +17 January 2013: Wouter
 +      - unbound-anchors checks the emailAddress of the signer of the
 +        root.xml file, default is dnssec@iana.org.  It also checks that
 +        the signer has the correct key usage for a digital signature.
 +      - update iana port list.
 +
 +3 January 2013: Wouter
 +      - Test that unbound-control checks client credentials.
 +      - Test that unbound can handle a CNAME at an intermediate node in
 +        the chain of trust (where it seeks a DS record).
 +      - Check the commonName of the signer of the root.xml file in
 +        unbound-anchor, default is dnssec@iana.org.
 +
 +2 January 2013: Wouter
 +      - Fix openssl lock free on exit (reported by Robert Fleischman).
 +      - iana portlist updated.
 +      - Tested that unbound implements the RFC5155 Technical Errata id 3441.
 +        Unbound already implements insecure classification of an empty
 +        nonterminal in NSEC3 optout zone.
 +
 +20 December 2012: Wouter
 +      - Fix unbound-anchor xml parse of entity declarations for safety.
 +
 +19 December 2012: Wouter
 +      - iana portlist updated.
 +
 +18 December 2012: Wouter
 +      - iana portlist updated.
 +
 +14 December 2012: Wouter
 +      - Change of D.ROOT-SERVERS.NET A address in default root hints.
 +
 +12 December 2012: Wouter
 +      - 1.4.19 release.
 +      - trunk has 1.4.20 under development.
 +
 +5 December 2012: Wouter
 +      - note support for AAAA RR type RFC.
 +
 +4 December 2012: Wouter
 +      - 1.4.19rc1 tag.
 +
 +30 November 2012: Wouter
 +      - bug 481: fix python example0.
 +      - iana portlist updated.
 +
 +27 November 2012: Wouter
 +      - iana portlist updated.
 +
 +9 November 2012: Wouter
 +      - Fix unbound-control forward disables configured stubs below it.
 +
 +7 November 2012: Wouter
 +      - Fixup ldns-testpkts, identical to ldns/examples.
 +      - iana portlist updated.
 +
 +30 October 2012: Wouter
 +      - Fix bug #477: unbound-anchor segfaults if EDNS is blocked.
 +
 +29 October 2012: Matthijs
 +      - Fix validation for responses with both CNAME and wildcard
 +        expanded CNAME records in answer section.
 +
 +8 October 2012: Wouter
 +      - update ldns-testpkts.c to ldns 1.6.14 version.
 +      - fix build of pythonmod in objdir, for unbound.py.
 +      - make clean and makerealclean remove generated python and docs.
 +
 +5 October 2012: Wouter
 +      - fix build of pythonmod in objdir (thanks Jakob Schlyter).
 +
 +3 October 2012: Wouter
 +      - fix text in unbound-anchor man page.
 +
 +1 October 2012: Wouter
 +      - ignore trusted-keys globs that have no files (from Paul Wouters).
 +
 +27 September 2012: Wouter
 +      - include: directive in config file accepts wildcards.  Patch from
 +        Paul Wouters.  Suggested use: include: "/etc/unbound.d/conf.d/*"
 +      - unbound-control -q option is quiet, patch from Mariano Absatz.
 +      - iana portlist updated.
 +      - updated contrib/unbound.spec, patch from Valentin Bud.
 +
 +21 September 2012: Wouter
 +      - chdir to / after chroot call (suggested by Camiel Dobbelaar).
 +
 +17 September 2012: Wouter
 +      - patch_rsamd5_enable.diff: this patch enables RSAMD5 validation
 +        otherwise it is treated as insecure.  The RSAMD5 algorithm is
 +        deprecated (RFC6725).  The MD5 hash is considered weak for some
 +        purposes, if you want to sign your zone, then RSASHA256 is an
 +        uncontested hash.
 +
 +30 August 2012: Wouter
 +      - RFC6725 deprecates RSAMD5: this DNSKEY algorithm is disabled.
 +      - iana portlist updated.
 +
 +29 August 2012: Wouter
 +      - Nicer comments outgoing-port-avoid, thanks Stu (bug #465).
 +
 +22 August 2012: Wouter
 +      - Fallback to 1472 and 1232, one fragment size without headers.
 +
 +21 August 2012: Wouter
 +      - Fix timeouts so that when a server has been offline for a while
 +        and is probed to see it works, it becomes fully available for
 +        server selection again.
 +
 +17 August 2012: Wouter
 +      - Add documentation to libunbound for default nonuse of resolv.conf.
 +
 +2 August 2012: Wouter
 +      - trunk has 1.4.19 under development (fixes from 1 aug and 31 july
 +      are for 1.4.19).
 +      - iana portlist updated.
 +
 +1 August 2012: Wouter
 +      - Fix openssl race condition, initializes openssl locks, reported
 +        by Einar Lonn and Patrik Wallstrom.
 +
 +31 July 2012: Wouter
 +      - Improved forward-first and stub-first documentation.
 +      - Fix that enables modules to register twice for the same
 +        serviced_query, without race conditions or administration issues.
 +        This should not happen with the current codebase, but it is robust.
 +      - Fix forward-first option where it sets the RD flag wrongly.
 +      - added manpage links for libunbound calls (Thanks Paul Wouters).
 +
 +30 July 2012: Wouter
 +      - tag 1.4.18rc2 (became 1.4.18 release at 2 august 2012).
 +
 +27 July 2012: Wouter
 +      - unbound-host works with libNSS
 +      - fix bogus nodata cname chain not reported as bogus by validator,
 +        (Thanks Peter van Dijk).
 +
 +26 July 2012: Wouter
 +      - iana portlist updated.
 +      - tag 1.4.18rc1.
 +
 +25 July 2012: Wouter
 +      - review fix for libnss, check hash prefix allocation size.
 +
 +23 July 2012: Wouter
 +      - fix missing break for GOST DS hash function.
 +      - implemented forward_first for the root.
 +
 +20 July 2012: Wouter
 +      - Fix bug#452 and another assertion failure in mesh.c, makes
 +        assertions in mesh.c resist duplicates.  Fixes DS NS search to
 +        not generate duplicate sub queries.
 +
 +19 July 2012: Willem
 +      - Fix bug#454: Remove ACX_CHECK_COMPILER_FLAG from configure.ac,
 +        if CFLAGS is specified at configure time then '-g -O2' is not
 +        appended to CFLAGS, so that the user can override them.
 +
 +18 July 2012: Willem
 +      - Fix libunbound report of errors when in background mode.
 +
 +11 July 2012: Willem
 +      - updated iana ports list.
 +
 +9 July 2012: Willem
 +      - Add flush_bogus option for unbound-control
 +
 +6 July 2012: Wouter
 +      - Fix validation of qtype DS queries that result in no data for
 +        non-optout NSEC3 zones.
 +
 +4 July 2012: Wouter
 +      - compile libunbound with libnss on Suse, passes regression tests.
 +
 +3 July 2012: Wouter
 +      - FIPS_mode openssl does not use arc4random but RAND_pseudo_bytes.
 +
 +2 July 2012: Wouter
 +      - updated iana ports list.
 +
 +29 June 2012: Wouter
 +      - patch for unbound_munin_ script to handle arbitrary thread count by
 +        Sven Ulland.
 +
 +28 June 2012: Wouter
 +      - detect if openssl has FIPS_mode.
 +      - code review: return value of cache_store can be ignored for better
 +        performance in out of memory conditions.
 +      - fix edns-buffer-size and msg-buffer-size manpage documentation.
 +      - updated iana ports list.
 +
 +25 June 2012: Wouter
 +      - disable RSAMD5 if in FIPS mode (for openssl and for libnss).
 +
 +22 June 2012: Wouter
 +      - implement DS records, NSEC3 and ECDSA for compile with libnss.
 +
 +21 June 2012: Wouter
 +      - fix error handling of alloc failure during rrsig verification.
 +      - nss check for verification failure.
 +      - nss crypto works for RSA and DSA.
 +
 +20 June 2012: Wouter
 +      - work on --with-nss build option (for now, --with-libunbound-only).
 +
 +19 June 2012: Wouter
 +      - --with-libunbound-only build option, only builds the library and
 +        not the daemon and other tools.
 +
 +18 June 2012: Wouter
 +      - code review.
 +
 +15 June 2012: Wouter
 +      - implement log-time-ascii on windows.
 +      - The key-cache bad key ttl is now 60 seconds.
 +      - updated iana ports list.
 +      - code review.
 +
 +11 June 2012: Wouter
 +      - bug #452: fix crash on assert in mesh_state_attachment.
 +
 +30 May 2012: Wouter
 +      - silence warning from swig-generated code (md set but not used in
 +        swig initmodule, due to ifdefs in swig-generated code).
 +
 +27 May 2012: Wouter
 +      - Fix debian-bugs-658021: Please enable hardened build flags.
 +
 +25 May 2012: Wouter
 +      - updated iana ports list.
 +
 +24 May 2012: Wouter
 +      - tag for 1.4.17 release.
 +      - trunk is 1.4.18 in development.
 +
 +18 May 2012: Wouter
 +      - Review comments, removed duplicate memset to zero in delegpt.
 +
 +16 May 2012: Wouter
 +      - Updated doc/FEATURES with RFCs that are implemented but not listed.
 +      - Protect if statements in val_anchor for compile without locks.
 +      - tag for 1.4.17rc1.
 +
 +15 May 2012: Wouter
 +      - fix configure ECDSA support in ldns detection for windows compile.
 +      - fix possible uninitialised variable in windows pipe implementation.
 +
 +9 May 2012: Wouter
 +      - Fix alignment problem in util/random on sparc64/freebsd.
 +
 +8 May 2012: Wouter
 +      - Fix for accept spinning reported by OpenBSD.
 +      - iana portlist updated.
 +
 +2 May 2012: Wouter
 +      - Fix validation of nodata for DS query in NSEC zones, reported by
 +        Ondrej Mikle.
 +
 +13 April 2012: Wouter
 +      - ECDSA support (RFC 6605) by default. Use --disable-ecdsa for older
 +        openssl.
 +
 +10 April 2012: Wouter
 +      - Applied patch from Daisuke HIGASHI for rrset-roundrobin and
 +        minimal-responses features.
 +      - iana portlist updated.
 +
 +5 April 2012: Wouter
 +      - fix bug #443: --with-chroot-dir not honoured by configure.
 +      - fix bug #444: setusercontext was called too late (thanks Bjorn
 +        Ketelaars).
 +
 +27 March 2012: Wouter
 +      - fix bug #442: Fix that Makefile depends on pythonmod headers
 +        even using --without-pythonmodule.
 +
 +22 March 2012: Wouter
 +      - contrib/validation-reporter follows rotated log file (patch from
 +        Augie Schwer).
 +
 +21 March 2012: Wouter
 +      - new approach to NS fetches for DS lookup that works with
 +        cornercases, and is more robust and considers forwarders.
 +
 +19 March 2012: Wouter
 +      - iana portlist updated.
 +      - fix to locate nameservers for DS lookup with NS fetches.
 +
 +16 March 2012: Wouter
 +      - Patch for access to full DNS packet data in unbound python module
 +        from Ondrej Mikle.
 +
 +9 March 2012: Wouter
 +      - Applied line-buffer patch from Augie Schwer to validation.reporter.sh.
 +
 +2 March 2012: Wouter
 +      - flush_infra cleans timeouted servers from the cache too.
 +      - removed warning from --enable-ecdsa.
 +
 +1 March 2012: Wouter
 +      - forward-first option.  Tries without forward if a query fails.
 +        Also stub-first option that is similar.
 +
 +28 February 2012: Wouter
 +      - Fix from code review, if EINPROGRESS not defined chain if statement
 +        differently.
 +
 +27 February 2012: Wouter
 +      - Fix bug#434: on windows check registry for config file location
 +        for unbound-control.exe, and unbound-checkconf.exe.
 +
 +23 February 2012: Wouter
 +      - Fix to squelch 'network unreachable' errors from tcp connect in
 +        logs, high verbosity will show them.
 +
 +16 February 2012: Wouter
 +      - iter_hints is now thread-owned in module env, and thus threadsafe.
 +      - Fix prefetch and sticky NS, now the prefetch works.  It picks
 +        nameservers that 'would be valid in the future', and if this makes
 +        the NS timeout, it updates that NS by asking delegation from the
 +        parent again.  If child NS has longer TTL, that TTL does not get
 +        refreshed from the lookup to the child nameserver.
 +
 +15 February 2012: Wouter
 +      - Fix forward-zone memory, uses malloc and frees original root dp.
 +      - iter hints (stubs) uses malloc inside for more dynamicity.
 +      - unbound-control forward_add, forward_remove, stub_add, stub_remove
 +        can modify stubs and forwards for running unbound (on mobile computer)
 +        they can also add and remove domain-insecure for the zone.
 +
 +14 February 2012: Wouter
 +      - Fix sticky NS (ghost domain problem) if prefetch is yes.
 +      - iter forwards uses malloc inside for more dynamicity.
 +
 +13 February 2012: Wouter
 +      - RT#2955. Fix for cygwin compilation. 
 +      - iana portlist updated.
 +
 +10 February 2012: Wouter
 +      - Slightly smaller critical region in one case in infra cache.
 +      - Fix timeouts to keep track of query type, A, AAAA and other, if
 +        another has caused timeout blacklist, different type can still probe.
 +      - unit test fix for nomem_cnametopos.rpl race condition.
 +
 +9 February 2012: Wouter
 +      - Fix AHX_BROKEN_MEMCMP for autoheader mess up of #undef in config.h.
 +
 +8 February 2012: Wouter
 +      - implement draft-ietf-dnsext-ecdsa-04; which is in IETF LC; This
 +        implementation is experimental at this time and not recommended
 +        for use on the public internet (the protocol numbers have not
 +        been assigned).  Needs recent ldns with --enable-ecdsa.
 +      - fix memory leak in errorcase for DSA signatures.
 +      - iana portlist updated.
 +      - workaround for openssl 0.9.8 ecdsa sha2 and evp problem.
 +
 +3 February 2012: Wouter
 +      - fix for windows, rename() is not posix compliant on windows.
 +
 +2 February 2012: Wouter
 +      - 1.4.16 release tag.
 +      - svn trunk is 1.4.17 in development.
 +      - iana portlist updated.
 +
 +1 February 2012: Wouter
 +      - Fix validation failures (like: validation failure xx: no NSEC3
 +        closest encloser from yy for DS zz. while building chain of trust,
 +        because of a bug in the TTL-fix in 1.4.15, it picked the wrong rdata
 +        for an NSEC3.  Now it does not change rdata, and fixes TTL.
 +
 +30 January 2012: Wouter
 +      - Fix version-number in libtool to be version-info so it produces
 +        libunbound.so.2 like it should.
 +
 +26 January 2012: Wouter
 +      - Tag 1.4.15 (same as 1.4.15rc1), for 1.4.15 release.
 +      - trunk 1.4.16; includes changes memset testcode, #424 openindiana,
 +        and keyfile write fixup.
 +      - applied patch to support outgoing-interface with ub_ctx_set_option.
 +
 +23 January 2012: Wouter
 +      - Fix memset in test code.
 +
 +20 January 2012: Wouter
 +      - Fix bug #424: compile on OpenIndiana OS with gcc 4.6.2.
 +
 +19 January 2012: Wouter
 +      - Fix to write key files completely to a temporary file, and if that
 +        succeeds, replace the real key file.  So failures leave a useful file.
 +
 +18 January 2012: Wouter
 +      - tag 1.4.15rc1 created
 +      - updated libunbound/ubsyms.def and remade tag 1.4.15rc1.
 +
 +17 January 2012: Wouter
 +      - Fix bug where canonical_compare of RRSIG did not downcase the
 +        signer-name.  This is mostly harmless because RRSIGs do not have
 +        to be sorted in canonical order, usually.
 +
 +12 January 2012: Wouter
 +      - bug#428: add ub_version() call to libunbound.  API version increase,
 +        with (binary) backwards compatibility for the previous version.
 +
 +10 January 2012: Wouter
 +      - Fix bug #425: unbound reports wrong TTL in reply, it reports a TTL
 +        that would be permissible by the RFCs but it is not the TTL in the
 +        cache.
 +      - iana portlist updated.
 +      - uninitialised variable in reprobe for rtt blocked domains fixed.
 +      - lintfix and new flex output.
 +
 +2 January 2012: Wouter
 +      - Fix to randomize hash function, based on 28c3 congress, reported
 +        by Peter van Dijk.
 +
 +24 December 2011: Wouter
 +      - Fix for memory leak (about 20 bytes when a tcp or udp send operation
 +        towards authority servers failed, takes about 50.000 such failures to
 +        leak one Mb, such failures are also usually logged), reported by
 +        Robert Fleischmann.
 +      - iana portlist updated.
 +
 +19 December 2011: Wouter
 +      - Fix for VU#209659 CVE-2011-4528: Unbound denial of service
 +        vulnerabilities from nonstandard redirection and denial of existence
 +        http://www.unbound.net/downloads/CVE-2011-4528.txt
 +      - robust checks for next-closer NSEC3s.
 +      - tag 1.4.14 created.
 +      - trunk has 1.4.15 in development.
 +
 +15 December 2011: Wouter
 +      - remove uninit warning from cachedump code.
 +      - Fix parse error on negative SOA RRSIGs if badly ordered in the packet.
 +
 +13 December 2011: Wouter
 +      - iana portlist updated.
 +      - svn tag 1.4.14rc1
 +      - fix infra cache comparison.
 +      - Fix to constrain signer_name to be a parent of the lookupname.
 +
 +5 December 2011: Wouter
 +      - Fix getaddrinfowithincludes on windows with fedora16 mingw32-gcc.
 +      - Fix warnings with gcc 4.6 in compat/inet_ntop.c.
 +      - Fix warning unused in compat/strptime.c.
 +      - Fix malloc detection and double defintion.
 +
 +2 December 2011: Wouter
 +      - configure generated with autoconf 2.68.
 +
 +30 November 2011: Wouter
 +      - Fix for tcp-upstream and ssl-upstream for if a laptop sleeps, causes
 +        SERVFAILs.  Also fixed for UDP (but less likely).
 +
 +28 November 2011: Wouter
 +      - Fix quartile time estimate, it was too low, (thanks Jan Komissar).
 +      - iana ports updated.
 +
 +11 November 2011: Wouter
 +      - Makefile compat with SunOS make, BSD make and GNU make.
 +      - iana ports updated.
 +
 +10 November 2011: Wouter
 +      - Makefile changed for BSD make compatibility.
 +
 +9 November 2011: Wouter
 +      - added unit test for SSL service and SSL-upstream.
 +
 +8 November 2011: Wouter
 +      - can configure ssl service to one port number, and not on others.
 +      - fixup windows compile with ssl support.
 +      - Fix double free in unbound-host, reported by Steve Grubb.
 +      - iana portlist updated.
 +
 +1 November 2011: Wouter
 +      - dns over ssl support as a client, ssl-upstream yes turns it on.
 +        It performs an SSL transaction for every DNS query (250 msec).
 +      - documentation for new options: ssl-upstream, ssl-service-key and
 +        ssl-service.pem.
 +      - iana portlist updated.
 +      - fix -flto detection on Lion for llvm-gcc.
 +
 +31 October 2011: Wouter
 +      - dns over ssl support, ssl-service-pem and ssl-service-key files
 +        can be given and then TCP queries are serviced wrapped in SSL.
 +
 +27 October 2011: Wouter
 +      - lame-ttl and lame-size options no longer exist, it is integrated
 +        with the host info.  They are ignored (with verbose warning) if
 +        encountered to keep the config file backwards compatible.
 +      - fix iana-update for changing gzip compression of results.
 +      - fix export-all-symbols on OSX.
 +
 +26 October 2011: Wouter
 +      - iana portlist updated.
 +      - Infra cache stores information about ping and lameness per IP, zone.
 +        This fixes bug #416.
 +      - fix iana_update target for gzipped file on iana site.
 +
 +24 October 2011: Wouter
 +      - Fix resolve of partners.extranet.microsoft.com with a fix for the
 +        server selection for choosing out of a (particular) list of bad
 +        choices. (bug#415)
 +      - Fix make_new_space function so that the incoming query is not
 +        overwritten if a jostled out query causes a waiting query to be
 +        resumed that then fails and sends an error message.  (Thanks to
 +        Matthew Lee).
 +
 +21 October 2011: Wouter
 +      - fix --enable-allsymbols, fptr wlist is disabled on windows with this 
 +        option enabled because of memory layout exe vs dll.
 +
 +19 October 2011: Wouter
 +      - fix unbound-anchor for broken strptime on OSX lion, detected
 +        in configure.
 +      - Detect if GOST really works, openssl1.0 on OSX fails.
 +      - Implement ipv6%interface notation for scope_id usage.
 +
 +17 October 2011: Wouter
 +      - better documentation for inform_super (Thanks Yang Zhe).
 +
 +14 October 2011: Wouter
 +      - Fix for out-of-memory condition in libunbound (thanks
 +        Robert Fleischman).
 +
 +13 October 2011: Wouter
 +      - Fix --enable-allsymbols, it depended on link specifics of the
 +        target platform, or fptr_wlist assertion failures could occur.
 +
 +12 October 2011: Wouter
 +      - updated contrib/unbound_munin_ to family=auto so that it works with
 +        munin-node-configure automatically (if installed as
 +        /usr/local/share/munin/plugins/unbound_munin_ ).
 +
 +27 September 2011: Wouter
 +      - unbound.exe -w windows option for start and stop service.
 +
 +23 September 2011: Wouter
 +      - TCP-upstream calculates tcp-ping so server selection works if there
 +        are alternatives.
 +
 +20 September 2011: Wouter
 +      - Fix classification of NS set in answer section, where there is a
 +        parent-child server, and the answer has the AA flag for dir.slb.com.
 +        Thanks to Amanda Constant from Secure64.
 +
 +16 September 2011: Wouter
 +      - fix bug #408: accept patch from Steve Snyder that comments out
 +        unused functions in lookup3.c.
 +      - iana portlist updated.
 +      - fix EDNS1480 change memleak and TCP fallback.
 +      - fix various compiler warnings (reported by Paul Wouters).
 +      - max sent count.  EDNS1480 only for rtt < 5000.  No promiscuous
 +        fetch if sentcount > 3, stop query if sentcount > 16.  Count is
 +        reset when referral or CNAME happens.  This makes unbound better
 +        at managing large NS sets, they are explored when there is continued
 +        interest (in the form of queries).
 +
 +15 September 2011: Wouter
 +      - release 1.4.13.
 +      - trunk contains 1.4.14 in development.
 +      - Unbound probes at EDNS1480 if there an EDNS0 timeout.
 +
 +12 September 2011: Wouter
 +      - Reverted dns EDNS backoff fix, it did not help and needs
 +        fragmentation fixes instead.
 +      - tag 1.4.13rc2
 +
 +7 September 2011: Wouter
 +      - Fix operation in ipv6 only (do-ip4: no) mode.
 +
 +6 September 2011: Wouter
 +      - fedora specfile updated.
 +
 +5 September 2011: Wouter
 +      - tag 1.4.13rc1
 +
 +2 September 2011: Wouter
 +      - iana portlist updated.
 +
 +26 August 2011: Wouter
 +      - Fix num-threads 0 does not segfault, reported by Simon Deziel.
 +      - Fix validation failures due to EDNS backoff retries, the retry
 +        for fetch of data has want_dnssec because the iter_indicate_dnssec
 +        function returns true when validation failure retry happens, and
 +        then the serviced query code does not fallback to noEDNS, even if
 +        the cache says it has this.  This helps for DLV deployment when
 +        the DNSSEC status is not known for sure before the lookup concludes.
 +
 +24 August 2011: Wouter
 +      - Applied patch from Karel Slany that fixes a memory leak in the
 +        unbound python module, in string conversions.
 +
 +22 August 2011: Wouter
 +      - Fix validation of qtype ANY responses with CNAMEs (thanks Cathy
 +        Zhang and Luo Ce).  Unbound responds with the RR types that are
 +        available at the name for qtype ANY and validates those RR types.
 +        It does not test for completeness (i.e. with NSEC or NSEC3 query),
 +        and it does not follow the CNAME or DNAME to another name (with
 +        even more data for the already large response).
 +      - Fix that internally, CNAMEs with NXDOMAIN have that as rcode.
 +      - Documented the options that work with control set_option command.
 +      - tcp-upstream yes/no option (works with set_option) for tunnels.
 +
 +18 August 2011: Wouter
 +      - fix autoconf call in makedist crosscompile to RC or snapshot.
 +
 +17 August 2011: Wouter
 +      - Fix validation of . DS query.
 +      - new xml format at IANA, new awk for iana_update.
 +      - iana portlist updated.
 +
 +10 August 2011: Wouter
 +      - Fix python site-packages path to /usr/lib64.
 +      - updated patch from Tom.
 +      - fix memory and fd leak after out-of-memory condition.
 +
 +9 August 2011: Wouter
 +      - patch from Tom Hendrikx fixes load of python modules.
 +
 +8 August 2011: Wouter
 +      - make clean had ldns-src reference, removed.
 +
 +1 August 2011: Wouter
 +      - Fix autoconf 2.68 warnings
 +
 +14 July 2011: Wouter
 +      - Unbound implements RFC6303 (since version 1.4.7).
 +      - tag 1.4.12rc1 is released as 1.4.12 (without the other fixes in the
 +        meantime, those are for 1.4.13).
 +      - iana portlist updated.
 +
 +13 July 2011: Wouter
 +      - Quick fix for contrib/unbound.spec example, no ldns-builtin any more.
 +
 +11 July 2011: Wouter
 +      - Fix wildcard expansion no-data reply under an optout NSEC3 zone is
 +        validated as insecure, reported by Jia Li (lijia@cnnic.cn).
 +
 +4 July 2011: Wouter
 +      - 1.4.12rc1 tag created.
 +
 +1 July 2011: Wouter
 +      - version number in example config file.
 +      - fix that --enable-static-exe does not complain about it unknown.
 +
 +30 June 2011: Wouter
 +      - tag relase 1.4.11, trunk is 1.4.12 development.
 +      - iana portlist updated.
 +      - fix bug#395: id bits of other query may leak out under conditions
 +      - fix replyaddr count wrong after jostled queries, which leads to
 +        eventual starvation where the daemon has no replyaddrs left to use.
 +      - fix comment about rndc port, that referred to the old port number.
 +      - fix that the listening socket is not closed when too many remote
 +        control connections are made at the same time.
 +      - removed ldns-src tarball inside the unbound tarball.
 +
 +23 June 2011: Wouter
 +      - Changed -flto check to support clang compiler.
 +      - tag 1.4.11rc3 created.
 +
 +17 June 2011: Wouter
 +      - tag 1.4.11rc1 created.
 +      - remove warning about signed/unsigned from flex (other flex version).
 +      - updated aclocal.m4 and libtool to match.
 +      - tag 1.4.11rc2 created.
 +
 +16 June 2011: Wouter
 +      - log-queries: yesno option, default is no, prints querylog.
 +      - version is 1.4.11.
 +
 +14 June 2011: Wouter
 +      - Use -flto compiler flag for link time optimization, if supported.
 +      - iana portlist updated.
 +
 +12 June 2011: Wouter
 +      - IPv6 service address for d.root-servers.net (2001:500:2D::D).
 +
 +10 June 2011: Wouter
 +      - unbound-control has version number in the header,
 +        UBCT[version]_space_ is the header sent by the client now.
 +      - Unbound control port number is registered with IANA:
 +        ub-dns-control  8953/tcp    unbound dns nameserver control
 +        This is the new default for the control-port config setting.
 +      - statistics-interval prints the number of jostled queries to log.
 +
 +30 May 2011: Wouter
 +      - Fix Makefile for U in environment, since wrong U is more common than
 +        deansification necessity.
 +      - iana portlist updated.
 +      - updated ldns tarball to 1.6.10rc2 snapshot of today.
 +
 +25 May 2011: Wouter
 +      - Fix assertion failure when unbound generates an empty error reply
 +        in response to a query, CVE-2011-1922 VU#531342.
 +      - This fix is in tag 1.4.10.
 +      - defense in depth against the above bug, an error is printed to log
 +        instead of an assertion failure.
 +
 +10 May 2011: Wouter
 +      - bug#386: --enable-allsymbols option links all binaries to libunbound
 +        and reduces install size significantly.
 +      - feature, ignore-cd-flag: yesno to provide dnssec to legacy servers.
 +      - iana portlist updated.
 +      - Fix TTL of SOA so negative TTL is separately cached from normal TTL.
 +
 +14 April 2011: Wouter
 +      - configure created with newer autoconf 2.66.
 +
 +12 April 2011: Wouter
 +      - bug#378: Fix that configure checks for ldns_get_random presence.
 +
 +8 April 2011: Wouter
 +      - iana portlist updated.
 +      - queries with CD flag set cause DNSSEC validation, but the answer is
 +        not withheld if it is bogus.  Thus, unbound will retry if it is bad
 +        and curb the TTL if it is bad, thus protecting the cache for use by
 +        downstream validators.
 +      - val-override-date: -1 ignores dates entirely, for NTP usage.
 +
 +29 March 2011: Wouter
 +      - harden-below-nxdomain: changed so that it activates when the
 +        cached nxdomain is dnssec secure.  This avoids backwards
 +        incompatibility because those old servers do not have dnssec.
 +
 +24 March 2011: Wouter
 +      - iana portlist updated.
 +      - release 1.4.9.
 +      - trunk is 1.5.0
 +
 +17 March 2011: Wouter
 +      - bug#370: new unbound.spec for CentOS 5.x from Harold Jones.
 +        Applied but did not do the --disable-gost.
 +
 +10 March 2011: Wouter
 +      - tag 1.4.9 release candidate 1 created.
 +
 +3 March 2011: Wouter
 +      - updated ldns to today.
 +
 +1 March 2011: Wouter
 +      - Fix no ADflag for NXDOMAIN in NSEC3 optout. And wildcard in optout.
 +      - give config parse error for multiple names on a stub or forward zone.
 +      - updated ldns tarball to 1.6.9(todays snapshot).
 +
 +24 February 2011: Wouter
 +      - bug #361: Fix, time.elapsed variable not reset with stats_noreset.
 +
 +23 February 2011: Wouter
 +      - iana portlist updated.
 +      - common.sh to version 3.
 +
 +18 February 2011: Wouter
 +      - common.sh in testdata updated to version 2.
 +
 +15 February 2011: Wouter
 +      - Added explicit note on unbound-anchor usage:
 +        Please note usage of unbound-anchor root anchor is at your own risk
 +        and under the terms of our LICENSE (see that file in the source).
 +
 +11 February 2011: Wouter
 +      - iana portlist updated.
 +      - tpkg updated with common.sh for common functionality.
 +
 +7 February 2011: Wouter
 +      - Added regression test for addition of a .net DS to the root, and
 +        cache effects with different TTL for glue and DNSKEY.
 +      - iana portlist updated.
 +
 +28 January 2011: Wouter
 +      - Fix remove private address does not throw away entire response.
 +
 +24 January 2011: Wouter
 +      - release 1.4.8
 +
 +19 January 2011: Wouter
 +      - fix bug#349: no -L/usr for ldns.
 +
 +18 January 2011: Wouter
 +      - ldns 1.6.8 tarball included.
 +      - release 1.4.8rc1.
 +
 +17 January 2011: Wouter
 +      - add get and set option for harden-below-nxdomain feature.
 +      - iana portlist updated.
 +
 +14 January 2011: Wouter
 +      - Fix so a changed NS RRset does not get moved name stuck on old
 +        server, for type NS the TTL is not increased.
 +
 +13 January 2011: Wouter
 +      - Fix prefetch so it does not get stuck on old server for moved names.
 +
 +12 January 2011: Wouter
 +      - iana portlist updated.
 +
 +11 January 2011: Wouter
 +      - Fix insecure CNAME sequence marked as secure, reported by Bert
 +        Hubert.
 +
 +10 January 2011: Wouter
 +      - faster lruhash get_mem routine.
 +
 +4 January 2011: Wouter
 +      - bug#346: remove ITAR scripts from contrib, the service is discontinued, use the root.
 +      - iana portlist updated.
 +
 +23 December 2010: Wouter
 +      - Fix in infra cache that could cause rto larger than TOP_TIMEOUT kept.
 +
 +21 December 2010: Wouter
 +      - algorithm compromise protection using the algorithms signalled in
 +        the DS record.  Also, trust anchors, DLV, and RFC5011 receive this,
 +        and thus, if you have multiple algorithms in your trust-anchor-file
 +        then it will now behave different than before.  Also, 5011 rollover
 +        for algorithms needs to be double-signature until the old algorithm
 +        is revoked.
 +        It is not an option, because I see no use to turn the security off.
 +      - iana portlist updated.
 +
 +17 December 2010: Wouter
 +      - squelch 'tcp connect: bla' in logfile, (set verbosity 2 to see them).
 +      - fix validation in this case: CNAME to nodata for co-hosted opt-in
 +        NSEC3 insecure delegation, was bogus, fixed to be insecure.
 +
 +16 December 2010: Wouter
 +      - Fix our 'BDS' license (typo reported by Xavier Belanger).
 +
 +10 December 2010: Wouter
 +      - iana portlist updated.
 +      - review changes for unbound-anchor.
 +
 +2 December 2010: Wouter
 +      - feature typetransparent localzone, does not block other RR types.
 +
 +1 December 2010: Wouter
 +      - Fix bug#338: print address when socket creation fails.
 +
 +30 November 2010: Wouter
 +      - Fix storage of EDNS failures in the infra cache.
 +      - iana portlist updated.
 +
 +18 November 2010: Wouter
 +      - harden-below-nxdomain option, default off (because very old
 +        software may be incompatible).  We could enable it by default in
 +        the future.
 +
 +17 November 2010: Wouter
 +      - implement draft-vixie-dnsext-resimprove-00, we stop on NXDOMAIN.
 +      - make test output nicer.
 +
 +15 November 2010: Wouter
 +      - silence 'tcp connect: broken pipe' and 'net down' at low verbosity.
 +      - iana portlist updated.
 +      - so-sndbuf option for very busy servers, a bit like so-rcvbuf.
 +
 +9 November 2010: Wouter
 +      - unbound-anchor compiles with openssl 0.9.7.
 +
 +8 November 2010: Wouter
 +      - release tag 1.4.7.
 +      - trunk is version 1.4.8.
 +      - Be lenient and accept imgw.pl malformed packet (like BIND).
 +
 +5 November 2010: Wouter
 +      - do not synthesize a CNAME message from cache for qtype DS.
 +
 +4 November 2010: Wouter
 +      - Use central entropy to seed threads.
 +
 +3 November 2010: Wouter
 +      - Change the rtt used to probe EDNS-timeout hosts to 1000 msec.
 +
 +2 November 2010: Wouter
 +      - tag 1.4.7rc1.
 +      - code review.
 +
 +1 November 2010: Wouter
 +      - GOST code enabled by default (RFC 5933).
 +
 +27 October 2010: Wouter
 +      - Fix uninit value in dump_infra print.
 +      - Fix validation failure for parent and child on same server with an
 +        insecure childzone and a CNAME from parent to child.
 +      - Configure detects libev-4.00.
 +
 +26 October 2010: Wouter
 +      - dump_infra and flush_infra commands for unbound-control.
 +      - no timeout backoff if meanwhile a query succeeded.
 +      - Change of timeout code.  No more lost and backoff in blockage.
 +        At 12sec timeout (and at least 2x lost before) one probe per IP
 +        is allowed only.  At 120sec, the IP is blocked.  After 15min, a
 +        120sec entry has a single retry packet.
 +
 +25 October 2010: Wouter
 +      - Configure errors if ldns is not found.
 +
 +22 October 2010: Wouter
 +      - Windows 7 fix for the installer.
 +
 +21 October 2010: Wouter
 +      - Fix bug where fallback_tcp causes wrong roundtrip and edns
 +        observation to be noted in cache.  Fix bug where EDNSprobe halted
 +        exponential backoff if EDNS status unknown.
 +      - new unresponsive host method, exponentially increasing block backoff.
 +      - iana portlist updated.
 +
 +20 October 2010: Wouter
 +      - interface automatic works for some people with ip6 disabled.
 +        Therefore the error check is removed, so they can use the option.
 +
 +19 October 2010: Wouter
 +      - Fix for request list growth, if a server has long timeout but the
 +        lost counter is low, then its effective rtt is the one without
 +        exponential backoff applied.  Because the backoff is not working.
 +        The lost counter can then increase and the server is blacklisted,
 +        or the lost counter does not increase and the server is working
 +        for some queries.
 +
 +18 October 2010: Wouter
 +      - iana portlist updated.
 +
 +13 October 2010: Wouter
 +      - Fix TCP so it uses a random outgoing-interface.
 +      - unbound-anchor handles ADDPEND keystate.
 +
 +11 October 2010: Wouter
 +      - Fix bug when DLV below a trust-anchor that uses NSEC3 optout where
 +        the zone has a secure delegation hosted on the same server did not
 +        verify as secure (it was insecure by mistake).
 +      - iana portlist updated.
 +      - ldns tarball updated (for reading cachedumps with bad RR data).
 +
 +1 October 2010: Wouter
 +      - test for unbound-anchor. fix for reading certs.
 +      - Fix alloc_reg_release for longer uptime in out of memory conditions.
 +
 +28 September 2010: Wouter
 +      - unbound-anchor working, it creates or updates a root.key file.
 +        Use it before you start the validator (e.g. at system boot time).
 +
 +27 September 2010: Wouter
 +      - iana portlist updated.
 +
 +24 September 2010: Wouter
 +      - bug#329: in example.conf show correct ipv4 link-local 169.254/16.
 +
 +23 September 2010: Wouter
 +      - unbound-anchor app, unbound requires libexpat (xml parser library).
 +
 +22 September 2010: Wouter
 +      - compliance with draft-ietf-dnsop-default-local-zones-14, removed
 +        reverse ipv6 orchid prefix from builtin list.
 +      - iana portlist updated.
 +
 +17 September 2010: Wouter
 +      - DLV has downgrade protection again, because the RFC says so.
 +      - iana portlist updated.
 +
 +16 September 2010: Wouter
 +      - Algorithm rollover operational reality intrudes, for trust-anchor,
 +        5011-store, and DLV-anchor if one key matches it's good enough.
 +      - iana portlist updated.
 +      - Fix reported validation error in out of memory condition.
 +
 +15 September 2010: Wouter
 +      - Abide RFC5155 section 9.2: no AD flag for replies with NSEC3 optout.
 +
 +14 September 2010: Wouter
 +      - increased mesh-max-activation from 1000 to 3000 for crazy domains
 +        like _tcp.slb.com with 262 servers.
 +      - iana portlist updated.
 +
 +13 September 2010: Wouter
 +      - bug#327: Fix for cannot access stub zones until the root is primed.
 +
 +9 September 2010: Wouter
 +      - unresponsive servers are not completely blacklisted (because of
 +        firewalls), but also not probed all the time (because of the request
 +        list size it generates).  The probe rate is 1%.
 +      - iana portlist updated.
 +
 +20 August 2010: Wouter
 +      - openbsd-lint fixes: acl_list_get_mem used if debug-alloc enabled.
 +        iterator get_mem includes priv_get_mem.  delegpt nodup removed.
 +        listen_pushback, query_info_allocqname, write_socket, send_packet,
 +        comm_point_set_cb_arg and listen_resume removed.
 +
 +19 August 2010: Wouter
 +      - Fix bug#321: resolution of rs.ripe.net artifacts with 0x20.
 +        Delegpt structures checked for duplicates always.
 +        No more nameserver lookups generated when depth is full anyway.
 +      - example.conf notes how to do DNSSEC validation and track the root.
 +      - iana portlist updated.
 +
 +18 August 2010: Wouter
 +      - Fix bug#322: configure does not respect CFLAGS on Solaris.
 +        Pass CFLAGS="-xO4 -xtarget=generic" on the configure command line
 +        if use sun-cc, but some systems need different flags.
 +
 +16 August 2010: Wouter
 +      - Fix acx_nlnetlabs.m4 configure output for autoconf-2.66 AS_TR_CPP
 +        changes, uses m4_bpatsubst now.
 +      - make test (or make check) should be more portable and run the unit 
 +        test and testbound scripts. (make longtest has special requirements).
 +
 +13 August 2010: Wouter
 +      - More pleasant remote control command parsing.
 +      - documentation added for return values reported by doxygen 1.7.1.
 +      - iana portlist updated.
 +
 +9 August 2010: Wouter
 +      - Fix name of rrset printed that failed validation.
 +
 +5 August 2010: Wouter
 +      - Return NXDOMAIN after chain of CNAMEs ends at name-not-found.
 +
 +4 August 2010: Wouter
 +      - Fix validation in case a trust anchor enters into a zone with
 +        unsupported algorithms.
 +
 +3 August 2010: Wouter
 +      - updated ldns tarball with bugfixes.
 +      - release tag 1.4.6.
 +      - trunk becomes 1.4.7 develop.
 +      - iana portlist updated.
 +
 +22 July 2010: Wouter
 +      - more error details on failed remote control connection.
 +
 +15 July 2010: Wouter
 +      - rlimit adjustments for select and ulimit can happen at the same time.
 +
 +14 July 2010: Wouter
 +      - Donation text added to README.
 +      - Fix integer underflow in prefetch ttl creation from cache.  This
 +        fixes a potential negative prefetch ttl.
 +
 +12 July 2010: Wouter
 +      - Changed the defaults for num-queries-per-thread/outgoing-range.
 +        For builtin-select: 512/960, for libevent 1024/4096 and for
 +        windows 24/48 (because of win api).  This makes the ratio this way
 +        to improve resilience under heavy load.  For high performance, use
 +        libevent and possibly higher numbers.
 +
 +10 July 2010: Wouter
 +      - GOST enabled if SSL is recent and ldns has GOST enabled too.
 +      - ldns tarball updated.
 +
 +9 July 2010: Wouter
 +      - iana portlist updated.
 +      - Fix validation of qtype DNSKEY when a key-cache entry exists but
 +        no rr-cache entry is used (it expired or prefetch), it then goes
 +        back up to the DS or trust-anchor to validate the DNSKEY.
 +
 +7 July 2010: Wouter
 +      - Neat function prototypes, unshadowed local declarations.
 +
 +6 July 2010: Wouter
 +      - failure to chown the pidfile is not fatal any more.
 +      - testbound uses UTC timezone.
 +      - ldns tarball updated (ports and works on Minix 3.1.7).  On Minix, add
 +        /usr/gnu/bin to PATH, use ./configure AR=/usr/gnu/bin/gar and gmake.
 +
 +5 July 2010: Wouter
 +      - log if a server is skipped because it is on the donotquery list,
 +        at verbosity 4, to enable diagnosis why no queries to 127.0.0.1.
 +      - added feature to print configure date, target and options with -h.
 +      - added feature to print event backend system details with -h.
 +      - wdiff is not actually required by make test, updated requirements.
 +
 +1 July 2010: Wouter
 +      - Fix RFC4035 compliance with 2.2 statement that the DNSKEY at apex
 +        must be signed with all algorithms from the DS rrset at the parent.
 +        This is now checked and becomes bogus if not.
 +
 +28 June 2010: Wouter
 +      - Fix jostle list bug found by Vince (luoce@cnnic), it caused the qps
 +        in overload situations to be about 5 qps for the class of shortly
 +        serviced queries.
 +        The capacity of the resolver is then about (numqueriesperthread / 2)
 +        / (average time for such long queries) qps for long queries.
 +        And about (numqueriesperthread / 2)/(jostletimeout in whole seconds)
 +        qps for short queries, per thread.
 +      - Fix the max number of reply-address count to be applied for duplicate
 +        queries, and not for new query list entries.  This raises the memory
 +        usage to a max of (16+1)*numqueriesperthread reply addresses.
 +
 +25 June 2010: Wouter
 +      - Fix handling of corner case reply from lame server, follows rfc2308.
 +        It could lead to a nodata reply getting into the cache if the search
 +        for a non-lame server turned up other misconfigured servers.
 +      - unbound.h has extern "C" statement for easier include in c++.
 +
 +23 June 2010: Wouter
 +      - iana portlist updated.
 +      - makedist upgraded cross compile openssl option, like this: 
 +        ./makedist.sh -s -wssl openssl-1.0.0a.tar.gz -w --enable-gost
 +
 +22 June 2010: Wouter
 +      - Unbound reports libev or libevent correctly in logs in verbose mode.
 +      - Fix to unload gost dynamic library module for leak testing.
 +
 +18 June 2010: Wouter
 +      - iana portlist updated.
 +
 +17 June 2010: Wouter
 +      - Add AAAA to root hints for I.ROOT-SERVERS.NET.
 +
 +16 June 2010: Wouter
 +      - Fix assertion failure reported by Kai Storbeck from XS4ALL, the
 +        assertion was wrong.
 +      - updated ldns tarball.
 +
 +15 June 2010: Wouter
 +      - tag 1.4.5 created.
 +      - trunk contains 1.4.6 in development.
 +      - Fix TCPreply on systems with no writev, if just 1 byte could be sent.
 +      - Fix to use one pointer less for iterator query state store_parent_NS.
 +      - makedist crosscompile to windows uses builtin ldns not host ldns.
 +      - Max referral count from 30 to 130, because 128 one character domains
 +        is valid DNS.
 +      - added documentation for the histogram printout to syslog.
 +
 +11 June 2010: Wouter
 +      - When retry to parent the retrycount is not wiped, so failed 
 +        nameservers are not tried again.
 +      - iana portlist updated.
 +
 +10 June 2010: Wouter
 +      - Fix bug where a long loop could be entered, now cycle detection
 +        has a loop-counter and maximum search amount.
 +
 +4 June 2010: Wouter
 +      - iana portlist updated.
 +      - 1.4.5rc1 tag created.
 +
 +3 June 2010: Wouter
 +      - ldns tarball updated, 1.6.5.
 +      - review comments, split dependency cycle tracking for parentside
 +        last resort lookups for A and AAAA so there are more lookup options.
 +
 +2 June 2010: Wouter
 +      - Fix compile warning if compiled without threads.
 +      - updated ldns-tarball with current ldns svn (pre 1.6.5).
 +      - GOST disabled-by-default, the algorithm number is allocated but the
 +        RFC is still has to pass AUTH48 at the IETF.
 +
 +1 June 2010: Wouter
 +      - Ignore Z flag in incoming messages too.
 +      - Fix storage of negative parent glue if that last resort fails.
 +      - libtoolize 2.2.6b, autoconf 2.65 applied to configure.
 +      - new splint flags for newer splint install.
 +
 +31 May 2010: Wouter
 +      - Fix AD flag handling, it could in some cases mistakenly copy the AD 
 +        flag from upstream servers.
 +      - alloc_special_obtain out of memory is not a fatal error any more,
 +        enabling unbound to continue longer in out of memory conditions.
 +      - parentside names are dispreferred but not said to be dnssec-lame.
 +      - parentside check for cached newname glue.
 +      - fix parentside and querytargets modulestate, for dump_requestlist.
 +      - unbound-control-setup makes keys -rw-r--- so not all users permitted.
 +      - fix parentside from cache to be marked dispreferred for bad names.
 +
 +28 May 2010: Wouter
 +      - iana portlist updated.
 +      - parent-child disagreement approach altered.  Older fixes are
 +        removed in place of a more exhaustive search for misconfigured data
 +        available via the parent of a delegation.
 +        This is designed to be throttled by cache entries, with TTL from the
 +        parent if possible.  Additionally the loop-counter is used.
 +        It also tests for NS RRset differences between parent and child.
 +        The fetch of misconfigured data should be more reliable and thorough.
 +        It should work reliably even with no or only partial data in cache.
 +        Data received from the child (as always) is deemed more
 +        authoritative than information received from the delegation parent.
 +        The search for misconfigured data is not performed normally.
 +
 +26 May 2010: Wouter
 +      - Contribution from Migiel de Vos (Surfnet): nagios patch for
 +        unbound-host, in contrib/ (in the source tarball).  Makes
 +        unbound-host suitable for monitoring dnssec(-chain) status.
 +
 +21 May 2010: Wouter
 +      - EDNS timeout code will not fire if EDNS status already known.
 +      - EDNS failure not stored if EDNS status known to work.
 +
 +19 May 2010: Wouter
 +      - Fix resolution for domains like safesvc.com.cn.  If the iterator
 +        can not recurse further and it finds the delegation in a state
 +        where it would otherwise have rejected it outhand if so received
 +        from a cache lookup, then it can try to ask higherup (with loop
 +        protection).
 +      - Fix comments in iter_utils:dp_is_useless.
 +
 +18 May 2010: Wouter
 +      - Fix various compiler warnings from the clang llvm compiler.
 +      - iana portlist updated.
 +
 +6 May 2010: Wouter
 +      - Fix bug#308: spelling error in variable name in parser and lexer.
 +
 +4 May 2010: Wouter
 +      - Fix dnssec-missing detection that was turned off by server selection.
 +      - Conforms to draft-ietf-dnsop-default-local-zones-13.  Added default
 +        reverse lookup blocks for IPv4 test nets 100.51.198.in-addr.arpa,
 +        113.0.203.in-addr.arpa and Orchid prefix 0.1.1.0.0.2.ip6.arpa.
 +
 +29 April 2010: Wouter
 +      - Fix for dnssec lameness detection to use the key cache.
 +      - infra cache entries that are expired are wiped clean.  Previously
 +        it was possible to not expire host data (if accessed often).
 +
 +28 April 2010: Wouter
 +      - ldns tarball updated and GOST support is detected and then enabled. 
 +      - iana portlist updated.
 +      - Fix detection of gost support in ldns (reported by Chris Smith).
 +
 +27 April 2010: Wouter
 +      - unbound-control get_option domain-insecure shows config file items.
 +      - fix retry sequence if prime hints are recursion-lame.
 +      - autotrust anchor file can be initialized with a ZSK key as well.
 +      - harden-referral-path does not result in failures due to max-depth.
 +        You can increase the max-depth by adding numbers (' 0') after the
 +        target-fetch-policy, this increases the depth to which is checked.
 +
 +26 April 2010: Wouter
 +      - Compile fix using Sun Studio 12 compiler on Solaris 5.9, use
 +        CPPFLAGS during configure process.
 +      - if libev is installed on the base system (not libevent), detect
 +        it from the event.h header file and link with -lev.
 +      - configlexer.lex gets config.h, and configyyrename.h added by make,
 +        no more double include.
 +      - More strict scrubber (Thanks to George Barwood for the idea):
 +        NS set must be pertinent to the query (qname subdomain nsname).
 +      - Fix bug#307: In 0x20 backoff fix fallback so the number of 
 +        outstanding queries does not become -1 and block the request.
 +        Fixed handling of recursion-lame in combination with 0x20 fallback.
 +        Fix so RRsets are compared canonicalized and sorted if the immediate
 +        comparison fails, this makes it work around round-robin sites.
 +
 +23 April 2010: Wouter
 +      - Squelch log message: sendto failed permission denied for
 +        255.255.255.255, it is visible in VERB_DETAIL (verbosity 2).
 +      - Fix to fetch data as last resort more tenaciously.  When cycle
 +        targets cause the server selection to believe there are more options
 +        when they really are not there, the server selection is reinitiated.
 +      - Fix fetch from blacklisted dnssec lame servers as last resort.  The
 +        server's IP address is then given in validator errors as well.
 +      - Fix local-zone type redirect that did not use the query name for
 +        the answer rrset.
 +
 +22 April 2010: Wouter
 +      - tag 1.4.4.
 +      - trunk contains 1.4.5 in development.
 +      - Fix validation failure for qtype ANY caused by a RRSIG parse failure.
 +        The validator error message was 'no signatures from ...'.
 +
 +16 April 2010: Wouter
 +      - more portability defines for CMSG_SPACE, CMSG_ALIGN, CMSG_LEN.
 +      - tag 1.4.4rc1.
 +
 +15 April 2010: Wouter
 +      - ECC-GOST algorithm number 12 that is assigned by IANA.  New test
 +        example key and signatures for GOST.  GOST requires openssl-1.0.0.
 +        GOST is still disabled by default.
 +
 +9 April 2010: Wouter
 +      - Fix bug#305: pkt_dname_tolower could read beyond end of buffer or
 +        get into an endless loop, if 0x20 was enabled, and buffers are small
 +        or particular broken packets are received.
 +      - Fix chain of trust with CNAME at an intermediate step, for the DS
 +        processing proof.
 +
 +8 April 2010: Wouter
 +      - Fix validation of queries with wildcard names (*.example).
 +
 +6 April 2010: Wouter
 +      - Fix EDNS probe for .de DNSSEC testbed failure, where the infra
 +        cache timeout coincided with a server update, the current EDNS 
 +        backoff is less sensitive, and does not cache the backoff unless 
 +        the backoff actually works and the domain is not expecting DNSSEC.
 +      - GOST support with correct algorithm numbers.
 +
 +1 April 2010: Wouter
 +      - iana portlist updated.
 +
 +24 March 2010: Wouter
 +      - unbound control flushed items are not counted when flushed again.
 +
 +23 March 2010: Wouter
 +      - iana portlist updated.
 +
 +22 March 2010: Wouter
 +      - unbound-host disables use-syslog from config file so that the
 +        config file for the main server can be used more easily.
 +      - fix bug#301: unbound-checkconf could not parse interface
 +        '0.0.0.0@5353', even though unbound itself worked fine.
 +
 +19 March 2010: Wouter
 +      - fix fwd_ancil test to pass if the socket options are not supported.
 +
 +18 March 2010: Wouter
 +      - Fixed random numbers for port, interface and server selection.
 +        Removed very small bias.
 +      - Refer to the listing in unbound-control man page in the extended
 +        statistics entry in the unbound.conf man page.
 +
 +16 March 2010: Wouter
 +      - Fix interface-automatic for OpenBSD: msg.controllen was too small,
 +        also assertions on ancillary data buffer.
 +      - check for IP_SENDSRCADDR for interface-automatic or IP_PKTINFO.
 +      - for NSEC3 check if signatures are cached.
 +
 +15 March 2010: Wouter
 +      - unit test for util/regional.c.
 +
 +12 March 2010: Wouter
 +      - Reordered configure checks so fork and -lnsl -lsocket checks are
 +        earlier, and thus later checks benefit from and do not hinder them.
 +      - iana portlist updated.
 +      - ldns tarball updated.
 +      - Fix python use when multithreaded.
 +      - Fix solaris python compile.
 +      - Include less in config.h and include per code file for ldns, ssl.
 +
 +11 March 2010: Wouter
 +      - another memory allocation option: --enable-alloc-nonregional.
 +        exposes the regional allocations to other memory purifiers.
 +      - fix for memory alignment in struct sock_list allocation.
 +      - Fix for MacPorts ldns without ssl default, unbound checks if ldns
 +        has dnssec functionality and uses the builtin if not.
 +      - Fix daemonize on Solaris 10, it did not detach from terminal.
 +      - tag 1.4.3 created.
 +      - trunk is 1.4.4 in development.
 +      - spelling fix in validation error involving cnames.
 +
 +10 March 2010: Wouter
 +      - --enable-alloc-lite works with test set.
 +      - portability in the testset: printf format conversions, prototypes.
 +
 +9 March 2010: Wouter
 +      - tag 1.4.2 created.
 +      - trunk is 1.4.3 in development.
 +      - --enable-alloc-lite debug option.
 +
 +8 March 2010: Wouter
 +      - iana portlist updated.
 +
 +4 March 2010: Wouter
 +      - Fix crash in control channel code.
 +
 +3 March 2010: Wouter
 +      - better casts in pipe code, brackets placed wrongly.
 +      - iana portlist updated.
 +
 +1 March 2010: Wouter
 +      - make install depends on make all.
 +      - Fix 5011 auto-trust-anchor-file initial read to skip RRSIGs.
 +      - --enable-checking: enables assertions but does not look nonproduction.
 +      - nicer VERB_DETAIL (verbosity 2, unbound-host -d) output, with
 +        nxdomain and nodata distinguished.
 +      - ldns tarball updated.
 +      - --disable-rpath fixed for libtool not found errors.
 +      - new fedora specfile from Fedora13 in contrib from Paul Wouters.
 +
 +26 February 2010: Wouter
 +      - Fixup prototype for lexer cleanup in daemon code.
 +      - unbound-control list_stubs, list_forwards, list_local_zones and
 +        list_local_data.
 +
 +24 February 2010: Wouter
 +      - Fix scrubber bug that potentially let NS records through.  Reported
 +        by Amanda Constant.
 +      - Also delete potential poison references from additional.
 +      - Fix: no classification of a forwarder as lame, throw away instead.
 +
 +23 February 2010: Wouter
 +      - libunbound ub_ctx_get_option() added.
 +      - unbound-control set_option and get_option commands.
 +      - iana portlist updated.
 +
 +18 February 2010: Wouter
 +      - A little more strict DS scrubbing.
 +      - No more blacklisting of unresponsive servers, a 2 minute timeout
 +        is backed off to.
 +      - RD flag not enabled for dnssec-blacklisted tries, unless necessary.
 +      - pickup ldns compile fix, libdl for libcrypto.
 +      - log 'tcp connect: connection timed out' only in high verbosity.
 +      - unbound-control log_reopen command.
 +      - moved get_option code from unbound-checkconf to util/config_file.c
 +
 +17 February 2010: Wouter
 +      - Disregard DNSKEY from authority section for chain of trust.
 +        DS records that are irrelevant to a referral scrubbed.  Anti-poison.
 +      - iana portlist updated.
 +
 +16 February 2010: Wouter
 +      - Check for 'no space left on device' (or other errors) when 
 +        writing updated autotrust anchors and print errno to log.
 +
 +15 February 2010: Wouter
 +      - Fixed the requery protection, the TTL was 0, it is now 900 seconds,
 +        hardcoded.  We made the choice to send out more conservatively,
 +        protecting against an aggregate effect more than protecting a
 +        single user (from their own folly, perhaps in case of misconfig).
 +
 +12 February 2010: Wouter
 +      - Re-query pattern changed on validation failure.  To protect troubled
 +        authority servers, unbound caches a failure for the DNSKEY or DS
 +        records for the entire zone, and only retries that 900 seconds later.
 +        This implies that only a handful of packets are sent extra to the
 +        authority if the zone fails.
 +
 +11 February 2010: Wouter
 +      - ldns tarball update for long label length syntax error fix.
 +      - iana portlist updated.
 +
 +9 February 2010: Wouter
 +      - Fixup in compat snprintf routine, %f 1.02 and %g support.
 +      - include math.h for testbound test compile portability.
 +
 +2 February 2010: Wouter
 +      - Updated url of IANA itar, interim trust anchor repository, in script.
 +
 +1 February 2010: Wouter
 +      - iana portlist updated.
 +      - configure test for memcmp portability.
 +
 +27 January 2010: Wouter
 +      - removed warning on format string in validator error log statement.
 +      - iana portlist updated.
 +
 +22 January 2010: Wouter
 +      - libtool finish the install of unbound python dynamic library.
 +
 +21 January 2010: Wouter
 +      - acx_nlnetlabs.m4 synchronised with nsd's version.
 +
 +20 January 2010: Wouter
 +      - Fixup lookup trouble for parent-child domains on the first query.
 +
 +14 January 2010: Wouter
 +      - Fixup ldns detection to also check for header files.
 +
 +13 January 2010: Wouter
 +      - prefetch-key option that performs DNSKEY queries earlier in the
 +        validation process, and that could halve the latency on DNSSEC
 +        queries.  It takes some extra processing (CPU, a cache is needed).
 +
 +12 January 2010: Wouter
 +      - Fix unbound-checkconf for auto-trust-anchor-file present checks.
 +
 +8 January 2010: Wouter
 +      - Fix for parent-child disagreement code which could have trouble
 +        when (a) ipv6 was disabled and (b) the TTL for parent and child
 +        were different.  There were two bugs, the parent-side information
 +        is fixed to no longer block lookup of child side information and
 +        the iterator is fixed to no longer attempt to get ipv6 when it is
 +        not enabled and then give up in failure.
 +      - test and fixes to make prefetch actually store the answer in the
 +        cache.  Considers some rrsets 'already expired' but does not allow
 +        overwriting of rrsets considered more secure.
 +
 +7 January 2010: Wouter
 +      - Fixup python documentation (thanks Leo Vandewoestijne).
 +      - Work on cache prefetch feature.
 +      - Stats for prefetch, in log print stats, unbound-control stats
 +        and in unbound_munin plugin.
 +
 +6 January 2010: Wouter
 +      - iana portlist updated.
 +      - bug#291: DNS wireformat max is 255. dname_valid allowed 256 length.
 +      - verbose output includes parent-side-address notion for lameness.
 +      - documented val-log-level: 2 setting in example.conf and man page.
 +      - change unbound-control-setup from 1024(sha1) to 1536(sha256).
 +
 +1 January 2010: Wouter
 +      - iana portlist updated.
 +
 +22 December 2009: Wouter
 +      - configure with newer libtool 2.2.6b.
 +
 +17 December 2009: Wouter
 +      - review comments.
 +      - tag 1.4.1.
 +      - trunk to version 1.4.2.
 +      
 +15 December 2009: Wouter
 +      - Answer to qclass=ANY queries, with class IN contents.
 +        Test that validation also works.
 +      - updated ldns snapshot tarball with latest fixes (parsing records).
 +
 +11 December 2009: Wouter
 +      - on IPv4 UDP turn off DF flag.
 +
 +10 December 2009: Wouter
 +      - requirements.txt updated with design choice explanations.
 +      - Reading fixes: fix to set unlame when child confirms parent glue,
 +        and fix to avoid duplicate addresses in delegation point.
 +      - verify_rrsig routine checks expiration last.
 +
 +9 December 2009: Wouter
 +      - Fix Bug#287(reopened): update of ldns tarball with fix for parse
 +        errors generated for domain names like '.example.com'.
 +      - Fix SOA excluded from negative DS responses.  Reported by Hauke
 +        Lampe.  The negative cache did not include proper SOA records for
 +        negative qtype DS responses which makes BIND barf on it, such
 +        responses are now only used internally.
 +      - Fix negative cache lookup of closestencloser check of DS type bit.
 +
 +8 December 2009: Wouter
 +      - Fix for lookup of parent-child disagreement domains, where the
 +        parent-side glue works but it does not provide proper NS, A or AAAA
 +        for itself, fixing domains such as motorcaravanners.eu.
 +      - Feature: you can specify a port number in the interface: line, so
 +        you can bind the same interface multiple times at different ports.
 +
 +7 December 2009: Wouter
 +      - Bug#287: Fix segfault when unbound-control remove nonexistent local
 +        data.  Added check to tests.
 +
 +1 December 2009: Wouter
 +      - Fix crash with module-config "iterator".
 +      - Added unit test that has "iterator" module-config.
 +
 +30 November 2009: Wouter
 +      - bug#284: fix parse of # without end-of-line at end-of-file.
 +
 +26 November 2009: Wouter
 +      - updated ldns with release candidate for version 1.6.3.
 +      - tag for 1.4.0 release.
 +      - 1.4.1 version in trunk.
 +      - Fixup major libtool version to 2 because of why_bogus change.
 +        It was 1:5:0 but should have been 2:0:0.
 +
 +23 November 2009: Wouter
 +      - Patch from David Hubbard for libunbound manual page.
 +      - Fixup endless spinning in unbound-control stats reported by
 +        Attila Nagy.  Probably caused by clock reversal.
 +
 +20 November 2009: Wouter
 +      - contrib/split-itar.sh contributed by Tom Hendrikx.
 +
 +19 November 2009: Wouter
 +      - better argument help for unbound-control.
 +      - iana portlist updated.
 +
 +17 November 2009: Wouter
 +      - noted multiple entries for multiple domain names in example.conf.
 +      - iana portlist updated.
 +
 +16 November 2009: Wouter
 +      - Fixed signer detection of CNAME responses without signatures.
 +      - Fix#282 libunbound memleak on error condition by Eric Sesterhenn.
 +      - Tests for CNAMEs to deeper trust anchors, secure and bogus.
 +      - svn tag 1.4.0rc1 made.
 +
 +13 November 2009: Wouter
 +      - Fixed validation failure for CNAME to optout NSEC3 nodata answer.
 +      - unbound-host does not fail on type ANY.
 +      - Fixed wireparse failure to put RRSIGs together with data in some
 +        long ANY mix cases, which fixes validation failures.
 +
 +12 November 2009: Wouter
 +      - iana portlist updated.
 +      - fix manpage errors reported by debian lintian.
 +      - review comments.
 +      - fixup very long vallog2 level error strings.
 +      
 +11 November 2009: Wouter
 +      - ldns tarball updated (to 1.6.2).
 +      - review comments.
 +
 +10 November 2009: Wouter
 +      - Thanks to Surfnet found bug in new dnssec-retry code that failed
 +        to combine well when combined with DLV and a particular failure. 
 +      - Fixed unbound-control -h output about argument optionality.
 +      - review comments.
 +
 +5 November 2009: Wouter
 +      - lint fixes and portability tests.
 +      - better error text for multiple domain keys in one autotrust file.
 +
 +2 November 2009: Wouter
 +      - Fix bug where autotrust does not work when started with a DS.
 +      - Updated GOST unit tests for unofficial algorithm number 249
 +        and DNSKEY-format changes in draft version -01.
 +
 +29 October 2009: Wouter
 +      - iana portlist updated.
 +      - edns-buffer-size option, default 4096.
 +      - fixed do-udp: no.
 +
 +28 October 2009: Wouter
 +      - removed abort on prealloc failure, error still printed but softfail.
 +      - iana portlist updated.
 +      - RFC 5702: RSASHA256 and RSASHA512 support enabled by default.
 +      - ldns tarball updated (which also enables rsasha256 support).
 +
 +27 October 2009: Wouter
 +      - iana portlist updated.
 +
 +8 October 2009: Wouter
 +      - please doxygen
 +      - add val-log-level print to corner case (nameserver.epost.bg).
 +      - more detail to errors from insecure delegation checks.
 +      - Fix double time subtraction in negative cache reported by 
 +        Amanda Constant and Hugh Mahon.
 +      - Made new validator error string available from libunbound for
 +        applications.  It is in result->why_bogus, a zero-terminated string.
 +        unbound-host prints it by default if a result is bogus.
 +        Also the errinf is public in module_qstate (for other modules).
 +
 +7 October 2009: Wouter
 +      - retry for validation failure in DS and prime results. Less mem use.
 +        unit test.  Provisioning in other tests for requeries.
 +      - retry for validation failure in DNSKEY in middle of chain of trust.
 +        unit test.
 +      - retry for empty non terminals in chain of trust and unit test.
 +      - Fixed security bug where the signatures for NSEC3 records were not
 +        checked when checking for absence of DS records.  This could have
 +        enabled the substitution of an insecure delegation.
 +      - moved version number to 1.4.0 because of 1.3.4 release with only
 +        the NSEC3 patch from the entry above.
 +      - val-log-level: 2 shows extended error information for validation
 +        failures, but still one (longish) line per failure.  For example:
 +        validation failure <example.com. DNSKEY IN>: signature expired from
 +        192.0.2.4 for trust anchor example.com. while building chain of trust
 +        validation failure <www.example.com. A IN>: no signatures from
 +        192.0.2.6 for key example.com. while building chain of trust
 +
 +6 October 2009: Wouter
 +      - Test set updated to provide additional ns lookup result.
 +        The retry would attempt to fetch the data from other nameservers
 +        for bogus data, and this needed to be provisioned in the tests.
 +
 +5 October 2009: Wouter
 +      - first validation failure retry code.  Retries for data failures.
 +        And unit test.
 +
 +2 October 2009: Wouter
 +      - improve 5011 modularization.
 +      - fix unbound-host so -d can be given before -C.
 +      - iana portlist updated.
 +
 +28 September 2009: Wouter
 +      - autotrust-anchor-file can read multiline input and $ORIGIN.
 +      - prevent integer overflow in holddown calculation. review fixes.
 +      - fixed race condition in trust point revocation. review fix.
 +      - review fixes to comments, removed unused code.
 +
 +25 September 2009: Wouter
 +      - so-rcvbuf: 4m option added.  Set this on large busy servers to not
 +        drop the occasional packet in spikes due to full socket buffers.
 +        netstat -su keeps a counter of UDP dropped due to full buffers.
 +      - review of validator/autotrust.c, small fixes and comments.
 +
 +23 September 2009: Wouter
 +      - 5011 query failed counts verification failures, not lookup failures.
 +      - 5011 probe failure handling fixup.
 +      - test unbound reading of original autotrust data.
 +        The metadata per-key, such as key state (PENDING, MISSING, VALID) is
 +        picked up, otherwise performs initial probe like usual.
 +
 +22 September 2009: Wouter
 +      - autotrust test with algorithm rollover, new ordering of checks
 +        assists in orderly rollover.
 +      - autotrust test with algorithm rollover to unknown algorithm.
 +        checks if new keys are supported before adding them.
 +      - autotrust test with trust point revocation, becomes unsigned.
 +      - fix DNSSEC-missing-signature detection for minimal responses
 +        for qtype DNSKEY (assumes DNSKEY occurs at zone apex).
 +
 +18 September 2009: Wouter
 +      - autotrust tests, fix trustpoint timer deletion code.
 +        fix count of valid anchors during missing remove.
 +      - autotrust: pick up REVOKE even if not signed with known other keys.
 +
 +17 September 2009: Wouter
 +      - fix compile of unbound-host when --enable-alloc-checks.
 +      - Fix lookup problem reported by Koh-ichi Ito and Jaap Akkerhuis.
 +      - Manual page fixes reported by Tony Finch.
 +
 +16 September 2009: Wouter
 +      - Fix memory leak reported by Tao Ma.
 +      - Fix memstats test tool for log-time-ascii log format.
 +
 +15 September 2009: Wouter
 +      - iana portlist updated.
 +
 +10 September 2009: Wouter
 +      - increased MAXSYSLOGLEN so .bg key can be printed in debug output.
 +      - use linebuffering for log-file: output, this can be significantly
 +        faster than the previous fflush method and enable some class of
 +        resolvers to use high verbosity (for short periods).
 +        Not on windows, because line buffering does not work there.
 +
 +9 September 2009: Wouter
 +      - Fix bug where DNSSEC-bogus messages were marked with too high TTL.
 +        The RRsets would still expire at the normal time, but this would
 +        keep messages bogus in the cache for too long.
 +      - regression test for that bug.
 +      - documented that load_cache is meant for debugging.
 +
 +8 September 2009: Wouter
 +      - fixup printing errors when load_cache, they were printed to the
 +        SSL connection which broke, now to the log.
 +      - new ldns - with fixed parse of large SOA values.
 +
 +7 September 2009: Wouter
 +      - autotrust testbound scenarios.
 +      - autotrust fix that failure count is written to file.
 +      - autotrust fix that keys may become valid after add holddown time
 +        alone, before the probe returns.
 +
 +4 September 2009: Wouter
 +      - Changes to make unbound work with libevent-2.0.3 alpha. (in
 +        configure detection due to new ssl dependency in libevent)
 +      - do not call sphinx for documentation when python is disabled.
 +      - remove EV_PERSIST from libevent timeout code to make the code
 +        compatible with the libevent-2.0.  Works with older libevent too.
 +      - fix memory leak in python code.
 +
 +3 September 2009: Wouter
 +      - Got a patch from Luca Bruno for libunbound support on windows to
 +        pick up the system resolvconf nameservers and hosts there.
 +      - included ldns updated (enum warning fixed).
 +      - makefile fix for parallel makes.
 +      - Patch from Zdenek Vasicek and Attila Nagy for using the source IP
 +        from python scripts.  See pythonmod/examples/resip.py.
 +      - doxygen comment fixes.
 +
 +2 September 2009: Wouter
 +      - TRAFFIC keyword for testbound. Simplifies test generation.
 +        ${range lower val upper} to check probe timeout values.
 +      - test with 5011-prepublish rollover and revocation.
 +      - fix revocation of RR for autotrust, stray exclamation mark.
 +
 +1 September 2009: Wouter
 +      - testbound variable arithmetic.
 +      - autotrust probe time is randomised.
 +      - autotrust: the probe is active and does not fetch from cache.
 +
 +31 August 2009: Wouter
 +      - testbound variable processing.
 +
 +28 August 2009: Wouter
 +      - fixup unbound-control lookup to print forward and stub servers.
 +
 +27 August 2009: Wouter
 +      - autotrust: mesh answer callback is empty.
 +
 +26 August 2009: Wouter
 +      - autotrust probing.
 +      - iana portlist updated.
 +
 +25 August 2009: Wouter
 +      - fixup memleak in trust anchor unsupported algorithm check.
 +      - iana portlist updated.
 +      - autotrust options: add-holddown, del-holddown, keep-missing.
 +      - autotrust store revoked status of trust points.
 +      - ctime_r compat definition.
 +      - detect yylex_destroy() in configure.
 +      - detect SSL_get_compression_methods declaration in configure.
 +      - fixup DS lookup at anchor point with unsigned parent.
 +      - fixup DLV lookup for DS queries to unsigned domains.
 +
 +24 August 2009: Wouter
 +      - cleaner memory allocation on exit. autotrust test routines.
 +      - free all memory on program exit, fix for ssl and flex.
 +
 +21 August 2009: Wouter
 +      - autotrust: debug routines. Read,write and conversions work.
 +
 +20 August 2009: Wouter
 +      - autotrust: save and read trustpoint variables.
 +
 +19 August 2009: Wouter
 +      - autotrust: state table updates.
 +      - iana portlist updated.
 +
 +17 August 2009: Wouter
 +      - autotrust: process events.
 +
 +17 August 2009: Wouter
 +      - Fix so that servers are only blacklisted if they fail to reply 
 +        to 16 queries in a row and the timeout gets above 2 minutes.
 +      - autotrust work, split up DS verification of DNSKEYs.
 +
 +14 August 2009: Wouter
 +      - unbound-control lookup prints out infra cache information, like RTT.
 +      - Fix bug in DLV lookup reported by Amanda from Secure64.
 +        It could sometimes wrongly classify a domain as unsigned, which
 +        does not give the AD bit on replies.
 +
 +13 August 2009: Wouter
 +      - autotrust read anchor files. locked trust anchors.
 +
 +12 August 2009: Wouter
 +      - autotrust import work.
 +
 +11 August 2009: Wouter
 +      - Check for openssl compatible with gost if enabled.
 +      - updated unit test for GOST=211 code.
 +        Nicer naming of test files.
 +      - iana portlist updated.
 +
 +7 August 2009: Wouter
 +      - call OPENSSL_config() in unbound and unit test so that the
 +        operator can use openssl.cnf for configuration options.
 +      - removed small memory leak from config file reader.
 +
 +6 August 2009: Wouter
 +      - configure --enable-gost for GOST support, experimental
 +        implementation of draft-dolmatov-dnsext-dnssec-gost-01.
 +      - iana portlist updated.
 +      - ldns tarball updated (with GOST support).
 +
 +5 August 2009: Wouter
 +      - trunk moved to 1.3.4.
 +
 +4 August 2009: Wouter
 +      - Added test that the examples from draft rsasha256-14 verify.
 +      - iana portlist updated.
 +      - tagged 1.3.3
 +
 +3 August 2009: Wouter
 +      - nicer warning when algorithm not supported, tells you to upgrade.
 +      - iana portlist updated.
 +
 +27 July 2009: Wouter
 +      - Updated unbound-cacti contribution from Dmitriy Demidov, with
 +        the queue statistics displayed in its own graph.
 +      - iana portlist updated.
 +
 +22 July 2009: Wouter
 +      - Fix bug found by Michael Tokarev where unbound would try to
 +        prime the root servers even though forwarders are configured for
 +        the root.
 +      - tagged 1.3.3rc1
 +
 +21 July 2009: Wouter
 +      - Fix server selection, so that it waits for open target queries when
 +        faced with lameness.
 +
 +20 July 2009: Wouter
 +      - Ignore transient sendto errors, no route to host, and host, net down.
 +      - contrib/update-anchor.sh has -r option for root-hints.
 +      - feature val-log-level: 1 prints validation failures so you can
 +        keep track of them during dnssec deployment.
 +
 +16 July 2009: Wouter
 +      - fix replacement malloc code.  Used in crosscompile.
 +      - makedist -w creates crosscompiled setup.exe on fedora11.
 +
 +15 July 2009: Wouter
 +      - dependencies for compat items, for crosscompile.
 +      - mingw32 crosscompile changes, dependencies and zipfile creation.
 +        and with System.dll from the windows NSIS you can make setup.exe.
 +      - package libgcc_s_sjlj exception handler for NSISdl.dll.
 +
 +14 July 2009: Wouter
 +      - updated ldns tarball for solaris x64 compile assistance.
 +      - no need to define RAND_MAX from config.h.
 +      - iana portlist updated.
 +      - configure changes and ldns update for mingw32 crosscompile.
 +
 +13 July 2009: Wouter
 +      - Fix for crash at start on windows.
 +      - tag for release 1.3.2.
 +      - trunk has version 1.3.3.
 +      - Fix for ID bits on windows to use all 16. RAND_MAX was not
 +        defined like you'd expect on mingw. Reported by Mees de Roo.
 +
 +9 July 2009: Wouter
 +      - tag for release 1.3.1.
 +      - trunk has version 1.3.2.
 +
 +7 July 2009: Wouter
 +      - iana portlist updated.
 +
 +6 July 2009: Wouter
 +      - prettier error handling in SSL setup.
 +      - makedist.sh uname fix (same as ldns).
 +      - updated fedora spec file.
 +
 +3 July 2009: Wouter
 +      - fixup linking when ldnsdir is "".
 +
 +30 June 2009: Wouter
 +      - more lenient truncation checks.
 +
 +29 June 2009: Wouter
 +      - ldns trunk r2959 imported as tarball, because of solaris cc compile
 +        support for c99.  r2960 for better configure.
 +      - better wrongly_truncated check.
 +      - On Linux, fragment IPv6 datagrams to the IPv6 minimum MTU, to
 +        avoid dropped packets at routers.
 +
 +26 June 2009: Wouter
 +      - Fix EDNS fallback when EDNS works for short answers but long answers
 +        are dropped.
 +
 +22 June 2009: Wouter
 +      - fixup iter priv strict aliasing while preserving size of sockaddr.
 +      - iana portlist updated.  (one less port allocated, one more fraction
 +        of a bit for security!)
 +      - updated fedora specfile in contrib from Paul Wouters.
 +      
 +19 June 2009: Wouter
 +      - Fixup strict aliasing warning in iter priv code.
 +        and config_file code.
 +      - iana portlist updated.
 +      - harden-referral-path: handle cases where NS is in answer section.
 +
 +18 June 2009: Wouter
 +      - Fix of message parse bug where (specifically) an NSEC and RRSIG
 +        in the wrong order would be parsed, but put wrongly into internal
 +        structures so that later validation would fail.
 +      - Extreme lenience for wrongly truncated replies where a positive
 +        reply has an NS in the authority but no signatures.  They are
 +        turned into minimal responses with only the (secure) answer.
 +      - autoconf 2.63 for configure.
 +      - python warnings suppress.  Keep python API away from header files.
 +
 +17 June 2009: Wouter
 +      - CREDITS entry for cz.nic, sponsoring a 'summer of code' that was
 +        used for the python code in unbound. (http://www.nic.cz/vip/ in cz).
 +
 +16 June 2009: Wouter
 +      - Fixup opportunistic target query generation to it does not
 +        generate queries that are known to fail.
 +      - Touchup on munin total memory report.
 +      - messages picked out of the cache by the iterator are checked
 +        if their cname chain is still correct and if validation status
 +        has to be reexamined.
 +
 +15 June 2009: Wouter
 +      - iana portlist updated.
 +
 +14 June 2009: Wouter
 +      - Fixed bug where cached responses would lose their security
 +        status on second validation, which especially impacted dlv
 +        lookups.  Reported by Hauke Lampe.
 +
 +13 June 2009: Wouter
 +      - bug #254. removed random whitespace from example.conf.
 +
 +12 June 2009: Wouter
 +      - Fixup potential wrong NSEC picked out of the cache.
 +      - If unfulfilled callbacks are deleted they are called with an error.
 +      - fptr wlist checks for mesh callbacks.
 +      - fwd above stub in configuration works.
 +
 +11 June 2009: Wouter
 +      - Fix queries for type DS when forward or stub zones are there.
 +        They are performed to higherup domains, and thus treated as if
 +        going to higher zones when looking up the right forward or stub
 +        server.  This makes a stub pointing to a local server that has
 +        a local view of example.com signed with the same keys as are
 +        publicly used work.  Reported by Johan Ihren.
 +      - Added build-unbound-localzone-from-hosts.pl to contrib, from
 +        Dennis DeDonatis.  It converts /etc/hosts into config statements.
 +      - same thing fixed for forward-zone and DS, chain of trust from
 +        public internet into the forward-zone works now.  Added unit test.
 +
 +9 June 2009: Wouter
 +      - openssl key files are opened apache-style, when user is root and
 +        before chrooting.  This makes permissions on remote-control key 
 +        files easier to set up.  Fixes bug #251.
 +      - flush_type and flush_name remove msg cache entries.
 +      - codereview - dp copy bogus setting fix.
 +
 +8 June 2009: Wouter
 +      - Removed RFC5011 REVOKE flag support. Partial 5011 support may cause
 +        inadvertant behaviour.
 +      - 1.3.0 tarball for release created.
 +      - 1.3.1 development in svn trunk.
 +      - iana portlist updated.
 +      - fix lint from complaining on ldns/sha.h.
 +      - help compiler figure out aliasing in priv_rrset_bad() routine.
 +      - fail to configure with python if swig is not found.
 +      - unbound_munin_ in contrib uses ps to show rss if sbrk does not work.
 +
 +3 June 2009: Wouter
 +      - fixup bad free() when wrongly encoded DSA signature is seen.
 +        Reported by Paul Wouters.
 +      - review comments from Matthijs.
 +
 +2 June 2009: Wouter
 +      - --enable-sha2 option. The draft rsasha256 changed its algorithm
 +        numbers too often.  Therefore it is more prudent to disable the
 +        RSASHA256 and RSASHA512 support by default.
 +      - ldns trunk included as new tarball.
 +      - recreated the 1.3.0 tag in svn. rc1 tarball generated at this point.
 +
 +29 May 2009: Wouter
 +      - fixup doc bug in README reported by Matthew Dempsky.
 +
 +28 May 2009: Wouter
 +      - update iana port list
 +      - update ldns lib tarball
 +
 +27 May 2009: Wouter
 +      - detect lack of IPv6 support on XP (with a different error code).
 +      - Fixup a crash-on-exit which was triggered by a very long queue.
 +        Unbound would try to re-use ports that came free, but this is
 +        of course not really possible because everything is deleted.
 +        Most easily triggered on XP (not Vista), maybe because of the
 +        network stack encouraging large messages backlogs.
 +      - change in debug statements.
 +      - Fixed bug that could cause a crash if root prime failed when there
 +        were message backlogs.
 +
 +26 May 2009: Wouter
 +      - Thanks again to Brett Carr, found an assertion that was not true.
 +        Assertion checked if recursion parent query still existed.
 +
 +29 April 2009: Wouter
 +      - Thanks to Brett Carr, caught windows resource leak, use 
 +        closesocket() and not close() on sockets or else the network stack
 +        starts to leak handles.
 +      - Removed usage of windows Mutex because windows cannot handle enough
 +        mutexes open.  Provide own mutex implementation using primitives.
 +
 +28 April 2009: Wouter
 +      - created svn tag for 1.3.0.
 +
 +27 April 2009: Wouter
 +      - optimised cname from cache.
 +      - ifdef windows functions in testbound.
 +
 +23 April 2009: Wouter
 +      - fix for threadsafety in solaris thr_key_create() in tests.
 +      - iana portlist updated.
 +      - fix pylib test for Darwin.
 +      - fix pymod test for Darwin and a python threading bug in pymod init.
 +      - check python >= 2.4 in configure.
 +      - -ldl check for libcrypto 1.0.0beta.
 +
 +21 April 2009: Wouter
 +      - fix for build outside sourcedir.
 +      - fix for configure script swig detection.
 +
 +17 April 2009: Wouter
 +      - Fix reentrant in minievent handler for unix. Could have resulted
 +        in spurious event callbacks.
 +      - timers do not take up a fd slot for winsock handler.
 +      - faster fix for winsock reentrant check.
 +      - fix rsasha512 unit test for new (interim) algorithm number.
 +      - fix test:ldns doesn't like DOS line endings in keyfiles on unix.
 +      - fix compile warning on ubuntu (configlexer fwrite return value).
 +      - move python include directives into CPPFLAGS instead of CFLAGS.
 +
 +16 April 2009: Wouter
 +      - winsock event handler exit very quickly on signal, even if
 +        under heavy load.
 +      - iana portlist updated.
 +      - fixup windows winsock handler reentrant problem.
 +
 +14 April 2009: Wouter
 +      - bug #245: fix munin plugin, perform cleanup of stale lockfiles.
 +      - makedist.sh; better help text.
 +      - cache-min-ttl option and tests.
 +      - mingw detect error condition on TCP sockets (NOTCONN).
 +
 +9 April 2009: Wouter
 +      - Fix for removal of RSASHA256_NSEC3 protonumber from ldns.
 +      - ldns tarball updated.
 +      - iana portlist update.
 +      - detect GOST support in openssl-1.0.0-beta1, and fix compile problem
 +        because that openssl defines the name STRING for itself.
 +
 +6 April 2009: Wouter
 +      - windows compile fix.
 +      - Detect FreeBSD jail without ipv6 addresses assigned.
 +      - python libunbound wrapper unit test.
 +      - installs the following files. Default is to not build them.
 +              from configure --with-pythonmodule:
 +        /usr/lib/python2.x/site-packages/unboundmodule.py
 +              from configure --with-pyunbound:
 +        /usr/lib/python2.x/site-packages/unbound.py
 +        /usr/lib/python2.x/site-packages/_unbound.so*
 +        The example python scripts (pythonmod/examples and
 +        libunbound/python/examples) are not installed.
 +      - python invalidate routine respects packed rrset ids and locks.
 +      - clock skew checks in unbound, config statements.
 +      - nxdomain ttl considerations in requirements.txt
 +
 +3 April 2009: Wouter
 +      - Fixed a bug that caused messages to be stored in the cache too 
 +        long.  Hard to trigger, but NXDOMAINs for nameservers or CNAME
 +        targets have been more vulnerable to the TTL miscalculation bug. 
 +      - documentation test fixed for python addition.
 +
 +2 April 2009: Wouter
 +      - pyunbound (libunbound python plugin) compiles using libtool.
 +      - documentation for pythonmod and pyunbound is generated in doc/html.
 +      - iana portlist updated.
 +      - fixed bug in unbound-control flush_zone where it would not flush
 +        every message in the target domain.  This especially impacted 
 +        NXDOMAIN messages which could remain in the cache regardless.
 +      - python module test package.
 +
 +1 April 2009: Wouter
 +      - suppress errors when trying to contact authority servers that gave
 +        ipv6 AAAA records for their nameservers with ipv4 mapped contents.
 +        Still tries to do so, could work when deployed in intranet.
 +        Higher verbosity shows the error.
 +      - new libunbound calls documented.
 +      - pyunbound in libunbound/python. Removed compile warnings.
 +        Makefile to make it.
 +
 +30 March 2009: Wouter
 +      - Fixup LDFLAGS from libevent sourcedir compile configure restore.
 +      - Fixup so no non-absolute rpaths are added.
 +      - Fixup validation of RRSIG queries, they are let through.
 +      - read /dev/random before chroot
 +      - checkconf fix no python checks when no python module enabled.
 +      - fix configure, pthread first, so other libs do not change outcome.
 +
 +27 March 2009: Wouter
 +      - nicer -h output. report linked libraries and modules.
 +      - prints modules in intuitive order (config file friendly).
 +      - python compiles easily on BSD.
 +
 +26 March 2009: Wouter
 +      - ignore swig varargs warnings with gcc.
 +      - remove duplicate example.conf text from python example configs.
 +      - outofdir compile fix for python.
 +      - pyunbound works.
 +      - print modules compiled in on -h. manpage.
 +
 +25 March 2009: Wouter
 +      - initial import of the python contribution from Zdenek Vasicek and
 +        Marek Vavrusa.
 +      - pythonmod in Makefile; changes to remove warnings/errors for 1.3.0.
 +
 +24 March 2009: Wouter
 +      - more neat configure.ac. Removed duplicate config.h includes.
 +      - neater config.h.in.
 +      - iana portlist updated.
 +      - fix util/configlexer.c and solaris -std=c99 flag.
 +      - fix postcommit aclocal errors.
 +      - spaces stripped. Makefile cleaner, /usr omitted from -I, -L, -R.
 +      - swap order of host detect and libtool generation.
 +
 +23 March 2009: Wouter
 +      - added launchd plist example file for MacOSX to contrib.
 +      - deprecation test for daemon(3).
 +      - moved common configure actions to m4 include, prettier Makefile.
 +
 +20 March 2009: Wouter
 +      - bug #239: module-config entries order is important. Documented.
 +      - build fix for test asynclook.
 +
 +19 March 2009: Wouter
 +      - winrc/README.txt dos-format text file.
 +      - iana portlist updated.
 +      - use _beginthreadex() when available (performs stack alignment).
 +      - defaults for windows baked into configure.ac (used if on mingw).
 +
 +18 March 2009: Wouter
 +      - Added tests, unknown algorithms become insecure. fallback works.
 +      - Fix for and test for unknown algorithms in a trust anchor
 +        definition.  Trust anchors with no supported algos are ignored.
 +        This means a (higher)DS or DLV entry for them could succeed, and
 +        otherwise they are treated as insecure.
 +      - domain-insecure: "example.com" statement added. Sets domain
 +        insecure regardless of chain of trust DSs or DLVs. The inverse
 +        of a trust-anchor.
 +
 +17 March 2009: Wouter
 +      - unit test for unsupported algorithm in anchor warning.
 +      - fixed so queries do not fail on opportunistic target queries.
 +
 +16 March 2009: Wouter
 +      - fixup diff error printout in contrib/update-itar.sh.
 +      - added contrib/unbound_cacti for statistics support in cacti,
 +        contributed by Dmitriy Demidov.
 +
 +13 March 2009: Wouter
 +      - doxygen and lex/yacc on linux.
 +      - strip update-anchor on makedist -w.
 +      - fix testbound on windows.
 +      - default log to syslog for windows.
 +      - uninstaller can stop unbound - changed text on it to reflect that.
 +      - remove debugging from windows 'cron' actions.
 +
 +12 March 2009: Wouter
 +      - log to App.logs on windows prints executable identity.
 +      - fixup tests.
 +      - munin plugin fix benign locking error printout.
 +      - anchor-update for windows, called every 24 hours; unbound reloads.
 +
 +11 March 2009: Wouter
 +      - winsock event handler resets WSAevents after signalled.
 +      - winsock event handler tests if signals are really signalled.
 +      - install and service with log to file works on XP and Vista on 
 +        default install location.
 +      - on windows logging to the Application logbook works (as a service).
 +      - fix RUN_DIR on windows compile setting in makedist.
 +      - windows registry has Software\Unbound\ConfigFile element.
 +        If does not exist, the default is used. The -c switch overrides it.
 +      - fix makedist version cleanup function.
 +
 +10 March 2009: Wouter
 +      - makedist -w strips out old rc.. and snapshot info from version.
 +      - setup.exe starts and stops unbound after install, before uninstall.
 +      - unbound-checkconf recognizes absolute pathnames on windows (C:...).
 +
 +9 March 2009: Wouter
 +      - Nullsoft NSIS installer creation script.
 +
 +5 March 2009: Wouter
 +      - fixup memory leak introduced on 18feb in mesh reentrant fix.
 +
 +3 March 2009: Wouter
 +      - combined icon with 16x16(4) 32x32(4) 48x48(8) 64x64(8).
 +      - service works on xp/vista, no config necessary (using defaults).
 +      - windows registry settings.
 +
 +2 March 2009: Wouter
 +      - fixup --export-symbols to be -export-symbls for libtool.
 +        This should fix extraneous symbols exported from libunbound.
 +        Thanks to Ondrej Sury and Robert Edmonds for finding it.
 +      - iana portlist updated.
 +      - document FAQ entry on stub/forward zones and default blocking.
 +      - fix asynclook test app for libunbound not exporting symbols.
 +      - service install and remove utils that work with vista UAC.
 +              
 +27 February 2009: Wouter
 +      - Fixup lexer, to not give warnings about fwrite. Appeared in
 +        new lexer features.
 +      - makedistro functionality for mingw. Has RC support.
 +      - support spaces and backslashes in configured defaults paths.
 +      - register, deregister in service control manager.
 +
 +25 February 2009: Wouter
 +      - windres usage for application resources.
 +
 +24 February 2009: Wouter
 +      - isc moved their dlv key download location.
 +      - fixup warning on vista/mingw.
 +      - makedist -w for window zip distribution first version.
 +
 +20 February 2009: Wouter
 +      - Fixup contrib/update-itar.sh, the exit codes 1 and 0 were swapped.
 +        Nicer script layout.  Added url to site in -h output.
 +
 +19 February 2009: Wouter
 +      - unbound-checkconf and unbound print warnings when trust anchors
 +        have unsupported algorithms.
 +      - added contrib/update-itar.sh  This script is similar to
 +        update-anchor.sh, and updates from the IANA ITAR repository.
 +        You can provide your own PGP key and trust repo, or can use the
 +        builtin.  The program uses wget and gpg to work.
 +      - iana portlist updated.
 +      - update-itar.sh: using ftp:// urls because https godaddy certificate
 +        is not available everywhere and then gives fatal errors.  The 
 +        security is provided by pgp signature.
 +
 +18 February 2009: Wouter
 +      - more cycle detection. Also for target queries.
 +      - fixup bug where during deletion of the mesh queries the callbacks
 +        that were reentrant caused assertion failures. Keep the mesh in 
 +        a reentrant safe state.  Affects libunbound, reload of server,
 +        on quit and flush_requestlist.
 +      - iana portlist updated.
 +
 +13 February 2009: Wouter
 +      - forwarder information now per-thread duplicated.
 +        This keeps it read only for speed, with no locking necessary.
 +      - forward command for unbound control to change forwarders to use
 +        on the fly.
 +      - document that unbound-host reads no config file by default.
 +      - updated iana portlist.
 +
 +12 February 2009: Wouter
 +      - call setusercontext if available (on BSD).
 +      - small refactor of stats clearing.
 +      - #227: flush_stats feature for unbound-control.
 +      - stats_noreset feature for unbound-control.
 +      - flush_requestlist feature for unbound-control.
 +      - libunbound version upped API (was changed 5 feb).
 +      - unbound-control status shows if root forwarding is in use.
 +      - slightly nicer memory management in iter-fwd code.
 +
 +10 February 2009: Wouter
 +      - keys with rfc5011 REVOKE flag are skipped and not considered when
 +        validating data.
 +      - iana portlist updated
 +      - #226: dump_requestlist feature for unbound-control.
 +
 +6 February 2009: Wouter
 +      - contrib contains specfile for fedora 1.2.1 (from Paul Wouters).
 +      - iana portlist updated.
 +      - fixup EOL in include directive (reported by Paul Wouters).
 +        You can no longer specify newlines in the names of included files.
 +      - config parser changed. Gives some syntax errors closer to where they 
 +        occurred. Does not enforce a space after keyword anymore.
 +        Does not allow literal newlines inside quoted strings anymore.
 +      - verbosity level 5 logs customer IP for new requestlist entries.
 +      - test fix, lexer and cancel test.
 +      - new option log-time-ascii: yes  if you enable it prints timestamps
 +        in the log file as Feb 06 13:45:26 (like syslog does).
 +      - detect event_base_new in libevent-1.4.1 and later and use it.
 +      - #231 unbound-checkconf -o option prints that value from config file.
 +        Useful for scripting in management scripts and the like.
 +
 +5 February 2009: Wouter
 +      - ldns 1.5.0 rc as tarball included.
 +      - 1.3.0 development continues:
 +        change in libunbound API: ub_cancel can return an error, that
 +        the async_id did not exist, or that it was already delivered.
 +        The result could have been delivered just before the cancel 
 +        routine managed to acquire the lock, so a caller may get the
 +        result at the same time they call cancel.  For this case, 
 +        ub_cancel tries to return an error code.
 +        Fixes race condition in ub_cancel() libunbound function.
 +      - MacOSX Leopard cleaner text output from configure.
 +      - initgroups(3) is called to drop secondary group permissions, if
 +        applicable.
 +      - configure option --with-ldns-builtin forces the use of the 
 +        inluded ldns package with the unbound source.  The -I include
 +        is put before the others, so it avoids bad include files from
 +        an older ldns install.
 +      - daemon(3) posix call is used when available.
 +      - testbound test for older fix added.
 +
 +4 February 2009: Wouter
 +      - tag for release 1.2.1.
 +      - trunk setup for 1.3.0 development.
 +
 +3 February 2009: Wouter
 +      - noted feature requests in doc/TODO.
 +      - printout more detailed errors on ssl certificate loading failures.
 +      - updated IANA portlist.
 +
 +16 January 2009: Wouter
 +      - more quiet about ipv6 network failures, i.e. when ipv6 is not
 +        available (network unreachable). Debug still printed on high
 +        verbosity.
 +      - unbound-host -4 and -6 options. Stops annoying ipv6 errors when
 +        debugging with unbound-host -4 -d ... 
 +      - more cycle detection for NS-check, addr-check, root-prime and
 +        stub-prime queries in the iterator.  Avoids possible deadlock
 +        when priming fails.
 +
 +15 January 2009: Wouter
 +      - bug #229: fixup configure checks for compilation with Solaris 
 +        Sun cc compiler, ./configure CC=/opt/SUNWspro/bin/cc
 +      - fixup suncc warnings.
 +      - fix bug where unbound could crash using libevent 1.3 and older.
 +      - update testset for recent retry change.
 +
 +14 January 2009: Wouter
 +      - 1.2.1 feature: negative caching for failed queries.
 +        Queries that failed are cached for 5 seconds (NORR_TTL).
 +        If the failure is local, like out of memory, it is not cached.
 +      - the TTL comparison for the cache used different comparisons,
 +        causing many cache responses that used the iterator and validator
 +        state machines unnecessarily.
 +      - retry from 4 to 5 so that EDNS drop retry is part of the first
 +        query resolve attempt, and cached error does not stop EDNS fallback.
 +      - remove debug prints that protect against bad referrals.
 +      - honor QUIET=no on make commandline (or QUIET=yes ).
 +
 +13 January 2009: Wouter
 +      - fixed bug in lameness marking, removed printouts.
 +      - find NS rrset more cleanly for qtype NS.
 +      - Moved changes to 1.2.0 for release. Thanks to Mark Zealey for
 +        reporting and logs.
 +      - 1.2.1 feature: stops resolving AAAAs promiscuously when they
 +        are in the negative cache.
 +
 +12 January 2009: Wouter
 +      - fixed bug in infrastructure lameness cache, did not lowercase
 +        name of zone to hash when setting lame.
 +      - lameness debugging printouts.
 +
 +9 January 2009: Wouter
 +      - created svn tag for 1.2.0 release.
 +      - svn trunk contains 1.2.1 version number.
 +      - iana portlist updated for todays list.
 +      - removed debug print.
 +
 +8 January 2009: Wouter
 +      - new version of ldns-trunk (today) included as tarball, fixed 
 +        bug #224, building with -j race condition.
 +      - remove possible race condition in the test for race conditions.
 +
 +7 January 2009: Wouter
 +      - version 1.2.0 in preparation.
 +      - feature to allow wildcards (*, ?, [], {}. ~) in trusted-keys-file
 +        statements. (Adapted from patch by Paul Wouters).
 +      - typo fix and iana portlist updated.
 +      - porting testsuite; unused var warning, and type fixup.
 +
 +6 January 2009: Wouter
 +      - fixup packet-of-death when compiled with --enable-debug.
 +        A malformed packet could cause an internal assertion failure.
 +      - added test for HINFO canonicalisation behaviour.
 +      - fixup reported problem with transparent local-zone data where
 +        queries with different type could get nxdomain. Now queries
 +        with a different name get resolved normally, with different type
 +        get a correct NOERROR/NODATA answer.
 +      - HINFO no longer downcased for validation, making unbound compatible
 +        with bind and ldns.
 +      - fix reading included config files when chrooted.
 +        Give full path names for include files.
 +        Relative path names work if the start dir equals the working dir.
 +      - fix libunbound message transport when no packet buffer is available.
 +
 +5 January 2009: Wouter
 +      - fixup getaddrinfo failure handling for remote control port.
 +      - added L.ROOT-SERVERS.NET. AAAA 2001:500:3::42 to builtin root hints.
 +      - fixup so it works with libev-3.51 from http://dist.schmorp.de/libev/
 +      - comm_timer_set performs base_set operation after event_add.
 +
 +18 December 2008: Wouter
 +      - fixed bug reported by Duane Wessels: error in DLV lookup, would make
 +        some zones that had correct DLV keys as insecure.
 +      - follows -rc makedist from ldns changes (no _rc).
 +      - ldns tarball updated with 1.4.1rc for DLV unit test.
 +      - verbose prints about recursion lame detection and server selection.
 +      - fixup BSD port for infra host storage. It hashed wrongly.
 +      - fixup makedist snapshot name generation.
 +      - do not reopen syslog to avoid dev/log dependency.
 +
 +17 December 2008: Wouter
 +      - follows ldns makedist.sh. -rc option. autom4te dir removed.
 +      - unbound-control status command.
 +      - extended statistics has a number of ipv6 queries counter.
 +        contrib/unbound_munin_ was updated to draw ipv6 in the hits graph.
 +
 +16 December 2008: Wouter
 +      - follow makedist improvements from ldns, for maintainers prereleases.
 +      - snapshot version uses _ not - to help rpm distinguish the
 +        version number.
 +
 +11 December 2008: Wouter
 +      - better fix for bug #219: use LOG_NDELAY with openlog() call.
 +        Thanks to Tamas Tevesz.
 +
 +9 December 2008: Wouter
 +      - bug #221 fixed: unbound checkconf checks if key files exist if
 +        remote control is enabled. Also fixed NULL printf when not chrooted.
 +      - iana portlist updated.
 +
 +3 December 2008: Wouter
 +      - Fix problem reported by Jaco Engelbrecht where unbound-control stats
 +        freezes up unbound if this was compiled without threading, and
 +        was using multiple processes.
 +      - iana portlist updated.
 +      - test for remote control with interprocess communication.
 +      - created command distribution mechanism so that remote control
 +        commands other than 'stats' work on all processes in a nonthreaded
 +        compiled version. dump/load cache work, on the first process.
 +      - fixup remote control local_data addition memory corruption bug.
 +
 +1 December 2008: Wouter
 +      - SElinux policy files in contrib/selinux for the unbound daemon,
 +        by Paul Wouters and Adam Tkac.
 +
 +25 November 2008: Wouter
 +      - configure complains when --without-ssl is given (bug #220).
 +      - skip unsupported feature tests on vista/mingw.
 +      - fixup testcode/streamtcp to work on vista/mingw.
 +      - root-hints test checks version of dig required.
 +      - blacklisted servers are polled at a low rate (1%) to see if they
 +        come back up. But not if there is some other working server.
 +
 +24 November 2008: Wouter
 +      - document that the user of the server daemon needs read privileges
 +        on the keys and certificates generated by unbound-control-setup.
 +        This is different per system or distribution, usually, running the
 +        script under the same username as the server uses suffices.
 +        i.e.  sudo -u unbound unbound-control-setup
 +      - testset port to vista/mingw.
 +      - tcp_sigpipe to freebsd port.
 +
 +21 November 2008: Wouter
 +      - fixed tcp accept, errors were printed when they should not.
 +      - unbound-control-setup.sh removes read/write permissions other
 +        from the keys it creates (as suggested by Dmitriy Demidov).
 +
 +20 November 2008: Wouter
 +      - fixup fatal error due to faulty error checking after tcp accept.
 +      - add check in rlimit to avoid integer underflow.
 +      - rlimit check with new formula; better estimate for number interfaces
 +      - nicer comments in rlimit check.
 +      - tag 1.1.1 created in svn.
 +      - trunk label is 1.1.2
 +
 +19 November 2008: Wouter
 +      - bug #219: fixed so that syslog which delays opening until the first
 +        log line is written, gets a log line while not chroot'ed yet.
 +
 +18 November 2008: Wouter
 +      - iana portlist updated.
 +      - removed cast in unit test debug print that was not 64bit safe.
 +      - trunk back to 1.1.0; copied to tags 1.1.0 release.
 +      - trunk to has version number 1.1.1 again.
 +      - in 1.1.1; make clean nicer. grammar in manpage.
 +
 +17 November 2008: Wouter
 +      - theoretical fix for problems reported on mailing list.
 +        If a delegation point has no A but only AAAA and do-ip6 is no,
 +        resolution would fail. Fixed to ask for the A and AAAA records.
 +        It has to ask for both always, so that it can fail quietly, from
 +        TLD perspective, when a zone is only reachable on one transport.
 +      - test for above, only AAAA and doip6 is no. Fix causes A record
 +        for nameserver to be fetched.
 +      - fixup address duplication on cache fillup for delegation points.
 +      - testset updated for new query answer requirements.
 +
 +14 November 2008: Wouter
 +      - created 1.1.0 release tag in svn.
 +      - trunk moved to 1.1.1
 +      - fixup unittest-neg for locking.
 +
 +13 November 2008: Wouter
 +      - added fedora init and specfile to contrib (by Paul Wouters).
 +      - added configure check for ldns 1.4.0 (using its compat funcs).
 +      - neater comments in worker.h.
 +      - removed doc/plan and updated doc/TODO.
 +      - silenced EHOSTDOWN (verbosity 2 or higher to see it).
 +      - review comments from Jelte, Matthijs. Neater code.
 +
 +12 November 2008: Wouter
 +      - add unbound-control manpage to makedist replace list.
 +
 +11 November 2008: Wouter
 +      - unit test for negative cache, stress tests the refcounting.
 +      - fix for refcounting error that could cause fptr_wlist fatal exit
 +        in the negative cache rbtree (upcoming 1.1 feature). (Thanks to 
 +        Attila Nagy for testing).
 +      - nicer comments in cachedump about failed RR to string conversion.
 +      - fix 32bit wrap around when printing large (4G and more) mem usage
 +        for extended statistics.
 +
 +10 November 2008: Wouter
 +      - fixup the getaddrinfo compat code rename.
 +
 +8 November 2008: Wouter
 +      - added configure check for eee build warning.
 +
 +7 November 2008: Wouter
 +      - fix bug 217: fixed, setreuid and setregid do not work on MacOSX10.4.
 +      - detect nonblocking problems in network stack in configure script.
 +
 +6 November 2008: Wouter
 +      - dname_priv must decompress the name before comparison.
 +      - iana portlist updated.
 +
 +5 November 2008: Wouter
 +      - fixed possible memory leak in key_entry_key deletion.
 +        Would leak a couple bytes when trust anchors were replaced.
 +      - if query and reply qname overlap, the bytes are skipped not copied.
 +      - fixed file descriptor leak when messages were jostled out that
 +        had outstanding (TCP) replies.
 +      - DNAMEs used from cache have their synthesized CNAMEs initialized
 +        properly.
 +      - fixed file descriptor leak for localzone type deny (for TCP).
 +      - fixed memleak at exit for nsec3 negative cached zones.
 +      - fixed memleak for the keyword 'nodefault' when reading config.
 +      - made verbosity of 'edns incapable peer' warning higher, so you
 +        do not get spammed by it.
 +      - caught elusive Bad file descriptor error bug, that would print the
 +        error while unnecessarily try to listen to a closed fd. Fixed.
 +
 +4 November 2008: Wouter
 +      - fixed -Wwrite-strings warnings that result in better code.
 +
 +3 November 2008: Wouter
 +      - fixup build process for Mac OSX linker, use ldns b32 compat funcs.
 +      - generated configure with autoconf-2.61.
 +      - iana portlist updated.
 +      - detect if libssl needs libdl.  For static linking with libssl.
 +      - changed to use new algorithm identifiers for sha256/sha512
 +        from ldns 1.4.0 (need very latest version).
 +      - updated the included ldns tarball.
 +      - proper detection of SHA256 and SHA512 functions (not just sizes).
 +
 +23 October 2008: Wouter
 +      - a little more debug info for failure on signer names. prints names.
 +
 +22 October 2008: Wouter
 +      - CFLAGS are picked up by configure from the environment.
 +      - iana portlist updated.
 +      - updated ldns to use 1.4.0-pre20081022 so it picks up CFLAGS too.
 +      - new stub-prime: yesno option. Default is off, so it does not prime.
 +        can be turned on to get same behaviour as previous unbound release.
 +      - made automated test that checks if builtin root hints are uptodate.
 +      - finished draft-wijngaards-dnsext-resolver-side-mitigation
 +        implementation. The unwanted-reply-threshold can be set.
 +      - fixup so fptr_whitelist test in alloc.c works.
 +
 +21 October 2008: Wouter
 +      - fix update-anchors.sh, so it does not report different RR order
 +        as an update.  Sorts the keys in the file.  Updated copyright.
 +      - fixup testbound on windows, the command control pipe doesn't exist.
 +      - skip 08hostlib test on windows, no fork() available.
 +      - made unbound-remote work on windows.
 +
 +20 October 2008: Wouter
 +      - quench a log message that is debug only.
 +      - iana portlist updated.
 +      - do not query bogus nameservers.  It is like nameservers that have 
 +        the NS or A or AAAA record bogus are listed as donotquery.
 +      - if server selection is faced with only bad choices, it will
 +        attempt to get more options to be fetched.
 +      - changed bogus-ttl default value from 900 to 60 seconds.
 +        In anticipation that operator caused failures are more likely than
 +        actual attacks at this time.  And thus repeated validation helps
 +        the operators get the problem fixed sooner.  It makes validation
 +        failures go away sooner (60 seconds after the zone is fixed).
 +        Also it is likely to try different nameserver targets every minute,
 +        so that if a zone is bad on one server but not another, it is 
 +        likely to pick up the 'correct' one after a couple minutes,
 +        and if the TTL is big enough that solves validation for the zone.
 +      - fixup unbound-control compilation on windows.
 +
 +17 October 2008: Wouter
 +      - port Leopard/G5: fixup type conversion size_t/uint32.
 +        please ranlib, stop file without symbols warning.
 +      - harden referral path now also validates the root after priming.
 +        It looks up the root NS authoritatively as well as the root servers
 +        and attemps to validate the entries.
 +
 +16 October 2008: Wouter
 +      - Fixup negative TTL values appearing (reported by Attila Nagy).
 +
 +15 October 2008: Wouter
 +      - better documentation for 0x20; remove fallback TODO, it is done.
 +      - harden-referral-path feature includes A, AAAA queries for glue,
 +        as well as very careful NS caching (only when doing NS query).
 +        A, AAAA use the delegation from the NS-query.
 +
 +14 October 2008: Wouter
 +      - fwd_three.tpkg test was flaky.  If the three requests hit the
 +        wrong threads by chance (or bad OS) then the test would fail.
 +        Made less flaky by increasing number of retries.
 +      - stub_udp.tpkg changed to work, give root hints. fixed ldns_dname_abs.
 +      - ldns tarball is snapshot of ldns r2759 (1.4.0-pre-20081014).
 +        Which includes the ldns_dname_absolute fix.
 +      - fwd_three test remains flaky now that unbound does not stop
 +        listening when full.  Thus, removed timeout problem.
 +        It may be serviced by three threads, or maybe by one.
 +        Mostly only useful for lock-check testing now.
 +
 +13 October 2008: Wouter
 +      - fixed recursion servers deployed as authoritative detection, so
 +        that as a last resort, a +RD query is sent there to get the 
 +        correct answer.
 +      - iana port list update.
 +      - ldns tarball is snapshot of ldns r2759 (1.4.0-pre-20081013).
 +
 +10 October 2008: Wouter
 +      - fixup tests - the negative cache contained the correct NSEC3s for
 +        two tests that are supposed to fail to validate.
 +
 +9 October 2008: Wouter
 +      - negative cache caps max iterations of NSEC3 done.
 +      - NSEC3 negative cache for qtype DS works.
 +
 +8 October 2008: Wouter
 +      - NSEC negative cache for DS.
 +
 +6 October 2008: Wouter
 +      - jostle-timeout option, so you can config for slow links.
 +      - 0x20 fallback code.  Tries 3xnumber of nameserver addresses
 +        queries that must all be the same.  Sent to random nameservers.
 +      - documented choices for DoS, EDNS, 0x20.
 +
 +2 October 2008: Wouter
 +      - fixup unlink of pidfile.
 +      - fixup SHA256 algorithm collation code.
 +      - contrib/update-anchor.sh does not overwrite anchors if not needed.
 +        exits 0 when a restart is needed, other values if not.
 +        so,  update-anchor.sh -d mydir && /etc/rc.d/unbound restart
 +        can restart unbound exactly when needed.
 +
 +30 September 2008: Wouter
 +      - fixup SHA256 DS downgrade, no longer possible to downgrade to SHA1.
 +      - tests for sha256 support and downgrade resistance.
 +      - RSASHA256 and RSASHA512 support (using the draft in dnsext),
 +        using the drafted protocol numbers.
 +      - when using stub on localhost (127.0.0.1@10053) unbound works.
 +        Like when running NSD to host a local zone, on the same machine.
 +        The noprime feature. manpages more explanation. Added a test for it.
 +      - shorthand for reverse PTR,  local-data-ptr: "1.2.3.4 www.ex.com"
 +
 +29 September 2008: Wouter
 +      - EDNS lameness detection, if EDNS packets are dropped this is
 +        detected, eventually.
 +      - multiple query timeout rtt backoff does not backoff too much.
 +
 +26 September 2008: Wouter
 +      - tests for remote-control.
 +      - small memory leak in exception during remote control fixed.
 +      - fixup for lock checking but not unchecking in remote control.
 +      - iana portlist updated.
 +
 +23 September 2008: Wouter
 +      - Msg cache is loaded. A cache load enables cache responses.
 +      - unbound-control flush [name], flush_type and flush_zone.
 +
 +22 September 2008: Wouter
 +      - dump_cache and load_cache statements in unbound-control.
 +        RRsets are dumped and loaded correctly.
 +        Msg cache is dumped.
 +
 +19 September 2008: Wouter
 +      - locking on the localdata structure.
 +      - add and remove local zone and data with unbound-control.
 +      - ldns trunk snapshot updated, make tests work again.
 +
 +18 September 2008: Wouter
 +      - fixup error in time calculation.
 +      - munin plugin improvements.
 +      - nicer abbreviations for high query types values (ixfr, axfr, any...)
 +      - documented the statistics output in unbound-control man page.
 +      - extended statistics prints out histogram, over unbound-control.
 +
 +17 September 2008: Wouter
 +      - locking for threadsafe bogus rrset counter.
 +      - ldns trunk no longer exports b32 functions, provide compat.
 +      - ldns tarball updated.
 +      - testcode/ldns-testpkts.c const fixups.
 +      - fixed rcode stat printout.
 +      - munin plugin in contrib.
 +      - stats always printout uptime, because stats plugins need it.
 +
 +16 September 2008: Wouter
 +      - extended-statistics: yesno config option.
 +      - unwanted replies spoof nearmiss detector.
 +      - iana portlist updated.
 +
 +15 September 2008: Wouter
 +      - working start, stop, reload commands for unbound-control.
 +      - test for unbound-control working; better exit value for control.
 +      - verbosity control via unbound-control.
 +      - unbound-control stats.
 +
 +12 September 2008: Wouter
 +      - removed browser control mentions. Proto speccy.
 +
 +11 September 2008: Wouter
 +      - set nonblocking on new TCP streams, because linux does not inherit
 +        the socket options to the accepted socket.
 +      - fix TCP timeouts.
 +      - SSL protected connection between server and unbound-control.
 +
 +10 September 2008: Wouter
 +      - remove memleak in privacy addresses on reloads and quits.
 +      - remote control work.
 +
 +9 September 2008: Wouter
 +      - smallapp/unbound-control-setup.sh script to set up certificates.
 +
 +4 September 2008: Wouter
 +      - scrubber scrubs away private addresses.
 +      - test for private addresses. man page entry.
 +      - code refactored for name and address tree lookups.
 +
 +3 September 2008: Wouter
 +      - options for 'DNS Rebinding' protection: private-address and
 +        private-domain.
 +      - dnstree for reuse of routines that help with domain, addr lookups.
 +      - private-address and private-domain config option read, stored.
 +
 +2 September 2008: Wouter
 +      - DoS protection features. Queries are jostled out to make room.
 +      - testbound can pass time, increasing the internal timer.
 +      - do not mark unsigned additionals bogus, leave unchecked, which
 +        is removed too.
 +
 +1 September 2008: Wouter
 +      - disallow nonrecursive queries for cache snooping by default.
 +        You can allow is using access-control: <subnet> allow_snoop.
 +        The defaults do allow access no authoritative data without RD bit.
 +      - two tests for it and fixups of tests for nonrec refused.
 +
 +29 August 2008: Wouter
 +      - version 1.1 number in trunk.
 +      - harden-referral-path option for query for NS records.
 +        Default turns off expensive, experimental option.
 +
 +28 August 2008: Wouter
 +      - fixup logfile handling; it is created with correct permissions
 +        again. (from bugfix#199).
 +        Some errors are not written to logfile (pidfile writing, forking),
 +        and these are only visible by using the -d commandline flag.
 +
 +27 August 2008: Wouter
 +      - daemon(3) is causing problems for people. Reverting the patch.
 +        bug#200, and 199 and 203 contain sideline discussion on it.
 +      - bug#199 fixed: pidfile can be outside chroot. openlog is done before
 +        chroot and drop permissions.
 +      - config option to set size of aggressive negative cache,
 +        neg-cache-size.
 +      - bug#203 fixed: dlv has been implemented.
 +
 +26 August 2008: Wouter
 +      - test for insecure zone when DLV is in use, also does negative cache.
 +      - test for trustanchor when DLV is in use (the anchor works).
 +      - test for DLV used for a zone below a trustanchor.
 +      - added scrub filter for overreaching NSEC records and unit test.
 +      - iana portlist update
 +      - use of setresuid or setreuid when available.
 +      - use daemon(3) if available.
 +
 +25 August 2008: Wouter
 +      - realclean patch from Robert Edmonds.
 +
 +22 August 2008: Wouter
 +      - nicer debuglogging of DLV.
 +      - test with secure delegation inside the DLV repository.
 +
 +21 August 2008: Wouter
 +      - negative cache code linked into validator, for DLV use.
 +        negative cache works for DLV.
 +      - iana portlist update.
 +      - dlv-anchor option for unit tests.
 +      - fixup NSEC_AT_APEX classification for short typemaps.
 +      - ldns-testns has subdomain checks, for unit tests.
 +
 +20 August 2008: Wouter
 +      - negative cache code, reviewed.
 +
 +18 August 2008: Wouter
 +      - changes info: in logfile to notice: info: or debug: depending on 
 +        the verbosity of the statements.  Better logfile message
 +        classification.
 +      - bug #208: extra rc.d unbound flexibility for freebsd/nanobsd.
 +
 +15 August 2008: Wouter
 +      - DLV nsec code fixed for better detection of closest existing 
 +        enclosers from NSEC responses.
 +      - DLV works, straight to the dlv repository, so not for production.
 +      - Iana port update.
 +
 +14 August 2008: Wouter
 +      - synthesize DLV messages from the rrset cache, like done for DS.
 +
 +13 August 2008: Wouter
 +      - bug #203: nicer do-auto log message when user sets incompatible
 +        options.
 +      - bug #204: variable name ameliorated in log.c.
 +      - bug #206: in iana_update, no egrep, but awk use.
 +      - ldns snapshot r2699 taken (includes DLV type).
 +      - DLV work, config file element, trust anchor read in.
 +
 +12 August 2008: Wouter
 +      - finished adjusting testset to provide qtype NS answers.
 +
 +11 August 2008: Wouter
 +      - Fixup rrset security updates overwriting 2181 trust status.
 +        This makes validated to be insecure data just as worthless as
 +        nonvalidated data, and 2181 rules prevent cache overwrites to them.
 +      - Fix assertion fail on bogus key handling.
 +      - dnssec lameness detection works on first query at trust apex.
 +      - NS queries get proper cache and dnssec lameness treatment.
 +      - fixup compilation without pthreads on linux.
 +
 +8 August 2008: Wouter
 +      - NS queries are done after every referral.
 +        validator is used on those NS records (if anchors enabled).
 +
 +7 August 2008: Wouter
 +      - Scrubber more strict. CNAME chains, DNAMEs from cache, other 
 +        irrelevant rrsets removed.
 +      - 1.0.2 released from 1.0 support branch.
 +      - fixup update-anchor.sh to work both in BSD shell and bash.
 +
 +5 August 2008: Wouter
 +      - fixup DS test so apex nodata works again.
 +
 +4 August 2008: Wouter
 +      - iana port update. 
 +      - TODO update.
 +      - fix bug 201: null ptr deref on cleanup while udp pkts wait for port.
 +      - added explanatory text for outgoing-port-permit in manpage.
 +
 +30 July 2008: Wouter
 +      - fixup bug qtype DS for unsigned zone and signed parent validation.
 +
 +25 July 2008: Wouter
 +      - added original copyright statement of OpenBSD arc4random code.
 +      - created tube signaling solution on windows, as a pipe replacement.
 +        this makes background asynchronous resolution work on windows.
 +      - removed very insecure socketpair compat code. It also did not
 +        work with event_waiting. Solved by pipe replacement.
 +      - unbound -h prints openssl version number as well.
 +
 +22 July 2008: Wouter
 +      - moved pipe actions to util/tube.c. easier porting and shared code.
 +      - check _raw() commpoint callbacks with fptr_wlist.
 +      - iana port update.
 +
 +21 July 2008: Wouter
 +      - #198: nicer entropy warning message. manpage OS hints.
 +
 +19 July 2008: Wouter
 +      - #198: fixup man page to suggest chroot entropy fix.
 +
 +18 July 2008: Wouter
 +      - branch for 1.0 support.
 +      - trunk work on tube.c.
 +
 +17 July 2008: Wouter
 +      - fix bug #196, compile outside source tree.
 +      - fix bug #195, add --with-username=user configure option.
 +      - print error and exit if started with config that requires more
 +        fds than the builtin minievent can handle.
 +
 +16 July 2008: Wouter
 +      - made svn tag 1.0.1, trunk now 1.0.2
 +      - sha256 checksums enabled in makedist.sh
 +
 +15 July 2008: Wouter
 +      - Follow draft-ietf-dnsop-default-local-zones-06 added reverse
 +        IPv6 example prefix to AS112 default blocklist.
 +      - fixup lookup of DS records by client with trustanchor for same.
 +      - libunbound ub_resolve, fix handling of error condition during setup.
 +      - lowered log_hex blocksize to fit through BSD syslog linesize.
 +      - no useless initialisation if getpwnam not available.
 +      - iana, ldns snapshot updated.
 +
 +3 July 2008: Wouter
 +      - Matthijs fixed memory leaks in root hints file reading.
 +
 +26 June 2008: Wouter
 +      - fixup streamtcp bounds setting for udp mode, in the test framework.
 +      - contrib item for updating trust anchors.
 +
 +25 June 2008: Wouter
 +      - fixup fwd_ancil test typos.
 +      - Fix for newegg lameness : ok for qtype=A, but lame for others.
 +      - fixup unit test for infra cache, test lame merging.
 +      - porting to mingw, bind, listen, getsockopt and setsockopt error
 +        handling.
 +
 +24 June 2008: Wouter
 +      - removed testcode/checklocks from production code compilation path.
 +      - streamtcp can use UDP mode (connected UDP socket), for testing IPv6
 +        on windows.
 +      - fwd_ancil test fails if platform support is lacking.
 +
 +23 June 2008: Wouter
 +      - fixup minitpkg to cleanup on windows with its file locking troubles.
 +      - minitpkg shows skipped tests in report.
 +      - skip ipv6 tests on ipv4 only hosts (requires only ipv6 localhost not
 +        ipv6 connectivity).
 +      - winsock event handler keeps track of sticky TCP events, that have
 +        not been fully handled yet. when interest in the event(s) resumes,
 +        they are sent again. When WOULDBLOCK is returned events are cleared.
 +      - skip tests that need signals when testing on mingw.
 +
 +18 June 2008: Wouter
 +      - open testbound replay files in binary mode, because fseek/ftell
 +        do not work in ascii-mode on windows. The b does nothing on unix.
 +        unittest and testbound tests work on windows (xp too).
 +      - ioctlsocket prints nicer error message.
 +      - fixed up some TCP porting for winsock.
 +      - lack of IPv6 gives a warning, no fatal error.
 +      - use WSAGetLastError() on windows instead of errno for some errors.
 +
 +17 June 2008: Wouter
 +      - outgoing num fds 32 by default on windows ; it supports less
 +        fds for waiting on than unixes.
 +      - winsock_event minievent handler for windows. (you could also
 +        attempt to link with libevent/libev ports for windows).
 +      - neater crypto check and gdi32 detection.
 +      - unbound.exe works to resolve and validate www.nlnetlabs.nl on vista.
 +
 +16 June 2008: Wouter
 +      - on windows, use windows threads, mutex and thread-local-storage(Tls).
 +      - detect if openssl needs gdi32.
 +      - if no threading, THREADS_DISABLED is defined for use in the code.
 +      - sets USE_WINSOCK if using ws2_32 on windows.
 +      - wsa_strerror() function for more readable errors.
 +      - WSA Startup and Cleanup called in unbound.exe.
 +
 +13 June 2008: Wouter
 +      - port mingw32, more signal ifdefs, detect sleep, usleep, 
 +        random, srandom (used inside the tests).
 +      - signed or unsigned FD_SET is cast.
 +
 +10 June 2008: Wouter
 +      - fixup warnings compiling on eeepc xandros linux.
 +
 +9 June 2008: Wouter
 +      - in iteration response type code
 +        * first check for SOA record (negative answer) before NS record
 +          and lameness.
 +        * check if no AA bit for non-forwarder, and thus lame zone.
 +          In response to error report by Richard Doty for mail.opusnet.com.
 +      - fixup unput warning from lexer on freeBSD.
 +      - bug#183. pidfile, rundir, and chroot configure options. Also the
 +        example.conf and manual pages get the configured defaults.
 +        You can use: (or accept the defaults to /usr/local/etc/unbound/)
 +        --with-conf-file=filename
 +        --with-pidfile=filename
 +        --with-run-dir=path
 +        --with-chroot-dir=path
 +
 +8 June 2008: Wouter
 +      - if multiple CNAMEs, use the first one. Fixup akamai CNAME bug.
 +        Reported by Robert Edmonds.
 +      - iana port updated.
 +
 +4 June 2008: Wouter
 +      - updated libtool files with newer version.
 +      - iana portlist updated.
 +
 +3 June 2008: Wouter
 +      - fixup local-zone: "30.172.in-addr.arpa." nodefault, so that the
 +        trailing dot is not used during comparison.
 +
 +2 June 2008: Wouter
 +      - Jelte fixed bugs in my absence
 +        - bug 178: fixed unportable shell usage in configure (relied on 
 +          bash shell).
 +        - bug 180: fixed buffer overflow in unbound-checkconf use of strncat.
 +        - bug 181: fixed buffer overflow in ldns (called by unbound to parse
 +          config file parts).
 +      - fixes by Wouter
 +        - bug 177: fixed compilation failure on opensuse, the 
 +          --disable-static configure flag caused problems.  (Patch from 
 +          Klaus Singvogel)
 +        - bug 179: same fix as 177.
 +        - bug 185: --disable-shared not passed along to ldns included with 
 +          unbound. Fixed so that configure parameters are passed to the
 +          subdir configure script.
 +          fixed that ./libtool is used always, you can still override
 +          manually with ./configure libtool=mylibtool or set $libtool in
 +          the environment.
 +      - update of the ldns tarball to current ldns svn version (fix 181).
 +      - bug 184: -r option for unbound-host, read resolv.conf for 
 +        forwarder. (Note that forwarder must support DNSSEC for validation
 +        to succeed).
 +
 +23 May 2008: Wouter
 +      - mingw32 porting.
 +        - test for sys/wait.h
 +        - WSAEWOULDBLOCK test after nonblocking TCP connect.
 +        - write_iov_buffer removed: unused and no struct iov on windows.
 +        - signed/unsigned warning fixup mini_event.
 +        - use ioctlsocket to set nonblocking I/O if fnctl is unavailable.
 +        - skip signals that are not defined
 +        - detect pwd.h.
 +        - detect getpwnam, getrlimit, setsid, sbrk, chroot.
 +        - default config has no chroot if chroot() unavailable.
 +        - if no kill() then no pidfile is read or written.
 +        - gmtime_r is replaced by nonthreadsafe alternative if unavail.
 +          used in rrsig time validation errors.
 +
 +22 May 2008: Wouter
 +      - contrib unbound.spec from Patrick Vande Walle.
 +      - fixup bug#175: call tzset before chroot to have correct timestamps
 +        in system log.
 +      - do not generate lex input and lex unput functions.
 +      - mingw port. replacement functions labelled _unbound.
 +      - fix bug 174 - check for tcp_sigpipe that ldns-testns is installed.
 +
 +19 May 2008: Wouter
 +      - fedora 9, check in6_pktinfo define in configure.
 +      - CREDITS fixup of history.
 +      - ignore ldns-1.2.2 if installed, use builtin 1.3.0-pre alternative.
 +
 +16 May 2008: Wouter
 +      - fixup for MacOSX hosts file reading (reported by John Dickinson).
 +      - created 1.0.0 svn tag.
 +      - trunk version 1.0.1.
 +
 +14 May 2008: Wouter
 +      - accepted patch from Ondrej Sury for library version libtool option.
 +      - configure --disable-rpath fixes up libtool for rpath trouble.
 +        Adapted from debian package patch file.
 +
 +13 May 2008: Wouter
 +      - Added root ipv6 addresses to builtin root hints.
 +      - TODO modified for post 1.0 plans.
 +      - trunk version set to 1.0.0.
 +      - no unnecessary linking with librt (only when libevent/libev used).
 +
 +7 May 2008: Wouter
 +      - fixup no-ip4 problem with error callback in outside network.
 +
 +25 April 2008: Wouter
 +      - DESTDIR is honored by the Makefile for rpms.
 +      - contrib files unbound.spec and unbound.init, builds working RPM
 +        on FC7 Linux, a chrooted caching resolver, and libunbound.
 +      - iana ports update.
 +
 +24 April 2008: Wouter
 +      - chroot checks improved. working directory relative to chroot.
 +        checks if config file path is inside chroot. Documentation on it.
 +      - nicer example.conf text.
 +      - created 0.11 tag.
 +
 +23 April 2008: Wouter
 +      - parseunbound.pl contrib update from Kai Storbeck for threads.
 +      - iana ports update
 +
 +22 April 2008: Wouter
 +      - ignore SIGPIPE.
 +      - unit test for SIGPIPE ignore.
 +
 +21 April 2008: Wouter
 +      - FEATURES document.
 +      - fixup reread of config file if it was given as a full path
 +        and chroot was used.
 +
 +16 April 2008: Wouter
 +      - requirements doc, updated clean query returns.
 +      - parseunbound.pl update from Kai Storbeck.
 +      - sunos4 porting changes.
 +
 +15 April 2008: Wouter
 +      - fixup default rc.d pidfile location to /usr/local/etc.
 +      - iana ports updated.
 +      - copyright updated in ldns-testpkts to keep same as in ldns.
 +      - fixup checkconf chroot tests a bit more, chdir must be inside
 +        chroot dir.
 +      - documented 'gcc: unrecognized -KPIC option' errors on Solaris.
 +      - example.conf values changed to /usr/local/etc/unbound
 +      - DSA test work.
 +      - DSA signatures: unbound is compatible with both encodings found.
 +        It will detect and convert when necessary.
 +
 +14 April 2008: Wouter
 +      - got update for parseunbound.pl statistics script from Kai Storbeck.
 +      - tpkg tests for udp wait list.
 +      - documented 0x20 status.
 +      - fixup chroot and checkconf, it is much smarter now.
 +      - fixup DSA EVP signature decoding. Solution that Jelte found copied.
 +      - and check first sig byte for the encoding type.
 +
 +11 April 2008: Wouter
 +      - random port selection out of the configged ports.
 +      - fixup threadsafety for libevent-1.4.3+ (event_base_get_method).
 +      - removed base_port.
 +      - created 256-port ephemeral space for the OS, 59802 available.
 +      - fixup consistency of port_if out array during heavy use.
 +
 +10 April 2008: Wouter
 +      - --with-libevent works with latest libevent 1.4.99-trunk.
 +      - added log file statistics perl script to contrib.
 +      - automatic iana ports update from makefile. 60058 available.
 +
 +9 April 2008: Wouter
 +      - configure can detect libev(from its build directory) when passed
 +        --with-libevent=/home/wouter/libev-3.2
 +        libev-3.2 is a little faster than libevent-1.4.3-stable (about 5%).
 +      - unused commpoints not listed in epoll list.
 +      - statistics-cumulative option so that the values are not reset.
 +      - config creates array of available ports, 61841 available,
 +        it excludes <1024 and iana assigned numbers.
 +        config statements to modify the available port numbers.
 +
 +8 April 2008: Wouter
 +      - unbound tries to set the ulimit fds when started as server.
 +        if that does not work, it will scale back its requirements.
 +
 +27 March 2008: Wouter
 +      - documented /dev/random symlink from chrootdir as FAQ entry.
 +
 +26 March 2008: Wouter
 +      - implemented AD bit signaling. If a query sets AD bit (but not DO)
 +        then the AD bit is set in the reply if the answer validated.
 +        Without including DNSSEC signatures. Useful if you have a trusted
 +        path from the client to the resolver. Follows dnssec-updates draft.
 +
 +25 March 2008: Wouter
 +      - implemented check that for NXDOMAIN and NOERROR answers a query
 +        section must be present in the reply (by the scrubber). And it must
 +        be equal to the question sent, at least lowercase folded.
 +        Previously this feature happened because the cache code refused
 +        to store such messages. However blocking by the scrubber makes 
 +        sure nothing gets into the RRset cache. Also, this looks like a
 +        timeout (instead of an allocation failure) and this retries are
 +        done (which is useful in a spoofing situation).
 +      - RTT banding. Band size 400 msec, this makes band around zero (fast)
 +        include unknown servers. This makes unbound explore unknown servers.
 +
 +7 March 2008: Wouter
 +      - -C config feature for harvest program. 
 +      - harvest handles CNAMEs too.
 +
 +5 March 2008: Wouter
 +      - patch from Hugo Koji Kobayashi for iterator logs spelling.
 +
 +4 March 2008: Wouter
 +      - From report by Jinmei Tatuya, rfc2181 trust value for remainder
 +        of a cname trust chain is lower; not full answer_AA. 
 +      - test for this fix.
 +      - default config file location is /usr/local/etc/unbound.
 +        Thus prefix is used to determine the location. This is also the
 +        chroot and pidfile default location.
 +
 +3 March 2008: Wouter
 +      - Create 0.10 svn tag.
 +      - 0.11 version in trunk.
 +      - indentation nicer.
 +
 +29 February 2008: Wouter
 +      - documentation update.
 +      - fixup port to Solaris of perf test tool.
 +      - updated ldns-tarball with decl-after-statement fixes.
 +
 +28 February 2008: Wouter
 +      - fixed memory leaks in libunbound (during cancellation and wait).
 +      - libunbound returns the answer packet in full.
 +      - snprintf compat update.
 +      - harvest performs lookup.
 +      - ldns-tarball update with fix for ldns_dname_label.
 +      - installs to sbin by default.
 +      - install all manual pages (unbound-host and libunbound too).
 +
 +27 February 2008: Wouter
 +      - option to use caps for id randomness.
 +      - config file option use-caps-for-id: yes
 +      - harvest debug tool
 +
 +26 February 2008: Wouter
 +      - delay utility delays TCP as well. If the server that is forwarded 
 +        to has a TCP error, the delay utility closes the connection.
 +      - delay does REUSE_ADDR, and can handle a server that closes its end.
 +      - answers use casing from query.
 +
 +25 February 2008: Wouter
 +      - delay utility works. Gets decent thoughput too (>20000).
 +
 +22 February 2008: Wouter
 +      - +2% for recursions, if identical queries (except for destination
 +        and query ID) in the reply list, avoid re-encoding the answer.
 +      - removed TODO items for optimizations that do not show up in
 +        profile reports.
 +      - default is now minievent - not libevent. As its faster and
 +        not needed for regular installs, only for very large port ranges.
 +      - loop check different speedup pkt-dname-reading, 1% faster for
 +        nocache-recursion check.
 +      - less hashing during msg parse, 4% for recursion.
 +      - small speed fix for dname_count_size_labels, +1 or +2% recursion.
 +      - some speed results noted:
 +        optimization resulted in +40% for recursion (cache miss) and
 +        +70 to +80 for cache hits, and +96% for version.bind.
 +        zone nsec3 example, 100 NXDOMAIN queries, NSD 35182.8 Ub 36048.4
 +        www.nlnetlabs.nl from cache: BIND 8987.99 Ub 31218.3
 +        www with DO bit set : BIND 8269.31 Ub 28735.6 qps.
 +        So, unbound can be about equal qps to NSD in cache hits.
 +        And about 3.4x faster than BIND in cache performance.
 +      - delay utility for testing.
 +
 +21 February 2008: Wouter
 +      - speedup of root-delegation message encoding by 15%.
 +      - minor speedup of compress tree_lookup, maybe 1%.
 +      - speedup of dname_lab_cmp and memlowercmp - the top functions in 
 +        profiler output, maybe a couple percent when it matters.
 +
 +20 February 2008: Wouter
 +      - setup speec_cache for need-ldns-testns in dotests.
 +      - check number of queued replies on incoming queries to avoid overload
 +        on that account.
 +      - fptr whitelist checks are not disabled in optimize mode.
 +      - do-daemonize config file option.
 +      - minievent time share initializes time at start.
 +      - updated testdata for nsec3 new algorithm numbers (6, 7).
 +      - small performance test of packet encoding (root delegation).
 +
 +19 February 2008: Wouter
 +      - applied patch to unbound-host man page from Jan-Piet Mens.
 +      - fix donotquery-localhost: yes default (it erroneously was switched
 +        to default 'no').
 +      - time is only gotten once and the value is shared across unbound.
 +      - unittest cleans up crypto, so that it has no memory leaks.
 +      - mini_event shares the time value with unbound this results in 
 +        +3% speed for cache responses and +9% for recursions.
 +      - ldns tarball update with new NSEC3 sign code numbers.
 +      - perform several reads per UDP operation. This improves performance
 +        in DoS conditions, and costs very little in normal conditions.
 +        improves cache response +50%, and recursions +10%.
 +      - modified asynclook test. because the callback from async is not
 +        in any sort of lock (and thus can use all library functions freely),
 +        this causes a tiny race condition window when the last lock is 
 +        released for a callback and a new cancel() for that callback.
 +        The only way to remove this is by putting callbacks into some 
 +        lock window. I'd rather have the small possibility of a callback
 +        for a cancelled function then no use of library functions in 
 +        callbacks. Could be possible to only outlaw process(), wait(),
 +        cancel() from callbacks, by adding another lock, but I'd rather not.
 +
 +18 February 2008: Wouter
 +      - patch to unbound-host from Jan-Piet Mens.
 +      - unbound host prints errors if fails to configure context.
 +      - fixup perf to resend faster, so that long waiting requests do
 +        not hold up the queue, they become lost packets or SERVFAILs,
 +        or can be sent a little while later (i.e. processing time may 
 +        take long, but throughput has to be high).
 +      - fixup iterator operating in no cache conditions (RD flag unset
 +        after a CNAME).
 +      - streamlined code for RD flag setting.
 +      - profiled code and changed dname compares to be faster. 
 +        The speedup is about +3% to +8% (depending on the test).
 +      - minievent tests for eintr and eagain.
 +
 +15 February 2008: Wouter
 +      - added FreeBSD rc.d script to contrib.
 +      - --prefix option for configure also changes directory: pidfile:
 +        and chroot: defaults in config file.
 +      - added cache speed test, for cache size OK and cache too small.
 +
 +14 February 2008: Wouter
 +      - start without a config file (will complain, but start with
 +        defaults).
 +      - perf test program works.
 +
 +13 February 2008: Wouter
 +      - 0.9 released.
 +      - 1.0 development. Printout ldns version on unbound -h.
 +      - start of perf tool.
 +      - bugfix to read empty lines from /etc/hosts.
 +
 +12 February 2008: Wouter
 +      - fixup problem with configure calling itself if ldns-src tarball
 +        is not present.
 +
 +11 February 2008: Wouter
 +      - changed library to use ub_ instead of ub_val_ as prefix.
 +      - statistics output text nice.
 +      - etc/hosts handling.
 +      - library function to put logging to a stream.
 +      - set any option interface.
 +
 +8 February 2008: Wouter
 +      - test program for multiple queries over a TCP channel.
 +      - tpkg test for stream tcp queries.
 +      - unbound replies to multiple TCP queries on a TCP channel.
 +      - fixup misclassification of root referral with NS in answer
 +        when validating a nonrec query.
 +      - tag 0.9
 +      - layout of manpages, spelling fix in header, manpages process by
 +        makedist, list asynclook and tcpstream tests as ldns-testns
 +        required.
 +
 +7 February 2008: Wouter
 +      - moved up all current level 2 to be level 3. And 3 to 4.
 +        to make room for new debug level 2 for detailed information 
 +        for operators.
 +      - verbosity level 2. Describes recursion and validation.
 +      - cleaner configure script and fixes for libevent solaris.
 +      - signedness for log output memory sizes in high verbosity.
 +
 +6 February 2008: Wouter
 +      - clearer explanation of threading configure options.
 +      - fixup asynclook test for nothreading (it creates only one process
 +        to do the extended test).
 +      - changed name of ub_val_result_free to ub_val_resolve_free.
 +      - removes warning message during library linking, renamed
 +        libunbound/unbound.c -> libunbound.c and worker to libworker.
 +      - fallback without EDNS if result is NOTIMPL as well as on FORMERR.
 +
 +5 February 2008: Wouter
 +      - statistics-interval: seconds option added.
 +      - test for statistics option
 +      - ignore errors making directories, these can occur in parallel builds
 +      - fixup Makefile strip command and libunbound docs typo.
 +
 +31 January 2008: Wouter
 +      - bg thread/process reads and writes the pipe nonblocking all the time
 +        so that even if the pipe is buffered or so, the bg thread does not
 +        block, and services both pipes and queries.
 +
 +30 January 2008: Wouter
 +      - check trailing / on chrootdir in checkconf.
 +      - check if root hints and anchor files are in chrootdir.
 +      - no route to host tcp error is verbosity level 2. 
 +      - removed unused send_reply_iov. and its configure check.
 +      - added prints of 'remote address is 1.2.3.4 port 53' to errors
 +        from netevent; the basic socket errors.
 +
 +28 January 2008: Wouter
 +      - fixup uninit use of buffer by libunbound (query id, flags) for
 +        local_zone answers.
 +      - fixup uninit warning from random.c; also seems to fix sporadic
 +        sigFPE coming out of openssl.
 +      - made openssl entropy warning more silent for library use. Needs
 +        verbosity 1 now.
 +      - fixup forgotten locks for rbtree_searches on ctx->query tree.
 +      - random generator cleanup - RND_STATE_SIZE removed, and instead
 +        a super-rnd can be passed at init to chain init random states.
 +      - test also does lock checks if available.
 +      - protect config access in libworker_setup().
 +      - libevent doesn't like comm_base_exit outside of runloop.
 +      - close fds after removing commpoints only (for epoll, kqueue).
 +
 +25 January 2008: Wouter
 +      - added tpkg for asynclook and library use. 
 +      - allows localhost to be queried when as a library.
 +      - fixup race condition between cancel and answer (in case of
 +        really fast answers that beat the cancel).
 +      - please doxygen, put doxygen comment in one place.
 +      - asynclook -b blocking mode and test.
 +      - refactor asynclook, nicer code.
 +      - fixup race problems from opensll in rand init from library, with
 +        a mutex around the rand init.
 +      - fix pass async_id=NULL to _async resolve().
 +      - rewrote _wait() routine, so that it is threadsafe.
 +      - cancelation is threadsafe.
 +      - asynclook extended test in tpkg.
 +      - fixed two races where forked bg process waits for (somehow shared?)
 +        locks, so does not service the query pipe on the bg side.
 +        Now those locks are only held for fg_threads and for bg_as_a_thread.
 +
 +24 January 2008: Wouter
 +      - tested the cancel() function.
 +      - asynclook -c (cancel) feature.
 +      - fix fail to allocate context actions.
 +      - make pipe nonblocking at start.
 +      - update plane for retry mode with caution to limit bandwidth.
 +      - fix Makefile for concurrent make of unbound-host.
 +      - renamed ub_val_ctx_wait/poll/process/fd to ub_val*.
 +      - new calls to set forwarding added to header and docs.
 +
 +23 January 2008: Wouter
 +      - removed debug prints from if-auto, verb-algo enables some.
 +      - libunbound QUIT setup, remove memory leaks, when using threads
 +        will share memory for passing results instead of writing it over
 +        the pipe, only writes ID number over the pipe (towards the handler
 +        thread that does process() ).
 +
 +22 January 2008: Wouter
 +      - library code for async in libunbound/unbound.c.
 +      - fix link testbound.
 +      - fixup exit bug in mini_event.
 +      - background worker query enter and result functions.
 +      - bg query test application asynclook, it looks up multiple
 +        hostaddresses (A records) at the same time.
 +
 +21 January 2008: Wouter
 +      - libworker work, netevent raw commpoints, write_msg, serialize.
 +
 +18 January 2008: Wouter
 +      - touch up of manpage for libunbound.
 +      - support for IP_RECVDSTADDR (for *BSD ip4).
 +      - fix for BSD, do not use ip4to6 mapping, make two sockets, once
 +        ip6 and once ip4, uses socket options.
 +      - goodbye ip4to6 mapping.
 +      - update ldns-testpkts with latest version from ldns-trunk.
 +      - updated makedist for relative ldns pathnames.
 +      - library API with more information inside the result structure.
 +      - work on background resolves.
 +
 +17 January 2008: Wouter
 +      - fixup configure in case -lldns is installed.
 +      - fixup a couple of doxygen warnings, about enum variables.
 +      - interface-automatic now copies the interface address from the
 +        PKT_INFO structure as well.
 +      - manual page with library API, all on one page 'man libunbound'.
 +      - rewrite of PKTINFO structure, it also captures IP4 PKTINFO.
 +
 +16 January 2008: Wouter
 +      - incoming queries to the server with TC bit on are replied FORMERR.
 +      - interface-automatic replied the wrong source address on localhost
 +        queries. Seems to be due to ifnum=0 in recvmsg PKTINFO. Trying
 +        to use ifnum=-1 to mean 'no interface, use kernel route'.
 +
 +15 January 2008: Wouter
 +      - interface-automatic feature. experimental. Nice for anycast.
 +      - tpkg test for ip6 ancillary data.
 +      - removed debug prints.
 +      - porting experience, define for Solaris, test refined for BSD
 +        compatibility. The feature probably will not work on OpenBSD.
 +      - makedist fixup for ldns-src in build-dir.
 +
 +14 January 2008: Wouter
 +      - in no debug sets NDEBUG to remove asserts.
 +      - configure --enable-debug is needed for dependency generation
 +        for assertions and for compiler warnings.
 +      - ldns.tgz updated with ldns-trunk (where buffer.h is updated).
 +      - fix lint, unit test in optimize mode.
 +      - default access control allows ::ffff:127.0.0.1 v6mapped localhost.
 +      
 +11 January 2008: Wouter
 +      - man page, warning removed.
 +      - added text describing the use of stub zones for private zones.
 +      - checkconf tests for bad hostnames (IP address), and for doubled
 +        interface lines.
 +      - memory sizes can be given with 'k', 'Kb', or M or G appended.
 +
 +10 January 2008: Wouter
 +      - typo in example.conf.
 +      - made using ldns-src that is included the package more portable
 +        by linking with .lo instead of .o files in the ldns package.
 +      - nicer do-ip6: yes/no documentation.
 +      - nicer linking of libevent .o files.
 +      - man pages render correctly on solaris.
 +
 +9 January 2008: Wouter
 +      - fixup openssl RAND problem, when the system is not configured to
 +        give entropy, and the rng needs to be seeded.
 +
 +8 January 2008: Wouter
 +      - print median and quartiles with extensive logging.
 +
 +4 January 2008: Wouter
 +      - document misconfiguration in private network.
 +
 +2 January 2008: Wouter
 +      - fixup typo in requirements.
 +      - document that 'refused' is a better choice than 'drop' for 
 +        the access control list, as refused will stop retries.
 +
 +7 December 2007: Wouter
 +      - unbound-host has a -d option to show what happens. This can help
 +        with debugging (why do I get this answer).
 +      - fixup CNAME handling, on nodata, sets and display canonname.
 +      - dot removed from CNAME display.
 +      - respect -v for NXDOMAINs.
 +      - updated ldns-src.tar.gz with ldns-trunk today (1.2.2 fixes).
 +      - size_t to int for portability of the header file.
 +      - fixup bogus handling.
 +      - dependencies and lint for unbound-host.
 +
 +6 December 2007: Wouter
 +      - library resolution works in foreground mode, unbound-host app
 +        receives data.
 +      - unbound-host prints rdata using ldns.
 +      - unbound-host accepts trust anchors, and prints validation
 +        information when you give -v.
 +
 +5 December 2007: Wouter
 +      - locking in context_new() inside the function.
 +      - setup of libworker.
 +
 +4 December 2007: Wouter
 +      - minor Makefile fixup.
 +      - moved module-stack code out of daemon/daemon into services/modstack,
 +        preparing for code-reuse.
 +      - move context into own header file.
 +      - context query structure.
 +      - removed unused variable pwd from checkconf.
 +      - removed unused assignment from outside netw.
 +      - check timeval length of string.
 +      - fixup error in val_utils getsigner.
 +      - fixup same (*var) error in netblocktostr.
 +      - fixup memleak on parse error in localzone.
 +      - fixup memleak on packet parse error.
 +      - put ; after union in parser.y.
 +      - small hardening in iter_operate against iq==NULL.
 +      - hardening, if error reply with rcode=0 (noerror) send servfail.
 +      - fixup same (*var) error in find_rrset in msgparse, was harmless.
 +      - check return value of evtimer_add().
 +      - fixup lockorder in lruhash_reclaim(), building up a list of locked
 +        entries one at a time. Instead they are removed and unlocked.
 +      - fptr_wlist for markdelfunc.
 +      - removed is_locked param from lruhash delkeyfunc.
 +      - moved bin_unlock during bin_split purely to please.
 +
 +3 December 2007: Wouter
 +      - changed checkconf/ to smallapp/ to make room for more support tools.
 +        (such as unbound-host).
 +      - install dirs created with -m 755 because they need to be accessible.
 +      - library extensive featurelist added to TODO.
 +      - please doxygen, lint.
 +      - library test application, with basic functionality.
 +      - fix for building in a subdirectory. 
 +      - link lib fix for Leopard.
 +
 +30 November 2007: Wouter
 +      - makefile that creates libunbound.la, basic file or libunbound.a
 +        when creating static executables (no libtool).
 +      - more API setup.
 +
 +29 November 2007: Wouter
 +      - 0.9 public API start.
 +
 +28 November 2007: Wouter
 +      - Changeup plan for 0.8 - no complication needed, a simple solution
 +        has been chosen for authoritative features.
 +      - you can use single quotes in the config file, so it is possible
 +        to specify TXT records in local data.
 +      - fixup small memory problem in implicit transparent zone creation.
 +      - test for implicit zone creation and multiple RR RRsets local data.
 +      - local-zone nodefault test.
 +      - show testbound testlist on commit.
 +      - iterator normalizer changes CNAME chains ending in NXDOMAIN where
 +        the packet got rcode NXDOMAIN into rcode NOERROR. (since the initial
 +        domain exists).
 +      - nicer verbosity: 0 and 1 levels.
 +      - lower nonRDquery chance of eliciting wrongly typed validation
 +        requiring message from the cache.
 +      - fix for nonRDquery validation typing; nodata is detected when
 +        SOA record in auth section (all validation-requiring nodata messages
 +        have a SOA record in authority, so this is OK for the validator),
 +        and NS record is needed to be a referral.
 +      - duplicate checking when adding NSECs for a CNAME, and test.
 +      - created svn tag 0.8, after completing testbed tests.
 +
 +27 November 2007: Wouter
 +      - per suggestion in rfc2308, replaced default max-ttl value with 1 day.
 +      - set size of msgparse lookup table to 32, from 1024, so that its size
 +        is below the 2048 regional large size threshold, and does not cause
 +        a call to malloc when a message is parsed.
 +      - update of memstats tool to print number of allocation calls.
 +        This is what is taking time (not space) and indicates the avg size
 +        of the allocations as well. region_alloc stat is removed.
 +
 +22 November 2007: Wouter
 +      - noted EDNS in-the-middle dropping trouble as a TODO.
 +        At this point theoretical, no user trouble has been reported.
 +      - added all default AS112 zones.
 +      - answers from local zone content.
 +              * positive answer, the rrset in question
 +              * nodata answer (exist, but not that type).
 +              * nxdomain answer (domain does not exist).
 +              * empty-nonterminal answer.
 +              * But not: wildcard, nsec, referral, rrsig, cname/dname,
 +                      or additional section processing, NS put in auth.
 +      - test for correct working of static and transparent and couple
 +        of important defaults (localhost, as112, reverses). 
 +        Also checks deny and refuse settings.
 +      - fixup implicit zone generation and AA bit for NXDOMAIN on localdata.
 +
 +21 November 2007: Wouter
 +      - local zone internal data setup.
 +
 +20 November 2007: Wouter
 +      - 0.8 - str2list config support for double string config options.
 +      - local-zone and local-data options, config storage and documentation.
 +
 +19 November 2007: Wouter
 +      - do not downcase NSEC and RRSIG for verification. Follows 
 +        draft-ietf-dnsext-dnssec-bis-updates-06.txt.
 +      - fixup leaking unbound daemons at end of tests.
 +      - README file updated.
 +      - nice libevent not found error.
 +      - README talks about gnu make.
 +      - 0.8: unit test for addr_mask and fixups for it.
 +        and unit test for addr_in_common().
 +      - 0.8: access-control config file element.
 +        and unit test rpl replay file.
 +      - 0.8: fixup address reporting from netevent.
 +
 +16 November 2007: Wouter
 +      - privilege separation is not needed in unbound at this time.
 +        TODO item marked as such.
 +      - created beta-0.7 branch for support.
 +      - tagged 0.7 for beta release.
 +      - moved trunk to 0.8 for 0.8(auth features) development.
 +      - 0.8: access control list setup.
 +
 +15 November 2007: Wouter
 +      - review fixups from Jelte.
 +
 +14 November 2007: Wouter
 +      - testbed script does not recreate configure, since its in svn now.
 +      - fixup checkconf test so that it does not test 
 +        /etc/unbound/unbound.conf.
 +      - tag 0.6.
 +
 +13 November 2007: Wouter
 +      - remove debug print.
 +      - fixup testbound exit when LIBEVENT_SIGNAL_PROBLEM exists.
 +
 +12 November 2007: Wouter
 +      - fixup signal handling where SIGTERM could be ignored if a SIGHUP
 +        arrives later on.
 +      - bugreports to unbound-bugs@nlnetlabs.nl
 +      - fixup testbound so it exits cleanly.
 +      - cleanup the caches on a reload, so that rrsetID numbers won't clash.
 +
 +9 November 2007: Wouter
 +      - took ldns snapshot in repo.
 +      - default config file is /etc/unbound/unbound.conf.
 +        If it doesn't exist, it is installed with the doc/example.conf file.
 +        The file is not deleted on uninstall.
 +      - default listening is not all, but localhost interfaces.
 +      
 +8 November 2007: Wouter
 +      - Fixup chroot and drop user privileges.
 +      - new L root ip address in default hints.
 +
 +1 November 2007: Wouter
 +      - Fixup of crash on reload, due to anchors in env not NULLed after
 +        dealloc during deinit.
 +      - Fixup of chroot call. Happens after privileges are dropped, so
 +        that checking the passwd entry still works.
 +      - minor touch up of clear() hashtable function.
 +      - VERB_DETAIL prints out what chdir, username, chroot is being done.
 +      - when id numbers run out, caches are cleared, as in design notes.
 +        Tested with a mock setup with very few bits in id, it worked.
 +      - harden-dnssec-stripped: yes is now default. It insists on dnssec
 +        data for trust anchors. Included tests for the feature.
 +
 +31 October 2007: Wouter
 +      - cache-max-ttl config option.
 +      - building outside sourcedir works again.
 +      - defaults more secure:
 +              username: "unbound"
 +              chroot: "/etc/unbound"
 +        The operator can override them to be less secure ("") if necessary.
 +      - fix horrible oversight in sorting rrset references in a message,
 +        sort per reference key pointer, not on referencepointer itself.
 +      - pidfile: "/etc/unbound/unbound.pid" is now the default.
 +      - tests changed to reflect the updated default.
 +      - created hashtable clear() function that respects locks.
 +
 +30 October 2007: Wouter
 +      - fixup assertion failure that relied on compressed names to be
 +        smaller than uncompressed names. A packet from comrite.com was seen
 +        to be compressed to a larger size. Added it as unit test.
 +      - quieter logging at low verbosity level for common tcp messages.
 +      - no greedy TTL update.
 +
 +23 October 2007: Wouter
 +      - fixup (grand-)parent problem for dnssec-lameness detection.
 +      - fixup tests to do additional section processing for lame replies,
 +        since the detection needs that.
 +      - no longer trust in query section in reply during dnssec lame detect.
 +      - dnssec lameness does not make the server never ever queried, but
 +        non-preferred. If no other servers exist or answer, the dnssec lame
 +        server is used; the fastest dnssec lame server is chosen.
 +      - added test then when trust anchor cannot be primed (nodata), the
 +        insecure mode from unbound works.
 +      - Fixup max queries per thread, any more are dropped.
 +
 +22 October 2007: Wouter
 +      - added donotquerylocalhost config option. Can be turned off for
 +        out test cases.
 +      - ISO C compat changes.
 +      - detect RA-no-AA lameness, as LAME.
 +      - DNSSEC-lameness detection, as LAME.
 +        See notes in requirements.txt for choices made.
 +      - tests for lameness detection.
 +      - added all to make test target; need unbound for fwd tests.
 +      - testbound does not pollute /etc/unbound.
 +
 +19 October 2007: Wouter
 +      - added configure (and its files) to svn, so that the trunk is easier
 +        to use. ./configure, config.guess, config.sub, ltmain.sh,
 +        and config.h.in.
 +      - added yacc/lex generated files, util/configlexer.c, 
 +        util/configparser.c util/configparser.h, to svn. 
 +      - without lex no attempt to use it.
 +      - unsecure response validation collated into one block.
 +      - remove warning about const cast of cfgfile name.
 +      - outgoing-interfaces can be different from service interfaces.
 +      - ldns-src configure is done during unbound configure and
 +        ldns-src make is done during unbound make, and so inherits the
 +        make arguments from the unbound make invocation.
 +      - nicer error when libevent problem causes instant exit on signal.
 +      - read root hints from a root hint file (like BIND does).
 +        
 +18 October 2007: Wouter
 +      - addresses are logged with errors.
 +      - fixup testcode fake event to remove pending before callback
 +        since the callback may create new pending items.
 +      - tests updated because retries are now in iterator module.
 +      - ldns-testpkts code is checked for differences between unbound
 +        and ldns by makedist.sh.
 +      - ldns trunk from today added in svn repo for fallback in case
 +        no ldns is installed on the system.
 +        make download_ldns refreshes the tarball with ldns svn trunk.
 +      - ldns-src.tar.gz is used if no ldns is found on the system, and
 +        statically linked into unbound.
 +      - start of regional allocator code.
 +      - regional uses less memory and variables, simplified code.
 +      - remove of region-allocator.
 +      - alloc cache keeps a cache of recently released regional blocks,
 +        up to a maximum.
 +      - make unit test cleanly free memory.
 +
 +17 October 2007: Wouter
 +      - fixup another cycle detect and ns-addr timeout resolution bug.
 +        This time by refusing delegations from the cache without addresses
 +        when resolving a mandatory-glue nameserver-address for that zone.
 +        We're going to have to ask a TLD server anyway; might as well be
 +        the TLD server for this name. And this resolves a lot of cases where
 +        the other nameserver names lead to cycles or are not available.
 +      - changed random generator from random(3) clone to arc4random wrapped
 +        for thread safety. The random generator is initialised with
 +        entropy from the system.
 +      - fix crash where failure to prime DNSKEY tried to print null pointer
 +        in the log message.
 +      - removed some debug prints, only verb_algo (4) enables them.
 +      - fixup test; new random generator took new paths; such as one 
 +        where no scripted answer was available.
 +      - mark insecure RRs as insecure.
 +      - fixup removal of nonsecure items from the additional.
 +      - reduced timeout values to more realistic, 376 msec (262 msec has
 +        90% of roundtrip times, 512 msec has 99% of roundtrip times.)
 +      - server selection failover to next server after timeout (376 msec).
 +
 +16 October 2007: Wouter
 +      - no malloc in log_hex.
 +      - assertions around system calls.
 +      - protect against gethostname without ending zero.
 +      - ntop output is null terminated by unbound.
 +      - pidfile content null termination
 +      - various snprintf use sizeof(stringbuf) instead of fixed constant.
 +      - changed loopdetect % 8 with & 0x7 since % can become negative for
 +        weird negative input and particular interpretation of integer math.
 +      - dname_pkt_copy checks length of result, to protect result buffers.
 +        prints an error, this should not happen. Bad strings should have
 +        been rejected earlier in the program.
 +      - remove a size_t underflow from msgreply size func.
 +
 +15 October 2007: Wouter
 +      - nicer warning.
 +      - fix IP6 TCP, wrong definition check. With test package.
 +      - fixup the fact that the query section was not compressed to,
 +        the code was there but was called by value instead of by reference.
 +        And test for the case, uses xxd and nc.
 +      - more portable ip6 check for sockaddr types.
 +
 +8 October 2007: Wouter
 +      - --disable-rpath option in configure for 64bit systems with
 +        several dynamic lib dirs.
 +
 +7 October 2007: Wouter
 +      - fixup tests for no AD bit in non-DO queries.
 +      - test that makes sure AD bit is not set on non-DO query.
 +
 +6 October 2007: Wouter
 +      - removed logfile open early. It did not have the proper permissions;
 +        it was opened as root instead of the user. And we cannot change user
 +        id yet, since chroot and bind ports need to be done.
 +      - callback checks for event callbacks done from mini_event. Because
 +        of deletions cannot do this from netevent. This means when using
 +        libevent the protection does not work on event-callbacks.
 +      - fixup too small reply (did not zero counts).
 +      - fixup reply no longer AD bit when query without DO bit.
 +
 +5 October 2007: Wouter
 +      - function pointer whitelist.
 +
 +4 October 2007: Wouter
 +      - overwrite sensitive random seed value after use.
 +      - switch to logfile very soon if not -d (console attached).
 +      - error messages do not reveal the trustanchor contents.
 +      - start work on function pointer whitelists.
 +
 +3 October 2007: Wouter
 +      - fix for multiple empty nonterminals, after multiple DSes in the
 +        chain of trust.
 +      - mesh checks if modules are looping, and stops them.
 +      - refetch with CNAMEd nameserver address regression test added.
 +      - fixup line count bug in testcode, so testbound prints correct line
 +        number with parse errors.
 +      - unit test for multiple ENT case.
 +      - fix for cname out of validated unsec zone.
 +      - fixup nasty id=0 reuse. Also added assertions to detect its
 +        return (the assertion catches in the existing test cases).
 +
 +1 October 2007: Wouter
 +      - skip F77, CXX, objC tests in configure step.
 +      - fixup crash in refetch glue after a CNAME.
 +        and protection against similar failures (with error print).
 +
 +28 September 2007: Wouter
 +      - test case for unbound-checkconf, fixed so it also checks the
 +        interface: statements.
 +
 +26 September 2007: Wouter
 +      - SIGHUP will reopen the log file.
 +      - Option to log to syslog.
 +      - please lint, fixup tests (that went to syslog on open, oops).
 +      - config check program.
 +
 +25 September 2007: Wouter
 +      - tests for NSEC3. Fixup bitmap checks for NSEC3.
 +      - positive ANY response needs to check if wildcard expansion, and
 +        check that original data did not exist.
 +      - tests for NSEC3 that wrong use of OPTOUT is bad. For insecure
 +        delegation, for abuse of child zone apex nsec3.
 +      - create 0.5 release tag.
 +
 +24 September 2007: Wouter
 +      - do not make test programs by default.
 +      - But 'make test' will perform all of the tests.
 +      - Advertise builtin select libevent alternative when no libevent
 +        is found.
 +      - signit can generate NSEC3 hashes, for generating tests.
 +      - multiple nsec3 paramaters in message test.
 +      - too high nsec3 iterations becomes insecure test.
 +
 +21 September 2007: Wouter
 +      - fixup empty_DS_name allocated in wrong region (port DEC Alpha).
 +      - fixup testcode lock safety (port FreeBSD).
 +      - removes subscript has type char warnings (port Solaris 9).
 +      - fixup of field with format type to int (port MacOS/X intel).
 +      - added test for infinite loop case in nonRD answer validation.
 +        It was a more general problem, but hard to reproduce. When an
 +        unsigned rrset is being validated and the key fetched, the DS
 +        sequence is followed, but if the final name has no DS, then no
 +        proof is possible - the signature has been stripped off.
 +
 +20 September 2007: Wouter
 +      - fixup and test for NSEC wildcard with empty nonterminals. 
 +      - makedist.sh fixup for svn info.
 +      - acl features request in plan.
 +      - improved DS empty nonterminal handling.
 +      - compat with ANS nxdomain for empty nonterminals. Attempts the nodata
 +        proof anyway, which succeeds in ANS failure case.
 +      - striplab protection in case it becomes -1.
 +      - plans for static and blacklist config.
 +
 +19 September 2007: Wouter
 +      - comments about non-packed usage.
 +      - plan for overload support in 0.6.
 +      - added testbound tests for a failed resolution from the logs
 +        and for failed prime when missing glue.
 +      - fixup so useless delegation points are not returned from the
 +        cache. Also the safety belt is used if priming fails to complete.
 +      - fixup NSEC rdata not to be lowercased, bind compat.
 +
 +18 September 2007: Wouter
 +      - wildcard nsec3 testcases, and fixup to get correct wildcard name.
 +      - validator prints subtype classification for debug.
 +
 +17 September 2007: Wouter
 +      - NSEC3 hash cache unit test.
 +      - validator nsec3 nameerror test.
 +
 +14 September 2007: Wouter
 +      - nsec3 nodata proof, nods proof, wildcard proof.
 +      - nsec3 support for cname chain ending in noerror or nodata.
 +      - validator calls nsec3 proof routines if no NSECs prove anything.
 +      - fixup iterator bug where it stored the answer to a cname under
 +        the wrong qname into the cache. When prepending the cnames, the
 +        qname has to be reset to the original qname.
 +
 +13 September 2007: Wouter
 +      - nsec3 find matching and covering, ce proof, prove namerror msg.
 +
 +12 September 2007: Wouter
 +      - fixup of manual page warnings, like for NSD bugreport.
 +      - nsec3 work, config, max iterations, filter, and hash cache. 
 +
 +6 September 2007: Wouter
 +      - fixup to find libevent on mac port install.
 +      - fixup size_t vs unsigned portability in validator/sigcrypt.
 +      - please compiler on different platforms, for unreachable code.
 +      - val_nsec3 file.
 +      - pthread_rwlock type is optional, in case of old pthread libs.
 +
 +5 September 2007: Wouter
 +      - cname, name error validator tests.
 +      - logging of qtype ANY works.
 +      - ANY type answers get RRSIG in answer section of replies (but not
 +        in other sections, unless DO bit is on).
 +      - testbound can replay a TCP query (set MATCH TCP in the QUERY).
 +      - DS and noDS referral validation test.
 +      - if you configure many trust anchors, parent trust anchors can
 +        securely deny existance of child trust anchors, if validated.
 +      - not all *.name NSECs are present because a wildcard was matched,
 +        and *.name NSECs can prove nodata for empty nonterminals.
 +        Also, for wildcard name NSECs, check they are not from the parent
 +        zone (for wildcarded zone cuts), and check absence of CNAME bit,
 +        for a nodata proof.
 +      - configure option for memory allocation debugging.
 +      - port configure option for memory allocation to solaris10.
 +
 +4 September 2007: Wouter
 +      - fixup of Leakage warning when serviced queries processed multiple
 +        callbacks for the same query from the same server.
 +      - testbound removes config file from /tmp on failed exit.
 +      - fixup for referral cleanup of the additional section.
 +      - tests for cname, referral validation.
 +      - neater testbound tpkg output.
 +      - DNAMEs no longer match their apex when synthesized from the cache.
 +      - find correct signer name for DNAME responses.
 +      - wildcarded DNAME test and fixup code to detect.
 +      - prepend NSEC and NSEC3 rrsets in the iterator while chasing CNAMEs.
 +        So that wildcarded CNAMEs get their NSEC with them to the answer.
 +      - test for a CNAME to a DNAME to a CNAME to an answer, all from
 +        different domains, for key fetching and signature checking of
 +        CNAME'd messages.
 +
 +3 September 2007: Wouter
 +      - Fixed error in iterator that would cause assertion failure in 
 +        validator. CNAME to a NXDOMAIN response was collated into a response
 +        with both a CNAME and the NXDOMAIN rcode. Added a test that the
 +        rcode is changed to NOERROR (because of the CNAME).
 +      - timeout on tcp does not lead to spurious leakage detect.
 +      - account memory for name of lame zones, so that memory leakages does
 +        not show lame cache growth as a leakage growth.
 +      - config setting for lameness cache expressed in bytes, instead of
 +        number of entries.
 +      - tool too summarize allocations per code line.
 +
 +31 August 2007: Wouter
 +      - can read bind trusted-keys { ... }; files, in a compatibility mode. 
 +      - iterator should not detach target queries that it still could need.
 +        the protection against multiple outstanding queries is moved to a
 +        current_query num check.
 +      - validator nodata, positive, referral tests.
 +      - dname print can print '*' wildcard.
 +
 +30 August 2007: Wouter
 +      - fixup override date config option.
 +      - config options to control memory usage.
 +      - caught bad free of un-alloced data in worker_send error case.
 +      - memory accounting for key cache (trust anchors and temporary cache).
 +      - memory accounting fixup for outside network tcp pending waits.
 +      - memory accounting fixup for outside network tcp callbacks.
 +      - memory accounting for iterator fixed storage.
 +      - key cache size and slabs config options.
 +      - lib crypto cleanups at exit. 
 +
 +29 August 2007: Wouter
 +      - test tool to sign rrsets for testing validator with.
 +      - added RSA and DSA test keys, public and private pairs, 512 bits.
 +      - default configuration is with validation enabled.
 +        Only a trust-anchor needs to be configured for DNSSEC to work.
 +      - do not convert to DER for DSA signature verification.
 +      - validator replay test file, for a DS to DNSKEY DSA key prime and
 +        positive response.
 +
 +28 August 2007: Wouter
 +      - removed double use for udp buffers, that could fail,
 +        instead performs a malloc to do the backup.
 +      - validator validates referral messages, by validating all the rrsets
 +        and stores the rrsets in the cache. Further referral (nonRD queries)
 +        replies are made from the rrset cache directly. Unless unchecked
 +        rrsets are encountered, there are then validated.
 +      - enforce that signing is done by a parent domain (or same domain).
 +      - adjust TTL downwards if rrset TTL bigger than signature allows.
 +      - permissive mode feature, sets AD bit for secure, but bogus does
 +        not give servfail (bogus is changed into indeterminate).
 +      - optimization of rrset verification. rr canonical sorting is reused,
 +        for the same rrset. canonical rrset image in buffer is reused for
 +        the same signature.
 +      - if the rrset is too big (64k exactly + large owner name) the
 +        canonicalization routine will fail if it does not fit in buffer.
 +      - faster verification for large sigsets.
 +      - verb_detail mode reports validation failures, but not the entire
 +        algorithm for validation. Key prime failures are reported as 
 +        verb_ops level.
 +
 +27 August 2007: Wouter
 +      - do not garble the edns if a cache answer fails.
 +      - answer norecursive from cache if possible.
 +      - honor clean_additional setting when returning secure non-recursive
 +        referrals.
 +      - do not store referral in msg cache for nonRD queries.
 +      - store verification status in the rrset cache to speed up future
 +        verification.
 +      - mark rrsets indeterminate and insecure if they are found to be so.
 +        and store this in the cache.
 +
 +24 August 2007: Wouter
 +      - message is bogus if unsecure authority rrsets are present.
 +      - val-clean-additional option, so you can turn it off.
 +      - move rrset verification out of the specific proof types into one
 +        routine. This makes the proof routines prettier.
 +      - fixup cname handling in validator, cname-to-positive and cname-to-
 +        nodata work.
 +      - Do not synthesize DNSKEY and DS responses from the rrset cache if
 +        the rrset is from the additional section. Signatures may have
 +        fallen off the packet, and cause validation failure.
 +      - more verbose signature date errors (with the date attached).
 +      - increased default infrastructure cache size. It is important for
 +        performance, and 1000 entries are only 212k (or a 400 k total cache
 +        size). To 10000 entries (for 2M entries, 4M cache size).
 +
 +23 August 2007: Wouter
 +      - CNAME handling - move needs_validation to before val_new().
 +        val_new() setups the chase-reply to be an edited copy of the msg.
 +        new classification, and find signer can find for it. 
 +        removal of unsigned crap from additional, and query restart for
 +        cname.
 +      - refuse to follow wildcarded DNAMEs when validating.
 +        But you can query for qtype ANY, or qtype DNAME and validate that.
 +
 +22 August 2007: Wouter
 +      - bogus TTL.
 +      - review - use val_error().
 +
 +21 August 2007: Wouter
 +      - ANY response validation.
 +      - store security status in cache.
 +      - check cache security status and either send the query to be
 +        validated, return the query to client, or send servfail to client.
 +        Sets AD bit on validated replies.
 +      - do not examine security status on an error reply in mesh_done.
 +      - construct DS, DNSKEY messages from rrset cache.
 +      - manual page entry for override-date.
 +
 +20 August 2007: Wouter
 +      - validate and positive validation, positive wildcard NSEC validation.
 +      - nodata validation, nxdomain validation.
 +
 +18 August 2007: Wouter
 +      - process DNSKEY response in FINDKEY state.
 +
 +17 August 2007: Wouter
 +      - work on DS2KE routine.
 +      - val_nsec.c for validator NSEC proofs.
 +      - unit test for NSEC bitmap reading.
 +      - dname iswild and canonical_compare with unit tests.
 +
 +16 August 2007: Wouter
 +      - DS sig unit test.
 +      - latest release libevent 1.3c and 1.3d have threading fixed.
 +      - key entry fixup data pointer and ttl absolute.
 +      - This makes a key-prime succeed in validator, with DS or DNSKEY as
 +        trust-anchor.
 +      - fixup canonical compare byfield routine, fix bug and also neater.
 +      - fixed iterator response type classification for queries of type
 +        ANY and NS.
 +        dig ANY gives sometimes NS rrset in AN and NS section, and parser
 +        removes the NS section duplicate. dig NS gives sometimes the NS
 +        in the answer section, as referral.
 +      - validator FINDKEY state.
 +
 +15 August 2007: Wouter
 +      - crypto calls to verify signatures.
 +      - unit test for rrsig verification.
 +
 +14 August 2007: Wouter
 +      - default outgoing ports changed to avoid port 2049 by default.
 +        This port is widely blocked by firewalls.
 +      - count infra lameness cache in memory size.
 +      - accounting of memory improved
 +      - outbound entries are allocated in the query region they are for.
 +      - extensive debugging for memory allocations.
 +      - --enable-lock-checks can be used to enable lock checking.
 +      - protect undefs in config.h from autoheaders ministrations.
 +      - print all received udp packets. log hex will print on multiple
 +        lines if needed.
 +      - fixed error in parser with backwards rrsig references.
 +      - mark cycle targets for iterator did not have CD flag so failed
 +        its task.
 +
 +13 August 2007: Wouter
 +      - fixup makefile, if lexer is missing give nice error and do not
 +        mess up the dependencies.
 +      - canonical compare routine updated.
 +      - canonical hinfo compare.
 +      - printout list of the queries that the mesh is working on.
 +
 +10 August 2007: Wouter
 +      - malloc and free overrides that track total allocation and frees.
 +        for memory debugging.
 +      - work on canonical sort.
 +
 +9 August 2007: Wouter
 +      - canonicalization, signature checks
 +      - dname signature label count and unit test.
 +      - added debug heap size print to memory printout.
 +      - typo fixup in worker.c
 +      - -R needed on solaris.
 +      - validator override option for date check testing.
 +
 +8 August 2007: Wouter
 +      - ldns _raw routines created (in ldns trunk).
 +      - sigcrypt DS digest routines
 +      - val_utils uses sigcrypt to perform signature cryptography.
 +      - sigcrypt keyset processing
 +
 +7 August 2007: Wouter
 +      - security status type.
 +      - security status is copied when rdata is equal for rrsets.
 +      - rrset id is updated to invalidate all the message cache entries
 +        that refer to NSEC, NSEC3, DNAME rrsets that have changed.
 +      - val_util work
 +      - val_sigcrypt file for validator signature checks.
 +
 +6 August 2007: Wouter
 +      - key cache for validator.
 +      - moved isroot and dellabel to own dname routines, with unit test.
 +
 +3 August 2007: Wouter
 +      - replanning.
 +      - scrubber check section of lame NS set.
 +      - trust anchors can be in config file or read from zone file,
 +        DS and DNSKEY entries.
 +      - unit test trust anchor storage.
 +      - trust anchors converted to packed rrsets.
 +      - key entry definition.
 +
 +2 August 2007: Wouter
 +      - configure change for latest libevent trunk version (needs -lrt).
 +      - query_done and walk_supers are moved out of module interface.
 +      - fixup delegation point duplicates.
 +      - fixup iterator scrubber; lame NS set is let through the scrubber
 +        so that the classification is lame.
 +      - validator module exists, and does nothing but pass through,
 +        with calling of next module and return.
 +      - validator work.
 +
 +1 August 2007: Wouter
 +      - set version to 0.5
 +      - module work for module to module interconnections.
 +      - config of modules.
 +      - detect cycle takes flags.
 +
 +31 July 2007: Wouter
 +      - updated plan
 +      - release 0.4 tag.
 +
 +30 July 2007: Wouter
 +      - changed random state init, so that sequential process IDs are not
 +        cancelled out by sequential thread-ids in the random number seed.
 +      - the fwd_three test, which sends three queries to unbound, and 
 +        unbound is kept waiting by ldns-testns for 3 seconds, failed
 +        because the retry timeout for default by unbound is 3 seconds too,
 +        it would hit that timeout and fail the test. Changed so that unbound
 +        is kept waiting for 2 seconds instead.
 +
 +27 July 2007: Wouter
 +      - removed useless -C debug option. It did not work.
 +      - text edit of documentation.
 +      - added doc/CREDITS file, referred to by the manpages.
 +      - updated planning.
 +
 +26 July 2007: Wouter
 +      - cycle detection, for query state dependencies. Will attempt to
 +        circumvent the cycle, but if no other targets available fails.
 +      - unit test for AXFR, IXFR response.
 +      - test for cycle detection.
 +
 +25 July 2007: Wouter
 +      - testbound read ADDRESS and check it.
 +      - test for version.bind and friends.
 +      - test for iterator chaining through several referrals.
 +      - test and fixup for refetch for glue. Refetch fails if glue
 +        is still not provided.
 +
 +24 July 2007: Wouter
 +      - Example section in config manual.
 +      - Addr stored for range and moment in replay.
 +
 +20 July 2007: Wouter
 +      - Check CNAME chain before returning cache entry with CNAMEs.
 +      - Option harden-glue, default is on. It will discard out of zone
 +        data. If disabled, performance is faster, but spoofing attempts
 +        become a possibility. Note that still normalize scrubbing is done,
 +        and that the potentially spoofed data is used for infrastructure
 +        and not returned to the client.
 +      - if glue times out, refetch by asking parent of delegation again.
 +        Much like asking for DS at the parent side.
 +      - TODO items from forgery-resilience draft.
 +        and on memory handling improvements.
 +      - renamed module_event_timeout to module_event_noreply.
 +      - memory reporting code; reports on memory usage after handling
 +        a network packet (not on cache replies).
 +
 +19 July 2007: Wouter
 +      - shuffle NS selection when getting nameserver target addresses.
 +      - fixup of deadlock warnings, yield cpu in checklock code so that
 +        freebsd scheduler selects correct process to run.
 +      - added identity and version config options and replies.
 +      - store cname messages complete answers.
 +
 +18 July 2007: Wouter
 +      - do not query addresses, 127.0.0.1, and ::1 by default.
 +
 +17 July 2007: Wouter
 +      - forward zone options in config file.
 +      - forward per zone in iterator. takes precendence over stubs.
 +      - fixup commithooks.
 +      - removed forward-to and forward-to-port features, subsumed by
 +        new forward zones.
 +      - fix parser to handle absent server: clause.
 +      - change untrusted rrset test to account for scrubber that is now
 +        applied during the test (which removes the poison, by the way).
 +      - feature, addresses can be specified with @portnumber, like nsd.conf.
 +      - test config files changed over to new forwarder syntax.
 +
 +27 June 2007: Wouter
 +      - delete of mesh does a postorder traverse of the tree.
 +      - found and fixed a memory leak. For TTL=0 messages, that would
 +        not be cached, instead the msg-replyinfo structure was leaked.
 +      - changed server selection so it will filter out hosts that are
 +        unresponsive. This is defined as a host with the maximum rto value.
 +        This means that unbound tried the host for retries up to 120 secs.
 +        The rto value will time out after host-ttl seconds from the cache.
 +        This keeps such unresolvable queries from taking up resources.
 +      - utility for keeping histogram.
 +
 +26 June 2007: Wouter
 +      - mesh is called by worker, and iterator uses it.
 +        This removes the hierarchical code.
 +        QueryTargets state and Finished state are merged for iterator.
 +      - forwarder mode no longer sets AA bit on first reply.
 +      - rcode in walk_supers is not needed.
 +
 +25 June 2007: Wouter
 +      - more mesh work.
 +      - error encode routine for ease.
 +
 +22 June 2007: Wouter
 +      - removed unused _node iterator value from rbtree_t. Takes up space.
 +      - iterator can handle querytargets state without a delegation point
 +        set, so that a priming(stub) subquery error can be handled.
 +      - iterator stores if it is priming or not.
 +      - log_query_info() neater logging.
 +      - changed iterator so that it does not alter module_qstate.qinfo
 +        but keeps a chase query info. Also query_flags are not altered,
 +        the iterator uses chase_flags.
 +      - fixup crash in case no ports for the family exist.
 +
 +21 June 2007: Wouter
 +      - Fixup secondary buffer in case of error callback.
 +      - cleanup slumber list of runnable states.
 +      - module_subreq_depth fails to work in slumber list.
 +      - fixup query release for cached results to sub targets.
 +      - neater error for tcp connection failure, shows addr in verbose.
 +      - rbtree_init so that it can be used with preallocated memory.
 +
 +20 June 2007: Wouter
 +      - new -C option to enable coredumps after forking away.
 +      - doc update.
 +      - fixup CNAME generation by scrubber, and memory allocation of it.
 +      - fixup deletion of serviced queries when all callbacks delete too.
 +      - set num target queries to 0 when you move them to slumber list.
 +      - typo in check caused subquery errors to be ignored, fixed.
 +      - make lint happy about rlim_t.
 +      - freeup of modules after freeup of module-states.
 +      - duplicate replies work, this uses secondary udp buffer in outnet.
 +
 +19 June 2007: Wouter
 +      - nicer layout in stats.c, review 0.3 change.
 +      - spelling improvement, review 0.3 change.
 +      - uncapped timeout for server selection, so that very fast or slow
 +        servers will stand out from the rest.
 +      - target-fetch-policy: "3 2 1 0 0" config setting.
 +      - fixup queries answered without RD bit (for root prime results).
 +      - refuse AXFR and IXFR requests.
 +      - fixup RD flag in error reply from iterator. fixup RA flag from
 +        worker error reply.
 +      - fixup encoding of very short edns buffer sizes, now sets TC bit.
 +      - config options harden-short-bufsize and harden-large-queries.
 +
 +18 June 2007: Wouter
 +      - same, move subqueries to slumber list when first has resolved.
 +      - fixup last fix for duplicate callbacks.
 +      - another offbyone in targetcounter. Also in Java prototype by the way.
 +
 +15 June 2007: Wouter
 +      - if a query asks to be notified of the same serviced query result
 +        multiple times, this will succeed. Only one callback will happen;
 +        multiple outbound-list entries result (but the double cleanup of it
 +        will not matter).
 +      - when iterator moves on due to CNAME or referral, it will remove
 +        the subqueries (for other targets). These are put on the slumber
 +        list.
 +      - state module wait subq is OK with no new subqs, an old one may have
 +        stopped, with an error, and it is still waiting for other ones.
 +      - if a query loops, halt entire query (easy way to clean up properly).
 +
 +14 June 2007: Wouter
 +      - num query targets was > 0 , not >= 0 compared, so that fetch
 +        policy of 0 did nothing.
 +
 +13 June 2007: Wouter
 +      - debug option: configure --enable-static-exe for compile where
 +        ldns and libevent are linked statically. Default is off.
 +      - make install and make uninstall. Works with static-exe and without.
 +        installation of unbound binary and manual pages.
 +      - alignement problem fix on solaris 64.
 +      - fixup address in case of TCP error.
 +
 +12 June 2007: Wouter
 +      - num target queries was set to 0 at a bad time. Default it to 0 and
 +        increase as target queries are done.
 +      - synthesize CNAME and DNAME responses from the cache.
 +      - Updated doxygen config for doxygen 1.5.
 +      - aclocal newer version.
 +      - doxygen 1.5 fixes for comments (for the strict check on docs).
 +
 +11 June 2007: Wouter
 +      - replies on TCP queries have the address field set in replyinfo,
 +        for serviced queries, because the initiator does not know that
 +        a TCP fallback has occured.
 +      - omit DNSSEC types from nonDO replies, except if qtype is ANY or
 +        if qtype directly queries for the type (and then only show that
 +        'unknown type' in the answer section).
 +      - fixed message parsing where rrsigs on their own would be put
 +        in the signature list over the rrsig type.
 +
 +7 June 2007: Wouter
 +      - fixup error in double linked list insertion for subqueries and
 +        for outbound list of serviced queries for iterator module.
 +      - nicer printout of outgoing port selection. 
 +      - fixup cname target readout.
 +      - nicer debug output.
 +      - fixup rrset counts when prepending CNAMEs to the answer.
 +      - fixup rrset TTL for prepended CNAMEs.
 +      - process better check for looping modules, and which submodule to
 +        run next.
 +      - subreq insertion code fixup for slumber list.
 +      - VERB_DETAIL, verbosity: 2 level gives short but readable output.
 +        VERB_ALGO, verbosity: 3 gives extensive output.
 +      - fixup RA bit in cached replies.
 +      - fixup CNAME responses from the cache no longer partial response.
 +      - error in network send handled without leakage.
 +      - enable ip6 from config, and try ip6 addresses if available,
 +        if ip6 is not connected, skips to next server.
 +
 +5 June 2007: Wouter
 +      - iterator state finished.
 +      - subrequests without parent store in cache and stop.
 +      - worker slumber list for ongoing promiscuous queries.
 +      - subrequest error handling.
 +      - priming failure returns SERVFAIL.
 +      - priming gives LAME result, returns SERVFAIL.
 +      - debug routine to print dns_msg as handled by iterator.
 +      - memleak in config file stubs fixup.
 +      - more small bugs, in scrubber, query compare no ID for lookup,
 +        in dname validation for NS targets.
 +      - sets entry.key for new special allocs.
 +      - lognametypeclass can display unknown types and classes.
 +
 +4 June 2007: Wouter
 +      - random selection of equally preferred nameserver targets.
 +      - reply info copy routine. Reuses existing code.
 +      - cache lameness in response handling.
 +      - do not touch qstate after worker_process_query because it may have
 +        been deleted by that routine.
 +      - Prime response state.
 +      - Process target response state.
 +      - some memcmp changed to dname_compare for case preservation.
 +
 +1 June 2007: Wouter
 +      - normalize incoming messages. Like unbound-java, with CNAME chain
 +        checked, DNAME checked, CNAME's synthesized, glue checked.
 +      - sanitize incoming messages.
 +      - split msgreply encode functions into own file msgencode.c.
 +      - msg_parse to queryinfo/replyinfo conversion more versatile.
 +      - process_response, classify response, delegpt_from_message. 
 +
 +31 May 2007: Wouter
 +      - querytargets state.
 +      - dname_subdomain_c() routine.
 +      - server selection, based on RTT. ip6 is filtered out if not available,
 +        and lameness is checked too.
 +      - delegation point copy routine.
 +
 +30 May 2007: Wouter
 +      - removed FLAG_CD from message and rrset caches. This was useful for
 +        an agnostic forwarder, but not for a sophisticated (trust value per
 +        rrset enabled) cache.
 +      - iterator reponse typing.
 +      - iterator cname handle.
 +      - iterator prime start.
 +      - subquery work.
 +      - processInitRequest and processInitRequest2.
 +      - cache synthesizes referral messages, with DS and NSEC.
 +      - processInitRequest3.
 +      - if a request creates multiple subrequests these are all activated.
 +
 +29 May 2007: Wouter
 +      - routines to lock and unlock array of rrsets moved to cache/rrset.
 +      - lookup message from msg cache (and copy to region).
 +      - fixed cast error in dns msg lookup.
 +      - message with duplicate rrset does not increase its TTLs twice.
 +      - 'qnamesize' changed to 'qname_len' for similar naming scheme.
 +
 +25 May 2007: Wouter
 +      - Acknowledge use of unbound-java code in iterator. Nicer readme.
 +      - services/cache/dns.c DNS Cache. Hybrid cache uses msgcache and
 +        rrset cache from module environment.
 +      - packed rrset key has type and class as easily accessable struct
 +        members. They are still kept in network format for fast msg encode.
 +      - dns cache find_delegation routine.
 +      - iterator main functions setup.
 +      - dns cache lookup setup.
 +
 +24 May 2007: Wouter
 +      - small changes to prepare for subqueries.
 +      - iterator forwarder feature separated out.
 +      - iterator hints stub code, config file stub code, so that first
 +        testing can proceed locally.
 +      - replay tests now have config option to enable forwarding mode.
 +
 +23 May 2007: Wouter
 +      - outside network does precise timers for roundtrip estimates for rtt
 +        and for setting timeout for UDP. Pending_udp takes milliseconds.
 +      - cleaner iterator sockaddr conversion of forwarder address.
 +      - iterator/iter_utils and iter_delegpt setup.
 +      - root hints.
 +
 +22 May 2007: Wouter
 +      - outbound query list for modules and support to callback with the
 +        outbound entry to the module.
 +      - testbound support for new serviced queries.
 +      - test for retry to TCP cannot use testbound any longer.
 +      - testns test for EDNS fallback, test for TCP fallback already exists.
 +      - fixes for no-locking compile.
 +      - mini_event timer precision and fix for change in timeouts during
 +        timeout callback. Fix for fwd_three tests, performed nonexit query.
 +
 +21 May 2007: Wouter
 +      - small comment on hash table locking.
 +      - outside network serviced queries, contain edns and tcp fallback,
 +        and udp retries and rtt timing.
 +
 +16 May 2007: Wouter
 +      - lruhash_touch() would cause locking order problems. Fixup in 
 +        lock-verify in case locking cycle is found.
 +      - services/cache/rrset.c for rrset cache code.
 +      - special rrset_cache LRU updating function that uses the rrset id.
 +      - no dependencies calculation when make clean is called.
 +      - config settings for infra cache.
 +      - daemon code slightly cleaner, only creates caches once.
 +
 +15 May 2007: Wouter
 +      - host cache code.
 +      - unit test for host cache.
 +
 +14 May 2007: Wouter
 +      - Port to OS/X and Dec Alpha. Printf format and alignment fixes.
 +      - extensive lock debug report on join timeout.
 +      - proper RTT calculation, in utility code.
 +      - setup of services/cache/infra, host cache.
 +
 +11 May 2007: Wouter
 +      - iterator/iterator.c module.
 +      - fixup to pass reply_info in testcode and in netevent.
 +
 +10 May 2007: Wouter
 +      - created release-0.3 svn tag.
 +      - util/module.h
 +      - fixed compression - no longer compresses root name.
 +
 +9 May 2007: Wouter
 +      - outside network cleans up waiting tcp queries on exit.
 +      - fallback to TCP.
 +      - testbound replay with retry in TCP mode.
 +      - tpkg test for retry in TCP mode, against ldns-testns server.
 +      - daemon checks max number of open files and complains if not enough.
 +      - test where data expires in the cache.
 +      - compiletests: fixed empty body ifstatements in alloc.c, in case
 +        locks are disabled.
 +
 +8 May 2007: Wouter
 +      - outgoing network keeps list of available tcp buffers for outgoing 
 +        tcp queries.
 +      - outgoing-num-tcp config option.
 +      - outgoing network keeps waiting list of queries waiting for buffer.
 +      - netevent supports outgoing tcp commpoints, nonblocking connects.
 +
 +7 May 2007: Wouter
 +      - EDNS read from query, used to make reply smaller.
 +      - advertised edns value constants.
 +      - EDNS BADVERS response, if asked for too high edns version.
 +      - EDNS extended error reponses once the EDNS record from the query
 +        has successfully been parsed.
 +
 +4 May 2007: Wouter
 +      - msgreply sizefunc is more accurate.
 +      - config settings for rrset cache size and slabs.
 +      - hashtable insert takes argument so that a thread can use its own
 +        alloc cache to store released keys.
 +      - alloc cache special_release() locks if necessary.
 +      - rrset trustworthiness type added.
 +      - thread keeps a scratchpad region for handling messages.
 +      - writev used in netevent to write tcp length and data after another.
 +        This saves a roundtrip on tcp replies.
 +      - test for one rrset updated in the cache.
 +      - test for one rrset which is not updated, as it is not deemed
 +        trustworthy enough.
 +      - test for TTL refreshed in rrset.
 +
 +3 May 2007: Wouter
 +      - fill refs. Use new parse and encode to answer queries.
 +      - stores rrsets in cache.
 +      - uses new msgreply format in cache.
 +
 +2 May 2007: Wouter
 +      - dname unit tests in own file and spread out neatly in functions.
 +      - more dname unit tests.
 +      - message encoding creates truncated TC flagged messages if they do 
 +        not fit, and will leave out (whole)rrsets from additional if needed.
 +
 +1 May 2007: Wouter
 +      - decompress query section, extremely lenient acceptance.
 +        But only for answers from other servers, not for plain queries.
 +      - compression and decompression test cases.
 +      - some stats added.
 +      - example.conf interface: line is changed from 127.0.0.1 which leads
 +        to problems if used (restricting communication to the localhost),
 +        to a documentation and test address.
 +
 +27 April 2007: Wouter
 +      - removed iov usage, it is not good for dns message encoding.
 +      - owner name compression more optimal.
 +      - rrsig owner name compression.
 +      - rdata domain name compression.
 +
 +26 April 2007: Wouter
 +      - floating point exception fix in lock-verify.
 +      - lint uses make dependency
 +      - fixup lint in dname owner domain name compression code.
 +      - define for offset range that can be compressed to.
 +
 +25 April 2007: Wouter
 +      - prettier code; parse_rrset->type kept in host byte order.
 +      - datatype used for hashvalue of converted rrsig structure.
 +      - unit test compares edns section data too.
 +
 +24 April 2007: Wouter
 +      - ttl per RR, for RRSIG rrsets and others.
 +      - dname_print debug function.
 +      - if type is not known, size calc will skip DNAME decompression.
 +      - RRSIG parsing and storing and putting in messages.
 +      - dnssec enabled unit tests (from nlnetlabs.nl and se queries).
 +      - EDNS extraction routine.
 +
 +20 April 2007: Wouter
 +      - code comes through all of the unit tests now.
 +      - disabled warning about spurious extra data.
 +      - documented the RRSIG parse plan in msgparse.h.
 +      - rrsig reading and outputting.
 +
 +19 April 2007: Wouter
 +      - fix unit test to actually to tests.
 +      - fix write iov helper, and fakevent code.
 +      - extra builtin testcase (small packet).
 +      - ttl converted to network format in packets.
 +      - flags converted correctly
 +      - rdatalen off by 2 error fixup.
 +      - uses less iov space for header.
 +
 +18 April 2007: Wouter
 +      - review of msgparse code.
 +      - smaller test cases.
 +
 +17 April 2007: Wouter
 +      - copy and decompress dnames.
 +      - store calculated hash value too.
 +      - routine to create message out of stored information.
 +      - util/data/msgparse.c for message parsing code.
 +      - unit test, and first fixes because of test.
 +              * forgot rrset_count addition.
 +              * did & of ptr on stack for memory position calculation.
 +              * dname_pkt_copy forgot to read next label length.
 +      - test from file and fixes
 +              * double frees fixed in error conditions.
 +              * types with less than full rdata allowed by parser.
 +                Some dynamic update packets seem to use it.
 +
 +16 April 2007: Wouter
 +      - following a small change in LDNS, parsing code calculates the
 +        memory size to allocate for rrs.
 +      - code to handle ID creation.
 +
 +13 April 2007: Wouter
 +      - parse routines. Code that parses rrsets, rrs.
 +
 +12 April 2007: Wouter
 +      - dname compare routine that preserves case, with unit tests.
 +      
 +11 April 2007: Wouter
 +      - parse work - dname packet parse, msgparse, querysection parse,
 +        start of sectionparse.
 +
 +10 April 2007: Wouter
 +      - Improved alignment of reply_info packet, nice for 32 and 64 bit.
 +      - Put RRset counts in reply_info, because the number of RRs can change
 +        due to RRset updates.
 +      - import of region-allocator code from nsd.
 +      - set alloc special type to ub_packed_rrset_key.
 +        Uses lruhash entry overflow chain next pointer in alloc cache.
 +      - doxygen documentation for region-allocator.
 +      - setup for parse scratch data.
 +
 +5 April 2007: Wouter
 +      - discussed packed rrset with Jelte.
 +
 +4 April 2007: Wouter
 +      - moved to version 0.3.
 +      - added util/data/dname.c
 +      - layout of memory for rrsets.
 +
 +3 April 2007: Wouter
 +      - detect sign of msghdr.msg_iovlen so that the cast to that type
 +        in netevent (which is there to please lint) can be correct.
 +        The type on several OSes ranges from int, int32, uint32, size_t.
 +        Detects unsigned or signed using math trick.
 +      - constants for DNS flags. 
 +      - compilation without locks fixup.
 +      - removed include of unportable header from lookup3.c.
 +      - more portable use of struct msghdr.
 +      - casts for printf warning portability.
 +      - tweaks to tests to port them to the testbed.
 +      - 0.2 tag created.
 +
 +2 April 2007: Wouter
 +      - check sizes of udp received messages, not too short.
 +      - review changes. Some memmoves can be memcpys: 4byte aligned.
 +        set id correctly on cached answers. 
 +      - review changes msgreply.c, memleak on error condition. AA flag
 +        clear on cached reply. Lowercase queries on hashing.
 +        unit test on lowercasing. Test AA bit not set on cached reply.
 +        Note that no TTLs are managed.
 +
 +29 March 2007: Wouter
 +      - writev or sendmsg used when answering from cache.
 +        This avoids a copy of the data.
 +      - do not do useless byteswap on query id. Store reply flags in uint16
 +        for easier access (and no repeated byteswapping).
 +      - reviewed code.
 +      - configure detects and config.h includes sys/uio.h for writev decl.
 +
 +28 March 2007: Wouter
 +      - new config option: num-queries-per-thread.
 +      - added tpkg test for answering three queries at the same time
 +        using one thread (from the query service list).
 +
 +27 March 2007: Wouter
 +      - added test for cache and not cached answers, in testbound replays.
 +      - testbound can give config file and commandline options from the
 +        replay file to unbound.
 +      - created test that checks if items drop out of the cache.
 +      - added word 'partitioned hash table' to documentation on slab hash.
 +        A slab hash is a partitioned hash table.
 +      - worker can handle multiple queries at a time.
 +
 +26 March 2007: Wouter
 +      - config settings for slab hash message cache.
 +      - test for cached answer.
 +      - Fixup deleting fake answer from testbound list.
 +
 +23 March 2007: Wouter
 +      - review of yesterday's commits.
 +      - covered up memory leak of the entry locks.
 +      - answers from the cache correctly. Copies flags correctly.
 +      - sanity check for incoming query replies.
 +      - slabbed hash table. Much nicer contention, need dual cpu to see.
 +
 +22 March 2007: Wouter
 +      - AIX configure check.
 +      - lock-verify can handle references to locks that are created
 +        in files it has not yet read in.
 +      - threaded hash table test. 
 +      - unit test runs lock-verify afterwards and checks result.
 +      - need writelock to update data on hash_insert.
 +      - message cache code, msgreply code.
 +
 +21 March 2007: Wouter
 +      - unit test of hash table, fixup locking problem in table_grow().
 +      - fixup accounting of sizes for removing items from hashtable.
 +      - unit test for hash table, single threaded test of integrity.
 +      - lock-verify reports errors nicely. More quiet in operation.
 +
 +16 March 2007: Wouter
 +      - lock-verifier, checks consistent order of locking.
 +
 +14 March 2007: Wouter
 +      - hash table insert (and subroutines) and lookup implemented.
 +      - hash table remove.
 +      - unit tests for hash internal bin, lru functions.
 +
 +13 March 2007: Wouter
 +      - lock_unprotect in checklocks.
 +      - util/storage/lruhash.h for LRU hash table structure.
 +
 +12 March 2007: Wouter
 +      - configure.ac moved to 0.2.
 +      - query_info and replymsg util/data structure.
 +
 +9 March 2007: Wouter
 +      - added rwlock writelock checking.
 +        So it will keep track of the writelock, and readlocks are enforced
 +        to not change protected memory areas.
 +      - log_hex function to dump hex strings to the logfile.
 +      - checklocks zeroes its destroyed lock after checking memory areas.
 +      - unit test for alloc.
 +      - identifier for union in checklocks to please older compilers.
 +      - created 0.1 tag.
 +
 +8 March 2007: Wouter
 +      - Reviewed checklock code.
 +
 +7 March 2007: Wouter
 +      - created a wrapper around thread calls that performs some basic
 +        checking for data race and deadlock, and basic performance 
 +        contention measurement.
 +
 +6 March 2007: Wouter
 +      - Testbed works with threading (different machines, different options).
 +      - alloc work, does the special type.
 +
 +2 March 2007: Wouter
 +      - do not compile fork funcs unless needed. Otherwise will give
 +        type errors as their typedefs have not been enabled.
 +      - log shows thread numbers much more nicely (and portably).
 +      - even on systems with nonthreadsafe libevent signal handling,
 +        unbound will exit if given a signal.
 +        Reloads will not work, and exit is not graceful.
 +      - start of alloc framework layout.
 +
 +1 March 2007: Wouter
 +      - Signals, libevent and threads work well, with libevent patch and
 +        changes to code (close after event_del).
 +      - set ipc pipes nonblocking.
 +
 +27 February 2007: Wouter
 +      - ub_thread_join portable definition.
 +      - forking is used if no threading is available.
 +        Tested, it works, since pipes work across processes as well.
 +        Thread_join is replaced with waitpid. 
 +      - During reloads the daemon will temporarily handle signals,
 +        so that they do not result in problems.
 +      - Also randomize the outgoing port range for tests.
 +      - If query list is full, will stop selecting listening ports for read.
 +        This makes all threads service incoming requests, instead of one.
 +        No memory is leaking during reloads, service of queries, etc.
 +      - test that uses ldns-testns -f to test threading. Have to answer
 +        three queries at the same time.
 +      - with verbose=0 operates quietly.
 +
 +26 February 2007: Wouter
 +      - ub_random code used to select ID and port.
 +      - log code prints thread id.
 +      - unbound can thread itself, with reload(HUP) and quit working
 +        correctly.
 +      - don't open pipes for #0, doesn't need it.
 +      - listens to SIGTERM, SIGQUIT, SIGINT (all quit) and SIGHUP (reload).
 +
 +23 February 2007: Wouter
 +      - Can do reloads on sigHUP. Everything is stopped, and freed,
 +        except the listening ports. Then the config file is reread.
 +        And everything is started again (and listening ports if needed).
 +      - Ports for queries are shared.
 +      - config file added interface:, chroot: and username:.
 +      - config file: directory, logfile, pidfile. And they work too.
 +      - will daemonize by default now. Use -d to stay in the foreground.
 +      - got BSD random[256 state] code, made it threadsafe. util/random.
 +
 +22 February 2007: Wouter
 +      - Have a config file. Removed commandline options, moved to config.
 +      - tests use config file.
 +
 +21 February 2007: Wouter
 +      - put -c option in man page.
 +      - minievent fd array capped by FD_SETSIZE.
 +
 +20 February 2007: Wouter
 +      - Added locks code and pthread spinlock detection.
 +      - can use no locks, or solaris native thread library.
 +      - added yacc and lex configure, and config file parsing code.
 +        also makedist.sh, and manpage.
 +      - put include errno.h in config.h
 +
 +19 February 2007: Wouter
 +      - Created 0.0 svn tag.
 +      - added acx_pthread.m4 autoconf check for pthreads from 
 +        the autoconf archive. It is GPL-with-autoconf-exception Licensed.
 +        You can specify --with-pthreads, or --without-pthreads to configure.
 +
 +16 February 2007: Wouter
 +      - Updated testbed script, works better by using make on remote end.
 +      - removed check decls, we can compile without them.
 +      - makefile supports LIBOBJ replacements.
 +      - docs checks ignore compat code.
 +      - added util/mini-event.c and .h, a select based alternative used with
 +        ./configure --with-libevent=no
 +        It is limited to 1024 file descriptors, and has less features.
 +      - will not create ip6 sockets if ip6 not on the machine.
 +
 +15 February 2007: Wouter
 +      - port to FreeBSD 4.11 Dec Alpha. Also works on Solaris 10 sparc64,
 +        Solaris 9, FreeBSD 6, Linux i386 and OSX powerpc.
 +      - malloc rndstate, so that it is aligned for access.
 +      - fixed rbtree cleanup with postorder traverse.
 +      - fixed pending messages are deleted when handled.
 +      - You can control verbosity; default is not verbose, every -v
 +        adds more verbosity.
 +
 +14 February 2007: Wouter
 +      - Included configure.ac changes from ldns.
 +      - detect (some) headers before the standards check.
 +      - do not use isblank to test c99, since its not available on solaris9.
 +      - review of testcode.
 +              * entries in a RANGE are no longer reversed.
 +              * print name of file with replay entry parse errors.
 +      - port to OSX: cast to int for some prints of sizet.
 +      - Makefile copies ldnstestpkts.c before doing dependencies on it.
 +
 +13 February 2007: Wouter
 +      - work on fake events, first fwd replay works.
 +      - events can do timeouts and errors on queries to servers.
 +      - test package that runs replay scenarios.
 +
 +12 February 2007: Wouter
 +      - work on fake events.
 +
 +9 February 2007: Wouter
 +      - replay file reading.
 +      - fake event setup, it creates fake structures, and teardowns,
 +        added signal callbacks to reply to be able to fake those,
 +        and main structure of event replay routines.
 +
 +8 February 2007: Wouter
 +      - added tcp test.
 +      - replay storage.
 +      - testcode/fake_event work.
 +
 +7 February 2007: Wouter
 +      - return answer with the same ID as query was sent with.
 +      - created udp forwarder test. I've done some effort to make it perform
 +        quickly. After servers are created, no big sleep statements but
 +        it checks the logfiles to see if servers have come up. Takes 0.14s.
 +      - set addrlen value when calling recvfrom.
 +      - comparison of addrs more portable.
 +      - LIBEVENT option for testbed to set libevent directory.
 +      - work on tcp input.
 +
 +6 February 2007: Wouter
 +      - reviewed code and improved in places.
 +
 +5 February 2007: Wouter
 +      - Picked up stdc99 and other define tests from ldns. Improved
 +        POSIX define test to include getaddrinfo.
 +      - defined constants for netevent callback error code.
 +      - unit test for strisip6.
 +
 +2 February 2007: Wouter
 +      - Created udp4 and udp6 port arrays to provide service for both
 +        address families.
 +      - uses IPV6_USE_MIN_MTU for udp6 ,IPV6_V6ONLY to make ip6 sockets.
 +      - listens on both ip4 and ip6 ports to provide correct return address.
 +      - worker fwder address filled correctly.
 +      - fixup timer code.
 +      - forwards udp queries and sends answer.
 +
 +1 February 2007: Wouter
 +      - outside network more UDP work.
 +      - moved * closer to type.
 +      - comm_timer object and events.
 +
 +31 January 2007: Wouter
 +      - Added makedist.sh script to make release tarball.
 +      - Removed listen callback layer, did not add anything.
 +      - Added UDP recv to netevent, worker callback for udp.
 +      - netevent communication reply storage structure.
 +      - minimal query header sanity checking for worker.
 +      - copied over rbtree implementation from NSD (BSD licensed too).
 +      - outgoing network query service work.
 +
 +30 January 2007: Wouter
 +      - links in example/ldns-testpkts.c and .h for premade packet support.
 +      - added callback argument to listen_dnsport and daemon/worker.
 +
 +29 January 2007: Wouter
 +      - unbound.8 a short manpage.
 +
 +26 January 2007: Wouter
 +      - fixed memleak.
 +      - make lint works on BSD and Linux (openssl defines).
 +      - make tags works.
 +      - testbound program start.
 +
 +25 January 2007: Wouter
 +      - fixed lint so it may work on BSD.
 +      - put license into header of every file.
 +      - created verbosity flag.
 +      - fixed libevent configure flag.
 +      - detects event_base_free() in new libevent 1.2 version.
 +      - getopt in daemon. fatal_exit() and verbose() logging funcs.
 +      - created log_assert, that throws assertions to the logfile.
 +      - listen_dnsport service. Binds ports.
 +
 +24  January 2007: Wouter
 +      - cleaned up configure.ac.
 +
 +23  January 2007: Wouter
 +      - added libevent to configure to link with.
 +      - util/netevent setup work.
 +      - configure searches for libevent.
 +      - search for libs at end of configure (when other headers and types
 +        have been found).
 +      - doxygen works with ATTR_UNUSED().
 +      - util/netevent implementation.
 +
 +22  January 2007: Wouter
 +      - Designed header file for network communication.
 +
 +16  January 2007: Wouter
 +      - added readme.svn and readme.tests.
 +
 +4 January 2007: Wouter
 +      - Testbed script (run on multiple platforms the test set).
 +        Works on Sunos9, Sunos10, FreeBSD 6.1, Fedora core 5.
 +      - added unit test tpkg.
 +
 +3 January 2007: Wouter
 +      - committed first set of files into subversion repository.
 +        svn co svn+ssh://unbound.net/svn/unbound
 +        You need a ssh login.  There is no https access yet.
 +      - Added LICENSE, the BSD license.
 +      - Added doc/README with compile help.
 +      - main program stub and quiet makefile.
 +      - minimal logging service (to stderr).
 +      - added postcommit hook that serves emails.
 +      - added first test 00-lint. postcommit also checks if build succeeds.
 +      - 01-doc: doxygen doc target added for html docs. And stringent test
 +        on documented files, functions and parameters.
 +
 +15 December 2006: Wouter
 +      - Created Makefile.in and configure.ac.
diff --cc contrib/unbound/doc/README
index f3530d6eedf44d41c74cdeafcd24c696adba430d,0000000000000000000000000000000000000000..e192333dc986be627451720b227cd3e0e16707f5
mode 100644,000000..100644
--- 1/contrib/unbound/doc/README
--- /dev/null
+++ b/contrib/unbound/doc/README
@@@ -1,149 -1,0 +1,149 @@@
- README for Unbound 1.5.3
++README for Unbound 1.5.4
 +Copyright 2007 NLnet Labs
 +http://unbound.net
 +
 +This software is under BSD license, see LICENSE for details.
 +The DNS64 module has BSD license in dns64/dns64.c.
 +The DNSTAP code has BSD license in dnstap/dnstap.c.
 +
 +* Download the latest release version of this software from 
 +      http://unbound.net 
 +  or get a beta version from the svn repository at 
 +      http://unbound.net/svn/
 +
 +* Uses the following libraries; 
 +  * libevent  http://www.monkey.org/~provos/libevent/         (BSD license)
 +    (optional) can use builtin alternative instead.
 +  * libexpat  (for the unbound-anchor helper program)         (MIT license)
 +
 +* Make and install: ./configure; make; make install
 +  * --with-libevent=/path/to/libevent
 +      Can be set to either the system install or the build directory.
 +      --with-libevent=no (default) gives a builtin alternative 
 +      implementation. libevent is useful when having many (thousands) 
 +      of outgoing ports. This improves randomization and spoof 
 +      resistance. For the default of 16 ports the builtin alternative 
 +      works well and is a little faster.
 +  * --with-libexpat=/path/to/libexpat
 +      Can be set to the install directory of libexpat.
 +  * --without-pthreads 
 +      This disables pthreads. Without this option the pthreads library 
 +      is detected automatically. Use this option to disable threading
 +      altogether, or, on Solaris, also use --with(out)-solaris-threads.
 +  * --enable-checking
 +      This enables assertions in the code that guard against a variety of
 +      programming errors, among which buffer overflows.  The program exits
 +      with an error if an assertion fails (but the buffer did not overflow).
 +  * --enable-static-exe
 +      This enables a debug option to statically link against the
 +      libevent library.
 +  * --enable-lock-checks
 +      This enables a debug option to check lock and unlock calls. It needs
 +      a recent pthreads library to work.
 +  * --enable-alloc-checks
 +      This enables a debug option to check malloc (calloc, realloc, free).
 +      The server periodically checks if the amount of memory used fits with
 +      the amount of memory it thinks it should be using, and reports 
 +      memory usage in detail.
 +  * --with-conf-file=filename
 +      Set default location of config file, 
 +      the default is /usr/local/etc/unbound/unbound.conf.
 +  * --with-pidfile=filename
 +      Set default location of pidfile,
 +      the default is /usr/local/etc/unbound/unbound.pid.
 +  * --with-run-dir=path
 +      Set default working directory,
 +      the default is /usr/local/etc/unbound.
 +  * --with-chroot-dir=path
 +      Set default chroot directory,
 +      the default is /usr/local/etc/unbound.
 +  * --with-rootkey-file=path
 +      Set the default root.key path.  This file is read and written.
 +      the default is /usr/local/etc/unbound/root.key
 +  * --with-rootcert-file=path
 +      Set the default root update certificate path.  A builtin certificate
 +      is used if this file is empty or does not exist.
 +      the default is /usr/local/etc/unbound/icannbundle.pem
 +  * --with-username=user
 +      Set default user name to change to,
 +      the default is the "unbound" user.
 +  * --with-pyunbound
 +      Create libunbound wrapper usable from python.
 +      Needs python-devel and swig development tools.
 +  * --with-pythonmodule
 +      Compile the python module that processes responses in the server.
 +  * --disable-sha2
 +      Disable support for RSASHA256 and RSASHA512 crypto.
 +  * --disable-gost
 +      Disable support for GOST crypto, RFC 5933.
 +
 +* 'make test' runs a series of self checks.
 +
 +Known issues
 +------------
 +o If there are no replies for a forward or stub zone, for a reverse zone,
 +  you may need to add a local-zone: name transparent or nodefault to the
 +  server: section of the config file to unblock the reverse zone.
 +  Only happens for (sub)zones that are blocked by default; e.g. 10.in-addr.arpa
 +o If libevent is older (before 1.3c), unbound will exit instead of reload
 +  on sighup. On a restart 'did not exit gracefully last time' warning is 
 +  printed. Perform ./configure --with-libevent=no or update libevent, rerun 
 +  configure and recompile unbound to make sighup work correctly.
 +  It is strongly suggested to use a recent version of libevent.
 +o If you are not receiving the correct source IP address on replies (e.g.
 +  you are running a multihomed, anycast server), the interface-automatic
 +  option can be enabled to set socket options to achieve the correct
 +  source IP address on UDP replies. Listing all IP addresses explicitly in
 +  the config file is an alternative. The interface-automatic option uses
 +  non portable socket options, Linux and FreeBSD should work fine.
 +o The warning 'openssl has no entropy, seeding with time', with chroot 
 +  enabled, may be solved with a symbolic link to /dev/random from <chrootdir>.
 +o On Solaris 5.10 some libtool packages from repositories do not work with
 +  gcc, showing errors gcc: unrecognized option `-KPIC'
 +  To solve this do ./configure libtool=./libtool [your options...].
 +  On Solaris you may pass CFLAGS="-xO4 -xtarget=generic" if you use sun-cc.
 +o If unbound-control (or munin graphs) do not work, this can often be because
 +  the unbound-control-setup script creates the keys with restricted 
 +  permissions, and the files need to be made readable or ownered by both the
 +  unbound daemon and unbound-control.
 +o Crosscompile seems to hang.  You tried to install unbound under wine.
 +  wine regedit and remove all the unbound entries from the registry or
 +  delete .wine/drive_c.
 +
 +Acknowledgements
 +----------------
 +o Unbound was written in portable C by Wouter Wijngaards (NLnet Labs).
 +o Thanks to David Blacka and Matt Larson (Verisign) for the unbound-java
 +  prototype. Design and code from that prototype has been used to create
 +  this program. Such as the iterator state machine and the cache design.
 +o Other code origins are from the NSD (NLnet Labs) and LDNS (NLnet Labs)
 +  projects. Such as buffer, region-allocator and red-black tree code.
 +o See Credits file for contributors.
 +
 +
 +Your Support
 +------------
 +NLnet Labs offers all of its software products as open source, most are
 +published under a BSD license. You can download them, not only from the
 +NLnet Labs website but also through the various OS distributions for
 +which NSD, ldns, and Unbound are packaged. We therefore have little idea
 +who uses our software in production environments and have no direct ties
 +with 'our customers'.
 +
 +Therefore, we ask you to contact us at users@NLnetLabs.nl and tell us
 +whether you use one of our products in your production environment,
 +what that environment looks like, and maybe even share some praise.
 +We would like to refer to the fact that your organization is using our
 +products. We will only do that if you explicitly allow us. In all other
 +cases we will keep the information you share with us to ourselves.
 +
 +In addition to the moral support you can also support us
 +financially. NLnet Labs is a recognized not-for-profit charity foundation
 +that is chartered to develop open-source software and open-standards
 +for the Internet. If you use our software to satisfaction please express
 +that by giving us a donation. For small donations PayPal can be used. For
 +larger and regular donations please contact us at users@NLnetLabs.nl. Also
 +see http://www.nlnetlabs.nl/labs/contributors/.
 +
 +
 +* mailto:unbound-bugs@nlnetlabs.nl
diff --cc contrib/unbound/doc/example.conf
index acb553b5cf39c443109e601b4fae081cbf8e5b82,0000000000000000000000000000000000000000..4ec102b7d01c61157a9cf3d9612a1dcc8071e242
mode 100644,000000..100644
--- 1/contrib/unbound/doc/example.conf
--- /dev/null
+++ b/contrib/unbound/doc/example.conf
@@@ -1,611 -1,0 +1,648 @@@
- # See unbound.conf(5) man page, version 1.5.3.
 +#
 +# Example configuration file.
 +#
-       # Download http://ftp.isc.org/www/dlv/dlv.isc.org.key
++# See unbound.conf(5) man page, version 1.5.4.
 +#
 +# this is a comment.
 +
 +#Use this to include other text into the file.
 +#include: "otherfile.conf"
 +
 +# The server clause sets the main parameters. 
 +server:
 +      # whitespace is not necessary, but looks cleaner.
 +
 +      # verbosity number, 0 is least verbose. 1 is default.
 +      verbosity: 1
 +
 +      # print statistics to the log (for every thread) every N seconds.
 +      # Set to "" or 0 to disable. Default is disabled.
 +      # statistics-interval: 0
 +
 +      # enable cumulative statistics, without clearing them after printing.
 +      # statistics-cumulative: no
 +
 +      # enable extended statistics (query types, answer codes, status)
 +      # printed from unbound-control. default off, because of speed.
 +      # extended-statistics: no
 +
 +      # number of threads to create. 1 disables threading.
 +      # num-threads: 1
 +
 +      # specify the interfaces to answer queries from by ip-address.
 +      # The default is to listen to localhost (127.0.0.1 and ::1).
 +      # specify 0.0.0.0 and ::0 to bind to all available interfaces.
 +      # specify every interface[@port] on a new 'interface:' labelled line.
 +      # The listen interfaces are not changed on reload, only on restart.
 +      # interface: 192.0.2.153
 +      # interface: 192.0.2.154
 +      # interface: 192.0.2.154@5003
 +      # interface: 2001:DB8::5
 +
 +      # enable this feature to copy the source address of queries to reply.
 +      # Socket options are not supported on all platforms. experimental. 
 +      # interface-automatic: no
 +
 +      # port to answer queries from
 +      # port: 53
 +
 +      # specify the interfaces to send outgoing queries to authoritative
 +      # server from by ip-address. If none, the default (all) interface
 +      # is used. Specify every interface on a 'outgoing-interface:' line.
 +      # outgoing-interface: 192.0.2.153
 +      # outgoing-interface: 2001:DB8::5
 +      # outgoing-interface: 2001:DB8::6
 +
 +      # number of ports to allocate per thread, determines the size of the
 +      # port range that can be open simultaneously.  About double the
 +      # num-queries-per-thread, or, use as many as the OS will allow you.
 +      # outgoing-range: 4096
 +
 +      # permit unbound to use this port number or port range for
 +      # making outgoing queries, using an outgoing interface.
 +      # outgoing-port-permit: 32768
 +
 +      # deny unbound the use this of port number or port range for
 +      # making outgoing queries, using an outgoing interface.
 +      # Use this to make sure unbound does not grab a UDP port that some
 +      # other server on this computer needs. The default is to avoid
 +      # IANA-assigned port numbers.
 +      # If multiple outgoing-port-permit and outgoing-port-avoid options
 +      # are present, they are processed in order.
 +      # outgoing-port-avoid: "3200-3208"
 +
 +      # number of outgoing simultaneous tcp buffers to hold per thread.
 +      # outgoing-num-tcp: 10
 +
 +      # number of incoming simultaneous tcp buffers to hold per thread.
 +      # incoming-num-tcp: 10
 +
 +      # buffer size for UDP port 53 incoming (SO_RCVBUF socket option).
 +      # 0 is system default.  Use 4m to catch query spikes for busy servers.
 +      # so-rcvbuf: 0
 +
 +      # buffer size for UDP port 53 outgoing (SO_SNDBUF socket option).
 +      # 0 is system default.  Use 4m to handle spikes on very busy servers.
 +      # so-sndbuf: 0
 +      
 +      # use SO_REUSEPORT to distribute queries over threads.
 +      # so-reuseport: no
++      
++      # use IP_TRANSPARENT so the interface: addresses can be non-local
++      # and you can config non-existing IPs that are going to work later on
++      # ip-transparent: no
 +
 +      # EDNS reassembly buffer to advertise to UDP peers (the actual buffer
 +      # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts).
 +      # edns-buffer-size: 4096
 +
 +      # Maximum UDP response size (not applied to TCP response).
 +      # Suggested values are 512 to 4096. Default is 4096. 65536 disables it.
 +      # max-udp-size: 4096
 +
 +      # buffer size for handling DNS data. No messages larger than this
 +      # size can be sent or received, by UDP or TCP. In bytes.
 +      # msg-buffer-size: 65552
 +
 +      # the amount of memory to use for the message cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # msg-cache-size: 4m
 +
 +      # the number of slabs to use for the message cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # msg-cache-slabs: 4
 +
 +      # the number of queries that a thread gets to service.
 +      # num-queries-per-thread: 1024
 +
 +      # if very busy, 50% queries run to completion, 50% get timeout in msec
 +      # jostle-timeout: 200
 +      
 +      # msec to wait before close of port on timeout UDP. 0 disables.
 +      # delay-close: 0
 +
 +      # the amount of memory to use for the RRset cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # rrset-cache-size: 4m
 +
 +      # the number of slabs to use for the RRset cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # rrset-cache-slabs: 4
 +
 +      # the time to live (TTL) value lower bound, in seconds. Default 0.
 +      # If more than an hour could easily give trouble due to stale data.
 +      # cache-min-ttl: 0
 +
 +      # the time to live (TTL) value cap for RRsets and messages in the
 +      # cache. Items are not cached for longer. In seconds.
 +      # cache-max-ttl: 86400
 +
++      # the time to live (TTL) value cap for negative responses in the cache
++      # cache-max-negative-ttl: 3600
++
 +      # the time to live (TTL) value for cached roundtrip times, lameness and
 +      # EDNS version information for hosts. In seconds.
 +      # infra-host-ttl: 900
 +      
 +      # minimum wait time for responses, increase if uplink is long. In msec.
 +      # infra-cache-min-rtt: 50
 +
 +      # the number of slabs to use for the Infrastructure cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # infra-cache-slabs: 4
 +
 +      # the maximum number of hosts that are cached (roundtrip, EDNS, lame).
 +      # infra-cache-numhosts: 10000
 +
 +      # Enable IPv4, "yes" or "no".
 +      # do-ip4: yes
 +
 +      # Enable IPv6, "yes" or "no".
 +      # do-ip6: yes
 +
 +      # Enable UDP, "yes" or "no".
 +      # do-udp: yes
 +
 +      # Enable TCP, "yes" or "no".
 +      # do-tcp: yes
 +
 +      # upstream connections use TCP only (and no UDP), "yes" or "no"
 +      # useful for tunneling scenarios, default no.
 +      # tcp-upstream: no
 +
 +      # Detach from the terminal, run in background, "yes" or "no".
 +      # do-daemonize: yes
 +
 +      # control which clients are allowed to make (recursive) queries
 +      # to this server. Specify classless netblocks with /size and action.
 +      # By default everything is refused, except for localhost.
 +      # Choose deny (drop message), refuse (polite error reply),
 +      # allow (recursive ok), allow_snoop (recursive and nonrecursive ok)
 +      # deny_non_local (drop queries unless can be answered from local-data)
 +      # refuse_non_local (like deny_non_local but polite error reply).
 +      # access-control: 0.0.0.0/0 refuse
 +      # access-control: 127.0.0.0/8 allow
 +      # access-control: ::0/0 refuse
 +      # access-control: ::1 allow
 +      # access-control: ::ffff:127.0.0.1 allow
 +
 +      # if given, a chroot(2) is done to the given directory.
 +      # i.e. you can chroot to the working directory, for example,
 +      # for extra security, but make sure all files are in that directory.
 +      #
 +      # If chroot is enabled, you should pass the configfile (from the
 +      # commandline) as a full path from the original root. After the
 +      # chroot has been performed the now defunct portion of the config 
 +      # file path is removed to be able to reread the config after a reload. 
 +      #
 +      # All other file paths (working dir, logfile, roothints, and
 +      # key files) can be specified in several ways:
 +      #       o as an absolute path relative to the new root.
 +      #       o as a relative path to the working directory.
 +      #       o as an absolute path relative to the original root.
 +      # In the last case the path is adjusted to remove the unused portion.
 +      #
 +      # The pid file can be absolute and outside of the chroot, it is 
 +      # written just prior to performing the chroot and dropping permissions.
 +      #
 +      # Additionally, unbound may need to access /dev/random (for entropy).
 +      # How to do this is specific to your OS.
 +      #
 +      # If you give "" no chroot is performed. The path must not end in a /.
 +      # chroot: "/var/unbound"
 +
 +      # if given, user privileges are dropped (after binding port),
 +      # and the given username is assumed. Default is user "unbound".
 +      # If you give "" no privileges are dropped.
 +      # username: "unbound"
 +
 +      # the working directory. The relative files in this config are 
 +      # relative to this directory. If you give "" the working directory
 +      # is not changed.
 +      # directory: "/var/unbound"
 +
 +      # the log file, "" means log to stderr. 
 +      # Use of this option sets use-syslog to "no".
 +      # logfile: ""
 +
 +      # Log to syslog(3) if yes. The log facility LOG_DAEMON is used to 
 +      # log to, with identity "unbound". If yes, it overrides the logfile.
 +      # use-syslog: yes 
 +
 +      # print UTC timestamp in ascii to logfile, default is epoch in seconds.
 +      # log-time-ascii: no
 +      
 +      # print one line with time, IP, name, type, class for every query.
 +      # log-queries: no
 +
 +      # the pid file. Can be an absolute path outside of chroot/work dir.
 +      # pidfile: "/var/unbound/unbound.pid"
 +
 +      # file to read root hints from.
 +      # get one from ftp://FTP.INTERNIC.NET/domain/named.cache
 +      # root-hints: ""
 +
 +      # enable to not answer id.server and hostname.bind queries.
 +      # hide-identity: no
 +
 +      # enable to not answer version.server and version.bind queries.
 +      # hide-version: no
 +
 +      # the identity to report. Leave "" or default to return hostname.
 +      # identity: ""
 +
 +      # the version to report. Leave "" or default to return package version.
 +      # version: ""
 +
 +      # the target fetch policy.
 +      # series of integers describing the policy per dependency depth. 
 +      # The number of values in the list determines the maximum dependency 
 +      # depth the recursor will pursue before giving up. Each integer means:
 +      #       -1 : fetch all targets opportunistically,
 +      #       0: fetch on demand,
 +      #       positive value: fetch that many targets opportunistically.
 +      # Enclose the list of numbers between quotes ("").
 +      # target-fetch-policy: "3 2 1 0 0"
 +
 +      # Harden against very small EDNS buffer sizes. 
 +      # harden-short-bufsize: no
 +
 +      # Harden against unseemly large queries.
 +      # harden-large-queries: no
 +
 +      # Harden against out of zone rrsets, to avoid spoofing attempts. 
 +      # harden-glue: yes
 +
 +      # Harden against receiving dnssec-stripped data. If you turn it
 +      # off, failing to validate dnskey data for a trustanchor will 
 +      # trigger insecure mode for that zone (like without a trustanchor).
 +      # Default on, which insists on dnssec data for trust-anchored zones.
 +      # harden-dnssec-stripped: yes
 +
 +      # Harden against queries that fall under dnssec-signed nxdomain names.
 +      # harden-below-nxdomain: no
 +
 +        # Harden the referral path by performing additional queries for
 +      # infrastructure data.  Validates the replies (if possible).
 +      # Default off, because the lookups burden the server.  Experimental 
 +      # implementation of draft-wijngaards-dnsext-resolver-side-mitigation.
 +      # harden-referral-path: no
 +
++      # Harden against algorithm downgrade when multiple algorithms are
++      # advertised in the DS record.  If no, allows the weakest algorithm
++      # to validate the zone.
++      # harden-algo-downgrade: yes
++
 +      # Use 0x20-encoded random bits in the query to foil spoof attempts.
 +      # This feature is an experimental implementation of draft dns-0x20.
 +      # use-caps-for-id: no
++      
++      # Domains (and domains in them) without support for dns-0x20 and
++      # the fallback fails because they keep sending different answers.
++      # caps-whitelist: "licdn.com"
 +
 +      # Enforce privacy of these addresses. Strips them away from answers. 
 +      # It may cause DNSSEC validation to additionally mark it as bogus. 
 +      # Protects against 'DNS Rebinding' (uses browser as network proxy). 
 +      # Only 'private-domain' and 'local-data' names are allowed to have 
 +      # these private addresses. No default.
 +      # private-address: 10.0.0.0/8
 +      # private-address: 172.16.0.0/12
 +      # private-address: 192.168.0.0/16
 +      # private-address: 169.254.0.0/16
 +      # private-address: fd00::/8
 +      # private-address: fe80::/10
 +
 +      # Allow the domain (and its subdomains) to contain private addresses.
 +      # local-data statements are allowed to contain private addresses too.
 +      # private-domain: "example.com"
 +
 +      # If nonzero, unwanted replies are not only reported in statistics,
 +      # but also a running total is kept per thread. If it reaches the
 +      # threshold, a warning is printed and a defensive action is taken,
 +      # the cache is cleared to flush potential poison out of it.
 +      # A suggested value is 10000000, the default is 0 (turned off).
 +      # unwanted-reply-threshold: 0
 +
 +      # Do not query the following addresses. No DNS queries are sent there.
 +      # List one address per entry. List classless netblocks with /size,
 +      # do-not-query-address: 127.0.0.1/8
 +      # do-not-query-address: ::1
 +
 +      # if yes, the above default do-not-query-address entries are present.
 +      # if no, localhost can be queried (for testing and debugging).
 +      # do-not-query-localhost: yes
 +
 +      # if yes, perform prefetching of almost expired message cache entries.
 +      # prefetch: no
 +
 +      # if yes, perform key lookups adjacent to normal lookups.
 +      # prefetch-key: no
 +
 +      # if yes, Unbound rotates RRSet order in response.
 +      # rrset-roundrobin: no
 +
 +      # if yes, Unbound doesn't insert authority/additional sections
 +      # into response messages when those sections are not required.
 +      # minimal-responses: no
 +
 +      # module configuration of the server. A string with identifiers
 +      # separated by spaces. Syntax: "[dns64] [validator] iterator"
 +      # module-config: "validator iterator"
 +
 +      # File with trusted keys, kept uptodate using RFC5011 probes,
 +      # initial file like trust-anchor-file, then it stores metadata.
 +      # Use several entries, one per domain name, to track multiple zones.
 +      #
 +      # If you want to perform DNSSEC validation, run unbound-anchor before
 +      # you start unbound (i.e. in the system boot scripts).  And enable:
 +      # Please note usage of unbound-anchor root anchor is at your own risk
 +      # and under the terms of our LICENSE (see that file in the source).
 +      # auto-trust-anchor-file: "/var/unbound/root.key"
 +
 +      # File with DLV trusted keys. Same format as trust-anchor-file.
 +      # There can be only one DLV configured, it is trusted from root down.
++      # DLV is going to be decommissioned.  Please do not use it any more.
 +      # dlv-anchor-file: "dlv.isc.org.key"
 +
 +      # File with trusted keys for validation. Specify more than one file
 +      # with several entries, one file per entry.
 +      # Zone file format, with DS and DNSKEY entries.
 +      # Note this gets out of date, use auto-trust-anchor-file please.
 +      # trust-anchor-file: ""
 +      
 +      # Trusted key for validation. DS or DNSKEY. specify the RR on a
 +      # single line, surrounded by "". TTL is ignored. class is IN default.
 +      # Note this gets out of date, use auto-trust-anchor-file please.
 +      # (These examples are from August 2007 and may not be valid anymore).
 +      # trust-anchor: "nlnetlabs.nl. DNSKEY 257 3 5 AQPzzTWMz8qSWIQlfRnPckx2BiVmkVN6LPupO3mbz7FhLSnm26n6iG9N Lby97Ji453aWZY3M5/xJBSOS2vWtco2t8C0+xeO1bc/d6ZTy32DHchpW 6rDH1vp86Ll+ha0tmwyy9QP7y2bVw5zSbFCrefk8qCUBgfHm9bHzMG1U BYtEIQ=="
 +      # trust-anchor: "jelte.nlnetlabs.nl. DS 42860 5 1 14D739EB566D2B1A5E216A0BA4D17FA9B038BE4A"
 +
 +      # File with trusted keys for validation. Specify more than one file
 +      # with several entries, one file per entry. Like trust-anchor-file
 +      # but has a different file format. Format is BIND-9 style format, 
 +      # the trusted-keys { name flag proto algo "key"; }; clauses are read.
 +      # you need external update procedures to track changes in keys.
 +      # trusted-keys-file: ""
 +
 +      # Ignore chain of trust. Domain is treated as insecure.
 +      # domain-insecure: "example.com"
 +
 +      # Override the date for validation with a specific fixed date.
 +      # Do not set this unless you are debugging signature inception
 +      # and expiration. "" or "0" turns the feature off. -1 ignores date.
 +      # val-override-date: ""
 +
 +      # The time to live for bogus data, rrsets and messages. This avoids
 +      # some of the revalidation, until the time interval expires. in secs.
 +      # val-bogus-ttl: 60
 +
 +      # The signature inception and expiration dates are allowed to be off
 +      # by 10% of the signature lifetime (expir-incep) from our local clock.
 +      # This leeway is capped with a minimum and a maximum.  In seconds.
 +      # val-sig-skew-min: 3600
 +      # val-sig-skew-max: 86400
 +
 +      # Should additional section of secure message also be kept clean of
 +      # unsecure data. Useful to shield the users of this validator from
 +      # potential bogus data in the additional section. All unsigned data 
 +      # in the additional section is removed from secure messages.
 +      # val-clean-additional: yes
 +
 +      # Turn permissive mode on to permit bogus messages. Thus, messages
 +      # for which security checks failed will be returned to clients,
 +      # instead of SERVFAIL. It still performs the security checks, which
 +      # result in interesting log files and possibly the AD bit in
 +      # replies if the message is found secure. The default is off.
 +      # val-permissive-mode: no
 +
 +      # Ignore the CD flag in incoming queries and refuse them bogus data.
 +      # Enable it if the only clients of unbound are legacy servers (w2008)
 +      # that set CD but cannot validate themselves.
 +      # ignore-cd-flag: no
 +
 +      # Have the validator log failed validations for your diagnosis.
 +      # 0: off. 1: A line per failed user query. 2: With reason and bad IP.
 +      # val-log-level: 0
 +
 +      # It is possible to configure NSEC3 maximum iteration counts per
 +      # keysize. Keep this table very short, as linear search is done.
 +      # A message with an NSEC3 with larger count is marked insecure.
 +      # List in ascending order the keysize and count values.
 +      # val-nsec3-keysize-iterations: "1024 150 2048 500 4096 2500"
 +      
 +      # instruct the auto-trust-anchor-file probing to add anchors after ttl.
 +      # add-holddown: 2592000 # 30 days
 +
 +      # instruct the auto-trust-anchor-file probing to del anchors after ttl.
 +      # del-holddown: 2592000 # 30 days
 +
 +      # auto-trust-anchor-file probing removes missing anchors after ttl.
 +      # If the value 0 is given, missing anchors are not removed.
 +      # keep-missing: 31622400 # 366 days
 +
 +      # the amount of memory to use for the key cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # key-cache-size: 4m
 +
 +      # the number of slabs to use for the key cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # key-cache-slabs: 4
 +
 +      # the amount of memory to use for the negative cache (used for DLV).
 +      # plain value in bytes or you can append k, m or G. default is "1Mb". 
 +      # neg-cache-size: 1m
 +
 +      # By default, for a number of zones a small default 'nothing here'
 +      # reply is built-in.  Query traffic is thus blocked.  If you
 +      # wish to serve such zone you can unblock them by uncommenting one
 +      # of the nodefault statements below.
 +      # You may also have to use domain-insecure: zone to make DNSSEC work,
 +      # unless you have your own trust anchors for this zone.
 +      # local-zone: "localhost." nodefault
 +      # local-zone: "127.in-addr.arpa." nodefault
 +      # local-zone: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
 +      # local-zone: "10.in-addr.arpa." nodefault
 +      # local-zone: "16.172.in-addr.arpa." nodefault
 +      # local-zone: "17.172.in-addr.arpa." nodefault
 +      # local-zone: "18.172.in-addr.arpa." nodefault
 +      # local-zone: "19.172.in-addr.arpa." nodefault
 +      # local-zone: "20.172.in-addr.arpa." nodefault
 +      # local-zone: "21.172.in-addr.arpa." nodefault
 +      # local-zone: "22.172.in-addr.arpa." nodefault
 +      # local-zone: "23.172.in-addr.arpa." nodefault
 +      # local-zone: "24.172.in-addr.arpa." nodefault
 +      # local-zone: "25.172.in-addr.arpa." nodefault
 +      # local-zone: "26.172.in-addr.arpa." nodefault
 +      # local-zone: "27.172.in-addr.arpa." nodefault
 +      # local-zone: "28.172.in-addr.arpa." nodefault
 +      # local-zone: "29.172.in-addr.arpa." nodefault
 +      # local-zone: "30.172.in-addr.arpa." nodefault
 +      # local-zone: "31.172.in-addr.arpa." nodefault
 +      # local-zone: "168.192.in-addr.arpa." nodefault
 +      # local-zone: "0.in-addr.arpa." nodefault
 +      # local-zone: "254.169.in-addr.arpa." nodefault
 +      # local-zone: "2.0.192.in-addr.arpa." nodefault
 +      # local-zone: "100.51.198.in-addr.arpa." nodefault
 +      # local-zone: "113.0.203.in-addr.arpa." nodefault
 +      # local-zone: "255.255.255.255.in-addr.arpa." nodefault
 +      # local-zone: "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
 +      # local-zone: "d.f.ip6.arpa." nodefault
 +      # local-zone: "8.e.f.ip6.arpa." nodefault
 +      # local-zone: "9.e.f.ip6.arpa." nodefault
 +      # local-zone: "a.e.f.ip6.arpa." nodefault
 +      # local-zone: "b.e.f.ip6.arpa." nodefault
 +      # local-zone: "8.b.d.0.1.0.0.2.ip6.arpa." nodefault
 +      # And for 64.100.in-addr.arpa. to 127.100.in-addr.arpa.
 +      
 +      # if unbound is running service for the local host then it is useful
 +      # to perform lan-wide lookups to the upstream, and unblock the
 +      # long list of local-zones above.  If this unbound is a dns server
 +      # for a network of computers, disabled is better and stops information
 +      # leakage of local lan information.
 +      # unblock-lan-zones: no
 +
 +      # a number of locally served zones can be configured.
 +      #       local-zone: <zone> <type>
 +      #       local-data: "<resource record string>"
 +      # o deny serves local data (if any), else, drops queries. 
 +      # o refuse serves local data (if any), else, replies with error.
 +      # o static serves local data, else, nxdomain or nodata answer.
 +      # o transparent gives local data, but resolves normally for other names
 +      # o redirect serves the zone data for any subdomain in the zone.
 +      # o nodefault can be used to normally resolve AS112 zones.
 +      # o typetransparent resolves normally for other types and other names
 +      # o inform resolves normally, but logs client IP address
++      # o inform_deny drops queries and logs client IP address
 +      #
 +      # defaults are localhost address, reverse for 127.0.0.1 and ::1
 +      # and nxdomain for AS112 zones. If you configure one of these zones
 +      # the default content is omitted, or you can omit it with 'nodefault'.
 +      # 
 +      # If you configure local-data without specifying local-zone, by
 +      # default a transparent local-zone is created for the data.
 +      #
 +      # You can add locally served data with
 +      # local-zone: "local." static
 +      # local-data: "mycomputer.local. IN A 192.0.2.51"
 +      # local-data: 'mytext.local TXT "content of text record"'
 +      #
 +      # You can override certain queries with
 +      # local-data: "adserver.example.com A 127.0.0.1"
 +      #
 +      # You can redirect a domain to a fixed address with
 +      # (this makes example.com, www.example.com, etc, all go to 192.0.2.3)
 +      # local-zone: "example.com" redirect
 +      # local-data: "example.com A 192.0.2.3"
 +      #
 +      # Shorthand to make PTR records, "IPv4 name" or "IPv6 name".
 +      # You can also add PTR records using local-data directly, but then
 +      # you need to do the reverse notation yourself.
 +      # local-data-ptr: "192.0.2.3 www.example.com"
 +
 +      # service clients over SSL (on the TCP sockets), with plain DNS inside
 +      # the SSL stream.  Give the certificate to use and private key.
 +      # default is "" (disabled).  requires restart to take effect.
 +      # ssl-service-key: "path/to/privatekeyfile.key"
 +      # ssl-service-pem: "path/to/publiccertfile.pem"
 +      # ssl-port: 443
 +
 +      # request upstream over SSL (with plain DNS inside the SSL stream).
 +      # Default is no.  Can be turned on and off with unbound-control.
 +      # ssl-upstream: no
 +
 +      # DNS64 prefix. Must be specified when DNS64 is use.
 +      # Enable dns64 in module-config.  Used to synthesize IPv6 from IPv4.
 +      # dns64-prefix: 64:ff9b::0/96
 +
++      # ratelimit for uncached, new queries, this limits recursion effort.
++      # ratelimiting is experimental, and may help against randomqueryflood.
++      # if 0(default) it is disabled, otherwise state qps allowed per zone.
++      # ratelimit: 0
++
++      # ratelimits are tracked in a cache, size in bytes of cache (or k,m).
++      # ratelimit-size: 4m
++      # ratelimit cache slabs, reduces lock contention if equal to cpucount.
++      # ratelimit-slabs: 4
++      
++      # 0 blocks when ratelimited, otherwise let 1/xth traffic through
++      # ratelimit-factor: 10
++
++      # override the ratelimit for a specific domain name.
++      # give this setting multiple times to have multiple overrides.
++      # ratelimit-for-domain: example.com 1000
++      # override the ratelimits for all domains below a domain name
++      # can give this multiple times, the name closest to the zone is used.
++      # ratelimit-below-domain: example 1000
++
 +# Python config section. To enable:
 +# o use --with-pythonmodule to configure before compiling.
 +# o list python in the module-config string (above) to enable.
 +# o and give a python-script to run.
 +python:
 +      # Script file to load
 +      # python-script: "/var/unbound/ubmodule-tst.py"
 +
 +# Remote control config section. 
 +remote-control:
 +      # Enable remote control with unbound-control(8) here.
 +      # set up the keys and certificates with unbound-control-setup.
 +      # control-enable: no
 +
 +      # Set to no and use an absolute path as control-interface to use
 +      # a unix local named pipe for unbound-control.
 +      # control-use-cert: yes
 +
 +      # what interfaces are listened to for remote control.
 +      # give 0.0.0.0 and ::0 to listen to all interfaces.
 +      # control-interface: 127.0.0.1
 +      # control-interface: ::1
 +
 +      # port number for remote control operations.
 +      # control-port: 8953
 +
 +      # unbound server key file.
 +      # server-key-file: "/var/unbound/unbound_server.key"
 +
 +      # unbound server certificate file.
 +      # server-cert-file: "/var/unbound/unbound_server.pem"
 +
 +      # unbound-control key file.
 +      # control-key-file: "/var/unbound/unbound_control.key"
 +
 +      # unbound-control certificate file.
 +      # control-cert-file: "/var/unbound/unbound_control.pem"
 +
 +# Stub zones.
 +# Create entries like below, to make all queries for 'example.com' and 
 +# 'example.org' go to the given list of nameservers. list zero or more 
 +# nameservers by hostname or by ipaddress. If you set stub-prime to yes, 
 +# the list is treated as priming hints (default is no).
 +# With stub-first yes, it attempts without the stub if it fails.
 +# stub-zone:
 +#     name: "example.com"
 +#     stub-addr: 192.0.2.68
 +#     stub-prime: no
 +#     stub-first: no
 +# stub-zone:
 +#     name: "example.org"
 +#     stub-host: ns.example.com.
 +
 +# Forward zones
 +# Create entries like below, to make all queries for 'example.com' and
 +# 'example.org' go to the given list of servers. These servers have to handle
 +# recursion to other nameservers. List zero or more nameservers by hostname
 +# or by ipaddress. Use an entry with name "." to forward all queries.
 +# If you enable forward-first, it attempts without the forward if it fails.
 +# forward-zone:
 +#     name: "example.com"
 +#     forward-addr: 192.0.2.68
 +#     forward-addr: 192.0.2.73@5355  # forward to port 5355.
 +#     forward-first: no
 +# forward-zone:
 +#     name: "example.org"
 +#     forward-host: fwd.example.com
diff --cc contrib/unbound/doc/example.conf.in
index 60ed5c89f91e0de33b27187349fb8c45fcf79a95,0000000000000000000000000000000000000000..677598767bf5f5c94e45b262d12ce64fffb34fe8
mode 100644,000000..100644
--- 1/contrib/unbound/doc/example.conf.in
--- /dev/null
+++ b/contrib/unbound/doc/example.conf.in
@@@ -1,611 -1,0 +1,648 @@@
- # See unbound.conf(5) man page, version 1.5.3.
 +#
 +# Example configuration file.
 +#
-       # Download http://ftp.isc.org/www/dlv/dlv.isc.org.key
++# See unbound.conf(5) man page, version 1.5.4.
 +#
 +# this is a comment.
 +
 +#Use this to include other text into the file.
 +#include: "otherfile.conf"
 +
 +# The server clause sets the main parameters. 
 +server:
 +      # whitespace is not necessary, but looks cleaner.
 +
 +      # verbosity number, 0 is least verbose. 1 is default.
 +      verbosity: 1
 +
 +      # print statistics to the log (for every thread) every N seconds.
 +      # Set to "" or 0 to disable. Default is disabled.
 +      # statistics-interval: 0
 +
 +      # enable cumulative statistics, without clearing them after printing.
 +      # statistics-cumulative: no
 +
 +      # enable extended statistics (query types, answer codes, status)
 +      # printed from unbound-control. default off, because of speed.
 +      # extended-statistics: no
 +
 +      # number of threads to create. 1 disables threading.
 +      # num-threads: 1
 +
 +      # specify the interfaces to answer queries from by ip-address.
 +      # The default is to listen to localhost (127.0.0.1 and ::1).
 +      # specify 0.0.0.0 and ::0 to bind to all available interfaces.
 +      # specify every interface[@port] on a new 'interface:' labelled line.
 +      # The listen interfaces are not changed on reload, only on restart.
 +      # interface: 192.0.2.153
 +      # interface: 192.0.2.154
 +      # interface: 192.0.2.154@5003
 +      # interface: 2001:DB8::5
 +
 +      # enable this feature to copy the source address of queries to reply.
 +      # Socket options are not supported on all platforms. experimental. 
 +      # interface-automatic: no
 +
 +      # port to answer queries from
 +      # port: 53
 +
 +      # specify the interfaces to send outgoing queries to authoritative
 +      # server from by ip-address. If none, the default (all) interface
 +      # is used. Specify every interface on a 'outgoing-interface:' line.
 +      # outgoing-interface: 192.0.2.153
 +      # outgoing-interface: 2001:DB8::5
 +      # outgoing-interface: 2001:DB8::6
 +
 +      # number of ports to allocate per thread, determines the size of the
 +      # port range that can be open simultaneously.  About double the
 +      # num-queries-per-thread, or, use as many as the OS will allow you.
 +      # outgoing-range: 4096
 +
 +      # permit unbound to use this port number or port range for
 +      # making outgoing queries, using an outgoing interface.
 +      # outgoing-port-permit: 32768
 +
 +      # deny unbound the use this of port number or port range for
 +      # making outgoing queries, using an outgoing interface.
 +      # Use this to make sure unbound does not grab a UDP port that some
 +      # other server on this computer needs. The default is to avoid
 +      # IANA-assigned port numbers.
 +      # If multiple outgoing-port-permit and outgoing-port-avoid options
 +      # are present, they are processed in order.
 +      # outgoing-port-avoid: "3200-3208"
 +
 +      # number of outgoing simultaneous tcp buffers to hold per thread.
 +      # outgoing-num-tcp: 10
 +
 +      # number of incoming simultaneous tcp buffers to hold per thread.
 +      # incoming-num-tcp: 10
 +
 +      # buffer size for UDP port 53 incoming (SO_RCVBUF socket option).
 +      # 0 is system default.  Use 4m to catch query spikes for busy servers.
 +      # so-rcvbuf: 0
 +
 +      # buffer size for UDP port 53 outgoing (SO_SNDBUF socket option).
 +      # 0 is system default.  Use 4m to handle spikes on very busy servers.
 +      # so-sndbuf: 0
 +      
 +      # use SO_REUSEPORT to distribute queries over threads.
 +      # so-reuseport: no
++      
++      # use IP_TRANSPARENT so the interface: addresses can be non-local
++      # and you can config non-existing IPs that are going to work later on
++      # ip-transparent: no
 +
 +      # EDNS reassembly buffer to advertise to UDP peers (the actual buffer
 +      # is set with msg-buffer-size). 1480 can solve fragmentation (timeouts).
 +      # edns-buffer-size: 4096
 +
 +      # Maximum UDP response size (not applied to TCP response).
 +      # Suggested values are 512 to 4096. Default is 4096. 65536 disables it.
 +      # max-udp-size: 4096
 +
 +      # buffer size for handling DNS data. No messages larger than this
 +      # size can be sent or received, by UDP or TCP. In bytes.
 +      # msg-buffer-size: 65552
 +
 +      # the amount of memory to use for the message cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # msg-cache-size: 4m
 +
 +      # the number of slabs to use for the message cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # msg-cache-slabs: 4
 +
 +      # the number of queries that a thread gets to service.
 +      # num-queries-per-thread: 1024
 +
 +      # if very busy, 50% queries run to completion, 50% get timeout in msec
 +      # jostle-timeout: 200
 +      
 +      # msec to wait before close of port on timeout UDP. 0 disables.
 +      # delay-close: 0
 +
 +      # the amount of memory to use for the RRset cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # rrset-cache-size: 4m
 +
 +      # the number of slabs to use for the RRset cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # rrset-cache-slabs: 4
 +
 +      # the time to live (TTL) value lower bound, in seconds. Default 0.
 +      # If more than an hour could easily give trouble due to stale data.
 +      # cache-min-ttl: 0
 +
 +      # the time to live (TTL) value cap for RRsets and messages in the
 +      # cache. Items are not cached for longer. In seconds.
 +      # cache-max-ttl: 86400
 +
++      # the time to live (TTL) value cap for negative responses in the cache
++      # cache-max-negative-ttl: 3600
++
 +      # the time to live (TTL) value for cached roundtrip times, lameness and
 +      # EDNS version information for hosts. In seconds.
 +      # infra-host-ttl: 900
 +      
 +      # minimum wait time for responses, increase if uplink is long. In msec.
 +      # infra-cache-min-rtt: 50
 +
 +      # the number of slabs to use for the Infrastructure cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # infra-cache-slabs: 4
 +
 +      # the maximum number of hosts that are cached (roundtrip, EDNS, lame).
 +      # infra-cache-numhosts: 10000
 +
 +      # Enable IPv4, "yes" or "no".
 +      # do-ip4: yes
 +
 +      # Enable IPv6, "yes" or "no".
 +      # do-ip6: yes
 +
 +      # Enable UDP, "yes" or "no".
 +      # do-udp: yes
 +
 +      # Enable TCP, "yes" or "no".
 +      # do-tcp: yes
 +
 +      # upstream connections use TCP only (and no UDP), "yes" or "no"
 +      # useful for tunneling scenarios, default no.
 +      # tcp-upstream: no
 +
 +      # Detach from the terminal, run in background, "yes" or "no".
 +      # do-daemonize: yes
 +
 +      # control which clients are allowed to make (recursive) queries
 +      # to this server. Specify classless netblocks with /size and action.
 +      # By default everything is refused, except for localhost.
 +      # Choose deny (drop message), refuse (polite error reply),
 +      # allow (recursive ok), allow_snoop (recursive and nonrecursive ok)
 +      # deny_non_local (drop queries unless can be answered from local-data)
 +      # refuse_non_local (like deny_non_local but polite error reply).
 +      # access-control: 0.0.0.0/0 refuse
 +      # access-control: 127.0.0.0/8 allow
 +      # access-control: ::0/0 refuse
 +      # access-control: ::1 allow
 +      # access-control: ::ffff:127.0.0.1 allow
 +
 +      # if given, a chroot(2) is done to the given directory.
 +      # i.e. you can chroot to the working directory, for example,
 +      # for extra security, but make sure all files are in that directory.
 +      #
 +      # If chroot is enabled, you should pass the configfile (from the
 +      # commandline) as a full path from the original root. After the
 +      # chroot has been performed the now defunct portion of the config 
 +      # file path is removed to be able to reread the config after a reload. 
 +      #
 +      # All other file paths (working dir, logfile, roothints, and
 +      # key files) can be specified in several ways:
 +      #       o as an absolute path relative to the new root.
 +      #       o as a relative path to the working directory.
 +      #       o as an absolute path relative to the original root.
 +      # In the last case the path is adjusted to remove the unused portion.
 +      #
 +      # The pid file can be absolute and outside of the chroot, it is 
 +      # written just prior to performing the chroot and dropping permissions.
 +      #
 +      # Additionally, unbound may need to access /dev/random (for entropy).
 +      # How to do this is specific to your OS.
 +      #
 +      # If you give "" no chroot is performed. The path must not end in a /.
 +      # chroot: "@UNBOUND_CHROOT_DIR@"
 +
 +      # if given, user privileges are dropped (after binding port),
 +      # and the given username is assumed. Default is user "unbound".
 +      # If you give "" no privileges are dropped.
 +      # username: "@UNBOUND_USERNAME@"
 +
 +      # the working directory. The relative files in this config are 
 +      # relative to this directory. If you give "" the working directory
 +      # is not changed.
 +      # directory: "@UNBOUND_RUN_DIR@"
 +
 +      # the log file, "" means log to stderr. 
 +      # Use of this option sets use-syslog to "no".
 +      # logfile: ""
 +
 +      # Log to syslog(3) if yes. The log facility LOG_DAEMON is used to 
 +      # log to, with identity "unbound". If yes, it overrides the logfile.
 +      # use-syslog: yes 
 +
 +      # print UTC timestamp in ascii to logfile, default is epoch in seconds.
 +      # log-time-ascii: no
 +      
 +      # print one line with time, IP, name, type, class for every query.
 +      # log-queries: no
 +
 +      # the pid file. Can be an absolute path outside of chroot/work dir.
 +      # pidfile: "@UNBOUND_PIDFILE@"
 +
 +      # file to read root hints from.
 +      # get one from ftp://FTP.INTERNIC.NET/domain/named.cache
 +      # root-hints: ""
 +
 +      # enable to not answer id.server and hostname.bind queries.
 +      # hide-identity: no
 +
 +      # enable to not answer version.server and version.bind queries.
 +      # hide-version: no
 +
 +      # the identity to report. Leave "" or default to return hostname.
 +      # identity: ""
 +
 +      # the version to report. Leave "" or default to return package version.
 +      # version: ""
 +
 +      # the target fetch policy.
 +      # series of integers describing the policy per dependency depth. 
 +      # The number of values in the list determines the maximum dependency 
 +      # depth the recursor will pursue before giving up. Each integer means:
 +      #       -1 : fetch all targets opportunistically,
 +      #       0: fetch on demand,
 +      #       positive value: fetch that many targets opportunistically.
 +      # Enclose the list of numbers between quotes ("").
 +      # target-fetch-policy: "3 2 1 0 0"
 +
 +      # Harden against very small EDNS buffer sizes. 
 +      # harden-short-bufsize: no
 +
 +      # Harden against unseemly large queries.
 +      # harden-large-queries: no
 +
 +      # Harden against out of zone rrsets, to avoid spoofing attempts. 
 +      # harden-glue: yes
 +
 +      # Harden against receiving dnssec-stripped data. If you turn it
 +      # off, failing to validate dnskey data for a trustanchor will 
 +      # trigger insecure mode for that zone (like without a trustanchor).
 +      # Default on, which insists on dnssec data for trust-anchored zones.
 +      # harden-dnssec-stripped: yes
 +
 +      # Harden against queries that fall under dnssec-signed nxdomain names.
 +      # harden-below-nxdomain: no
 +
 +        # Harden the referral path by performing additional queries for
 +      # infrastructure data.  Validates the replies (if possible).
 +      # Default off, because the lookups burden the server.  Experimental 
 +      # implementation of draft-wijngaards-dnsext-resolver-side-mitigation.
 +      # harden-referral-path: no
 +
++      # Harden against algorithm downgrade when multiple algorithms are
++      # advertised in the DS record.  If no, allows the weakest algorithm
++      # to validate the zone.
++      # harden-algo-downgrade: yes
++
 +      # Use 0x20-encoded random bits in the query to foil spoof attempts.
 +      # This feature is an experimental implementation of draft dns-0x20.
 +      # use-caps-for-id: no
++      
++      # Domains (and domains in them) without support for dns-0x20 and
++      # the fallback fails because they keep sending different answers.
++      # caps-whitelist: "licdn.com"
 +
 +      # Enforce privacy of these addresses. Strips them away from answers. 
 +      # It may cause DNSSEC validation to additionally mark it as bogus. 
 +      # Protects against 'DNS Rebinding' (uses browser as network proxy). 
 +      # Only 'private-domain' and 'local-data' names are allowed to have 
 +      # these private addresses. No default.
 +      # private-address: 10.0.0.0/8
 +      # private-address: 172.16.0.0/12
 +      # private-address: 192.168.0.0/16
 +      # private-address: 169.254.0.0/16
 +      # private-address: fd00::/8
 +      # private-address: fe80::/10
 +
 +      # Allow the domain (and its subdomains) to contain private addresses.
 +      # local-data statements are allowed to contain private addresses too.
 +      # private-domain: "example.com"
 +
 +      # If nonzero, unwanted replies are not only reported in statistics,
 +      # but also a running total is kept per thread. If it reaches the
 +      # threshold, a warning is printed and a defensive action is taken,
 +      # the cache is cleared to flush potential poison out of it.
 +      # A suggested value is 10000000, the default is 0 (turned off).
 +      # unwanted-reply-threshold: 0
 +
 +      # Do not query the following addresses. No DNS queries are sent there.
 +      # List one address per entry. List classless netblocks with /size,
 +      # do-not-query-address: 127.0.0.1/8
 +      # do-not-query-address: ::1
 +
 +      # if yes, the above default do-not-query-address entries are present.
 +      # if no, localhost can be queried (for testing and debugging).
 +      # do-not-query-localhost: yes
 +
 +      # if yes, perform prefetching of almost expired message cache entries.
 +      # prefetch: no
 +
 +      # if yes, perform key lookups adjacent to normal lookups.
 +      # prefetch-key: no
 +
 +      # if yes, Unbound rotates RRSet order in response.
 +      # rrset-roundrobin: no
 +
 +      # if yes, Unbound doesn't insert authority/additional sections
 +      # into response messages when those sections are not required.
 +      # minimal-responses: no
 +
 +      # module configuration of the server. A string with identifiers
 +      # separated by spaces. Syntax: "[dns64] [validator] iterator"
 +      # module-config: "validator iterator"
 +
 +      # File with trusted keys, kept uptodate using RFC5011 probes,
 +      # initial file like trust-anchor-file, then it stores metadata.
 +      # Use several entries, one per domain name, to track multiple zones.
 +      #
 +      # If you want to perform DNSSEC validation, run unbound-anchor before
 +      # you start unbound (i.e. in the system boot scripts).  And enable:
 +      # Please note usage of unbound-anchor root anchor is at your own risk
 +      # and under the terms of our LICENSE (see that file in the source).
 +      # auto-trust-anchor-file: "@UNBOUND_ROOTKEY_FILE@"
 +
 +      # File with DLV trusted keys. Same format as trust-anchor-file.
 +      # There can be only one DLV configured, it is trusted from root down.
++      # DLV is going to be decommissioned.  Please do not use it any more.
 +      # dlv-anchor-file: "dlv.isc.org.key"
 +
 +      # File with trusted keys for validation. Specify more than one file
 +      # with several entries, one file per entry.
 +      # Zone file format, with DS and DNSKEY entries.
 +      # Note this gets out of date, use auto-trust-anchor-file please.
 +      # trust-anchor-file: ""
 +      
 +      # Trusted key for validation. DS or DNSKEY. specify the RR on a
 +      # single line, surrounded by "". TTL is ignored. class is IN default.
 +      # Note this gets out of date, use auto-trust-anchor-file please.
 +      # (These examples are from August 2007 and may not be valid anymore).
 +      # trust-anchor: "nlnetlabs.nl. DNSKEY 257 3 5 AQPzzTWMz8qSWIQlfRnPckx2BiVmkVN6LPupO3mbz7FhLSnm26n6iG9N Lby97Ji453aWZY3M5/xJBSOS2vWtco2t8C0+xeO1bc/d6ZTy32DHchpW 6rDH1vp86Ll+ha0tmwyy9QP7y2bVw5zSbFCrefk8qCUBgfHm9bHzMG1U BYtEIQ=="
 +      # trust-anchor: "jelte.nlnetlabs.nl. DS 42860 5 1 14D739EB566D2B1A5E216A0BA4D17FA9B038BE4A"
 +
 +      # File with trusted keys for validation. Specify more than one file
 +      # with several entries, one file per entry. Like trust-anchor-file
 +      # but has a different file format. Format is BIND-9 style format, 
 +      # the trusted-keys { name flag proto algo "key"; }; clauses are read.
 +      # you need external update procedures to track changes in keys.
 +      # trusted-keys-file: ""
 +
 +      # Ignore chain of trust. Domain is treated as insecure.
 +      # domain-insecure: "example.com"
 +
 +      # Override the date for validation with a specific fixed date.
 +      # Do not set this unless you are debugging signature inception
 +      # and expiration. "" or "0" turns the feature off. -1 ignores date.
 +      # val-override-date: ""
 +
 +      # The time to live for bogus data, rrsets and messages. This avoids
 +      # some of the revalidation, until the time interval expires. in secs.
 +      # val-bogus-ttl: 60
 +
 +      # The signature inception and expiration dates are allowed to be off
 +      # by 10% of the signature lifetime (expir-incep) from our local clock.
 +      # This leeway is capped with a minimum and a maximum.  In seconds.
 +      # val-sig-skew-min: 3600
 +      # val-sig-skew-max: 86400
 +
 +      # Should additional section of secure message also be kept clean of
 +      # unsecure data. Useful to shield the users of this validator from
 +      # potential bogus data in the additional section. All unsigned data 
 +      # in the additional section is removed from secure messages.
 +      # val-clean-additional: yes
 +
 +      # Turn permissive mode on to permit bogus messages. Thus, messages
 +      # for which security checks failed will be returned to clients,
 +      # instead of SERVFAIL. It still performs the security checks, which
 +      # result in interesting log files and possibly the AD bit in
 +      # replies if the message is found secure. The default is off.
 +      # val-permissive-mode: no
 +
 +      # Ignore the CD flag in incoming queries and refuse them bogus data.
 +      # Enable it if the only clients of unbound are legacy servers (w2008)
 +      # that set CD but cannot validate themselves.
 +      # ignore-cd-flag: no
 +
 +      # Have the validator log failed validations for your diagnosis.
 +      # 0: off. 1: A line per failed user query. 2: With reason and bad IP.
 +      # val-log-level: 0
 +
 +      # It is possible to configure NSEC3 maximum iteration counts per
 +      # keysize. Keep this table very short, as linear search is done.
 +      # A message with an NSEC3 with larger count is marked insecure.
 +      # List in ascending order the keysize and count values.
 +      # val-nsec3-keysize-iterations: "1024 150 2048 500 4096 2500"
 +      
 +      # instruct the auto-trust-anchor-file probing to add anchors after ttl.
 +      # add-holddown: 2592000 # 30 days
 +
 +      # instruct the auto-trust-anchor-file probing to del anchors after ttl.
 +      # del-holddown: 2592000 # 30 days
 +
 +      # auto-trust-anchor-file probing removes missing anchors after ttl.
 +      # If the value 0 is given, missing anchors are not removed.
 +      # keep-missing: 31622400 # 366 days
 +
 +      # the amount of memory to use for the key cache.
 +      # plain value in bytes or you can append k, m or G. default is "4Mb". 
 +      # key-cache-size: 4m
 +
 +      # the number of slabs to use for the key cache.
 +      # the number of slabs must be a power of 2.
 +      # more slabs reduce lock contention, but fragment memory usage.
 +      # key-cache-slabs: 4
 +
 +      # the amount of memory to use for the negative cache (used for DLV).
 +      # plain value in bytes or you can append k, m or G. default is "1Mb". 
 +      # neg-cache-size: 1m
 +
 +      # By default, for a number of zones a small default 'nothing here'
 +      # reply is built-in.  Query traffic is thus blocked.  If you
 +      # wish to serve such zone you can unblock them by uncommenting one
 +      # of the nodefault statements below.
 +      # You may also have to use domain-insecure: zone to make DNSSEC work,
 +      # unless you have your own trust anchors for this zone.
 +      # local-zone: "localhost." nodefault
 +      # local-zone: "127.in-addr.arpa." nodefault
 +      # local-zone: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
 +      # local-zone: "10.in-addr.arpa." nodefault
 +      # local-zone: "16.172.in-addr.arpa." nodefault
 +      # local-zone: "17.172.in-addr.arpa." nodefault
 +      # local-zone: "18.172.in-addr.arpa." nodefault
 +      # local-zone: "19.172.in-addr.arpa." nodefault
 +      # local-zone: "20.172.in-addr.arpa." nodefault
 +      # local-zone: "21.172.in-addr.arpa." nodefault
 +      # local-zone: "22.172.in-addr.arpa." nodefault
 +      # local-zone: "23.172.in-addr.arpa." nodefault
 +      # local-zone: "24.172.in-addr.arpa." nodefault
 +      # local-zone: "25.172.in-addr.arpa." nodefault
 +      # local-zone: "26.172.in-addr.arpa." nodefault
 +      # local-zone: "27.172.in-addr.arpa." nodefault
 +      # local-zone: "28.172.in-addr.arpa." nodefault
 +      # local-zone: "29.172.in-addr.arpa." nodefault
 +      # local-zone: "30.172.in-addr.arpa." nodefault
 +      # local-zone: "31.172.in-addr.arpa." nodefault
 +      # local-zone: "168.192.in-addr.arpa." nodefault
 +      # local-zone: "0.in-addr.arpa." nodefault
 +      # local-zone: "254.169.in-addr.arpa." nodefault
 +      # local-zone: "2.0.192.in-addr.arpa." nodefault
 +      # local-zone: "100.51.198.in-addr.arpa." nodefault
 +      # local-zone: "113.0.203.in-addr.arpa." nodefault
 +      # local-zone: "255.255.255.255.in-addr.arpa." nodefault
 +      # local-zone: "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." nodefault
 +      # local-zone: "d.f.ip6.arpa." nodefault
 +      # local-zone: "8.e.f.ip6.arpa." nodefault
 +      # local-zone: "9.e.f.ip6.arpa." nodefault
 +      # local-zone: "a.e.f.ip6.arpa." nodefault
 +      # local-zone: "b.e.f.ip6.arpa." nodefault
 +      # local-zone: "8.b.d.0.1.0.0.2.ip6.arpa." nodefault
 +      # And for 64.100.in-addr.arpa. to 127.100.in-addr.arpa.
 +      
 +      # if unbound is running service for the local host then it is useful
 +      # to perform lan-wide lookups to the upstream, and unblock the
 +      # long list of local-zones above.  If this unbound is a dns server
 +      # for a network of computers, disabled is better and stops information
 +      # leakage of local lan information.
 +      # unblock-lan-zones: no
 +
 +      # a number of locally served zones can be configured.
 +      #       local-zone: <zone> <type>
 +      #       local-data: "<resource record string>"
 +      # o deny serves local data (if any), else, drops queries. 
 +      # o refuse serves local data (if any), else, replies with error.
 +      # o static serves local data, else, nxdomain or nodata answer.
 +      # o transparent gives local data, but resolves normally for other names
 +      # o redirect serves the zone data for any subdomain in the zone.
 +      # o nodefault can be used to normally resolve AS112 zones.
 +      # o typetransparent resolves normally for other types and other names
 +      # o inform resolves normally, but logs client IP address
++      # o inform_deny drops queries and logs client IP address
 +      #
 +      # defaults are localhost address, reverse for 127.0.0.1 and ::1
 +      # and nxdomain for AS112 zones. If you configure one of these zones
 +      # the default content is omitted, or you can omit it with 'nodefault'.
 +      # 
 +      # If you configure local-data without specifying local-zone, by
 +      # default a transparent local-zone is created for the data.
 +      #
 +      # You can add locally served data with
 +      # local-zone: "local." static
 +      # local-data: "mycomputer.local. IN A 192.0.2.51"
 +      # local-data: 'mytext.local TXT "content of text record"'
 +      #
 +      # You can override certain queries with
 +      # local-data: "adserver.example.com A 127.0.0.1"
 +      #
 +      # You can redirect a domain to a fixed address with
 +      # (this makes example.com, www.example.com, etc, all go to 192.0.2.3)
 +      # local-zone: "example.com" redirect
 +      # local-data: "example.com A 192.0.2.3"
 +      #
 +      # Shorthand to make PTR records, "IPv4 name" or "IPv6 name".
 +      # You can also add PTR records using local-data directly, but then
 +      # you need to do the reverse notation yourself.
 +      # local-data-ptr: "192.0.2.3 www.example.com"
 +
 +      # service clients over SSL (on the TCP sockets), with plain DNS inside
 +      # the SSL stream.  Give the certificate to use and private key.
 +      # default is "" (disabled).  requires restart to take effect.
 +      # ssl-service-key: "path/to/privatekeyfile.key"
 +      # ssl-service-pem: "path/to/publiccertfile.pem"
 +      # ssl-port: 443
 +
 +      # request upstream over SSL (with plain DNS inside the SSL stream).
 +      # Default is no.  Can be turned on and off with unbound-control.
 +      # ssl-upstream: no
 +
 +      # DNS64 prefix. Must be specified when DNS64 is use.
 +      # Enable dns64 in module-config.  Used to synthesize IPv6 from IPv4.
 +      # dns64-prefix: 64:ff9b::0/96
 +
++      # ratelimit for uncached, new queries, this limits recursion effort.
++      # ratelimiting is experimental, and may help against randomqueryflood.
++      # if 0(default) it is disabled, otherwise state qps allowed per zone.
++      # ratelimit: 0
++
++      # ratelimits are tracked in a cache, size in bytes of cache (or k,m).
++      # ratelimit-size: 4m
++      # ratelimit cache slabs, reduces lock contention if equal to cpucount.
++      # ratelimit-slabs: 4
++      
++      # 0 blocks when ratelimited, otherwise let 1/xth traffic through
++      # ratelimit-factor: 10
++
++      # override the ratelimit for a specific domain name.
++      # give this setting multiple times to have multiple overrides.
++      # ratelimit-for-domain: example.com 1000
++      # override the ratelimits for all domains below a domain name
++      # can give this multiple times, the name closest to the zone is used.
++      # ratelimit-below-domain: example 1000
++
 +# Python config section. To enable:
 +# o use --with-pythonmodule to configure before compiling.
 +# o list python in the module-config string (above) to enable.
 +# o and give a python-script to run.
 +python:
 +      # Script file to load
 +      # python-script: "@UNBOUND_SHARE_DIR@/ubmodule-tst.py"
 +
 +# Remote control config section. 
 +remote-control:
 +      # Enable remote control with unbound-control(8) here.
 +      # set up the keys and certificates with unbound-control-setup.
 +      # control-enable: no
 +
 +      # Set to no and use an absolute path as control-interface to use
 +      # a unix local named pipe for unbound-control.
 +      # control-use-cert: yes
 +
 +      # what interfaces are listened to for remote control.
 +      # give 0.0.0.0 and ::0 to listen to all interfaces.
 +      # control-interface: 127.0.0.1
 +      # control-interface: ::1
 +
 +      # port number for remote control operations.
 +      # control-port: 8953
 +
 +      # unbound server key file.
 +      # server-key-file: "@UNBOUND_RUN_DIR@/unbound_server.key"
 +
 +      # unbound server certificate file.
 +      # server-cert-file: "@UNBOUND_RUN_DIR@/unbound_server.pem"
 +
 +      # unbound-control key file.
 +      # control-key-file: "@UNBOUND_RUN_DIR@/unbound_control.key"
 +
 +      # unbound-control certificate file.
 +      # control-cert-file: "@UNBOUND_RUN_DIR@/unbound_control.pem"
 +
 +# Stub zones.
 +# Create entries like below, to make all queries for 'example.com' and 
 +# 'example.org' go to the given list of nameservers. list zero or more 
 +# nameservers by hostname or by ipaddress. If you set stub-prime to yes, 
 +# the list is treated as priming hints (default is no).
 +# With stub-first yes, it attempts without the stub if it fails.
 +# stub-zone:
 +#     name: "example.com"
 +#     stub-addr: 192.0.2.68
 +#     stub-prime: no
 +#     stub-first: no
 +# stub-zone:
 +#     name: "example.org"
 +#     stub-host: ns.example.com.
 +
 +# Forward zones
 +# Create entries like below, to make all queries for 'example.com' and
 +# 'example.org' go to the given list of servers. These servers have to handle
 +# recursion to other nameservers. List zero or more nameservers by hostname
 +# or by ipaddress. Use an entry with name "." to forward all queries.
 +# If you enable forward-first, it attempts without the forward if it fails.
 +# forward-zone:
 +#     name: "example.com"
 +#     forward-addr: 192.0.2.68
 +#     forward-addr: 192.0.2.73@5355  # forward to port 5355.
 +#     forward-first: no
 +# forward-zone:
 +#     name: "example.org"
 +#     forward-host: fwd.example.com
diff --cc contrib/unbound/doc/libunbound.3
index a4c7945aea1bfb176115c74b74ab6401523beafa,0000000000000000000000000000000000000000..7ef77865b6e7037464cd9c70397fc544d5da2604
mode 100644,000000..100644
--- 1/contrib/unbound/doc/libunbound.3
--- /dev/null
+++ b/contrib/unbound/doc/libunbound.3
@@@ -1,398 -1,0 +1,399 @@@
- .TH "libunbound" "3" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "libunbound" "3" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" libunbound.3 -- unbound library functions manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B libunbound,
 +.B unbound.h,
 +.B ub_ctx,
 +.B ub_result,
 +.B ub_callback_t,
 +.B ub_ctx_create,
 +.B ub_ctx_delete,
 +.B ub_ctx_set_option,
 +.B ub_ctx_get_option,
 +.B ub_ctx_config,
 +.B ub_ctx_set_fwd,
 +.B ub_ctx_resolvconf,
 +.B ub_ctx_hosts,
 +.B ub_ctx_add_ta,
 +.B ub_ctx_add_ta_autr,
 +.B ub_ctx_add_ta_file,
 +.B ub_ctx_trustedkeys,
 +.B ub_ctx_debugout,
 +.B ub_ctx_debuglevel,
 +.B ub_ctx_async,
 +.B ub_poll,
 +.B ub_wait,
 +.B ub_fd,
 +.B ub_process,
 +.B ub_resolve,
 +.B ub_resolve_async,
 +.B ub_cancel,
 +.B ub_resolve_free,
 +.B ub_strerror,
 +.B ub_ctx_print_local_zones,
 +.B ub_ctx_zone_add,
 +.B ub_ctx_zone_remove,
 +.B ub_ctx_data_add,
 +.B ub_ctx_data_remove
- \- Unbound DNS validating resolver 1.5.3 functions.
++\- Unbound DNS validating resolver 1.5.4 functions.
 +.SH "SYNOPSIS"
 +.B #include <unbound.h>
 +.LP
 +\fIstruct ub_ctx *\fR
 +\fBub_ctx_create\fR(\fIvoid\fR);
 +.LP
 +\fIvoid\fR
 +\fBub_ctx_delete\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_ctx_set_option\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR opt, \fIchar*\fR val);
 +.LP
 +\fIint\fR
 +\fBub_ctx_get_option\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR opt, \fIchar**\fR val);
 +.LP
 +\fIint\fR
 +\fBub_ctx_config\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_set_fwd\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR addr);
 +.LP
 +\fIint\fR
 +\fBub_ctx_resolvconf\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_hosts\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR ta);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta_autr\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta_file\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_trustedkeys\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_debugout\fR(\fIstruct ub_ctx*\fR ctx, \fIFILE*\fR out);
 +.LP
 +\fIint\fR
 +\fBub_ctx_debuglevel\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR d);
 +.LP
 +\fIint\fR
 +\fBub_ctx_async\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR dothread);
 +.LP
 +\fIint\fR
 +\fBub_poll\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_wait\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_fd\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_process\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_resolve\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR name, 
 +.br
 +           \fIint\fR rrtype, \fIint\fR rrclass, \fIstruct ub_result**\fR result);
 +.LP
 +\fIint\fR
 +\fBub_resolve_async\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR name, 
 +.br
 +                 \fIint\fR rrtype, \fIint\fR rrclass, \fIvoid*\fR mydata, 
 +.br
 +                 \fIub_callback_t\fR callback, \fIint*\fR async_id);
 +.LP
 +\fIint\fR
 +\fBub_cancel\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR async_id);
 +.LP
 +\fIvoid\fR
 +\fBub_resolve_free\fR(\fIstruct ub_result*\fR result);
 +.LP
 +\fIconst char *\fR
 +\fBub_strerror\fR(\fIint\fR err);
 +.LP
 +\fIint\fR
 +\fBub_ctx_print_local_zones\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_ctx_zone_add\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR zone_name, \fIchar*\fR zone_type);
 +.LP
 +\fIint\fR
 +\fBub_ctx_zone_remove\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR zone_name);
 +.LP
 +\fIint\fR
 +\fBub_ctx_data_add\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR data);
 +.LP
 +\fIint\fR
 +\fBub_ctx_data_remove\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR data);
 +.SH "DESCRIPTION"
 +.B Unbound 
 +is an implementation of a DNS resolver, that does caching and 
 +DNSSEC validation. This is the library API, for using the \-lunbound library.
 +The server daemon is described in \fIunbound\fR(8).
 +The library can be used to convert hostnames to ip addresses, and back,
 +and obtain other information from the DNS. The library performs public\-key
 +validation of results with DNSSEC.
 +.P
 +The library uses a variable of type \fIstruct ub_ctx\fR to keep context
 +between calls. The user must maintain it, creating it with
 +.B ub_ctx_create
 +and deleting it with
 +.B ub_ctx_delete\fR.
 +It can be created and deleted at any time. Creating it anew removes any 
 +previous configuration (such as trusted keys) and clears any cached results.
 +.P
 +The functions are thread\-safe, and a context an be used in a threaded (as 
 +well as in a non\-threaded) environment. Also resolution (and validation) 
 +can be performed blocking and non\-blocking (also called asynchronous). 
 +The async method returns from the call immediately, so that processing 
 +can go on, while the results become available later. 
 +.P
 +The functions are discussed in turn below.
 +.SH "FUNCTIONS"
 +.TP 
 +.B ub_ctx_create
 +Create a new context, initialised with defaults.
 +The information from /etc/resolv.conf and /etc/hosts is not utilised 
 +by default. Use 
 +.B ub_ctx_resolvconf
 +and
 +.B ub_ctx_hosts
 +to read them.
 +Before you call this, use the openssl functions CRYPTO_set_id_callback and
 +CRYPTO_set_locking_callback to set up asyncronous operation if you use
 +lib openssl (the application calls these functions once for initialisation).
++Openssl 1.0.0 or later uses the CRYPTO_THREADID_set_callback function.
 +.TP
 +.B ub_ctx_delete
 +Delete validation context and free associated resources.
 +Outstanding async queries are killed and callbacks are not called for them.
 +.TP
 +.B ub_ctx_set_option
 +A power\-user interface that lets you specify one of the options from the
 +config file format, see \fIunbound.conf\fR(5). Not all options are
 +relevant. For some specific options, such as adding trust anchors, special
 +routines exist. Pass the option name with the trailing ':'.
 +.TP
 +.B ub_ctx_get_option
 +A power\-user interface that gets an option value.  Some options cannot be
 +gotten, and others return a newline separated list.  Pass the option name
 +without trailing ':'.  The returned value must be free(2)d by the caller.
 +.TP
 +.B ub_ctx_config
 +A power\-user interface that lets you specify an unbound config file, see
 +\fIunbound.conf\fR(5), which is read for configuration. Not all options are
 +relevant. For some specific options, such as adding trust anchors, special
 +routines exist.
 +.TP
 +.B ub_ctx_set_fwd
 +Set machine to forward DNS queries to, the caching resolver to use. 
 +IP4 or IP6 address. Forwards all DNS requests to that machine, which 
 +is expected to run a recursive resolver. If the proxy is not 
 +DNSSEC capable, validation may fail. Can be called several times, in 
 +that case the addresses are used as backup servers.
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_resolvconf
 +By default the root servers are queried and full resolver mode is used, but
 +you can use this call to read the list of nameservers to use from the
 +filename given.
 +Usually "/etc/resolv.conf". Uses those nameservers as caching proxies.
 +If they do not support DNSSEC, validation may fail.
 +Only nameservers are picked up, the searchdomain, ndots and other
 +settings from \fIresolv.conf\fR(5) are ignored.
 +If fname NULL is passed, "/etc/resolv.conf" is used (if on Windows, 
 +the system\-wide configured nameserver is picked instead).
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_hosts
 +Read list of hosts from the filename given.
 +Usually "/etc/hosts". When queried for, these addresses are not marked 
 +DNSSEC secure. If fname NULL is passed, "/etc/hosts" is used 
 +(if on Windows, etc/hosts from WINDIR is picked instead).
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B
 +ub_ctx_add_ta
 +Add a trust anchor to the given context.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +The format is a string, similar to the zone\-file format,
 +[domainname] [type] [rdata contents]. Both DS and DNSKEY records are accepted.
 +.TP
 +.B ub_ctx_add_ta_autr
 +Add filename with automatically tracked trust anchor to the given context.
 +Pass name of a file with the managed trust anchor.  You can create this
 +file with \fIunbound\-anchor\fR(8) for the root anchor.  You can also
 +create it with an initial file with one line with a DNSKEY or DS record.
 +If the file is writable, it is updated when the trust anchor changes.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_add_ta_file
 +Add trust anchors to the given context.
 +Pass name of a file with DS and DNSKEY records in zone file format.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_trustedkeys
 +Add trust anchors to the given context.
 +Pass the name of a bind\-style config file with trusted\-keys{}.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_debugout
 +Set debug and error log output to the given stream. Pass NULL to disable
 +output. Default is stderr. File\-names or using syslog can be enabled
 +using config options, this routine is for using your own stream.
 +.TP
 +.B ub_ctx_debuglevel
 +Set debug verbosity for the context. Output is directed to stderr.
 +Higher debug level gives more output.
 +.TP
 +.B ub_ctx_async
 +Set a context behaviour for asynchronous action.
 +if set to true, enables threading and a call to 
 +.B ub_resolve_async 
 +creates a thread to handle work in the background.
 +If false, a process is forked to handle work in the background.
 +Changes to this setting after 
 +.B ub_resolve_async 
 +calls have been made have no effect (delete and re\-create the context 
 +to change).
 +.TP
 +.B ub_poll
 +Poll a context to see if it has any new results.
 +Do not poll in a loop, instead extract the fd below to poll for readiness,
 +and then check, or wait using the wait routine.
 +Returns 0 if nothing to read, or nonzero if a result is available.
 +If nonzero, call 
 +.B ub_process 
 +to do callbacks.
 +.TP
 +.B ub_wait
 +Wait for a context to finish with results. Calls 
 +.B ub_process 
 +after the wait for you. After the wait, there are no more outstanding 
 +asynchronous queries.
 +.TP
 +.B ub_fd
 +Get file descriptor. Wait for it to become readable, at this point
 +answers are returned from the asynchronous validating resolver.
 +Then call the \fBub_process\fR to continue processing.
 +.TP
 +.B ub_process
 +Call this routine to continue processing results from the validating
 +resolver (when the fd becomes readable).
 +Will perform necessary callbacks.
 +.TP
 +.B ub_resolve
 +Perform resolution and validation of the target name.
 +The name is a domain name in a zero terminated text string.
 +The rrtype and rrclass are DNS type and class codes.
 +The result structure is newly allocated with the resulting data.
 +.TP
 +.B ub_resolve_async
 +Perform asynchronous resolution and validation of the target name.
 +Arguments mean the same as for \fBub_resolve\fR except no
 +data is returned immediately, instead a callback is called later.
 +The callback receives a copy of the mydata pointer, that you can use to pass
 +information to the callback. The callback type is a function pointer to
 +a function declared as
 +.IP
 +void my_callback_function(void* my_arg, int err, 
 +.br
 +                  struct ub_result* result);
 +.IP
 +The async_id is returned so you can (at your option) decide to track it
 +and cancel the request if needed.  If you pass a NULL pointer the async_id
 +is not returned. 
 +.TP
 +.B ub_cancel
 +Cancel an async query in progress.  This may return an error if the query
 +does not exist, or the query is already being delivered, in that case you 
 +may still get a callback for the query.
 +.TP
 +.B ub_resolve_free
 +Free struct ub_result contents after use.
 +.TP
 +.B ub_strerror
 +Convert error value from one of the unbound library functions 
 +to a human readable string.
 +.TP
 +.B ub_ctx_print_local_zones
 +Debug printout the local authority information to debug output.
 +.TP
 +.B ub_ctx_zone_add
 +Add new zone to local authority info, like local\-zone \fIunbound.conf\fR(5) 
 +statement.
 +.TP
 +.B ub_ctx_zone_remove
 +Delete zone from local authority info.
 +.TP
 +.B ub_ctx_data_add
 +Add resource record data to local authority info, like local\-data
 +\fIunbound.conf\fR(5) statement.
 +.TP
 +.B ub_ctx_data_remove
 +Delete local authority data from the name given.
 +.SH "RESULT DATA STRUCTURE"
 +The result of the DNS resolution and validation is returned as 
 +\fIstruct ub_result\fR. The result structure contains the following entries.
 +.P
 +.nf
 +      struct ub_result {
 +              char* qname; /* text string, original question */
 +              int qtype;   /* type code asked for */
 +              int qclass;  /* class code asked for */
 +              char** data; /* array of rdata items, NULL terminated*/
 +              int* len;    /* array with lengths of rdata items */
 +              char* canonname; /* canonical name of result */
 +              int rcode;   /* additional error code in case of no data */
 +              void* answer_packet; /* full network format answer packet */
 +              int answer_len; /* length of packet in octets */
 +              int havedata; /* true if there is data */
 +              int nxdomain; /* true if nodata because name does not exist */
 +              int secure;  /* true if result is secure */
 +              int bogus;   /* true if a security failure happened */
 +              char* why_bogus; /* string with error if bogus */
 +              int ttl;     /* number of seconds the result is valid */
 +      };
 +.fi
 +.P
 +If both secure and bogus are false, security was not enabled for the 
 +domain of the query.  Else, they are not both true, one of them is true.
 +.SH "RETURN VALUES"
 +Many routines return an error code. The value 0 (zero) denotes no error
 +happened. Other values can be passed to
 +.B ub_strerror
 +to obtain a readable error string.
 +.B ub_strerror
 +returns a zero terminated string.
 +.B ub_ctx_create
 +returns NULL on an error (a malloc failure).
 +.B ub_poll
 +returns true if some information may be available, false otherwise.
 +.B ub_fd
 +returns a file descriptor or \-1 on error.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
 +.SH "AUTHORS"
 +.B Unbound
 +developers are mentioned in the CREDITS file in the distribution.
diff --cc contrib/unbound/doc/libunbound.3.in
index a4c7945aea1bfb176115c74b74ab6401523beafa,0000000000000000000000000000000000000000..7ef77865b6e7037464cd9c70397fc544d5da2604
mode 100644,000000..100644
--- 1/contrib/unbound/doc/libunbound.3.in
--- /dev/null
+++ b/contrib/unbound/doc/libunbound.3.in
@@@ -1,398 -1,0 +1,399 @@@
- .TH "libunbound" "3" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "libunbound" "3" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" libunbound.3 -- unbound library functions manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B libunbound,
 +.B unbound.h,
 +.B ub_ctx,
 +.B ub_result,
 +.B ub_callback_t,
 +.B ub_ctx_create,
 +.B ub_ctx_delete,
 +.B ub_ctx_set_option,
 +.B ub_ctx_get_option,
 +.B ub_ctx_config,
 +.B ub_ctx_set_fwd,
 +.B ub_ctx_resolvconf,
 +.B ub_ctx_hosts,
 +.B ub_ctx_add_ta,
 +.B ub_ctx_add_ta_autr,
 +.B ub_ctx_add_ta_file,
 +.B ub_ctx_trustedkeys,
 +.B ub_ctx_debugout,
 +.B ub_ctx_debuglevel,
 +.B ub_ctx_async,
 +.B ub_poll,
 +.B ub_wait,
 +.B ub_fd,
 +.B ub_process,
 +.B ub_resolve,
 +.B ub_resolve_async,
 +.B ub_cancel,
 +.B ub_resolve_free,
 +.B ub_strerror,
 +.B ub_ctx_print_local_zones,
 +.B ub_ctx_zone_add,
 +.B ub_ctx_zone_remove,
 +.B ub_ctx_data_add,
 +.B ub_ctx_data_remove
- \- Unbound DNS validating resolver 1.5.3 functions.
++\- Unbound DNS validating resolver 1.5.4 functions.
 +.SH "SYNOPSIS"
 +.B #include <unbound.h>
 +.LP
 +\fIstruct ub_ctx *\fR
 +\fBub_ctx_create\fR(\fIvoid\fR);
 +.LP
 +\fIvoid\fR
 +\fBub_ctx_delete\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_ctx_set_option\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR opt, \fIchar*\fR val);
 +.LP
 +\fIint\fR
 +\fBub_ctx_get_option\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR opt, \fIchar**\fR val);
 +.LP
 +\fIint\fR
 +\fBub_ctx_config\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_set_fwd\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR addr);
 +.LP
 +\fIint\fR
 +\fBub_ctx_resolvconf\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_hosts\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR ta);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta_autr\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_add_ta_file\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_trustedkeys\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR fname);
 +.LP
 +\fIint\fR
 +\fBub_ctx_debugout\fR(\fIstruct ub_ctx*\fR ctx, \fIFILE*\fR out);
 +.LP
 +\fIint\fR
 +\fBub_ctx_debuglevel\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR d);
 +.LP
 +\fIint\fR
 +\fBub_ctx_async\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR dothread);
 +.LP
 +\fIint\fR
 +\fBub_poll\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_wait\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_fd\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_process\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_resolve\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR name, 
 +.br
 +           \fIint\fR rrtype, \fIint\fR rrclass, \fIstruct ub_result**\fR result);
 +.LP
 +\fIint\fR
 +\fBub_resolve_async\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR name, 
 +.br
 +                 \fIint\fR rrtype, \fIint\fR rrclass, \fIvoid*\fR mydata, 
 +.br
 +                 \fIub_callback_t\fR callback, \fIint*\fR async_id);
 +.LP
 +\fIint\fR
 +\fBub_cancel\fR(\fIstruct ub_ctx*\fR ctx, \fIint\fR async_id);
 +.LP
 +\fIvoid\fR
 +\fBub_resolve_free\fR(\fIstruct ub_result*\fR result);
 +.LP
 +\fIconst char *\fR
 +\fBub_strerror\fR(\fIint\fR err);
 +.LP
 +\fIint\fR
 +\fBub_ctx_print_local_zones\fR(\fIstruct ub_ctx*\fR ctx);
 +.LP
 +\fIint\fR
 +\fBub_ctx_zone_add\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR zone_name, \fIchar*\fR zone_type);
 +.LP
 +\fIint\fR
 +\fBub_ctx_zone_remove\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR zone_name);
 +.LP
 +\fIint\fR
 +\fBub_ctx_data_add\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR data);
 +.LP
 +\fIint\fR
 +\fBub_ctx_data_remove\fR(\fIstruct ub_ctx*\fR ctx, \fIchar*\fR data);
 +.SH "DESCRIPTION"
 +.B Unbound 
 +is an implementation of a DNS resolver, that does caching and 
 +DNSSEC validation. This is the library API, for using the \-lunbound library.
 +The server daemon is described in \fIunbound\fR(8).
 +The library can be used to convert hostnames to ip addresses, and back,
 +and obtain other information from the DNS. The library performs public\-key
 +validation of results with DNSSEC.
 +.P
 +The library uses a variable of type \fIstruct ub_ctx\fR to keep context
 +between calls. The user must maintain it, creating it with
 +.B ub_ctx_create
 +and deleting it with
 +.B ub_ctx_delete\fR.
 +It can be created and deleted at any time. Creating it anew removes any 
 +previous configuration (such as trusted keys) and clears any cached results.
 +.P
 +The functions are thread\-safe, and a context an be used in a threaded (as 
 +well as in a non\-threaded) environment. Also resolution (and validation) 
 +can be performed blocking and non\-blocking (also called asynchronous). 
 +The async method returns from the call immediately, so that processing 
 +can go on, while the results become available later. 
 +.P
 +The functions are discussed in turn below.
 +.SH "FUNCTIONS"
 +.TP 
 +.B ub_ctx_create
 +Create a new context, initialised with defaults.
 +The information from /etc/resolv.conf and /etc/hosts is not utilised 
 +by default. Use 
 +.B ub_ctx_resolvconf
 +and
 +.B ub_ctx_hosts
 +to read them.
 +Before you call this, use the openssl functions CRYPTO_set_id_callback and
 +CRYPTO_set_locking_callback to set up asyncronous operation if you use
 +lib openssl (the application calls these functions once for initialisation).
++Openssl 1.0.0 or later uses the CRYPTO_THREADID_set_callback function.
 +.TP
 +.B ub_ctx_delete
 +Delete validation context and free associated resources.
 +Outstanding async queries are killed and callbacks are not called for them.
 +.TP
 +.B ub_ctx_set_option
 +A power\-user interface that lets you specify one of the options from the
 +config file format, see \fIunbound.conf\fR(5). Not all options are
 +relevant. For some specific options, such as adding trust anchors, special
 +routines exist. Pass the option name with the trailing ':'.
 +.TP
 +.B ub_ctx_get_option
 +A power\-user interface that gets an option value.  Some options cannot be
 +gotten, and others return a newline separated list.  Pass the option name
 +without trailing ':'.  The returned value must be free(2)d by the caller.
 +.TP
 +.B ub_ctx_config
 +A power\-user interface that lets you specify an unbound config file, see
 +\fIunbound.conf\fR(5), which is read for configuration. Not all options are
 +relevant. For some specific options, such as adding trust anchors, special
 +routines exist.
 +.TP
 +.B ub_ctx_set_fwd
 +Set machine to forward DNS queries to, the caching resolver to use. 
 +IP4 or IP6 address. Forwards all DNS requests to that machine, which 
 +is expected to run a recursive resolver. If the proxy is not 
 +DNSSEC capable, validation may fail. Can be called several times, in 
 +that case the addresses are used as backup servers.
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_resolvconf
 +By default the root servers are queried and full resolver mode is used, but
 +you can use this call to read the list of nameservers to use from the
 +filename given.
 +Usually "/etc/resolv.conf". Uses those nameservers as caching proxies.
 +If they do not support DNSSEC, validation may fail.
 +Only nameservers are picked up, the searchdomain, ndots and other
 +settings from \fIresolv.conf\fR(5) are ignored.
 +If fname NULL is passed, "/etc/resolv.conf" is used (if on Windows, 
 +the system\-wide configured nameserver is picked instead).
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_hosts
 +Read list of hosts from the filename given.
 +Usually "/etc/hosts". When queried for, these addresses are not marked 
 +DNSSEC secure. If fname NULL is passed, "/etc/hosts" is used 
 +(if on Windows, etc/hosts from WINDIR is picked instead).
 +At this time it is only possible to set configuration before the
 +first resolve is done.
 +.TP
 +.B
 +ub_ctx_add_ta
 +Add a trust anchor to the given context.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +The format is a string, similar to the zone\-file format,
 +[domainname] [type] [rdata contents]. Both DS and DNSKEY records are accepted.
 +.TP
 +.B ub_ctx_add_ta_autr
 +Add filename with automatically tracked trust anchor to the given context.
 +Pass name of a file with the managed trust anchor.  You can create this
 +file with \fIunbound\-anchor\fR(8) for the root anchor.  You can also
 +create it with an initial file with one line with a DNSKEY or DS record.
 +If the file is writable, it is updated when the trust anchor changes.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_add_ta_file
 +Add trust anchors to the given context.
 +Pass name of a file with DS and DNSKEY records in zone file format.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_trustedkeys
 +Add trust anchors to the given context.
 +Pass the name of a bind\-style config file with trusted\-keys{}.
 +At this time it is only possible to add trusted keys before the
 +first resolve is done.
 +.TP
 +.B ub_ctx_debugout
 +Set debug and error log output to the given stream. Pass NULL to disable
 +output. Default is stderr. File\-names or using syslog can be enabled
 +using config options, this routine is for using your own stream.
 +.TP
 +.B ub_ctx_debuglevel
 +Set debug verbosity for the context. Output is directed to stderr.
 +Higher debug level gives more output.
 +.TP
 +.B ub_ctx_async
 +Set a context behaviour for asynchronous action.
 +if set to true, enables threading and a call to 
 +.B ub_resolve_async 
 +creates a thread to handle work in the background.
 +If false, a process is forked to handle work in the background.
 +Changes to this setting after 
 +.B ub_resolve_async 
 +calls have been made have no effect (delete and re\-create the context 
 +to change).
 +.TP
 +.B ub_poll
 +Poll a context to see if it has any new results.
 +Do not poll in a loop, instead extract the fd below to poll for readiness,
 +and then check, or wait using the wait routine.
 +Returns 0 if nothing to read, or nonzero if a result is available.
 +If nonzero, call 
 +.B ub_process 
 +to do callbacks.
 +.TP
 +.B ub_wait
 +Wait for a context to finish with results. Calls 
 +.B ub_process 
 +after the wait for you. After the wait, there are no more outstanding 
 +asynchronous queries.
 +.TP
 +.B ub_fd
 +Get file descriptor. Wait for it to become readable, at this point
 +answers are returned from the asynchronous validating resolver.
 +Then call the \fBub_process\fR to continue processing.
 +.TP
 +.B ub_process
 +Call this routine to continue processing results from the validating
 +resolver (when the fd becomes readable).
 +Will perform necessary callbacks.
 +.TP
 +.B ub_resolve
 +Perform resolution and validation of the target name.
 +The name is a domain name in a zero terminated text string.
 +The rrtype and rrclass are DNS type and class codes.
 +The result structure is newly allocated with the resulting data.
 +.TP
 +.B ub_resolve_async
 +Perform asynchronous resolution and validation of the target name.
 +Arguments mean the same as for \fBub_resolve\fR except no
 +data is returned immediately, instead a callback is called later.
 +The callback receives a copy of the mydata pointer, that you can use to pass
 +information to the callback. The callback type is a function pointer to
 +a function declared as
 +.IP
 +void my_callback_function(void* my_arg, int err, 
 +.br
 +                  struct ub_result* result);
 +.IP
 +The async_id is returned so you can (at your option) decide to track it
 +and cancel the request if needed.  If you pass a NULL pointer the async_id
 +is not returned. 
 +.TP
 +.B ub_cancel
 +Cancel an async query in progress.  This may return an error if the query
 +does not exist, or the query is already being delivered, in that case you 
 +may still get a callback for the query.
 +.TP
 +.B ub_resolve_free
 +Free struct ub_result contents after use.
 +.TP
 +.B ub_strerror
 +Convert error value from one of the unbound library functions 
 +to a human readable string.
 +.TP
 +.B ub_ctx_print_local_zones
 +Debug printout the local authority information to debug output.
 +.TP
 +.B ub_ctx_zone_add
 +Add new zone to local authority info, like local\-zone \fIunbound.conf\fR(5) 
 +statement.
 +.TP
 +.B ub_ctx_zone_remove
 +Delete zone from local authority info.
 +.TP
 +.B ub_ctx_data_add
 +Add resource record data to local authority info, like local\-data
 +\fIunbound.conf\fR(5) statement.
 +.TP
 +.B ub_ctx_data_remove
 +Delete local authority data from the name given.
 +.SH "RESULT DATA STRUCTURE"
 +The result of the DNS resolution and validation is returned as 
 +\fIstruct ub_result\fR. The result structure contains the following entries.
 +.P
 +.nf
 +      struct ub_result {
 +              char* qname; /* text string, original question */
 +              int qtype;   /* type code asked for */
 +              int qclass;  /* class code asked for */
 +              char** data; /* array of rdata items, NULL terminated*/
 +              int* len;    /* array with lengths of rdata items */
 +              char* canonname; /* canonical name of result */
 +              int rcode;   /* additional error code in case of no data */
 +              void* answer_packet; /* full network format answer packet */
 +              int answer_len; /* length of packet in octets */
 +              int havedata; /* true if there is data */
 +              int nxdomain; /* true if nodata because name does not exist */
 +              int secure;  /* true if result is secure */
 +              int bogus;   /* true if a security failure happened */
 +              char* why_bogus; /* string with error if bogus */
 +              int ttl;     /* number of seconds the result is valid */
 +      };
 +.fi
 +.P
 +If both secure and bogus are false, security was not enabled for the 
 +domain of the query.  Else, they are not both true, one of them is true.
 +.SH "RETURN VALUES"
 +Many routines return an error code. The value 0 (zero) denotes no error
 +happened. Other values can be passed to
 +.B ub_strerror
 +to obtain a readable error string.
 +.B ub_strerror
 +returns a zero terminated string.
 +.B ub_ctx_create
 +returns NULL on an error (a malloc failure).
 +.B ub_poll
 +returns true if some information may be available, false otherwise.
 +.B ub_fd
 +returns a file descriptor or \-1 on error.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
 +.SH "AUTHORS"
 +.B Unbound
 +developers are mentioned in the CREDITS file in the distribution.
diff --cc contrib/unbound/doc/unbound-anchor.8
index 3682d8fd4a97653208be129ba6c1f30b6572786f,0000000000000000000000000000000000000000..f3b6e2e57fd382911970b9e9dc0e3ba23e35a58a
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-anchor.8
--- /dev/null
+++ b/contrib/unbound/doc/unbound-anchor.8
@@@ -1,175 -1,0 +1,175 @@@
- .TH "unbound-anchor" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-anchor" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-anchor.8 -- unbound anchor maintenance utility manual
 +.\"
 +.\" Copyright (c) 2008, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-anchor
 +\- Unbound anchor utility.
 +.SH "SYNOPSIS"
 +.B unbound\-anchor
 +.RB [ opts ]
 +.SH "DESCRIPTION"
 +.B Unbound\-anchor
 +performs setup or update of the root trust anchor for DNSSEC validation.
 +It can be run (as root) from the commandline, or run as part of startup
 +scripts.  Before you start the \fIunbound\fR(8) DNS server.
 +.P
 +Suggested usage:
 +.P
 +.nf
 +      # in the init scripts.
 +      # provide or update the root anchor (if necessary)
 +      unbound-anchor \-a "/var/unbound/root.key"
 +      # Please note usage of this root anchor is at your own risk
 +      # and under the terms of our LICENSE (see source).
 +      #
 +      # start validating resolver
 +      # the unbound.conf contains:
 +      #   auto-trust-anchor-file: "/var/unbound/root.key"
 +      unbound \-c unbound.conf
 +.fi
 +.P
 +This tool provides builtin default contents for the root anchor and root
 +update certificate files.
 +.P
 +It tests if the root anchor file works, and if not, and an update is possible,
 +attempts to update the root anchor using the root update certificate.
 +It performs a https fetch of root-anchors.xml and checks the results, if
 +all checks are successful, it updates the root anchor file.  Otherwise
 +the root anchor file is unchanged.  It performs RFC5011 tracking if the
 +DNSSEC information available via the DNS makes that possible.
 +.P
 +It does not perform an update if the certificate is expired, if the network
 +is down or other errors occur.
 +.P
 +The available options are:
 +.TP
 +.B \-a \fIfile
 +The root anchor key file, that is read in and written out.
 +Default is /var/unbound/root.key.
 +If the file does not exist, or is empty, a builtin root key is written to it.
 +.TP
 +.B \-c \fIfile
 +The root update certificate file, that is read in.
 +Default is /var/unbound/icannbundle.pem.
 +If the file does not exist, or is empty, a builtin certificate is used.
 +.TP
 +.B \-l
 +List the builtin root key and builtin root update certificate on stdout.
 +.TP
 +.B \-u \fIname
 +The server name, it connects to https://name.  Specify without https:// prefix.
 +The default is "data.iana.org".  It connects to the port specified with \-P.
 +You can pass an IPv4 addres or IPv6 address (no brackets) if you want.
 +.TP
 +.B \-x \fIpath
 +The pathname to the root\-anchors.xml file on the server. (forms URL with \-u).
 +The default is /root\-anchors/root\-anchors.xml.
 +.TP
 +.B \-s \fIpath
 +The pathname to the root\-anchors.p7s file on the server. (forms URL with \-u).
 +The default is /root\-anchors/root\-anchors.p7s.  This file has to be a PKCS7
 +signature over the xml file, using the pem file (\-c) as trust anchor.
 +.TP
 +.B \-n \fIname
 +The emailAddress for the Subject of the signer's certificate from the p7s
 +signature file.  Only signatures from this name are allowed.  default is
 +dnssec@iana.org.  If you pass "" then the emailAddress is not checked.
 +.TP
 +.B \-4
 +Use IPv4 for domain resolution and contacting the server on https.  Default is
 +to use IPv4 and IPv6 where appropriate.
 +.TP
 +.B \-6
 +Use IPv6 for domain resolution and contacting the server on https.  Default is
 +to use IPv4 and IPv6 where appropriate.
 +.TP
 +.B \-f \fIresolv.conf
 +Use the given resolv.conf file.  Not enabled by default, but you could try to
 +pass /etc/resolv.conf on some systems.  It contains the IP addresses of the
 +recursive nameservers to use.  However, since this tool could be used to
 +bootstrap that very recursive nameserver, it would not be useful (since
 +that server is not up yet, since we are bootstrapping it).  It could be
 +useful in a situation where you know an upstream cache is deployed (and
 +running) and in captive portal situations.
 +.TP
 +.B \-r \fIroot.hints
 +Use the given root.hints file (same syntax as the BIND and Unbound root hints
 +file) to bootstrap domain resolution.  By default a list of builtin root
 +hints is used.  Unbound\-anchor goes to the network itself for these roots,
 +to resolve the server (\-u option) and to check the root DNSKEY records.
 +It does so, because the tool when used for bootstrapping the recursive
 +resolver, cannot use that recursive resolver itself because it is bootstrapping
 +that server.
 +.TP
 +.B \-v
 +More verbose. Once prints informational messages, multiple times may enable
 +large debug amounts (such as full certificates or byte\-dumps of downloaded
 +files).  By default it prints almost nothing.  It also prints nothing on
 +errors by default; in that case the original root anchor file is simply
 +left undisturbed, so that a recursive server can start right after it.
 +.TP
 +.B \-C \fIunbound.conf
 +Debug option to read unbound.conf into the resolver process used.
 +.TP
 +.B \-P \fIport
 +Set the port number to use for the https connection.  The default is 443.
 +.TP
 +.B \-F
 +Debug option to force update of the root anchor through downloading the xml
 +file and verifying it with the certificate.  By default it first tries to
 +update by contacting the DNS, which uses much less bandwidth, is much
 +faster (200 msec not 2 sec), and is nicer to the deployed infrastructure.
 +With this option, it still attempts to do so (and may verbosely tell you),
 +but then ignores the result and goes on to use the xml fallback method.
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.SH "EXIT CODE"
 +This tool exits with value 1 if the root anchor was updated using the
 +certificate or if the builtin root-anchor was used.  It exits with code
 +0 if no update was necessary, if the update was possible with RFC5011
 +tracking, or if an error occurred.
 +.P
 +You can check the exit value in this manner:
 +.nf
 +      unbound-anchor \-a "root.key" || logger "Please check root.key"
 +.fi
 +Or something more suitable for your operational environment.
 +.SH "TRUST"
 +The root keys and update certificate included in this tool
 +are provided for convenience and under the terms of our
 +license (see the LICENSE file in the source distribution or
 +http://unbound.nlnetlabs.nl/svn/trunk/LICENSE) and might be stale or
 +not suitable to your purpose.
 +.P
 +By running "unbound\-anchor \-l" the  keys and certificate that are
 +configured in the code are printed for your convenience.
 +.P
 +The build\-in configuration can be overridden by providing a root\-cert
 +file and a rootkey file.
 +.SH "FILES"
 +.TP
 +.I /var/unbound/root.key
 +The root anchor file, updated with 5011 tracking, and read and written to.
 +The file is created if it does not exist.
 +.TP
 +.I /var/unbound/icannbundle.pem
 +The trusted self\-signed certificate that is used to verify the downloaded
 +DNSSEC root trust anchor.  You can update it by fetching it from
 +https://data.iana.org/root\-anchors/icannbundle.pem (and validate it).
 +If the file does not exist or is empty, a builtin version is used.
 +.TP
 +.I https://data.iana.org/root\-anchors/root\-anchors.xml
 +Source for the root key information.
 +.TP
 +.I https://data.iana.org/root\-anchors/root\-anchors.p7s
 +Signature on the root key information.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-anchor.8.in
index fb2136fc1aaf17163a208dbf3bd2fe7b0dd715ba,0000000000000000000000000000000000000000..4632cf71d6817357975cbd3e812f8cb097170bca
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-anchor.8.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound-anchor.8.in
@@@ -1,175 -1,0 +1,175 @@@
- .TH "unbound-anchor" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-anchor" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-anchor.8 -- unbound anchor maintenance utility manual
 +.\"
 +.\" Copyright (c) 2008, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-anchor
 +\- Unbound anchor utility.
 +.SH "SYNOPSIS"
 +.B unbound\-anchor
 +.RB [ opts ]
 +.SH "DESCRIPTION"
 +.B Unbound\-anchor
 +performs setup or update of the root trust anchor for DNSSEC validation.
 +It can be run (as root) from the commandline, or run as part of startup
 +scripts.  Before you start the \fIunbound\fR(8) DNS server.
 +.P
 +Suggested usage:
 +.P
 +.nf
 +      # in the init scripts.
 +      # provide or update the root anchor (if necessary)
 +      unbound-anchor \-a "@UNBOUND_ROOTKEY_FILE@"
 +      # Please note usage of this root anchor is at your own risk
 +      # and under the terms of our LICENSE (see source).
 +      #
 +      # start validating resolver
 +      # the unbound.conf contains:
 +      #   auto-trust-anchor-file: "@UNBOUND_ROOTKEY_FILE@"
 +      unbound \-c unbound.conf
 +.fi
 +.P
 +This tool provides builtin default contents for the root anchor and root
 +update certificate files.
 +.P
 +It tests if the root anchor file works, and if not, and an update is possible,
 +attempts to update the root anchor using the root update certificate.
 +It performs a https fetch of root-anchors.xml and checks the results, if
 +all checks are successful, it updates the root anchor file.  Otherwise
 +the root anchor file is unchanged.  It performs RFC5011 tracking if the
 +DNSSEC information available via the DNS makes that possible.
 +.P
 +It does not perform an update if the certificate is expired, if the network
 +is down or other errors occur.
 +.P
 +The available options are:
 +.TP
 +.B \-a \fIfile
 +The root anchor key file, that is read in and written out.
 +Default is @UNBOUND_ROOTKEY_FILE@.
 +If the file does not exist, or is empty, a builtin root key is written to it.
 +.TP
 +.B \-c \fIfile
 +The root update certificate file, that is read in.
 +Default is @UNBOUND_ROOTCERT_FILE@.
 +If the file does not exist, or is empty, a builtin certificate is used.
 +.TP
 +.B \-l
 +List the builtin root key and builtin root update certificate on stdout.
 +.TP
 +.B \-u \fIname
 +The server name, it connects to https://name.  Specify without https:// prefix.
 +The default is "data.iana.org".  It connects to the port specified with \-P.
 +You can pass an IPv4 addres or IPv6 address (no brackets) if you want.
 +.TP
 +.B \-x \fIpath
 +The pathname to the root\-anchors.xml file on the server. (forms URL with \-u).
 +The default is /root\-anchors/root\-anchors.xml.
 +.TP
 +.B \-s \fIpath
 +The pathname to the root\-anchors.p7s file on the server. (forms URL with \-u).
 +The default is /root\-anchors/root\-anchors.p7s.  This file has to be a PKCS7
 +signature over the xml file, using the pem file (\-c) as trust anchor.
 +.TP
 +.B \-n \fIname
 +The emailAddress for the Subject of the signer's certificate from the p7s
 +signature file.  Only signatures from this name are allowed.  default is
 +dnssec@iana.org.  If you pass "" then the emailAddress is not checked.
 +.TP
 +.B \-4
 +Use IPv4 for domain resolution and contacting the server on https.  Default is
 +to use IPv4 and IPv6 where appropriate.
 +.TP
 +.B \-6
 +Use IPv6 for domain resolution and contacting the server on https.  Default is
 +to use IPv4 and IPv6 where appropriate.
 +.TP
 +.B \-f \fIresolv.conf
 +Use the given resolv.conf file.  Not enabled by default, but you could try to
 +pass /etc/resolv.conf on some systems.  It contains the IP addresses of the
 +recursive nameservers to use.  However, since this tool could be used to
 +bootstrap that very recursive nameserver, it would not be useful (since
 +that server is not up yet, since we are bootstrapping it).  It could be
 +useful in a situation where you know an upstream cache is deployed (and
 +running) and in captive portal situations.
 +.TP
 +.B \-r \fIroot.hints
 +Use the given root.hints file (same syntax as the BIND and Unbound root hints
 +file) to bootstrap domain resolution.  By default a list of builtin root
 +hints is used.  Unbound\-anchor goes to the network itself for these roots,
 +to resolve the server (\-u option) and to check the root DNSKEY records.
 +It does so, because the tool when used for bootstrapping the recursive
 +resolver, cannot use that recursive resolver itself because it is bootstrapping
 +that server.
 +.TP
 +.B \-v
 +More verbose. Once prints informational messages, multiple times may enable
 +large debug amounts (such as full certificates or byte\-dumps of downloaded
 +files).  By default it prints almost nothing.  It also prints nothing on
 +errors by default; in that case the original root anchor file is simply
 +left undisturbed, so that a recursive server can start right after it.
 +.TP
 +.B \-C \fIunbound.conf
 +Debug option to read unbound.conf into the resolver process used.
 +.TP
 +.B \-P \fIport
 +Set the port number to use for the https connection.  The default is 443.
 +.TP
 +.B \-F
 +Debug option to force update of the root anchor through downloading the xml
 +file and verifying it with the certificate.  By default it first tries to
 +update by contacting the DNS, which uses much less bandwidth, is much
 +faster (200 msec not 2 sec), and is nicer to the deployed infrastructure.
 +With this option, it still attempts to do so (and may verbosely tell you),
 +but then ignores the result and goes on to use the xml fallback method.
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.SH "EXIT CODE"
 +This tool exits with value 1 if the root anchor was updated using the
 +certificate or if the builtin root-anchor was used.  It exits with code
 +0 if no update was necessary, if the update was possible with RFC5011
 +tracking, or if an error occurred.
 +.P
 +You can check the exit value in this manner:
 +.nf
 +      unbound-anchor \-a "root.key" || logger "Please check root.key"
 +.fi
 +Or something more suitable for your operational environment.
 +.SH "TRUST"
 +The root keys and update certificate included in this tool
 +are provided for convenience and under the terms of our
 +license (see the LICENSE file in the source distribution or
 +http://unbound.nlnetlabs.nl/svn/trunk/LICENSE) and might be stale or
 +not suitable to your purpose.
 +.P
 +By running "unbound\-anchor \-l" the  keys and certificate that are
 +configured in the code are printed for your convenience.
 +.P
 +The build\-in configuration can be overridden by providing a root\-cert
 +file and a rootkey file.
 +.SH "FILES"
 +.TP
 +.I @UNBOUND_ROOTKEY_FILE@
 +The root anchor file, updated with 5011 tracking, and read and written to.
 +The file is created if it does not exist.
 +.TP
 +.I @UNBOUND_ROOTCERT_FILE@
 +The trusted self\-signed certificate that is used to verify the downloaded
 +DNSSEC root trust anchor.  You can update it by fetching it from
 +https://data.iana.org/root\-anchors/icannbundle.pem (and validate it).
 +If the file does not exist or is empty, a builtin version is used.
 +.TP
 +.I https://data.iana.org/root\-anchors/root\-anchors.xml
 +Source for the root key information.
 +.TP
 +.I https://data.iana.org/root\-anchors/root\-anchors.p7s
 +Signature on the root key information.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-checkconf.8
index d2b659e412d28d601b249796a487ab094e153652,0000000000000000000000000000000000000000..284fb4dbaaef3786d30408dc1e9ef672a7816317
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-checkconf.8
--- /dev/null
+++ b/contrib/unbound/doc/unbound-checkconf.8
@@@ -1,52 -1,0 +1,52 @@@
- .TH "unbound-checkconf" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-checkconf" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-checkconf.8 -- unbound configuration checker manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +unbound\-checkconf
 +\- Check unbound configuration file for errors.
 +.SH "SYNOPSIS"
 +.B unbound\-checkconf
 +.RB [ \-h ]
 +.RB [ \-f ]
 +.RB [ \-o
 +.IR option ]
 +.RI [ cfgfile ]
 +.SH "DESCRIPTION"
 +.B Unbound\-checkconf
 +checks the configuration file for the
 +\fIunbound\fR(8)
 +DNS resolver for syntax and other errors. 
 +The config file syntax is described in 
 +\fIunbound.conf\fR(5).
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-f
- Print full pathname, with chroot applied to it.  Use with the -o option.
++Print full pathname, with chroot applied to it.  Use with the \-o option.
 +.TP
 +.B \-o\fI option
 +If given, after checking the config file the value of this option is 
 +printed to stdout.  For "" (disabled) options an empty line is printed.
 +.TP
 +.I cfgfile
 +The config file to read with settings for unbound. It is checked.
 +If omitted, the config file at the default location is checked.
 +.SH "EXIT CODE"
 +The unbound\-checkconf program exits with status code 1 on error, 
 +0 for a correct config file.
 +.SH "FILES"
 +.TP
 +.I /var/unbound/unbound.conf
 +unbound configuration file.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-checkconf.8.in
index e7db810bbec8de7512740531be67cb3f3efebc45,0000000000000000000000000000000000000000..e1a94cf7a812112bc3689168aca49a337fa94704
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-checkconf.8.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound-checkconf.8.in
@@@ -1,52 -1,0 +1,52 @@@
- .TH "unbound-checkconf" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-checkconf" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-checkconf.8 -- unbound configuration checker manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +unbound\-checkconf
 +\- Check unbound configuration file for errors.
 +.SH "SYNOPSIS"
 +.B unbound\-checkconf
 +.RB [ \-h ]
 +.RB [ \-f ]
 +.RB [ \-o
 +.IR option ]
 +.RI [ cfgfile ]
 +.SH "DESCRIPTION"
 +.B Unbound\-checkconf
 +checks the configuration file for the
 +\fIunbound\fR(8)
 +DNS resolver for syntax and other errors. 
 +The config file syntax is described in 
 +\fIunbound.conf\fR(5).
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-f
- Print full pathname, with chroot applied to it.  Use with the -o option.
++Print full pathname, with chroot applied to it.  Use with the \-o option.
 +.TP
 +.B \-o\fI option
 +If given, after checking the config file the value of this option is 
 +printed to stdout.  For "" (disabled) options an empty line is printed.
 +.TP
 +.I cfgfile
 +The config file to read with settings for unbound. It is checked.
 +If omitted, the config file at the default location is checked.
 +.SH "EXIT CODE"
 +The unbound\-checkconf program exits with status code 1 on error, 
 +0 for a correct config file.
 +.SH "FILES"
 +.TP
 +.I @ub_conf_file@
 +unbound configuration file.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-control.8
index e6228b75d174945573026f075205b5a700b5cd28,0000000000000000000000000000000000000000..4c7dc96f82f3a35bc9d9312ea5aaccf6590c493a
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-control.8
--- /dev/null
+++ b/contrib/unbound/doc/unbound-control.8
@@@ -1,490 -1,0 +1,509 @@@
- .TH "unbound-control" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-control" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-control.8 -- unbound remote control manual
 +.\"
 +.\" Copyright (c) 2008, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-control,
 +.B unbound\-control\-setup
 +\- Unbound remote server control utility.
 +.SH "SYNOPSIS"
 +.B unbound\-control
 +.RB [ \-hq ]
 +.RB [ \-c 
 +.IR cfgfile ]
 +.RB [ \-s 
 +.IR server ]
 +.IR command
 +.SH "DESCRIPTION"
 +.B Unbound\-control
 +performs remote administration on the \fIunbound\fR(8) DNS server.
 +It reads the configuration file, contacts the unbound server over SSL
 +sends the command and displays the result.
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-c \fIcfgfile
 +The config file to read with settings.  If not given the default
 +config file /var/unbound/unbound.conf is used.
 +.TP
 +.B \-s \fIserver[@port]
 +IPv4 or IPv6 address of the server to contact.  If not given, the
 +address is read from the config file.
 +.TP
 +.B \-q
 +quiet, if the option is given it does not print anything if it works ok.
 +.SH "COMMANDS"
 +There are several commands that the server understands.
 +.TP
 +.B start
 +Start the server. Simply execs \fIunbound\fR(8).  The unbound executable 
 +is searched for in the \fBPATH\fR set in the environment.  It is started 
 +with the config file specified using \fI\-c\fR or the default config file.
 +.TP
 +.B stop
 +Stop the server. The server daemon exits.
 +.TP
 +.B reload
 +Reload the server. This flushes the cache and reads the config file fresh.
 +.TP
 +.B verbosity \fInumber
 +Change verbosity value for logging. Same values as \fBverbosity\fR keyword in
 +\fIunbound.conf\fR(5).  This new setting lasts until the server is issued
 +a reload (taken from config file again), or the next verbosity control command.
 +.TP
 +.B log_reopen
 +Reopen the logfile, close and open it.  Useful for logrotation to make the
 +daemon release the file it is logging to.  If you are using syslog it will
 +attempt to close and open the syslog (which may not work if chrooted).
 +.TP
 +.B stats
 +Print statistics. Resets the internal counters to zero, this can be 
 +controlled using the \fBstatistics\-cumulative\fR config statement. 
 +Statistics are printed with one [name]: [value] per line.
 +.TP
 +.B stats_noreset
 +Peek at statistics. Prints them like the \fBstats\fR command does, but does not
 +reset the internal counters to zero.
 +.TP
 +.B status
 +Display server status. Exit code 3 if not running (the connection to the 
 +port is refused), 1 on error, 0 if running.
 +.TP
 +.B local_zone \fIname\fR \fItype
 +Add new local zone with name and type. Like \fBlocal\-zone\fR config statement.
 +If the zone already exists, the type is changed to the given argument.
 +.TP
 +.B local_zone_remove \fIname
 +Remove the local zone with the given name.  Removes all local data inside
 +it.  If the zone does not exist, the command succeeds.
 +.TP
 +.B local_data \fIRR data...
 +Add new local data, the given resource record. Like \fBlocal\-data\fR
 +config statement, except for when no covering zone exists.  In that case
 +this remote control command creates a transparent zone with the same 
 +name as this record.  This command is not good at returning detailed syntax 
 +errors.
 +.TP
 +.B local_data_remove \fIname
 +Remove all RR data from local name.  If the name already has no items,
 +nothing happens.  Often results in NXDOMAIN for the name (in a static zone),
 +but if the name has become an empty nonterminal (there is still data in 
 +domain names below the removed name), NOERROR nodata answers are the 
 +result for that name.
 +.TP
 +.B dump_cache
 +The contents of the cache is printed in a text format to stdout. You can
 +redirect it to a file to store the cache in a file.
 +.TP
 +.B load_cache
 +The contents of the cache is loaded from stdin.  Uses the same format as
 +dump_cache uses.  Loading the cache with old, or wrong data can result
 +in old or wrong data returned to clients.  Loading data into the cache
 +in this way is supported in order to aid with debugging.
 +.TP
 +.B lookup \fIname
 +Print to stdout the name servers that would be used to look up the 
 +name specified.
 +.TP
 +.B flush \fIname
 +Remove the name from the cache. Removes the types
 +A, AAAA, NS, SOA, CNAME, DNAME, MX, PTR, SRV and NAPTR.
 +Because that is fast to do. Other record types can be removed using 
 +.B flush_type 
 +or 
 +.B flush_zone\fR.
 +.TP
 +.B flush_type \fIname\fR \fItype
 +Remove the name, type information from the cache.
 +.TP
 +.B flush_zone \fIname
 +Remove all information at or below the name from the cache. 
 +The rrsets and key entries are removed so that new lookups will be performed.
 +This needs to walk and inspect the entire cache, and is a slow operation.
 +.TP
 +.B flush_bogus
 +Remove all bogus data from the cache.
 +.TP
 +.B flush_negative
 +Remove all negative data from the cache.  This is nxdomain answers,
 +nodata answers and servfail answers.  Also removes bad key entries
 +(which could be due to failed lookups) from the dnssec key cache, and
 +iterator last-resort lookup failures from the rrset cache.
 +.TP
 +.B flush_stats
 +Reset statistics to zero.
 +.TP
 +.B flush_requestlist
 +Drop the queries that are worked on.  Stops working on the queries that the
 +server is working on now.  The cache is unaffected.  No reply is sent for
 +those queries, probably making those users request again later.
 +Useful to make the server restart working on queries with new settings,
 +such as a higher verbosity level.
 +.TP
 +.B dump_requestlist
 +Show what is worked on.  Prints all queries that the server is currently
 +working on.  Prints the time that users have been waiting.  For internal
 +requests, no time is printed.  And then prints out the module status.
 +This prints the queries from the first thread, and not queries that are
 +being serviced from other threads.
 +.TP
 +.B flush_infra \fIall|IP
 +If all then entire infra cache is emptied.  If a specific IP address, the
 +entry for that address is removed from the cache.  It contains EDNS, ping
 +and lameness data.
 +.TP
 +.B dump_infra
 +Show the contents of the infra cache.
 +.TP
 +.B set_option \fIopt: val
 +Set the option to the given value without a reload.  The cache is
 +therefore not flushed.  The option must end with a ':' and whitespace
 +must be between the option and the value.  Some values may not have an
 +effect if set this way, the new values are not written to the config file,
 +not all options are supported.  This is different from the set_option call
 +in libunbound, where all values work because unbound has not been inited.
 +.IP
 +The values that work are: statistics\-interval, statistics\-cumulative,
 +do\-not\-query\-localhost, harden\-short\-bufsize, harden\-large\-queries,
 +harden\-glue, harden\-dnssec\-stripped, harden\-below\-nxdomain,
 +harden\-referral\-path, prefetch, prefetch\-key, log\-queries,
 +hide\-identity, hide\-version, identity, version, val\-log\-level,
 +val\-log\-squelch, ignore\-cd\-flag, add\-holddown, del\-holddown,
- keep\-missing, tcp\-upstream, ssl\-upstream, max\-udp\-size.
++keep\-missing, tcp\-upstream, ssl\-upstream, max\-udp\-size, ratelimit,
++cache\-max\-ttl, cache\-min\-ttl, cache\-max\-negative\-ttl.
 +.TP
 +.B get_option \fIopt
 +Get the value of the option.  Give the option name without a trailing ':'.
 +The value is printed.  If the value is "", nothing is printed
 +and the connection closes.  On error 'error ...' is printed (it gives
 +a syntax error on unknown option).  For some options a list of values,
 +one on each line, is printed.  The options are shown from the config file
 +as modified with set_option.  For some options an override may have been
 +taken that does not show up with this command, not results from e.g. the
 +verbosity and forward control commands.  Not all options work, see list_stubs,
 +list_forwards, list_local_zones and list_local_data for those.
 +.TP
 +.B list_stubs
 +List the stub zones in use.  These are printed one by one to the output.
 +This includes the root hints in use.
 +.TP
 +.B list_forwards
 +List the forward zones in use.  These are printed zone by zone to the output.
 +.TP
++.B list_insecure
++List the zones with domain\-insecure.
++.TP
 +.B list_local_zones
 +List the local zones in use.  These are printed one per line with zone type.
 +.TP
 +.B list_local_data
 +List the local data RRs in use.  The resource records are printed.
 +.TP
 +.B insecure_add \fIzone
 +Add a \fBdomain\-insecure\fR for the given zone, like the statement in unbound.conf.
 +Adds to the running unbound without affecting the cache contents (which may
 +still be bogus, use \fBflush_zone\fR to remove it), does not affect the config file.
 +.TP
 +.B insecure_remove \fIzone
 +Removes domain\-insecure for the given zone.
 +.TP
 +.B forward_add \fR[\fI+i\fR] \fIzone addr ...
 +Add a new forward zone to running unbound.  With +i option also adds a
 +\fIdomain\-insecure\fR for the zone (so it can resolve insecurely if you have
 +a DNSSEC root trust anchor configured for other names).
 +The addr can be IP4, IP6 or nameserver names, like \fIforward-zone\fR config
 +in unbound.conf.
 +.TP
 +.B forward_remove \fR[\fI+i\fR] \fIzone
 +Remove a forward zone from running unbound.  The +i also removes a
 +\fIdomain\-insecure\fR for the zone.
 +.TP
 +.B stub_add \fR[\fI+ip\fR] \fIzone addr ...
 +Add a new stub zone to running unbound.  With +i option also adds a
 +\fIdomain\-insecure\fR for the zone.  With +p the stub zone is set to prime,
 +without it it is set to notprime.  The addr can be IP4, IP6 or nameserver
 +names, like the \fIstub-zone\fR config in unbound.conf.
 +.TP
 +.B stub_remove \fR[\fI+i\fR] \fIzone
 +Remove a stub zone from running unbound.  The +i also removes a
 +\fIdomain\-insecure\fR for the zone.
 +.TP
 +.B forward \fR[\fIoff\fR | \fIaddr ...\fR ]
 +Setup forwarding mode.  Configures if the server should ask other upstream
 +nameservers, should go to the internet root nameservers itself, or show 
 +the current config.  You could pass the nameservers after a DHCP update.
 +.IP
 +Without arguments the current list of addresses used to forward all queries
 +to is printed.  On startup this is from the forward\-zone "." configuration.
 +Afterwards it shows the status.  It prints off when no forwarding is used.
 +.IP
 +If \fIoff\fR is passed, forwarding is disabled and the root nameservers
 +are used.  This can be used to avoid to avoid buggy or non\-DNSSEC supporting
 +nameservers returned from DHCP.  But may not work in hotels or hotspots.
 +.IP
 +If one or more IPv4 or IPv6 addresses are given, those are then used to forward
 +queries to.  The addresses must be separated with spaces.  With '@port' the
 +port number can be set explicitly (default port is 53 (DNS)).
 +.IP
 +By default the forwarder information from the config file for the root "." is
 +used.  The config file is not changed, so after a reload these changes are
 +gone.  Other forward zones from the config file are not affected by this command.
++.TP
++.B ratelimit_list \fR[\fI+a\fR]
++List the domains that are ratelimited.  Printed one per line with current
++estimated qps and qps limit from config.  With +a it prints all domains, not
++just the ratelimited domains, with their estimated qps.  The ratelimited
++domains return an error for uncached (new) queries, but cached queries work
++as normal.
 +.SH "EXIT CODE"
 +The unbound\-control program exits with status code 1 on error, 0 on success.
 +.SH "SET UP"
 +The setup requires a self\-signed certificate and private keys for both 
 +the server and client.  The script \fIunbound\-control\-setup\fR generates
 +these in the default run directory, or with \-d in another directory.
 +If you change the access control permissions on the key files you can decide
 +who can use unbound\-control, by default owner and group but not all users.
 +Run the script under the same username as you have configured in unbound.conf
 +or as root, so that the daemon is permitted to read the files, for example with:
 +.nf
 +    sudo \-u unbound unbound\-control\-setup
 +.fi
 +If you have not configured
 +a username in unbound.conf, the keys need read permission for the user
 +credentials under which the daemon is started.
 +The script preserves private keys present in the directory.
 +After running the script as root, turn on \fBcontrol\-enable\fR in 
 +\fIunbound.conf\fR.
 +.SH "STATISTIC COUNTERS"
 +The \fIstats\fR command shows a number of statistic counters.
 +.TP
 +.I threadX.num.queries
 +number of queries received by thread
 +.TP
 +.I threadX.num.cachehits
 +number of queries that were successfully answered using a cache lookup
 +.TP
 +.I threadX.num.cachemiss
 +number of queries that needed recursive processing
 +.TP
 +.I threadX.num.prefetch
 +number of cache prefetches performed.  This number is included in
 +cachehits, as the original query had the unprefetched answer from cache,
 +and resulted in recursive processing, taking a slot in the requestlist.
 +Not part of the recursivereplies (or the histogram thereof) or cachemiss,
 +as a cache response was sent.
 +.TP
 +.I threadX.num.recursivereplies
 +The number of replies sent to queries that needed recursive processing. Could be smaller than threadX.num.cachemiss if due to timeouts no replies were sent for some queries.
 +.TP
 +.I threadX.requestlist.avg
 +The average number of requests in the internal recursive processing request list on insert of a new incoming recursive processing query.
 +.TP
 +.I threadX.requestlist.max
 +Maximum size attained by the internal recursive processing request list.
 +.TP
 +.I threadX.requestlist.overwritten
 +Number of requests in the request list that were overwritten by newer entries. This happens if there is a flood of queries that recursive processing and the server has a hard time.
 +.TP
 +.I threadX.requestlist.exceeded
 +Queries that were dropped because the request list was full. This happens if a flood of queries need recursive processing, and the server can not keep up.
 +.TP
 +.I threadX.requestlist.current.all
 +Current size of the request list, includes internally generated queries (such
 +as priming queries and glue lookups).
 +.TP
 +.I threadX.requestlist.current.user
 +Current size of the request list, only the requests from client queries.
 +.TP
 +.I threadX.recursion.time.avg
 +Average time it took to answer queries that needed recursive processing. Note that queries that were answered from the cache are not in this average.
 +.TP
 +.I threadX.recursion.time.median
 +The median of the time it took to answer queries that needed recursive
 +processing.  The median means that 50% of the user queries were answered in 
 +less than this time.  Because of big outliers (usually queries to non 
 +responsive servers), the average can be bigger than the median.  This median
 +has been calculated by interpolation from a histogram.
 +.TP
++.I threadX.tcpusage
++The currently held tcp buffers for incoming connections.  A spot value on
++the time of the request.  This helps you spot if the incoming\-num\-tcp
++buffers are full.
++.TP
 +.I total.num.queries
 +summed over threads.
 +.TP
 +.I total.num.cachehits
 +summed over threads.
 +.TP
 +.I total.num.cachemiss
 +summed over threads.
 +.TP
 +.I total.num.prefetch
 +summed over threads.
 +.TP
 +.I total.num.recursivereplies
 +summed over threads.
 +.TP
 +.I total.requestlist.avg
 +averaged over threads.
 +.TP
 +.I total.requestlist.max
 +the maximum of the thread requestlist.max values.
 +.TP
 +.I total.requestlist.overwritten
 +summed over threads.
 +.TP
 +.I total.requestlist.exceeded
 +summed over threads.
 +.TP
 +.I total.requestlist.current.all
 +summed over threads.
 +.TP
 +.I total.recursion.time.median
 +averaged over threads.
 +.TP
++.I total.tcpusage
++summed over threads.
++.TP
 +.I time.now
 +current time in seconds since 1970.
 +.TP
 +.I time.up
 +uptime since server boot in seconds.
 +.TP
 +.I time.elapsed
 +time since last statistics printout, in seconds.
 +.SH EXTENDED STATISTICS
 +.TP
 +.I mem.total.sbrk
 +If sbrk(2) is available, an estimate of the heap size of the program in number of bytes. Close to the total memory used by the program, as reported by top and ps.  Could be wrong if the OS allocates memory non\-contiguously.
 +.TP
 +.I mem.cache.rrset
 +Memory in bytes in use by the RRset cache.
 +.TP
 +.I mem.cache.message
 +Memory in bytes in use by the message cache.
 +.TP
 +.I mem.mod.iterator
 +Memory in bytes in use by the iterator module.
 +.TP
 +.I mem.mod.validator
 +Memory in bytes in use by the validator module. Includes the key cache and
 +negative cache.
 +.TP
 +.I histogram.<sec>.<usec>.to.<sec>.<usec>
 +Shows a histogram, summed over all threads. Every element counts the
 +recursive queries whose reply time fit between the lower and upper bound.
 +Times larger or equal to the lowerbound, and smaller than the upper bound.
 +There are 40 buckets, with bucket sizes doubling.
 +.TP
 +.I num.query.type.A
 +The total number of queries over all threads with query type A.
 +Printed for the other query types as well, but only for the types for which
 +queries were received, thus =0 entries are omitted for brevity.
 +.TP
 +.I num.query.type.other
 +Number of queries with query types 256\-65535.
 +.TP
 +.I num.query.class.IN
 +The total number of queries over all threads with query class IN (internet).
 +Also printed for other classes (such as CH (CHAOS) sometimes used for
 +debugging), or NONE, ANY, used by dynamic update.
 +num.query.class.other is printed for classes 256\-65535.
 +.TP
 +.I num.query.opcode.QUERY
 +The total number of queries over all threads with query opcode QUERY.
 +Also printed for other opcodes, UPDATE, ...
 +.TP
 +.I num.query.tcp
 +Number of queries that were made using TCP towards the unbound server.
 +.TP
 +.I num.query.tcpout
 +Number of queries that the unbound server made using TCP outgoing towards
 +other servers.
 +.TP
 +.I num.query.ipv6
 +Number of queries that were made using IPv6 towards the unbound server.
 +.TP
 +.I num.query.flags.RD
 +The number of queries that had the RD flag set in the header.
 +Also printed for flags QR, AA, TC, RA, Z, AD, CD.
 +Note that queries with flags QR, AA or TC may have been rejected 
 +because of that.
 +.TP
 +.I num.query.edns.present
 +number of queries that had an EDNS OPT record present.
 +.TP
 +.I num.query.edns.DO
 +number of queries that had an EDNS OPT record with the DO (DNSSEC OK) bit set.
 +These queries are also included in the num.query.edns.present number.
 +.TP
 +.I num.answer.rcode.NXDOMAIN
 +The number of answers to queries, from cache or from recursion, that had the
 +return code NXDOMAIN. Also printed for the other return codes.
 +.TP
 +.I num.answer.rcode.nodata
 +The number of answers to queries that had the pseudo return code nodata.
 +This means the actual return code was NOERROR, but additionally, no data was
 +carried in the answer (making what is called a NOERROR/NODATA answer).
 +These queries are also included in the num.answer.rcode.NOERROR number.
 +Common for AAAA lookups when an A record exists, and no AAAA.
 +.TP
 +.I num.answer.secure
 +Number of answers that were secure.  The answer validated correctly. 
 +The AD bit might have been set in some of these answers, where the client
 +signalled (with DO or AD bit in the query) that they were ready to accept
 +the AD bit in the answer.
 +.TP
 +.I num.answer.bogus
 +Number of answers that were bogus.  These answers resulted in SERVFAIL
 +to the client because the answer failed validation.
 +.TP
 +.I num.rrset.bogus
 +The number of rrsets marked bogus by the validator.  Increased for every
 +RRset inspection that fails.
 +.TP
 +.I unwanted.queries
 +Number of queries that were refused or dropped because they failed the
 +access control settings.
 +.TP
 +.I unwanted.replies
 +Replies that were unwanted or unsolicited.  Could have been random traffic,
 +delayed duplicates, very late answers, or could be spoofing attempts.
 +Some low level of late answers and delayed duplicates are to be expected
 +with the UDP protocol.  Very high values could indicate a threat (spoofing).
 +.TP
 +.I msg.cache.count
 +The number of items (DNS replies) in the message cache.
 +.TP
 +.I rrset.cache.count
 +The number of RRsets in the rrset cache.  This includes rrsets used by
 +the messages in the message cache, but also delegation information.
 +.TP
 +.I infra.cache.count
 +The number of items in the infra cache.  These are IP addresses with their
 +timing and protocol support information.
 +.TP
 +.I key.cache.count
 +The number of items in the key cache.  These are DNSSEC keys, one item
 +per delegation point, and their validation status.
 +.SH "FILES"
 +.TP
 +.I /var/unbound/unbound.conf
 +unbound configuration file.
 +.TP
 +.I /var/unbound
 +directory with private keys (unbound_server.key and unbound_control.key) and
 +self\-signed certificates (unbound_server.pem and unbound_control.pem).
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-control.8.in
index f6eae249abc91419177215cf4b4f8ae768cf0dbc,0000000000000000000000000000000000000000..057eb0336fe42c681c632dc947c4e65d87d35721
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-control.8.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound-control.8.in
@@@ -1,490 -1,0 +1,509 @@@
- .TH "unbound-control" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound-control" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-control.8 -- unbound remote control manual
 +.\"
 +.\" Copyright (c) 2008, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-control,
 +.B unbound\-control\-setup
 +\- Unbound remote server control utility.
 +.SH "SYNOPSIS"
 +.B unbound\-control
 +.RB [ \-hq ]
 +.RB [ \-c 
 +.IR cfgfile ]
 +.RB [ \-s 
 +.IR server ]
 +.IR command
 +.SH "DESCRIPTION"
 +.B Unbound\-control
 +performs remote administration on the \fIunbound\fR(8) DNS server.
 +It reads the configuration file, contacts the unbound server over SSL
 +sends the command and displays the result.
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-c \fIcfgfile
 +The config file to read with settings.  If not given the default
 +config file @ub_conf_file@ is used.
 +.TP
 +.B \-s \fIserver[@port]
 +IPv4 or IPv6 address of the server to contact.  If not given, the
 +address is read from the config file.
 +.TP
 +.B \-q
 +quiet, if the option is given it does not print anything if it works ok.
 +.SH "COMMANDS"
 +There are several commands that the server understands.
 +.TP
 +.B start
 +Start the server. Simply execs \fIunbound\fR(8).  The unbound executable 
 +is searched for in the \fBPATH\fR set in the environment.  It is started 
 +with the config file specified using \fI\-c\fR or the default config file.
 +.TP
 +.B stop
 +Stop the server. The server daemon exits.
 +.TP
 +.B reload
 +Reload the server. This flushes the cache and reads the config file fresh.
 +.TP
 +.B verbosity \fInumber
 +Change verbosity value for logging. Same values as \fBverbosity\fR keyword in
 +\fIunbound.conf\fR(5).  This new setting lasts until the server is issued
 +a reload (taken from config file again), or the next verbosity control command.
 +.TP
 +.B log_reopen
 +Reopen the logfile, close and open it.  Useful for logrotation to make the
 +daemon release the file it is logging to.  If you are using syslog it will
 +attempt to close and open the syslog (which may not work if chrooted).
 +.TP
 +.B stats
 +Print statistics. Resets the internal counters to zero, this can be 
 +controlled using the \fBstatistics\-cumulative\fR config statement. 
 +Statistics are printed with one [name]: [value] per line.
 +.TP
 +.B stats_noreset
 +Peek at statistics. Prints them like the \fBstats\fR command does, but does not
 +reset the internal counters to zero.
 +.TP
 +.B status
 +Display server status. Exit code 3 if not running (the connection to the 
 +port is refused), 1 on error, 0 if running.
 +.TP
 +.B local_zone \fIname\fR \fItype
 +Add new local zone with name and type. Like \fBlocal\-zone\fR config statement.
 +If the zone already exists, the type is changed to the given argument.
 +.TP
 +.B local_zone_remove \fIname
 +Remove the local zone with the given name.  Removes all local data inside
 +it.  If the zone does not exist, the command succeeds.
 +.TP
 +.B local_data \fIRR data...
 +Add new local data, the given resource record. Like \fBlocal\-data\fR
 +config statement, except for when no covering zone exists.  In that case
 +this remote control command creates a transparent zone with the same 
 +name as this record.  This command is not good at returning detailed syntax 
 +errors.
 +.TP
 +.B local_data_remove \fIname
 +Remove all RR data from local name.  If the name already has no items,
 +nothing happens.  Often results in NXDOMAIN for the name (in a static zone),
 +but if the name has become an empty nonterminal (there is still data in 
 +domain names below the removed name), NOERROR nodata answers are the 
 +result for that name.
 +.TP
 +.B dump_cache
 +The contents of the cache is printed in a text format to stdout. You can
 +redirect it to a file to store the cache in a file.
 +.TP
 +.B load_cache
 +The contents of the cache is loaded from stdin.  Uses the same format as
 +dump_cache uses.  Loading the cache with old, or wrong data can result
 +in old or wrong data returned to clients.  Loading data into the cache
 +in this way is supported in order to aid with debugging.
 +.TP
 +.B lookup \fIname
 +Print to stdout the name servers that would be used to look up the 
 +name specified.
 +.TP
 +.B flush \fIname
 +Remove the name from the cache. Removes the types
 +A, AAAA, NS, SOA, CNAME, DNAME, MX, PTR, SRV and NAPTR.
 +Because that is fast to do. Other record types can be removed using 
 +.B flush_type 
 +or 
 +.B flush_zone\fR.
 +.TP
 +.B flush_type \fIname\fR \fItype
 +Remove the name, type information from the cache.
 +.TP
 +.B flush_zone \fIname
 +Remove all information at or below the name from the cache. 
 +The rrsets and key entries are removed so that new lookups will be performed.
 +This needs to walk and inspect the entire cache, and is a slow operation.
 +.TP
 +.B flush_bogus
 +Remove all bogus data from the cache.
 +.TP
 +.B flush_negative
 +Remove all negative data from the cache.  This is nxdomain answers,
 +nodata answers and servfail answers.  Also removes bad key entries
 +(which could be due to failed lookups) from the dnssec key cache, and
 +iterator last-resort lookup failures from the rrset cache.
 +.TP
 +.B flush_stats
 +Reset statistics to zero.
 +.TP
 +.B flush_requestlist
 +Drop the queries that are worked on.  Stops working on the queries that the
 +server is working on now.  The cache is unaffected.  No reply is sent for
 +those queries, probably making those users request again later.
 +Useful to make the server restart working on queries with new settings,
 +such as a higher verbosity level.
 +.TP
 +.B dump_requestlist
 +Show what is worked on.  Prints all queries that the server is currently
 +working on.  Prints the time that users have been waiting.  For internal
 +requests, no time is printed.  And then prints out the module status.
 +This prints the queries from the first thread, and not queries that are
 +being serviced from other threads.
 +.TP
 +.B flush_infra \fIall|IP
 +If all then entire infra cache is emptied.  If a specific IP address, the
 +entry for that address is removed from the cache.  It contains EDNS, ping
 +and lameness data.
 +.TP
 +.B dump_infra
 +Show the contents of the infra cache.
 +.TP
 +.B set_option \fIopt: val
 +Set the option to the given value without a reload.  The cache is
 +therefore not flushed.  The option must end with a ':' and whitespace
 +must be between the option and the value.  Some values may not have an
 +effect if set this way, the new values are not written to the config file,
 +not all options are supported.  This is different from the set_option call
 +in libunbound, where all values work because unbound has not been inited.
 +.IP
 +The values that work are: statistics\-interval, statistics\-cumulative,
 +do\-not\-query\-localhost, harden\-short\-bufsize, harden\-large\-queries,
 +harden\-glue, harden\-dnssec\-stripped, harden\-below\-nxdomain,
 +harden\-referral\-path, prefetch, prefetch\-key, log\-queries,
 +hide\-identity, hide\-version, identity, version, val\-log\-level,
 +val\-log\-squelch, ignore\-cd\-flag, add\-holddown, del\-holddown,
- keep\-missing, tcp\-upstream, ssl\-upstream, max\-udp\-size.
++keep\-missing, tcp\-upstream, ssl\-upstream, max\-udp\-size, ratelimit,
++cache\-max\-ttl, cache\-min\-ttl, cache\-max\-negative\-ttl.
 +.TP
 +.B get_option \fIopt
 +Get the value of the option.  Give the option name without a trailing ':'.
 +The value is printed.  If the value is "", nothing is printed
 +and the connection closes.  On error 'error ...' is printed (it gives
 +a syntax error on unknown option).  For some options a list of values,
 +one on each line, is printed.  The options are shown from the config file
 +as modified with set_option.  For some options an override may have been
 +taken that does not show up with this command, not results from e.g. the
 +verbosity and forward control commands.  Not all options work, see list_stubs,
 +list_forwards, list_local_zones and list_local_data for those.
 +.TP
 +.B list_stubs
 +List the stub zones in use.  These are printed one by one to the output.
 +This includes the root hints in use.
 +.TP
 +.B list_forwards
 +List the forward zones in use.  These are printed zone by zone to the output.
 +.TP
++.B list_insecure
++List the zones with domain\-insecure.
++.TP
 +.B list_local_zones
 +List the local zones in use.  These are printed one per line with zone type.
 +.TP
 +.B list_local_data
 +List the local data RRs in use.  The resource records are printed.
 +.TP
 +.B insecure_add \fIzone
 +Add a \fBdomain\-insecure\fR for the given zone, like the statement in unbound.conf.
 +Adds to the running unbound without affecting the cache contents (which may
 +still be bogus, use \fBflush_zone\fR to remove it), does not affect the config file.
 +.TP
 +.B insecure_remove \fIzone
 +Removes domain\-insecure for the given zone.
 +.TP
 +.B forward_add \fR[\fI+i\fR] \fIzone addr ...
 +Add a new forward zone to running unbound.  With +i option also adds a
 +\fIdomain\-insecure\fR for the zone (so it can resolve insecurely if you have
 +a DNSSEC root trust anchor configured for other names).
 +The addr can be IP4, IP6 or nameserver names, like \fIforward-zone\fR config
 +in unbound.conf.
 +.TP
 +.B forward_remove \fR[\fI+i\fR] \fIzone
 +Remove a forward zone from running unbound.  The +i also removes a
 +\fIdomain\-insecure\fR for the zone.
 +.TP
 +.B stub_add \fR[\fI+ip\fR] \fIzone addr ...
 +Add a new stub zone to running unbound.  With +i option also adds a
 +\fIdomain\-insecure\fR for the zone.  With +p the stub zone is set to prime,
 +without it it is set to notprime.  The addr can be IP4, IP6 or nameserver
 +names, like the \fIstub-zone\fR config in unbound.conf.
 +.TP
 +.B stub_remove \fR[\fI+i\fR] \fIzone
 +Remove a stub zone from running unbound.  The +i also removes a
 +\fIdomain\-insecure\fR for the zone.
 +.TP
 +.B forward \fR[\fIoff\fR | \fIaddr ...\fR ]
 +Setup forwarding mode.  Configures if the server should ask other upstream
 +nameservers, should go to the internet root nameservers itself, or show 
 +the current config.  You could pass the nameservers after a DHCP update.
 +.IP
 +Without arguments the current list of addresses used to forward all queries
 +to is printed.  On startup this is from the forward\-zone "." configuration.
 +Afterwards it shows the status.  It prints off when no forwarding is used.
 +.IP
 +If \fIoff\fR is passed, forwarding is disabled and the root nameservers
 +are used.  This can be used to avoid to avoid buggy or non\-DNSSEC supporting
 +nameservers returned from DHCP.  But may not work in hotels or hotspots.
 +.IP
 +If one or more IPv4 or IPv6 addresses are given, those are then used to forward
 +queries to.  The addresses must be separated with spaces.  With '@port' the
 +port number can be set explicitly (default port is 53 (DNS)).
 +.IP
 +By default the forwarder information from the config file for the root "." is
 +used.  The config file is not changed, so after a reload these changes are
 +gone.  Other forward zones from the config file are not affected by this command.
++.TP
++.B ratelimit_list \fR[\fI+a\fR]
++List the domains that are ratelimited.  Printed one per line with current
++estimated qps and qps limit from config.  With +a it prints all domains, not
++just the ratelimited domains, with their estimated qps.  The ratelimited
++domains return an error for uncached (new) queries, but cached queries work
++as normal.
 +.SH "EXIT CODE"
 +The unbound\-control program exits with status code 1 on error, 0 on success.
 +.SH "SET UP"
 +The setup requires a self\-signed certificate and private keys for both 
 +the server and client.  The script \fIunbound\-control\-setup\fR generates
 +these in the default run directory, or with \-d in another directory.
 +If you change the access control permissions on the key files you can decide
 +who can use unbound\-control, by default owner and group but not all users.
 +Run the script under the same username as you have configured in unbound.conf
 +or as root, so that the daemon is permitted to read the files, for example with:
 +.nf
 +    sudo \-u unbound unbound\-control\-setup
 +.fi
 +If you have not configured
 +a username in unbound.conf, the keys need read permission for the user
 +credentials under which the daemon is started.
 +The script preserves private keys present in the directory.
 +After running the script as root, turn on \fBcontrol\-enable\fR in 
 +\fIunbound.conf\fR.
 +.SH "STATISTIC COUNTERS"
 +The \fIstats\fR command shows a number of statistic counters.
 +.TP
 +.I threadX.num.queries
 +number of queries received by thread
 +.TP
 +.I threadX.num.cachehits
 +number of queries that were successfully answered using a cache lookup
 +.TP
 +.I threadX.num.cachemiss
 +number of queries that needed recursive processing
 +.TP
 +.I threadX.num.prefetch
 +number of cache prefetches performed.  This number is included in
 +cachehits, as the original query had the unprefetched answer from cache,
 +and resulted in recursive processing, taking a slot in the requestlist.
 +Not part of the recursivereplies (or the histogram thereof) or cachemiss,
 +as a cache response was sent.
 +.TP
 +.I threadX.num.recursivereplies
 +The number of replies sent to queries that needed recursive processing. Could be smaller than threadX.num.cachemiss if due to timeouts no replies were sent for some queries.
 +.TP
 +.I threadX.requestlist.avg
 +The average number of requests in the internal recursive processing request list on insert of a new incoming recursive processing query.
 +.TP
 +.I threadX.requestlist.max
 +Maximum size attained by the internal recursive processing request list.
 +.TP
 +.I threadX.requestlist.overwritten
 +Number of requests in the request list that were overwritten by newer entries. This happens if there is a flood of queries that recursive processing and the server has a hard time.
 +.TP
 +.I threadX.requestlist.exceeded
 +Queries that were dropped because the request list was full. This happens if a flood of queries need recursive processing, and the server can not keep up.
 +.TP
 +.I threadX.requestlist.current.all
 +Current size of the request list, includes internally generated queries (such
 +as priming queries and glue lookups).
 +.TP
 +.I threadX.requestlist.current.user
 +Current size of the request list, only the requests from client queries.
 +.TP
 +.I threadX.recursion.time.avg
 +Average time it took to answer queries that needed recursive processing. Note that queries that were answered from the cache are not in this average.
 +.TP
 +.I threadX.recursion.time.median
 +The median of the time it took to answer queries that needed recursive
 +processing.  The median means that 50% of the user queries were answered in 
 +less than this time.  Because of big outliers (usually queries to non 
 +responsive servers), the average can be bigger than the median.  This median
 +has been calculated by interpolation from a histogram.
 +.TP
++.I threadX.tcpusage
++The currently held tcp buffers for incoming connections.  A spot value on
++the time of the request.  This helps you spot if the incoming\-num\-tcp
++buffers are full.
++.TP
 +.I total.num.queries
 +summed over threads.
 +.TP
 +.I total.num.cachehits
 +summed over threads.
 +.TP
 +.I total.num.cachemiss
 +summed over threads.
 +.TP
 +.I total.num.prefetch
 +summed over threads.
 +.TP
 +.I total.num.recursivereplies
 +summed over threads.
 +.TP
 +.I total.requestlist.avg
 +averaged over threads.
 +.TP
 +.I total.requestlist.max
 +the maximum of the thread requestlist.max values.
 +.TP
 +.I total.requestlist.overwritten
 +summed over threads.
 +.TP
 +.I total.requestlist.exceeded
 +summed over threads.
 +.TP
 +.I total.requestlist.current.all
 +summed over threads.
 +.TP
 +.I total.recursion.time.median
 +averaged over threads.
 +.TP
++.I total.tcpusage
++summed over threads.
++.TP
 +.I time.now
 +current time in seconds since 1970.
 +.TP
 +.I time.up
 +uptime since server boot in seconds.
 +.TP
 +.I time.elapsed
 +time since last statistics printout, in seconds.
 +.SH EXTENDED STATISTICS
 +.TP
 +.I mem.total.sbrk
 +If sbrk(2) is available, an estimate of the heap size of the program in number of bytes. Close to the total memory used by the program, as reported by top and ps.  Could be wrong if the OS allocates memory non\-contiguously.
 +.TP
 +.I mem.cache.rrset
 +Memory in bytes in use by the RRset cache.
 +.TP
 +.I mem.cache.message
 +Memory in bytes in use by the message cache.
 +.TP
 +.I mem.mod.iterator
 +Memory in bytes in use by the iterator module.
 +.TP
 +.I mem.mod.validator
 +Memory in bytes in use by the validator module. Includes the key cache and
 +negative cache.
 +.TP
 +.I histogram.<sec>.<usec>.to.<sec>.<usec>
 +Shows a histogram, summed over all threads. Every element counts the
 +recursive queries whose reply time fit between the lower and upper bound.
 +Times larger or equal to the lowerbound, and smaller than the upper bound.
 +There are 40 buckets, with bucket sizes doubling.
 +.TP
 +.I num.query.type.A
 +The total number of queries over all threads with query type A.
 +Printed for the other query types as well, but only for the types for which
 +queries were received, thus =0 entries are omitted for brevity.
 +.TP
 +.I num.query.type.other
 +Number of queries with query types 256\-65535.
 +.TP
 +.I num.query.class.IN
 +The total number of queries over all threads with query class IN (internet).
 +Also printed for other classes (such as CH (CHAOS) sometimes used for
 +debugging), or NONE, ANY, used by dynamic update.
 +num.query.class.other is printed for classes 256\-65535.
 +.TP
 +.I num.query.opcode.QUERY
 +The total number of queries over all threads with query opcode QUERY.
 +Also printed for other opcodes, UPDATE, ...
 +.TP
 +.I num.query.tcp
 +Number of queries that were made using TCP towards the unbound server.
 +.TP
 +.I num.query.tcpout
 +Number of queries that the unbound server made using TCP outgoing towards
 +other servers.
 +.TP
 +.I num.query.ipv6
 +Number of queries that were made using IPv6 towards the unbound server.
 +.TP
 +.I num.query.flags.RD
 +The number of queries that had the RD flag set in the header.
 +Also printed for flags QR, AA, TC, RA, Z, AD, CD.
 +Note that queries with flags QR, AA or TC may have been rejected 
 +because of that.
 +.TP
 +.I num.query.edns.present
 +number of queries that had an EDNS OPT record present.
 +.TP
 +.I num.query.edns.DO
 +number of queries that had an EDNS OPT record with the DO (DNSSEC OK) bit set.
 +These queries are also included in the num.query.edns.present number.
 +.TP
 +.I num.answer.rcode.NXDOMAIN
 +The number of answers to queries, from cache or from recursion, that had the
 +return code NXDOMAIN. Also printed for the other return codes.
 +.TP
 +.I num.answer.rcode.nodata
 +The number of answers to queries that had the pseudo return code nodata.
 +This means the actual return code was NOERROR, but additionally, no data was
 +carried in the answer (making what is called a NOERROR/NODATA answer).
 +These queries are also included in the num.answer.rcode.NOERROR number.
 +Common for AAAA lookups when an A record exists, and no AAAA.
 +.TP
 +.I num.answer.secure
 +Number of answers that were secure.  The answer validated correctly. 
 +The AD bit might have been set in some of these answers, where the client
 +signalled (with DO or AD bit in the query) that they were ready to accept
 +the AD bit in the answer.
 +.TP
 +.I num.answer.bogus
 +Number of answers that were bogus.  These answers resulted in SERVFAIL
 +to the client because the answer failed validation.
 +.TP
 +.I num.rrset.bogus
 +The number of rrsets marked bogus by the validator.  Increased for every
 +RRset inspection that fails.
 +.TP
 +.I unwanted.queries
 +Number of queries that were refused or dropped because they failed the
 +access control settings.
 +.TP
 +.I unwanted.replies
 +Replies that were unwanted or unsolicited.  Could have been random traffic,
 +delayed duplicates, very late answers, or could be spoofing attempts.
 +Some low level of late answers and delayed duplicates are to be expected
 +with the UDP protocol.  Very high values could indicate a threat (spoofing).
 +.TP
 +.I msg.cache.count
 +The number of items (DNS replies) in the message cache.
 +.TP
 +.I rrset.cache.count
 +The number of RRsets in the rrset cache.  This includes rrsets used by
 +the messages in the message cache, but also delegation information.
 +.TP
 +.I infra.cache.count
 +The number of items in the infra cache.  These are IP addresses with their
 +timing and protocol support information.
 +.TP
 +.I key.cache.count
 +The number of items in the key cache.  These are DNSSEC keys, one item
 +per delegation point, and their validation status.
 +.SH "FILES"
 +.TP
 +.I @ub_conf_file@
 +unbound configuration file.
 +.TP
 +.I @UNBOUND_RUN_DIR@
 +directory with private keys (unbound_server.key and unbound_control.key) and
 +self\-signed certificates (unbound_server.pem and unbound_control.pem).
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-host.1
index bda99ce474a7a7da9946224660281a4c4624033e,0000000000000000000000000000000000000000..837a6e4a18f6baf4bc5cf9ff134f30189bfa2f8b
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-host.1
--- /dev/null
+++ b/contrib/unbound/doc/unbound-host.1
@@@ -1,116 -1,0 +1,116 @@@
- .TH "unbound\-host" "1" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound\-host" "1" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-host.1 -- unbound DNS lookup utility
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-host
 +\- unbound DNS lookup utility
 +.SH "SYNOPSIS"
 +.B unbound\-host
 +.RB [ \-vdhr46D ]
 +.RB [ \-c 
 +.IR class ]
 +.RB [ \-t
 +.IR type ]
 +.I hostname
 +.RB [ \-y
 +.IR key ]
 +.RB [ \-f
 +.IR keyfile ]
 +.RB [ \-F
 +.IR namedkeyfile ]
 +.RB [ \-C
 +.IR configfile ]
 +.SH "DESCRIPTION"
 +.B Unbound\-host
 +uses the unbound validating resolver to query for the hostname and display
 +results. With the \fB\-v\fR option it displays validation 
 +status: secure, insecure, bogus (security failure).
 +.P
 +By default it reads no configuration file whatsoever.  It attempts to reach
 +the internet root servers.  With \fB\-C\fR an unbound config file and with
 +\fB\-r\fR resolv.conf can be read.
 +.P
 +The available options are:
 +.TP
 +.I hostname
 +This name is resolved (looked up in the DNS).
 +If a IPv4 or IPv6 address is given, a reverse lookup is performed.
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-v
 +Enable verbose output and it shows validation results, on every line.
 +Secure means that the NXDOMAIN (no such domain name), nodata (no such data)
 +or positive data response validated correctly with one of the keys.
 +Insecure means that that domain name has no security set up for it.
 +Bogus (security failure) means that the response failed one or more checks,
 +it is likely wrong, outdated, tampered with, or broken.
 +.TP
 +.B \-d
 +Enable debug output to stderr. One \-d shows what the resolver and validator
 +are doing and may tell you what is going on. More times, \-d \-d, gives a
 +lot of output, with every packet sent and received.
 +.TP
 +.B \-c \fIclass
 +Specify the class to lookup for, the default is IN the internet class.
 +.TP
 +.B \-t \fItype
 +Specify the type of data to lookup. The default looks for IPv4, IPv6 and
 +mail handler data, or domain name pointers for reverse queries.
 +.TP
 +.B \-y \fIkey
 +Specify a public key to use as trust anchor. This is the base for a chain
 +of trust that is built up from the trust anchor to the response, in order
 +to validate the response message. Can be given as a DS or DNSKEY record.
 +For example \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD".
 +.TP
 +.B \-D
 +Enables DNSSEC validation.  Reads the root anchor from the default configured
 +root anchor at the default location, \fI/var/unbound/root.key\fR. 
 +.TP
 +.B \-f \fIkeyfile
 +Reads keys from a file. Every line has a DS or DNSKEY record, in the format
 +as for \-y. The zone file format, the same as dig and drill produce.
 +.TP
 +.B \-F \fInamedkeyfile
 +Reads keys from a BIND\-style named.conf file. Only the trusted\-key {}; entries
 +are read.
 +.TP
 +.B \-C \fIconfigfile
 +Uses the specified unbound.conf to prime
 +.IR libunbound (3).
 +.TP
 +.B \-r
 +Read /etc/resolv.conf, and use the forward DNS servers from there (those could
 +have been set by DHCP).  More info in
 +.IR resolv.conf (5).
 +Breaks validation if those servers do not support DNSSEC.
 +.TP
 +.B \-4
 +Use solely the IPv4 network for sending packets.
 +.TP
 +.B \-6
 +Use solely the IPv6 network for sending packets.
 +.SH "EXAMPLES"
 +Some examples of use. The keys shown below are fakes, thus a security failure
 +is encountered.
 +.P
 +$ unbound\-host www.example.com
 +.P
 +$ unbound\-host \-v \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD" www.example.com
 +.P
 +$ unbound\-host \-v \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD" 192.0.2.153
 +.SH "EXIT CODE"
 +The unbound\-host program exits with status code 1 on error, 
 +0 on no error. The data may not be available on exit code 0, exit code 1
 +means the lookup encountered a fatal error.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound-host.1.in
index 9129bea66af13c7179cde649de789917a0753225,0000000000000000000000000000000000000000..568dbcd407df6692df885cd9c54cdd9fb878777c
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound-host.1.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound-host.1.in
@@@ -1,116 -1,0 +1,116 @@@
- .TH "unbound\-host" "1" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound\-host" "1" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound-host.1 -- unbound DNS lookup utility
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound\-host
 +\- unbound DNS lookup utility
 +.SH "SYNOPSIS"
 +.B unbound\-host
 +.RB [ \-vdhr46D ]
 +.RB [ \-c 
 +.IR class ]
 +.RB [ \-t
 +.IR type ]
 +.I hostname
 +.RB [ \-y
 +.IR key ]
 +.RB [ \-f
 +.IR keyfile ]
 +.RB [ \-F
 +.IR namedkeyfile ]
 +.RB [ \-C
 +.IR configfile ]
 +.SH "DESCRIPTION"
 +.B Unbound\-host
 +uses the unbound validating resolver to query for the hostname and display
 +results. With the \fB\-v\fR option it displays validation 
 +status: secure, insecure, bogus (security failure).
 +.P
 +By default it reads no configuration file whatsoever.  It attempts to reach
 +the internet root servers.  With \fB\-C\fR an unbound config file and with
 +\fB\-r\fR resolv.conf can be read.
 +.P
 +The available options are:
 +.TP
 +.I hostname
 +This name is resolved (looked up in the DNS).
 +If a IPv4 or IPv6 address is given, a reverse lookup is performed.
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-v
 +Enable verbose output and it shows validation results, on every line.
 +Secure means that the NXDOMAIN (no such domain name), nodata (no such data)
 +or positive data response validated correctly with one of the keys.
 +Insecure means that that domain name has no security set up for it.
 +Bogus (security failure) means that the response failed one or more checks,
 +it is likely wrong, outdated, tampered with, or broken.
 +.TP
 +.B \-d
 +Enable debug output to stderr. One \-d shows what the resolver and validator
 +are doing and may tell you what is going on. More times, \-d \-d, gives a
 +lot of output, with every packet sent and received.
 +.TP
 +.B \-c \fIclass
 +Specify the class to lookup for, the default is IN the internet class.
 +.TP
 +.B \-t \fItype
 +Specify the type of data to lookup. The default looks for IPv4, IPv6 and
 +mail handler data, or domain name pointers for reverse queries.
 +.TP
 +.B \-y \fIkey
 +Specify a public key to use as trust anchor. This is the base for a chain
 +of trust that is built up from the trust anchor to the response, in order
 +to validate the response message. Can be given as a DS or DNSKEY record.
 +For example \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD".
 +.TP
 +.B \-D
 +Enables DNSSEC validation.  Reads the root anchor from the default configured
 +root anchor at the default location, \fI@UNBOUND_ROOTKEY_FILE@\fR. 
 +.TP
 +.B \-f \fIkeyfile
 +Reads keys from a file. Every line has a DS or DNSKEY record, in the format
 +as for \-y. The zone file format, the same as dig and drill produce.
 +.TP
 +.B \-F \fInamedkeyfile
 +Reads keys from a BIND\-style named.conf file. Only the trusted\-key {}; entries
 +are read.
 +.TP
 +.B \-C \fIconfigfile
 +Uses the specified unbound.conf to prime
 +.IR libunbound (3).
 +.TP
 +.B \-r
 +Read /etc/resolv.conf, and use the forward DNS servers from there (those could
 +have been set by DHCP).  More info in
 +.IR resolv.conf (5).
 +Breaks validation if those servers do not support DNSSEC.
 +.TP
 +.B \-4
 +Use solely the IPv4 network for sending packets.
 +.TP
 +.B \-6
 +Use solely the IPv6 network for sending packets.
 +.SH "EXAMPLES"
 +Some examples of use. The keys shown below are fakes, thus a security failure
 +is encountered.
 +.P
 +$ unbound\-host www.example.com
 +.P
 +$ unbound\-host \-v \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD" www.example.com
 +.P
 +$ unbound\-host \-v \-y "example.com DS 31560 5 1 1CFED84787E6E19CCF9372C1187325972FE546CD" 192.0.2.153
 +.SH "EXIT CODE"
 +The unbound\-host program exits with status code 1 on error, 
 +0 on no error. The data may not be available on exit code 0, exit code 1
 +means the lookup encountered a fatal error.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5), 
 +\fIunbound\fR(8).
diff --cc contrib/unbound/doc/unbound.8
index 8609a0aa6457c45c88455eef020408a6087ab189,0000000000000000000000000000000000000000..2206c529ceca4d53b6b02e1ab0f4854ad6b18ccc
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound.8
--- /dev/null
+++ b/contrib/unbound/doc/unbound.8
@@@ -1,79 -1,0 +1,79 @@@
- .TH "unbound" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound.8 -- unbound manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound
- \- Unbound DNS validating resolver 1.5.3.
++\- Unbound DNS validating resolver 1.5.4.
 +.SH "SYNOPSIS"
 +.B unbound
 +.RB [ \-h ]
 +.RB [ \-d ]
 +.RB [ \-v ]
 +.RB [ \-c
 +.IR cfgfile ]
 +.SH "DESCRIPTION"
 +.B Unbound
 +is a caching DNS resolver.
 +.P
 +It uses a built in list of authoritative nameservers for the root zone (.),
 +the so called root hints.
 +On receiving a DNS query it will ask the root nameservers for
 +an answer and will in almost all cases receive a delegation to a top level
 +domain (TLD) authoritative nameserver.
 +It will then ask that nameserver for an answer.
 +It will recursively continue until an answer is found or no answer is
 +available (NXDOMAIN).
 +For performance and efficiency reasons that answer is cached for a
 +certain time (the answer's time\-to\-live or TTL).
 +A second query for the same name will then be answered from the cache.
 +Unbound can also do DNSSEC validation.
 +.P
 +To use a locally running
 +.B Unbound
 +for resolving put
 +.sp
 +.RS 6n
 +nameserver 127.0.0.1
 +.RE
 +.sp
 +into
 +.IR resolv.conf (5).
 +.P
 +If authoritative DNS is needed as well using
 +.IR nsd (8),
 +careful setup is required because authoritative nameservers and
 +resolvers are using the same port number (53).
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-c\fI cfgfile
 +Set the config file with settings for unbound to read instead of reading the
 +file at the default location, /var/unbound/unbound.conf. The syntax is
 +described in \fIunbound.conf\fR(5).
 +.TP
 +.B \-d
 +Debug flag: do not fork into the background, but stay attached to
 +the console.  This flag will also delay writing to the log file until
 +the thread\-spawn time, so that most config and setup errors appear on
 +stderr. If given twice or more, logging does not switch to the log file
 +or to syslog, but the log messages are printed to stderr all the time.
 +.TP
 +.B \-v
 +Increase verbosity. If given multiple times, more information is logged.
 +This is in addition to the verbosity (if any) from the config file.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5),
 +\fIunbound\-checkconf\fR(8),
 +\fInsd\fR(8).
 +.SH "AUTHORS"
 +.B Unbound
 +developers are mentioned in the CREDITS file in the distribution.
diff --cc contrib/unbound/doc/unbound.8.in
index 7242469c1f1f0be927148576decdc6726b266d7a,0000000000000000000000000000000000000000..e4ff3b8e9b1428d55476d24c748ec31c312dd9be
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound.8.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound.8.in
@@@ -1,79 -1,0 +1,79 @@@
- .TH "unbound" "8" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound" "8" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound.8 -- unbound manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound
- \- Unbound DNS validating resolver 1.5.3.
++\- Unbound DNS validating resolver 1.5.4.
 +.SH "SYNOPSIS"
 +.B unbound
 +.RB [ \-h ]
 +.RB [ \-d ]
 +.RB [ \-v ]
 +.RB [ \-c
 +.IR cfgfile ]
 +.SH "DESCRIPTION"
 +.B Unbound
 +is a caching DNS resolver.
 +.P
 +It uses a built in list of authoritative nameservers for the root zone (.),
 +the so called root hints.
 +On receiving a DNS query it will ask the root nameservers for
 +an answer and will in almost all cases receive a delegation to a top level
 +domain (TLD) authoritative nameserver.
 +It will then ask that nameserver for an answer.
 +It will recursively continue until an answer is found or no answer is
 +available (NXDOMAIN).
 +For performance and efficiency reasons that answer is cached for a
 +certain time (the answer's time\-to\-live or TTL).
 +A second query for the same name will then be answered from the cache.
 +Unbound can also do DNSSEC validation.
 +.P
 +To use a locally running
 +.B Unbound
 +for resolving put
 +.sp
 +.RS 6n
 +nameserver 127.0.0.1
 +.RE
 +.sp
 +into
 +.IR resolv.conf (5).
 +.P
 +If authoritative DNS is needed as well using
 +.IR nsd (8),
 +careful setup is required because authoritative nameservers and
 +resolvers are using the same port number (53).
 +.P
 +The available options are:
 +.TP
 +.B \-h
 +Show the version and commandline option help.
 +.TP
 +.B \-c\fI cfgfile
 +Set the config file with settings for unbound to read instead of reading the
 +file at the default location, @ub_conf_file@. The syntax is
 +described in \fIunbound.conf\fR(5).
 +.TP
 +.B \-d
 +Debug flag: do not fork into the background, but stay attached to
 +the console.  This flag will also delay writing to the log file until
 +the thread\-spawn time, so that most config and setup errors appear on
 +stderr. If given twice or more, logging does not switch to the log file
 +or to syslog, but the log messages are printed to stderr all the time.
 +.TP
 +.B \-v
 +Increase verbosity. If given multiple times, more information is logged.
 +This is in addition to the verbosity (if any) from the config file.
 +.SH "SEE ALSO"
 +\fIunbound.conf\fR(5),
 +\fIunbound\-checkconf\fR(8),
 +\fInsd\fR(8).
 +.SH "AUTHORS"
 +.B Unbound
 +developers are mentioned in the CREDITS file in the distribution.
diff --cc contrib/unbound/doc/unbound.conf.5
index c2637aad91d6f871685af2662ad1b9580f0c0cab,0000000000000000000000000000000000000000..80bb00e2944457e86777b532ef5b848499f3c8c6
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound.conf.5
--- /dev/null
+++ b/contrib/unbound/doc/unbound.conf.5
@@@ -1,1177 -1,0 +1,1260 @@@
- .TH "unbound.conf" "5" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound.conf" "5" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound.conf.5 -- unbound.conf manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound.conf
 +\- Unbound configuration file.
 +.SH "SYNOPSIS"
 +.B unbound.conf
 +.SH "DESCRIPTION"
 +.B unbound.conf
 +is used to configure
 +\fIunbound\fR(8).
 +The file format has attributes and values. Some attributes have attributes inside them.
 +The notation is: attribute: value.
 +.P
 +Comments start with # and last to the end of line. Empty lines are
 +ignored as is whitespace at the beginning of a line.
 +.P
 +The utility 
 +\fIunbound\-checkconf\fR(8)
 +can be used to check unbound.conf prior to usage.
 +.SH "EXAMPLE"
 +An example config file is shown below. Copy this to /etc/unbound/unbound.conf
 +and start the server with:
 +.P
 +.nf
 +      $ unbound \-c /etc/unbound/unbound.conf 
 +.fi
 +.P
 +Most settings are the defaults. Stop the server with:
 +.P
 +.nf
 +      $ kill `cat /etc/unbound/unbound.pid`
 +.fi
 +.P
 +Below is a minimal config file. The source distribution contains an extensive
 +example.conf file with all the options.
 +.P
 +.nf
 +# unbound.conf(5) config file for unbound(8).
 +server:
 +      directory: "/etc/unbound"
 +      username: unbound
 +      # make sure unbound can access entropy from inside the chroot.
 +      # e.g. on linux the use these commands (on BSD, devfs(8) is used):
 +      #      mount \-\-bind \-n /dev/random /etc/unbound/dev/random
 +      # and  mount \-\-bind \-n /dev/log /etc/unbound/dev/log
 +      chroot: "/etc/unbound"
 +      # logfile: "/etc/unbound/unbound.log"  #uncomment to use logfile.
 +      pidfile: "/etc/unbound/unbound.pid"
 +      # verbosity: 1          # uncomment and increase to get more logging.
 +      # listen on all interfaces, answer queries from the local subnet.
 +      interface: 0.0.0.0
 +      interface: ::0
 +      access\-control: 10.0.0.0/8 allow
 +      access\-control: 2001:DB8::/64 allow
 +.fi
 +.SH "FILE FORMAT"
 +There must be whitespace between keywords. Attribute keywords end with a colon ':'. An attribute
 +is followed by its containing attributes, or a value.
 +.P
 +Files can be included using the
 +.B include:
 +directive. It can appear anywhere, it accepts a single file name as argument.
 +Processing continues as if the text from the included file was copied into
 +the config file at that point.  If also using chroot, using full path names
 +for the included files works, relative pathnames for the included names work
 +if the directory where the daemon is started equals its chroot/working 
 +directory.  Wildcards can be used to include multiple files, see \fIglob\fR(7).
 +.SS "Server Options"
 +These options are part of the
 +.B server:
 +clause.
 +.TP
 +.B verbosity: \fI<number>
 +The verbosity number, level 0 means no verbosity, only errors. Level 1 
 +gives operational information. Level 2 gives detailed operational
 +information. Level 3 gives query level information, output per query. 
 +Level 4 gives algorithm level information.  Level 5 logs client 
 +identification for cache misses.  Default is level 1. 
 +The verbosity can also be increased from the commandline, see \fIunbound\fR(8).
 +.TP
 +.B statistics\-interval: \fI<seconds>
 +The number of seconds between printing statistics to the log for every thread.
 +Disable with value 0 or "". Default is disabled.  The histogram statistics
 +are only printed if replies were sent during the statistics interval, 
 +requestlist statistics are printed for every interval (but can be 0).
 +This is because the median calculation requires data to be present.
 +.TP
 +.B statistics\-cumulative: \fI<yes or no>
 +If enabled, statistics are cumulative since starting unbound, without clearing
 +the statistics counters after logging the statistics. Default is no.
 +.TP
 +.B extended\-statistics: \fI<yes or no>
 +If enabled, extended statistics are printed from \fIunbound\-control\fR(8). 
 +Default is off, because keeping track of more statistics takes time.  The
 +counters are listed in \fIunbound\-control\fR(8).
 +.TP
 +.B num\-threads: \fI<number>
 +The number of threads to create to serve clients. Use 1 for no threading.
 +.TP
 +.B port: \fI<port number>
 +The port number, default 53, on which the server responds to queries.
 +.TP
 +.B interface: \fI<ip address[@port]>
 +Interface to use to connect to the network. This interface is listened to
 +for queries from clients, and answers to clients are given from it.
 +Can be given multiple times to work on several interfaces. If none are 
 +given the default is to listen to localhost.
 +The interfaces are not changed on a reload (kill \-HUP) but only on restart.
 +A port number can be specified with @port (without spaces between
 +interface and port number), if not specified the default port (from
 +\fBport\fR) is used.
 +.TP
 +.B ip\-address: \fI<ip address[@port]>
 +Same as interface: (for easy of compatibility with nsd.conf).
 +.TP
 +.B interface\-automatic: \fI<yes or no>
 +Detect source interface on UDP queries and copy them to replies.  This 
 +feature is experimental, and needs support in your OS for particular socket
 +options.  Default value is no.
 +.TP
 +.B outgoing\-interface: \fI<ip address>
 +Interface to use to connect to the network. This interface is used to send
 +queries to authoritative servers and receive their replies. Can be given 
 +multiple times to work on several interfaces. If none are given the 
 +default (all) is used. You can specify the same interfaces in 
 +.B interface:
 +and
 +.B outgoing\-interface:
 +lines, the interfaces are then used for both purposes. Outgoing queries are 
 +sent via a random outgoing interface to counter spoofing.
 +.TP
 +.B outgoing\-range: \fI<number>
 +Number of ports to open. This number of file descriptors can be opened per 
 +thread. Must be at least 1. Default depends on compile options. Larger 
 +numbers need extra resources from the operating system.  For performance a
 +a very large value is best, use libevent to make this possible.
 +.TP
 +.B outgoing\-port\-permit: \fI<port number or range>
 +Permit unbound to open this port or range of ports for use to send queries.
 +A larger number of permitted outgoing ports increases resilience against
 +spoofing attempts. Make sure these ports are not needed by other daemons. 
 +By default only ports above 1024 that have not been assigned by IANA are used.
 +Give a port number or a range of the form "low\-high", without spaces.
 +.IP
 +The \fBoutgoing\-port\-permit\fR and \fBoutgoing\-port\-avoid\fR statements 
 +are processed in the line order of the config file, adding the permitted ports 
 +and subtracting the avoided ports from the set of allowed ports.  The 
 +processing starts with the non IANA allocated ports above 1024 in the set 
 +of allowed ports.
 +.TP
 +.B outgoing\-port\-avoid: \fI<port number or range>
 +Do not permit unbound to open this port or range of ports for use to send 
 +queries. Use this to make sure unbound does not grab a port that another
 +daemon needs. The port is avoided on all outgoing interfaces, both IP4 and IP6.
 +By default only ports above 1024 that have not been assigned by IANA are used.
 +Give a port number or a range of the form "low\-high", without spaces.
 +.TP
 +.B outgoing\-num\-tcp: \fI<number>
- Number of outgoing TCP buffers to allocate per thread. Default is 10. If set
- to 0, or if do\-tcp is "no", no TCP queries to authoritative servers are done.
++Number of outgoing TCP buffers to allocate per thread. Default is 10. If
++set to 0, or if do\-tcp is "no", no TCP queries to authoritative servers
++are done.  For larger installations increasing this value is a good idea.
 +.TP
 +.B incoming\-num\-tcp: \fI<number>
- Number of incoming TCP buffers to allocate per thread. Default is 10. If set
- to 0, or if do\-tcp is "no", no TCP queries from clients are accepted.
++Number of incoming TCP buffers to allocate per thread. Default is
++10. If set to 0, or if do\-tcp is "no", no TCP queries from clients are
++accepted. For larger installations increasing this value is a good idea.
 +.TP
 +.B edns\-buffer\-size: \fI<number>
 +Number of bytes size to advertise as the EDNS reassembly buffer size.
 +This is the value put into datagrams over UDP towards peers.  The actual
 +buffer size is determined by msg\-buffer\-size (both for TCP and UDP).  Do
 +not set higher than that value.  Default is 4096 which is RFC recommended.
 +If you have fragmentation reassembly problems, usually seen as timeouts,
 +then a value of 1480 can fix it.  Setting to 512 bypasses even the most
 +stringent path MTU problems, but is seen as extreme, since the amount
 +of TCP fallback generated is excessive (probably also for this resolver,
 +consider tuning the outgoing tcp number).
 +.TP
 +.B max\-udp\-size: \fI<number>
 +Maximum UDP response size (not applied to TCP response).  65536 disables the
 +udp response size maximum, and uses the choice from the client, always.
 +Suggested values are 512 to 4096. Default is 4096. 
 +.TP
 +.B msg\-buffer\-size: \fI<number>
 +Number of bytes size of the message buffers. Default is 65552 bytes, enough
 +for 64 Kb packets, the maximum DNS message size. No message larger than this
 +can be sent or received. Can be reduced to use less memory, but some requests
 +for DNS data, such as for huge resource records, will result in a SERVFAIL 
 +reply to the client.
 +.TP
 +.B msg\-cache\-size: \fI<number>
 +Number of bytes size of the message cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B msg\-cache\-slabs: \fI<number>
 +Number of slabs in the message cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. Setting (close) to the number of cpus is a 
 +reasonable guess.
 +.TP
 +.B num\-queries\-per\-thread: \fI<number>
 +The number of queries that every thread will service simultaneously.
 +If more queries arrive that need servicing, and no queries can be jostled out
 +(see \fIjostle\-timeout\fR), then the queries are dropped. This forces
 +the client to resend after a timeout; allowing the server time to work on
 +the existing queries. Default depends on compile options, 512 or 1024.
 +.TP
 +.B jostle\-timeout: \fI<msec>
 +Timeout used when the server is very busy.  Set to a value that usually
 +results in one roundtrip to the authority servers.  If too many queries 
 +arrive, then 50% of the queries are allowed to run to completion, and
 +the other 50% are replaced with the new incoming query if they have already 
 +spent more than their allowed time.  This protects against denial of 
 +service by slow queries or high query rates.  Default 200 milliseconds.
 +The effect is that the qps for long-lasting queries is about 
 +(numqueriesperthread / 2) / (average time for such long queries) qps.
 +The qps for short queries can be about (numqueriesperthread / 2)
 +/ (jostletimeout in whole seconds) qps per thread, about (1024/2)*5 = 2560
 +qps by default.
 +.TP
 +.B delay\-close: \fI<msec>
 +Extra delay for timeouted UDP ports before they are closed, in msec.
 +Default is 0, and that disables it.  This prevents very delayed answer
 +packets from the upstream (recursive) servers from bouncing against
 +closed ports and setting off all sort of close-port counters, with
 +eg. 1500 msec.  When timeouts happen you need extra sockets, it checks
 +the ID and remote IP of packets, and unwanted packets are added to the
 +unwanted packet counter.
 +.TP
 +.B so\-rcvbuf: \fI<number>
 +If not 0, then set the SO_RCVBUF socket option to get more buffer
 +space on UDP port 53 incoming queries.  So that short spikes on busy
 +servers do not drop packets (see counter in netstat \-su).  Default is
 +0 (use system value).  Otherwise, the number of bytes to ask for, try
 +"4m" on a busy server.  The OS caps it at a maximum, on linux unbound
 +needs root permission to bypass the limit, or the admin can use sysctl
 +net.core.rmem_max.  On BSD change kern.ipc.maxsockbuf in /etc/sysctl.conf.
 +On OpenBSD change header and recompile kernel. On Solaris ndd \-set
 +/dev/udp udp_max_buf 8388608.
 +.TP
 +.B so\-sndbuf: \fI<number>
 +If not 0, then set the SO_SNDBUF socket option to get more buffer space on
 +UDP port 53 outgoing queries.  This for very busy servers handles spikes
 +in answer traffic, otherwise 'send: resource temporarily unavailable'
 +can get logged, the buffer overrun is also visible by netstat \-su.
 +Default is 0 (use system value).  Specify the number of bytes to ask
 +for, try "4m" on a very busy server.  The OS caps it at a maximum, on
 +linux unbound needs root permission to bypass the limit, or the admin
 +can use sysctl net.core.wmem_max.  On BSD, Solaris changes are similar
 +to so\-rcvbuf.
 +.TP
 +.B so\-reuseport: \fI<yes or no>
 +If yes, then open dedicated listening sockets for incoming queries for each
 +thread and try to set the SO_REUSEPORT socket option on each socket.  May
 +distribute incoming queries to threads more evenly.  Default is no.  On Linux
 +it is supported in kernels >= 3.9.  On other systems, FreeBSD, OSX it may
 +also work.  You can enable it (on any platform and kernel),
 +it then attempts to open the port and passes the option if it was available
 +at compile time, if that works it is used, if it fails, it continues
 +silently (unless verbosity 3) without the option.
 +.TP
++.B ip\-transparent: \fI<yes or no>
++If yes, then use IP_TRANSPARENT socket option on sockets where unbound
++is listening for incoming traffic.  Default no.  Allows you to bind to
++non\-local interfaces.  For example for non\-existant IP addresses that
++are going to exist later on, with host failover configuration.  This is
++a lot like interface\-automatic, but that one services all interfaces
++and with this option you can select which (future) interfaces unbound
++provides service on.  This option needs unbound to be started with root
++permissions on some systems.
++.TP
 +.B rrset\-cache\-size: \fI<number>
 +Number of bytes size of the RRset cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B rrset\-cache\-slabs: \fI<number>
 +Number of slabs in the RRset cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. 
 +.TP
 +.B cache\-max\-ttl: \fI<seconds>
 +Time to live maximum for RRsets and messages in the cache. Default is 
 +86400 seconds (1 day). If the maximum kicks in, responses to clients 
 +still get decrementing TTLs based on the original (larger) values. 
 +When the internal TTL expires, the cache item has expired.
 +Can be set lower to force the resolver to query for data often, and not
 +trust (very large) TTL values.
 +.TP
 +.B cache\-min\-ttl: \fI<seconds>
 +Time to live minimum for RRsets and messages in the cache. Default is 0.
 +If the the minimum kicks in, the data is cached for longer than the domain
 +owner intended, and thus less queries are made to look up the data.
 +Zero makes sure the data in the cache is as the domain owner intended,
 +higher values, especially more than an hour or so, can lead to trouble as 
 +the data in the cache does not match up with the actual data any more.
 +.TP
++.B cache\-max\-negative\-ttl: \fI<seconds>
++Time to live maximum for negative responses, these have a SOA in the
++authority section that is limited in time.  Default is 3600.
++.TP
 +.B infra\-host\-ttl: \fI<seconds>
 +Time to live for entries in the host cache. The host cache contains 
 +roundtrip timing, lameness and EDNS support information. Default is 900.
 +.TP
 +.B infra\-cache\-slabs: \fI<number>
 +Number of slabs in the infrastructure cache. Slabs reduce lock contention 
 +by threads. Must be set to a power of 2. 
 +.TP
 +.B infra\-cache\-numhosts: \fI<number>
 +Number of hosts for which information is cached. Default is 10000.
 +.TP
 +.B infra\-cache\-min\-rtt: \fI<msec>
 +Lower limit for dynamic retransmit timeout calculation in infrastructure
 +cache. Default is 50 milliseconds. Increase this value if using forwarders
 +needing more time to do recursive name resolution.
 +.TP
 +.B do\-ip4: \fI<yes or no>
 +Enable or disable whether ip4 queries are answered or issued. Default is yes.
 +.TP
 +.B do\-ip6: \fI<yes or no>
 +Enable or disable whether ip6 queries are answered or issued. Default is yes.
 +If disabled, queries are not answered on IPv6, and queries are not sent on
 +IPv6 to the internet nameservers.  With this option you can disable the
 +ipv6 transport for sending DNS traffic, it does not impact the contents of
 +the DNS traffic, which may have ip4 and ip6 addresses in it.
 +.TP
 +.B do\-udp: \fI<yes or no>
 +Enable or disable whether UDP queries are answered or issued. Default is yes.
 +.TP
 +.B do\-tcp: \fI<yes or no>
 +Enable or disable whether TCP queries are answered or issued. Default is yes.
 +.TP
 +.B tcp\-upstream: \fI<yes or no>
 +Enable or disable whether the upstream queries use TCP only for transport.
 +Default is no.  Useful in tunneling scenarios.
 +.TP
 +.B ssl\-upstream: \fI<yes or no>
 +Enabled or disable whether the upstream queries use SSL only for transport.
 +Default is no.  Useful in tunneling scenarios.  The SSL contains plain DNS in
 +TCP wireformat.  The other server must support this (see \fBssl\-service\-key\fR).
 +.TP
 +.B ssl\-service-key: \fI<file>
 +If enabled, the server provider SSL service on its TCP sockets.  The clients
 +have to use ssl\-upstream: yes.  The file is the private key for the TLS
 +session.  The public certificate is in the ssl\-service\-pem file.  Default
 +is "", turned off.  Requires a restart (a reload is not enough) if changed,
 +because the private key is read while root permissions are held and before
 +chroot (if any).  Normal DNS TCP service is not provided and gives errors,
 +this service is best run with a different \fBport:\fR config or \fI@port\fR
 +suffixes in the \fBinterface\fR config.
 +.TP
 +.B ssl\-service\-pem: \fI<file>
 +The public key certificate pem file for the ssl service.  Default is "",
 +turned off.
 +.TP
 +.B ssl\-port: \fI<number>
 +The port number on which to provide TCP SSL service, default 443, only
 +interfaces configured with that port number as @number get the SSL service.
 +.TP
 +.B do\-daemonize: \fI<yes or no>
 +Enable or disable whether the unbound server forks into the background as
 +a daemon. Default is yes.
 +.TP
 +.B access\-control: \fI<IP netblock> <action>
 +The netblock is given as an IP4 or IP6 address with /size appended for a 
 +classless network block. The action can be \fIdeny\fR, \fIrefuse\fR, 
 +\fIallow\fR, \fIallow_snoop\fR, \fIdeny_non_local\fR or \fIrefuse_non_local\fR.
 +.IP
 +The action \fIdeny\fR stops queries from hosts from that netblock.
 +.IP
 +The action \fIrefuse\fR stops queries too, but sends a DNS rcode REFUSED 
 +error message back.
 +.IP
 +The action \fIallow\fR gives access to clients from that netblock.  
 +It gives only access for recursion clients (which is 
 +what almost all clients need).  Nonrecursive queries are refused.
 +.IP
 +The \fIallow\fR action does allow nonrecursive queries to access the 
 +local\-data that is configured.  The reason is that this does not involve
 +the unbound server recursive lookup algorithm, and static data is served 
 +in the reply.  This supports normal operations where nonrecursive queries 
 +are made for the authoritative data.  For nonrecursive queries any replies 
 +from the dynamic cache are refused.
 +.IP
 +The action \fIallow_snoop\fR gives nonrecursive access too.  This give 
 +both recursive and non recursive access.  The name \fIallow_snoop\fR refers 
 +to cache snooping, a technique to use nonrecursive queries to examine
 +the cache contents (for malicious acts).  However, nonrecursive queries can 
 +also be a valuable debugging tool (when you want to examine the cache 
 +contents). In that case use \fIallow_snoop\fR for your administration host.
 +.IP
 +By default only localhost is \fIallow\fRed, the rest is \fIrefuse\fRd.
 +The default is \fIrefuse\fRd, because that is protocol\-friendly. The DNS 
 +protocol is not designed to handle dropped packets due to policy, and 
 +dropping may result in (possibly excessive) retried queries.
 +.IP
 +The deny_non_local and refuse_non_local settings are for hosts that are
 +only allowed to query for the authoritative local\-data, they are not
 +allowed full recursion but only the static data.  With deny_non_local,
 +messages that are disallowed are dropped, with refuse_non_local they
 +receive error code REFUSED.
 +.TP
 +.B chroot: \fI<directory>
 +If chroot is enabled, you should pass the configfile (from the
 +commandline) as a full path from the original root. After the
 +chroot has been performed the now defunct portion of the config 
 +file path is removed to be able to reread the config after a reload. 
 +.IP
 +All other file paths (working dir, logfile, roothints, and
 +key files) can be specified in several ways:
 +as an absolute path relative to the new root,
 +as a relative path to the working directory, or
 +as an absolute path relative to the original root.
 +In the last case the path is adjusted to remove the unused portion.
 +.IP
 +The pidfile can be either a relative path to the working directory, or
 +an absolute path relative to the original root. It is written just prior
 +to chroot and dropping permissions. This allows the pidfile to be 
 +/var/run/unbound.pid and the chroot to be /var/unbound, for example.
 +.IP
 +Additionally, unbound may need to access /dev/random (for entropy)
 +from inside the chroot.
 +.IP
 +If given a chroot is done to the given directory. The default is 
 +"/var/unbound". If you give "" no chroot is performed.
 +.TP
 +.B username: \fI<name>
 +If given, after binding the port the user privileges are dropped. Default is
 +"unbound". If you give username: "" no user change is performed. 
 +.IP
 +If this user is not capable of binding the
 +port, reloads (by signal HUP) will still retain the opened ports.
 +If you change the port number in the config file, and that new port number 
 +requires privileges, then a reload will fail; a restart is needed.
 +.TP
 +.B directory: \fI<directory>
 +Sets the working directory for the program. Default is "/var/unbound".
 +.TP
 +.B logfile: \fI<filename>
 +If "" is given, logging goes to stderr, or nowhere once daemonized.
 +The logfile is appended to, in the following format: 
 +.nf
 +[seconds since 1970] unbound[pid:tid]: type: message. 
 +.fi
 +If this option is given, the use\-syslog is option is set to "no".
 +The logfile is reopened (for append) when the config file is reread, on 
 +SIGHUP.
 +.TP
 +.B use\-syslog: \fI<yes or no>
 +Sets unbound to send log messages to the syslogd, using 
 +\fIsyslog\fR(3). 
 +The log facility LOG_DAEMON is used, with identity "unbound".
 +The logfile setting is overridden when use\-syslog is turned on.
 +The default is to log to syslog.
 +.TP
 +.B log\-time\-ascii: \fI<yes or no>
 +Sets logfile lines to use a timestamp in UTC ascii. Default is no, which
 +prints the seconds since 1970 in brackets. No effect if using syslog, in
 +that case syslog formats the timestamp printed into the log files.
 +.TP
 +.B log\-queries: \fI<yes or no>
 +Prints one line per query to the log, with the log timestamp and IP address,
 +name, type and class.  Default is no.  Note that it takes time to print these
 +lines which makes the server (significantly) slower.  Odd (nonprintable)
 +characters in names are printed as '?'.
 +.TP
 +.B pidfile: \fI<filename>
 +The process id is written to the file. Default is "/var/unbound/unbound.pid". 
 +So,
 +.nf
 +kill \-HUP `cat /var/unbound/unbound.pid` 
 +.fi
 +triggers a reload,
 +.nf
 +kill \-QUIT `cat /var/unbound/unbound.pid` 
 +.fi
 +gracefully terminates.
 +.TP
 +.B root\-hints: \fI<filename>
 +Read the root hints from this file. Default is nothing, using builtin hints
 +for the IN class. The file has the format of zone files, with root 
 +nameserver names and addresses only. The default may become outdated,
 +when servers change, therefore it is good practice to use a root\-hints file.
 +.TP
 +.B hide\-identity: \fI<yes or no>
 +If enabled id.server and hostname.bind queries are refused.
 +.TP
 +.B identity: \fI<string>
 +Set the identity to report. If set to "", the default, then the hostname
 +of the server is returned.
 +.TP
 +.B hide\-version: \fI<yes or no>
 +If enabled version.server and version.bind queries are refused.
 +.TP
 +.B version: \fI<string>
 +Set the version to report. If set to "", the default, then the package
 +version is returned.
 +.TP
 +.B target\-fetch\-policy: \fI<"list of numbers">
 +Set the target fetch policy used by unbound to determine if it should fetch
 +nameserver target addresses opportunistically. The policy is described per
 +dependency depth. 
 +.IP
 +The number of values determines the maximum dependency depth
 +that unbound will pursue in answering a query.  
 +A value of \-1 means to fetch all targets opportunistically for that dependency
 +depth. A value of 0 means to fetch on demand only. A positive value fetches
 +that many targets opportunistically. 
 +.IP
 +Enclose the list between quotes ("") and put spaces between numbers.
 +The default is "3 2 1 0 0". Setting all zeroes, "0 0 0 0 0" gives behaviour
 +closer to that of BIND 9, while setting "\-1 \-1 \-1 \-1 \-1" gives behaviour 
 +rumoured to be closer to that of BIND 8.
 +.TP
 +.B harden\-short\-bufsize: \fI<yes or no>
 +Very small EDNS buffer sizes from queries are ignored. Default is off, since
 +it is legal protocol wise to send these, and unbound tries to give very 
 +small answers to these queries, where possible.
 +.TP
 +.B harden\-large\-queries: \fI<yes or no>
 +Very large queries are ignored. Default is off, since it is legal protocol
 +wise to send these, and could be necessary for operation if TSIG or EDNS
 +payload is very large.
 +.TP
 +.B harden\-glue: \fI<yes or no>
 +Will trust glue only if it is within the servers authority. Default is on.
 +.TP
 +.B harden\-dnssec\-stripped: \fI<yes or no>
 +Require DNSSEC data for trust\-anchored zones, if such data is absent,
 +the zone becomes bogus. If turned off, and no DNSSEC data is received
 +(or the DNSKEY data fails to validate), then the zone is made insecure, 
 +this behaves like there is no trust anchor. You could turn this off if 
 +you are sometimes behind an intrusive firewall (of some sort) that 
 +removes DNSSEC data from packets, or a zone changes from signed to 
 +unsigned to badly signed often. If turned off you run the risk of a 
 +downgrade attack that disables security for a zone. Default is on.
 +.TP
 +.B harden\-below\-nxdomain: \fI<yes or no>
 +From draft\-vixie\-dnsext\-resimprove, returns nxdomain to queries for a name
 +below another name that is already known to be nxdomain.  DNSSEC mandates
 +noerror for empty nonterminals, hence this is possible.  Very old software
 +might return nxdomain for empty nonterminals (that usually happen for reverse
 +IP address lookups), and thus may be incompatible with this.  To try to avoid
 +this only DNSSEC-secure nxdomains are used, because the old software does not
 +have DNSSEC.  Default is off.
 +.TP
 +.B harden\-referral\-path: \fI<yes or no>
 +Harden the referral path by performing additional queries for
 +infrastructure data.  Validates the replies if trust anchors are configured
 +and the zones are signed.  This enforces DNSSEC validation on nameserver
 +NS sets and the nameserver addresses that are encountered on the referral 
 +path to the answer.
 +Default off, because it burdens the authority servers, and it is
 +not RFC standard, and could lead to performance problems because of the
 +extra query load that is generated.  Experimental option.
 +If you enable it consider adding more numbers after the target\-fetch\-policy
 +to increase the max depth that is checked to.
 +.TP
++.B harden\-algo\-downgrade: \fI<yes or no>
++Harden against algorithm downgrade when multiple algorithms are
++advertised in the DS record.  If no, allows the weakest algorithm to
++validate the zone.  Default is yes.  Zone signers must produce zones
++that allow this feature to work, but sometimes they do not, and turning
++this option off avoids that validation failure.
++.TP
 +.B use\-caps\-for\-id: \fI<yes or no>
 +Use 0x20\-encoded random bits in the query to foil spoof attempts.
 +This perturbs the lowercase and uppercase of query names sent to 
 +authority servers and checks if the reply still has the correct casing. 
 +Disabled by default. 
 +This feature is an experimental implementation of draft dns\-0x20.
 +.TP
++.B caps\-whitelist: \fI<domain>
++Whitelist the domain so that it does not receive caps\-for\-id perturbed
++queries.  For domains that do not support 0x20 and also fail with fallback
++because they keep sending different answers, like some load balancers.
++Can be given multiple times, for different domains.
++.TP
 +.B private\-address: \fI<IP address or subnet>
 +Give IPv4 of IPv6 addresses or classless subnets. These are addresses
 +on your private network, and are not allowed to be returned for public
 +internet names.  Any occurence of such addresses are removed from
 +DNS answers. Additionally, the DNSSEC validator may mark the answers
 +bogus. This protects against so\-called DNS Rebinding, where a user browser
 +is turned into a network proxy, allowing remote access through the browser
 +to other parts of your private network.  Some names can be allowed to
 +contain your private addresses, by default all the \fBlocal\-data\fR
 +that you configured is allowed to, and you can specify additional
 +names using \fBprivate\-domain\fR.  No private addresses are enabled
 +by default.  We consider to enable this for the RFC1918 private IP
 +address space by default in later releases. That would enable private 
 +addresses for 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 
 +fd00::/8 and fe80::/10, since the RFC standards say these addresses 
 +should not be visible on the public internet.  Turning on 127.0.0.0/8 
 +would hinder many spamblocklists as they use that.
 +.TP
 +.B private\-domain: \fI<domain name>
 +Allow this domain, and all its subdomains to contain private addresses.
 +Give multiple times to allow multiple domain names to contain private 
 +addresses. Default is none.
 +.TP
 +.B unwanted\-reply\-threshold: \fI<number>
 +If set, a total number of unwanted replies is kept track of in every thread.
 +When it reaches the threshold, a defensive action is taken and a warning
 +is printed to the log.  The defensive action is to clear the rrset and
 +message caches, hopefully flushing away any poison.  A value of 10 million
 +is suggested.  Default is 0 (turned off).
 +.TP
 +.B do\-not\-query\-address: \fI<IP address>
 +Do not query the given IP address. Can be IP4 or IP6. Append /num to 
 +indicate a classless delegation netblock, for example like
 +10.2.3.4/24 or 2001::11/64.
 +.TP
 +.B do\-not\-query\-localhost: \fI<yes or no>
 +If yes, localhost is added to the do\-not\-query\-address entries, both
 +IP6 ::1 and IP4 127.0.0.1/8. If no, then localhost can be used to send
 +queries to. Default is yes.
 +.TP
 +.B prefetch: \fI<yes or no>
 +If yes, message cache elements are prefetched before they expire to
 +keep the cache up to date.  Default is no.  Turning it on gives about
 +10 percent more traffic and load on the machine, but popular items do
 +not expire from the cache.
 +.TP
 +.B prefetch-key: \fI<yes or no>
 +If yes, fetch the DNSKEYs earlier in the validation process, when a DS
 +record is encountered.  This lowers the latency of requests.  It does use
 +a little more CPU.  Also if the cache is set to 0, it is no use. Default is no.
 +.TP
 +.B rrset-roundrobin: \fI<yes or no>
 +If yes, Unbound rotates RRSet order in response (the random number is taken
 +from the query ID, for speed and thread safety).  Default is no.
 +.TP
 +.B minimal-responses: \fI<yes or no>
 +If yes, Unbound doesn't insert authority/additional sections into response
 +messages when those sections are not required.  This reduces response
 +size significantly, and may avoid TCP fallback for some responses.
 +This may cause a slight speedup.  The default is no, because the DNS
 +protocol RFCs mandate these sections, and the additional content could
 +be of use and save roundtrips for clients.
 +.TP
 +.B module\-config: \fI<"module names">
 +Module configuration, a list of module names separated by spaces, surround
 +the string with quotes (""). The modules can be validator, iterator.
 +Setting this to "iterator" will result in a non\-validating server.
 +Setting this to "validator iterator" will turn on DNSSEC validation.
 +The ordering of the modules is important.
 +You must also set trust\-anchors for validation to be useful.
 +.TP
 +.B trust\-anchor\-file: \fI<filename>
 +File with trusted keys for validation. Both DS and DNSKEY entries can appear
 +in the file. The format of the file is the standard DNS Zone file format.
 +Default is "", or no trust anchor file.
 +.TP
 +.B auto\-trust\-anchor\-file: \fI<filename>
 +File with trust anchor for one zone, which is tracked with RFC5011 probes.
 +The probes are several times per month, thus the machine must be online
 +frequently.  The initial file can be one with contents as described in
 +\fBtrust\-anchor\-file\fR.  The file is written to when the anchor is updated,
 +so the unbound user must have write permission.
 +.TP
 +.B trust\-anchor: \fI<"Resource Record">
 +A DS or DNSKEY RR for a key to use for validation. Multiple entries can be
 +given to specify multiple trusted keys, in addition to the trust\-anchor\-files.
 +The resource record is entered in the same format as 'dig' or 'drill' prints
 +them, the same format as in the zone file. Has to be on a single line, with
 +"" around it. A TTL can be specified for ease of cut and paste, but is ignored. 
 +A class can be specified, but class IN is default.
 +.TP
 +.B trusted\-keys\-file: \fI<filename>
 +File with trusted keys for validation. Specify more than one file
 +with several entries, one file per entry. Like \fBtrust\-anchor\-file\fR
 +but has a different file format. Format is BIND\-9 style format, 
 +the trusted\-keys { name flag proto algo "key"; }; clauses are read.
 +It is possible to use wildcards with this statement, the wildcard is
 +expanded on start and on reload.
 +.TP
 +.B dlv\-anchor\-file: \fI<filename>
++This option was used during early days DNSSEC deployment when no parent-side
++DS record registrations were easily available.  Nowadays, it is best to have
++DS records registered with the parent zone (many top level zones are signed).
 +File with trusted keys for DLV (DNSSEC Lookaside Validation). Both DS and
 +DNSKEY entries can be used in the file, in the same format as for
 +\fItrust\-anchor\-file:\fR statements. Only one DLV can be configured, more
 +would be slow. The DLV configured is used as a root trusted DLV, this 
 +means that it is a lookaside for the root. Default is "", or no dlv anchor file.
++DLV is going to be decommissioned.  Please do not use it any more.
 +.TP
 +.B dlv\-anchor: \fI<"Resource Record">
 +Much like trust\-anchor, this is a DLV anchor with the DS or DNSKEY inline.
++DLV is going to be decommissioned.  Please do not use it any more.
 +.TP
 +.B domain\-insecure: \fI<domain name>
 +Sets domain name to be insecure, DNSSEC chain of trust is ignored towards
 +the domain name.  So a trust anchor above the domain name can not make the
 +domain secure with a DS record, such a DS record is then ignored.
 +Also keys from DLV are ignored for the domain.  Can be given multiple times
 +to specify multiple domains that are treated as if unsigned.  If you set
 +trust anchors for the domain they override this setting (and the domain 
 +is secured).
 +.IP
 +This can be useful if you want to make sure a trust anchor for external
 +lookups does not affect an (unsigned) internal domain.  A DS record 
 +externally can create validation failures for that internal domain.
 +.TP
 +.B val\-override\-date: \fI<rrsig\-style date spec>
 +Default is "" or "0", which disables this debugging feature. If enabled by
 +giving a RRSIG style date, that date is used for verifying RRSIG inception
 +and expiration dates, instead of the current date. Do not set this unless 
 +you are debugging signature inception and expiration. The value \-1 ignores
 +the date altogether, useful for some special applications.
 +.TP
 +.B val\-sig\-skew\-min: \fI<seconds>
 +Minimum number of seconds of clock skew to apply to validated signatures.
 +A value of 10% of the signature lifetime (expiration \- inception) is
 +used, capped by this setting.  Default is 3600 (1 hour) which allows for
 +daylight savings differences.  Lower this value for more strict checking
 +of short lived signatures.
 +.TP
 +.B val\-sig\-skew\-max: \fI<seconds>
 +Maximum number of seconds of clock skew to apply to validated signatures.
 +A value of 10% of the signature lifetime (expiration \- inception)
 +is used, capped by this setting.  Default is 86400 (24 hours) which
 +allows for timezone setting problems in stable domains.  Setting both
 +min and max very low disables the clock skew allowances.  Setting both
 +min and max very high makes the validator check the signature timestamps
 +less strictly.
 +.TP
 +.B val\-bogus\-ttl: \fI<number>
 +The time to live for bogus data. This is data that has failed validation;
 +due to invalid signatures or other checks. The TTL from that data cannot be
 +trusted, and this value is used instead. The value is in seconds, default 60.
 +The time interval prevents repeated revalidation of bogus data.
 +.TP
 +.B val\-clean\-additional: \fI<yes or no>
 +Instruct the validator to remove data from the additional section of secure
 +messages that are not signed properly. Messages that are insecure, bogus,
 +indeterminate or unchecked are not affected. Default is yes. Use this setting
 +to protect the users that rely on this validator for authentication from 
 +protentially bad data in the additional section.
 +.TP
 +.B val\-log\-level: \fI<number>
 +Have the validator print validation failures to the log.  Regardless of
 +the verbosity setting.  Default is 0, off.  At 1, for every user query
 +that fails a line is printed to the logs.  This way you can monitor what
 +happens with validation.  Use a diagnosis tool, such as dig or drill,
 +to find out why validation is failing for these queries.  At 2, not only
 +the query that failed is printed but also the reason why unbound thought
 +it was wrong and which server sent the faulty data.
 +.TP
 +.B val\-permissive\-mode: \fI<yes or no>
 +Instruct the validator to mark bogus messages as indeterminate. The security
 +checks are performed, but if the result is bogus (failed security), the
 +reply is not withheld from the client with SERVFAIL as usual. The client 
 +receives the bogus data. For messages that are found to be secure the AD bit 
 +is set in replies. Also logging is performed as for full validation.
 +The default value is "no". 
 +.TP
 +.B ignore\-cd\-flag: \fI<yes or no>
 +Instruct unbound to ignore the CD flag from clients and refuse to
 +return bogus answers to them.  Thus, the CD (Checking Disabled) flag
 +does not disable checking any more.  This is useful if legacy (w2008)
 +servers that set the CD flag but cannot validate DNSSEC themselves are
 +the clients, and then unbound provides them with DNSSEC protection.
 +The default value is "no".
 +.TP
 +.B val\-nsec3\-keysize\-iterations: \fI<"list of values">
 +List of keysize and iteration count values, separated by spaces, surrounded
 +by quotes. Default is "1024 150 2048 500 4096 2500". This determines the
 +maximum allowed NSEC3 iteration count before a message is simply marked
 +insecure instead of performing the many hashing iterations. The list must
 +be in ascending order and have at least one entry. If you set it to 
 +"1024 65535" there is no restriction to NSEC3 iteration values.
 +This table must be kept short; a very long list could cause slower operation.
 +.TP
 +.B add\-holddown: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to add new trust anchors only after they have been
 +visible for this time.  Default is 30 days as per the RFC.
 +.TP
 +.B del\-holddown: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to remove revoked trust anchors after they have been
 +kept in the revoked list for this long.  Default is 30 days as per
 +the RFC.
 +.TP
 +.B keep\-missing: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to remove missing trust anchors after they have been
 +unseen for this long.  This cleans up the state file if the target zone
 +does not perform trust anchor revocation, so this makes the auto probe
 +mechanism work with zones that perform regular (non\-5011) rollovers.
 +The default is 366 days.  The value 0 does not remove missing anchors,
 +as per the RFC.
 +.TP
 +.B key\-cache\-size: \fI<number>
 +Number of bytes size of the key cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B key\-cache\-slabs: \fI<number>
 +Number of slabs in the key cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. Setting (close) to the number of cpus is a 
 +reasonable guess.
 +.TP
 +.B neg\-cache\-size: \fI<number>
 +Number of bytes size of the aggressive negative cache. Default is 1 megabyte.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B unblock\-lan\-zones: \fI<yesno>
 +Default is disabled.  If enabled, then for private address space,
 +the reverse lookups are no longer filtered.  This allows unbound when
 +running as dns service on a host where it provides service for that host,
 +to put out all of the queries for the 'lan' upstream.  When enabled,
 +only localhost, 127.0.0.1 reverse and ::1 reverse zones are configured
 +with default local zones.  Disable the option when unbound is running
 +as a (DHCP-) DNS network resolver for a group of machines, where such
 +lookups should be filtered (RFC compliance), this also stops potential
 +data leakage about the local network to the upstream DNS servers.
 +.TP
 +.B local\-zone: \fI<zone> <type>
 +Configure a local zone. The type determines the answer to give if
 +there is no match from local\-data. The types are deny, refuse, static,
- transparent, redirect, nodefault, typetransparent, inform, and are explained
- below. After that the default settings are listed. Use local\-data: to
- enter data into the local zone. Answers for local zones are authoritative
- DNS answers. By default the zones are class IN.
++transparent, redirect, nodefault, typetransparent, inform, inform_deny,
++and are explained below. After that the default settings are listed. Use
++local\-data: to enter data into the local zone. Answers for local zones
++are authoritative DNS answers. By default the zones are class IN.
 +.IP
 +If you need more complicated authoritative data, with referrals, wildcards,
 +CNAME/DNAME support, or DNSSEC authoritative service, setup a stub\-zone for
 +it as detailed in the stub zone section below.
 +.TP 10
 +\h'5'\fIdeny\fR
 +Do not send an answer, drop the query.
 +If there is a match from local data, the query is answered.
 +.TP 10
 +\h'5'\fIrefuse\fR
 +Send an error message reply, with rcode REFUSED.
 +If there is a match from local data, the query is answered.
 +.TP 10
 +\h'5'\fIstatic\fR
 +If there is a match from local data, the query is answered.
 +Otherwise, the query is answered with nodata or nxdomain.
 +For a negative answer a SOA is included in the answer if present
 +as local\-data for the zone apex domain.
 +.TP 10
 +\h'5'\fItransparent\fR 
 +If there is a match from local data, the query is answered.
 +Otherwise if the query has a different name, the query is resolved normally.
 +If the query is for a name given in localdata but no such type of data is
 +given in localdata, then a noerror nodata answer is returned.
 +If no local\-zone is given local\-data causes a transparent zone
 +to be created by default.
 +.TP 10
 +\h'5'\fItypetransparent\fR 
 +If there is a match from local data, the query is answered.  If the query
 +is for a different name, or for the same name but for a different type,
 +the query is resolved normally.  So, similar to transparent but types
 +that are not listed in local data are resolved normally, so if an A record
 +is in the local data that does not cause a nodata reply for AAAA queries.
 +.TP 10
 +\h'5'\fIredirect\fR 
 +The query is answered from the local data for the zone name.
 +There may be no local data beneath the zone name.
 +This answers queries for the zone, and all subdomains of the zone
 +with the local data for the zone.
 +It can be used to redirect a domain to return a different address record
 +to the end user, with 
 +local\-zone: "example.com." redirect and 
 +local\-data: "example.com. A 127.0.0.1"
 +queries for www.example.com and www.foo.example.com are redirected, so
 +that users with web browsers cannot access sites with suffix example.com.
 +.TP 10
 +\h'5'\fIinform\fR 
 +The query is answered normally.  The client IP address (@portnumber)
 +is printed to the logfile.  The log message is: timestamp, unbound-pid,
 +info: zonename inform IP@port queryname type class.  This option can be
 +used for normal resolution, but machines looking up infected names are
 +logged, eg. to run antivirus on them.
 +.TP 10
++\h'5'\fIinform_deny\fR 
++The query is dropped, like 'deny', and logged, like 'inform'.  Ie. find
++infected machines without answering the queries.
++.TP 10
 +\h'5'\fInodefault\fR 
 +Used to turn off default contents for AS112 zones. The other types
 +also turn off default contents for the zone. The 'nodefault' option 
 +has no other effect than turning off default contents for the 
 +given zone.
 +.P
 +The default zones are localhost, reverse 127.0.0.1 and ::1, and the AS112
 +zones. The AS112 zones are reverse DNS zones for private use and reserved
 +IP addresses for which the servers on the internet cannot provide correct
 +answers. They are configured by default to give nxdomain (no reverse 
 +information) answers. The defaults can be turned off by specifying your
 +own local\-zone of that name, or using the 'nodefault' type. Below is a 
 +list of the default zone contents.
 +.TP 10
 +\h'5'\fIlocalhost\fR 
 +The IP4 and IP6 localhost information is given. NS and SOA records are provided
 +for completeness and to satisfy some DNS update tools. Default content:
 +.nf
 +local\-zone: "localhost." static
 +local\-data: "localhost. 10800 IN NS localhost."
 +local\-data: "localhost. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "localhost. 10800 IN A 127.0.0.1"
 +local\-data: "localhost. 10800 IN AAAA ::1"
 +.fi
 +.TP 10
 +\h'5'\fIreverse IPv4 loopback\fR 
 +Default content:
 +.nf
 +local\-zone: "127.in\-addr.arpa." static
 +local\-data: "127.in\-addr.arpa. 10800 IN NS localhost."
 +local\-data: "127.in\-addr.arpa. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "1.0.0.127.in\-addr.arpa. 10800 IN 
 +    PTR localhost."
 +.fi
 +.TP 10
 +\h'5'\fIreverse IPv6 loopback\fR 
 +Default content:
 +.nf
 +local\-zone: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." static
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    NS localhost."
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    PTR localhost."
 +.fi
 +.TP 10
 +\h'5'\fIreverse RFC1918 local use zones\fR 
 +Reverse data for zones 10.in\-addr.arpa, 16.172.in\-addr.arpa to 
 +31.172.in\-addr.arpa, 168.192.in\-addr.arpa.
 +The \fBlocal\-zone:\fR is set static and as \fBlocal\-data:\fR SOA and NS 
 +records are provided.
 +.TP 10
 +\h'5'\fIreverse RFC3330 IP4 this, link\-local, testnet and broadcast\fR 
 +Reverse data for zones 0.in\-addr.arpa, 254.169.in\-addr.arpa, 
 +2.0.192.in\-addr.arpa (TEST NET 1), 100.51.198.in\-addr.arpa (TEST NET 2),
 +113.0.203.in\-addr.arpa (TEST NET 3), 255.255.255.255.in\-addr.arpa.
 +And from 64.100.in\-addr.arpa to 127.100.in\-addr.arpa (Shared Address Space).
 +.TP 10
 +\h'5'\fIreverse RFC4291 IP6 unspecified\fR
 +Reverse data for zone 
 +.nf
 +0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
 +.fi
 +.TP 10
 +\h'5'\fIreverse RFC4193 IPv6 Locally Assigned Local Addresses\fR
 +Reverse data for zone D.F.ip6.arpa.
 +.TP 10
 +\h'5'\fIreverse RFC4291 IPv6 Link Local Addresses\fR
 +Reverse data for zones 8.E.F.ip6.arpa to B.E.F.ip6.arpa.
 +.TP 10
 +\h'5'\fIreverse IPv6 Example Prefix\fR
 +Reverse data for zone 8.B.D.0.1.0.0.2.ip6.arpa. This zone is used for
 +tutorials and examples. You can remove the block on this zone with:
 +.nf
 +  local\-zone: 8.B.D.0.1.0.0.2.ip6.arpa. nodefault
 +.fi
 +You can also selectively unblock a part of the zone by making that part
 +transparent with a local\-zone statement.
 +This also works with the other default zones.
 +.\" End of local-zone listing.
 +.TP 5
 +.B local\-data: \fI"<resource record string>"
 +Configure local data, which is served in reply to queries for it.
 +The query has to match exactly unless you configure the local\-zone as 
 +redirect. If not matched exactly, the local\-zone type determines
 +further processing. If local\-data is configured that is not a subdomain of
 +a local\-zone, a transparent local\-zone is configured. 
 +For record types such as TXT, use single quotes, as in 
 +local\-data: 'example. TXT "text"'.
 +.IP
 +If you need more complicated authoritative data, with referrals, wildcards,
 +CNAME/DNAME support, or DNSSEC authoritative service, setup a stub\-zone for
 +it as detailed in the stub zone section below.
 +.TP 5
 +.B local\-data\-ptr: \fI"IPaddr name"
 +Configure local data shorthand for a PTR record with the reversed IPv4 or
 +IPv6 address and the host name.  For example "192.0.2.4 www.example.com".
 +TTL can be inserted like this: "2001:DB8::4 7200 www.example.com"
++.TP 5
++.B ratelimit: \fI<number or 0>
++Enable ratelimiting of queries sent to nameserver for performing recursion.
++If 0, the default, it is disabled.  This option is experimental at this time.
++The ratelimit is in queries per second that are allowed.  More queries are
++turned away with an error (servfail).  This stops recursive floods, eg. random
++query names, but not spoofed reflection floods.  Cached responses are not
++ratelimited by this setting.  The zone of the query is determined by examining
++the nameservers for it, the zone name is used to keep track of the rate.
++For example, 1000 may be a suitable value to stop the server from being
++overloaded with random names, and keeps unbound from sending traffic to the
++nameservers for those zones.
++.TP 5
++.B ratelimit\-size: \fI<memory size>
++Give the size of the data structure in which the current ongoing rates are
++kept track in.  Default 4m.  In bytes or use m(mega), k(kilo), g(giga).
++The ratelimit structure is small, so this data structure likely does
++not need to be large.
++.TP 5
++.B ratelimit\-slabs: \fI<number>
++Give power of 2 number of slabs, this is used to reduce lock contention
++in the ratelimit tracking data structure.  Close to the number of cpus is
++a fairly good setting.
++.TP 5
++.B ratelimit\-factor: \fI<number>
++Set the amount of queries to rate limit when the limit is exceeded.
++If set to 0, all queries are dropped for domains where the limit is
++exceeded.  If set to another value, 1 in that number is allowed through
++to complete.  Default is 10, allowing 1/10 traffic to flow normally.
++This can make ordinary queries complete (if repeatedly queried for),
++and enter the cache, whilst also mitigiting the traffic flow by the
++factor given.
++.TP 5
++.B ratelimit\-for\-domain: \fI<domain> <number qps>
++Override the global ratelimit for an exact match domain name with the listed
++number.  You can give this for any number of names.  For example, for
++a top\-level\-domain you may want to have a higher limit than other names.
++.TP 5
++.B ratelimit\-below\-domain: \fI<domain> <number qps>
++Override the global ratelimit for a domain name that ends in this name.
++You can give this multiple times, it then describes different settings
++in different parts of the namespace.  The closest matching suffix is used
++to determine the qps limit.  The rate for the exact matching domain name
++is not changed, use ratelimit\-for\-domain to set that, you might want
++to use different settings for a top\-level\-domain and subdomains.
 +.SS "Remote Control Options"
 +In the
 +.B remote\-control:
 +clause are the declarations for the remote control facility.  If this is
 +enabled, the \fIunbound\-control\fR(8) utility can be used to send
 +commands to the running unbound server.  The server uses these clauses
 +to setup SSLv3 / TLSv1 security for the connection.  The
 +\fIunbound\-control\fR(8) utility also reads the \fBremote\-control\fR
 +section for options.  To setup the correct self\-signed certificates use the
 +\fIunbound\-control\-setup\fR(8) utility.
 +.TP 5
 +.B control\-enable: \fI<yes or no>
 +The option is used to enable remote control, default is "no".
 +If turned off, the server does not listen for control commands.
 +.TP 5
 +.B control\-interface: \fI<ip address or path>
 +Give IPv4 or IPv6 addresses or local socket path to listen on for
 +control commands.
 +By default localhost (127.0.0.1 and ::1) is listened to.
 +Use 0.0.0.0 and ::0 to listen to all interfaces.
 +If you change this and permissions have been dropped, you must restart
 +the server for the change to take effect.
 +.TP 5
 +.B control\-port: \fI<port number>
 +The port number to listen on for IPv4 or IPv6 control interfaces,
 +default is 8953.
 +If you change this and permissions have been dropped, you must restart
 +the server for the change to take effect.
 +.TP 5
 +.B control\-use\-cert: \fI<yes or no>
 +Whether to require certificate authentication of control connections.
 +The default is "yes".
 +This should not be changed unless there are other mechanisms in place
 +to prevent untrusted users from accessing the remote control
 +interface.
 +.TP 5
 +.B server\-key\-file: \fI<private key file>
 +Path to the server private key, by default unbound_server.key.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by the unbound server, but not by \fIunbound\-control\fR.
 +.TP 5
 +.B server\-cert\-file: \fI<certificate file.pem>
 +Path to the server self signed certificate, by default unbound_server.pem.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by the unbound server, and also by \fIunbound\-control\fR.
 +.TP 5
 +.B control\-key\-file: \fI<private key file>
 +Path to the control client private key, by default unbound_control.key.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by \fIunbound\-control\fR.
 +.TP 5
 +.B control\-cert\-file: \fI<certificate file.pem>
 +Path to the control client certificate, by default unbound_control.pem.
 +This certificate has to be signed with the server certificate.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by \fIunbound\-control\fR.
 +.SS "Stub Zone Options"
 +.LP
 +There may be multiple
 +.B stub\-zone:
 +clauses. Each with a name: and zero or more hostnames or IP addresses.
 +For the stub zone this list of nameservers is used. Class IN is assumed.
 +The servers should be authority servers, not recursors; unbound performs
 +the recursive processing itself for stub zones.
 +.P
 +The stub zone can be used to configure authoritative data to be used
 +by the resolver that cannot be accessed using the public internet servers.
 +This is useful for company\-local data or private zones. Setup an 
 +authoritative server on a different host (or different port). Enter a config 
 +entry for unbound with 
 +.B stub\-addr:
 +<ip address of host[@port]>. 
 +The unbound resolver can then access the data, without referring to the 
 +public internet for it. 
 +.P
 +This setup allows DNSSEC signed zones to be served by that 
 +authoritative server, in which case a trusted key entry with the public key
 +can be put in config, so that unbound can validate the data and set the AD 
 +bit on replies for the private zone (authoritative servers do not set the 
 +AD bit).  This setup makes unbound capable of answering queries for the 
 +private zone, and can even set the AD bit ('authentic'), but the AA 
 +('authoritative') bit is not set on these replies. 
 +.TP
 +.B name: \fI<domain name>
 +Name of the stub zone.
 +.TP
 +.B stub\-host: \fI<domain name>
 +Name of stub zone nameserver. Is itself resolved before it is used.
 +.TP
 +.B stub\-addr: \fI<IP address>
 +IP address of stub zone nameserver. Can be IP 4 or IP 6.
 +To use a nondefault port for DNS communication append '@' with the port number.
 +.TP
 +.B stub\-prime: \fI<yes or no>
 +This option is by default off.  If enabled it performs NS set priming, 
 +which is similar to root hints, where it starts using the list of nameservers 
 +currently published by the zone.  Thus, if the hint list is slightly outdated,
 +the resolver picks up a correct list online.
 +.TP
 +.B stub\-first: \fI<yes or no>
 +If enabled, a query is attempted without the stub clause if it fails.
 +The data could not be retrieved and would have caused SERVFAIL because
 +the servers are unreachable, instead it is tried without this clause.
 +The default is no.
 +.SS "Forward Zone Options"
 +.LP
 +There may be multiple
 +.B forward\-zone:
 +clauses. Each with a \fBname:\fR and zero or more hostnames or IP
 +addresses.  For the forward zone this list of nameservers is used to
 +forward the queries to. The servers listed as \fBforward\-host:\fR and
 +\fBforward\-addr:\fR have to handle further recursion for the query.  Thus,
 +those servers are not authority servers, but are (just like unbound is)
 +recursive servers too; unbound does not perform recursion itself for the
 +forward zone, it lets the remote server do it.  Class IN is assumed.
 +A forward\-zone entry with name "." and a forward\-addr target will
 +forward all queries to that other server (unless it can answer from
 +the cache).
 +.TP
 +.B name: \fI<domain name>
 +Name of the forward zone.
 +.TP
 +.B forward\-host: \fI<domain name>
 +Name of server to forward to. Is itself resolved before it is used.
 +.TP
 +.B forward\-addr: \fI<IP address>
 +IP address of server to forward to. Can be IP 4 or IP 6.
 +To use a nondefault port for DNS communication append '@' with the port number.
 +.TP
 +.B forward\-first: \fI<yes or no>
 +If enabled, a query is attempted without the forward clause if it fails.
 +The data could not be retrieved and would have caused SERVFAIL because
 +the servers are unreachable, instead it is tried without this clause.
 +The default is no.
 +.SS "Python Module Options"
 +.LP
 +The
 +.B python:
 +clause gives the settings for the \fIpython\fR(1) script module.  This module
 +acts like the iterator and validator modules do, on queries and answers.
 +To enable the script module it has to be compiled into the daemon,
 +and the word "python" has to be put in the \fBmodule\-config:\fR option
 +(usually first, or between the validator and iterator).
 +.TP
 +.B python\-script: \fI<python file>\fR
 +The script file to load. 
 +.SS "DNS64 Module Options"
 +.LP
 +The dns64 module must be configured in the \fBmodule\-config:\fR "dns64
 +validator iterator" directive and be compiled into the daemon to be
 +enabled.  These settings go in the \fBserver:\fR section.
 +.TP
 +.B dns64\-prefix: \fI<IPv6 prefix>\fR
 +This sets the DNS64 prefix to use to synthesize AAAA records with.
 +It must be /96 or shorter.  The default prefix is 64:ff9b::/96.
 +.TP
 +.B dns64\-synthall: \fI<yes or no>\fR
 +Debug option, default no.  If enabled, synthesize all AAAA records
 +despite the presence of actual AAAA records.
 +.SH "MEMORY CONTROL EXAMPLE"
 +In the example config settings below memory usage is reduced. Some service
 +levels are lower, notable very large data and a high TCP load are no longer
 +supported. Very large data and high TCP loads are exceptional for the DNS.
 +DNSSEC validation is enabled, just add trust anchors.
 +If you do not have to worry about programs using more than 3 Mb of memory,
 +the below example is not for you. Use the defaults to receive full service,
 +which on BSD\-32bit tops out at 30\-40 Mb after heavy usage. 
 +.P
 +.nf
 +# example settings that reduce memory usage
 +server:
 +      num\-threads: 1
 +      outgoing\-num\-tcp: 1   # this limits TCP service, uses less buffers.
 +      incoming\-num\-tcp: 1
 +      outgoing\-range: 60     # uses less memory, but less performance.
 +      msg\-buffer\-size: 8192   # note this limits service, 'no huge stuff'.
 +      msg\-cache\-size: 100k
 +      msg\-cache\-slabs: 1
 +      rrset\-cache\-size: 100k
 +      rrset\-cache\-slabs: 1
 +      infra\-cache\-numhosts: 200
 +      infra\-cache\-slabs: 1
 +      key\-cache\-size: 100k
 +      key\-cache\-slabs: 1
 +      neg\-cache\-size: 10k
 +      num\-queries\-per\-thread: 30
 +      target\-fetch\-policy: "2 1 0 0 0 0"
 +      harden\-large\-queries: "yes"
 +      harden\-short\-bufsize: "yes"
 +.fi
 +.SH "FILES"
 +.TP
 +.I /var/unbound
 +default unbound working directory.
 +.TP
 +.I /var/unbound
 +default
 +\fIchroot\fR(2)
 +location.
 +.TP
 +.I /var/unbound/unbound.conf
 +unbound configuration file.
 +.TP
 +.I /var/unbound/unbound.pid
 +default unbound pidfile with process ID of the running daemon.
 +.TP
 +.I unbound.log
 +unbound log file. default is to log to 
 +\fIsyslog\fR(3). 
 +.SH "SEE ALSO"
 +\fIunbound\fR(8), 
 +\fIunbound\-checkconf\fR(8).
 +.SH "AUTHORS"
 +.B Unbound 
 +was written by NLnet Labs. Please see CREDITS file
 +in the distribution for further details.
diff --cc contrib/unbound/doc/unbound.conf.5.in
index 9b088f372b63a6244781fab8b4c2a24bbb1ce446,0000000000000000000000000000000000000000..cd57ab83d3d8ee7338b1e298e1ed040db062d017
mode 100644,000000..100644
--- 1/contrib/unbound/doc/unbound.conf.5.in
--- /dev/null
+++ b/contrib/unbound/doc/unbound.conf.5.in
@@@ -1,1177 -1,0 +1,1260 @@@
- .TH "unbound.conf" "5" "Mar 10, 2015" "NLnet Labs" "unbound 1.5.3"
++.TH "unbound.conf" "5" "Jul  9, 2015" "NLnet Labs" "unbound 1.5.4"
 +.\"
 +.\" unbound.conf.5 -- unbound.conf manual
 +.\"
 +.\" Copyright (c) 2007, NLnet Labs. All rights reserved.
 +.\"
 +.\" See LICENSE for the license.
 +.\"
 +.\"
 +.SH "NAME"
 +.B unbound.conf
 +\- Unbound configuration file.
 +.SH "SYNOPSIS"
 +.B unbound.conf
 +.SH "DESCRIPTION"
 +.B unbound.conf
 +is used to configure
 +\fIunbound\fR(8).
 +The file format has attributes and values. Some attributes have attributes inside them.
 +The notation is: attribute: value.
 +.P
 +Comments start with # and last to the end of line. Empty lines are
 +ignored as is whitespace at the beginning of a line.
 +.P
 +The utility 
 +\fIunbound\-checkconf\fR(8)
 +can be used to check unbound.conf prior to usage.
 +.SH "EXAMPLE"
 +An example config file is shown below. Copy this to /etc/unbound/unbound.conf
 +and start the server with:
 +.P
 +.nf
 +      $ unbound \-c /etc/unbound/unbound.conf 
 +.fi
 +.P
 +Most settings are the defaults. Stop the server with:
 +.P
 +.nf
 +      $ kill `cat /etc/unbound/unbound.pid`
 +.fi
 +.P
 +Below is a minimal config file. The source distribution contains an extensive
 +example.conf file with all the options.
 +.P
 +.nf
 +# unbound.conf(5) config file for unbound(8).
 +server:
 +      directory: "/etc/unbound"
 +      username: unbound
 +      # make sure unbound can access entropy from inside the chroot.
 +      # e.g. on linux the use these commands (on BSD, devfs(8) is used):
 +      #      mount \-\-bind \-n /dev/random /etc/unbound/dev/random
 +      # and  mount \-\-bind \-n /dev/log /etc/unbound/dev/log
 +      chroot: "/etc/unbound"
 +      # logfile: "/etc/unbound/unbound.log"  #uncomment to use logfile.
 +      pidfile: "/etc/unbound/unbound.pid"
 +      # verbosity: 1          # uncomment and increase to get more logging.
 +      # listen on all interfaces, answer queries from the local subnet.
 +      interface: 0.0.0.0
 +      interface: ::0
 +      access\-control: 10.0.0.0/8 allow
 +      access\-control: 2001:DB8::/64 allow
 +.fi
 +.SH "FILE FORMAT"
 +There must be whitespace between keywords. Attribute keywords end with a colon ':'. An attribute
 +is followed by its containing attributes, or a value.
 +.P
 +Files can be included using the
 +.B include:
 +directive. It can appear anywhere, it accepts a single file name as argument.
 +Processing continues as if the text from the included file was copied into
 +the config file at that point.  If also using chroot, using full path names
 +for the included files works, relative pathnames for the included names work
 +if the directory where the daemon is started equals its chroot/working 
 +directory.  Wildcards can be used to include multiple files, see \fIglob\fR(7).
 +.SS "Server Options"
 +These options are part of the
 +.B server:
 +clause.
 +.TP
 +.B verbosity: \fI<number>
 +The verbosity number, level 0 means no verbosity, only errors. Level 1 
 +gives operational information. Level 2 gives detailed operational
 +information. Level 3 gives query level information, output per query. 
 +Level 4 gives algorithm level information.  Level 5 logs client 
 +identification for cache misses.  Default is level 1. 
 +The verbosity can also be increased from the commandline, see \fIunbound\fR(8).
 +.TP
 +.B statistics\-interval: \fI<seconds>
 +The number of seconds between printing statistics to the log for every thread.
 +Disable with value 0 or "". Default is disabled.  The histogram statistics
 +are only printed if replies were sent during the statistics interval, 
 +requestlist statistics are printed for every interval (but can be 0).
 +This is because the median calculation requires data to be present.
 +.TP
 +.B statistics\-cumulative: \fI<yes or no>
 +If enabled, statistics are cumulative since starting unbound, without clearing
 +the statistics counters after logging the statistics. Default is no.
 +.TP
 +.B extended\-statistics: \fI<yes or no>
 +If enabled, extended statistics are printed from \fIunbound\-control\fR(8). 
 +Default is off, because keeping track of more statistics takes time.  The
 +counters are listed in \fIunbound\-control\fR(8).
 +.TP
 +.B num\-threads: \fI<number>
 +The number of threads to create to serve clients. Use 1 for no threading.
 +.TP
 +.B port: \fI<port number>
 +The port number, default 53, on which the server responds to queries.
 +.TP
 +.B interface: \fI<ip address[@port]>
 +Interface to use to connect to the network. This interface is listened to
 +for queries from clients, and answers to clients are given from it.
 +Can be given multiple times to work on several interfaces. If none are 
 +given the default is to listen to localhost.
 +The interfaces are not changed on a reload (kill \-HUP) but only on restart.
 +A port number can be specified with @port (without spaces between
 +interface and port number), if not specified the default port (from
 +\fBport\fR) is used.
 +.TP
 +.B ip\-address: \fI<ip address[@port]>
 +Same as interface: (for easy of compatibility with nsd.conf).
 +.TP
 +.B interface\-automatic: \fI<yes or no>
 +Detect source interface on UDP queries and copy them to replies.  This 
 +feature is experimental, and needs support in your OS for particular socket
 +options.  Default value is no.
 +.TP
 +.B outgoing\-interface: \fI<ip address>
 +Interface to use to connect to the network. This interface is used to send
 +queries to authoritative servers and receive their replies. Can be given 
 +multiple times to work on several interfaces. If none are given the 
 +default (all) is used. You can specify the same interfaces in 
 +.B interface:
 +and
 +.B outgoing\-interface:
 +lines, the interfaces are then used for both purposes. Outgoing queries are 
 +sent via a random outgoing interface to counter spoofing.
 +.TP
 +.B outgoing\-range: \fI<number>
 +Number of ports to open. This number of file descriptors can be opened per 
 +thread. Must be at least 1. Default depends on compile options. Larger 
 +numbers need extra resources from the operating system.  For performance a
 +a very large value is best, use libevent to make this possible.
 +.TP
 +.B outgoing\-port\-permit: \fI<port number or range>
 +Permit unbound to open this port or range of ports for use to send queries.
 +A larger number of permitted outgoing ports increases resilience against
 +spoofing attempts. Make sure these ports are not needed by other daemons. 
 +By default only ports above 1024 that have not been assigned by IANA are used.
 +Give a port number or a range of the form "low\-high", without spaces.
 +.IP
 +The \fBoutgoing\-port\-permit\fR and \fBoutgoing\-port\-avoid\fR statements 
 +are processed in the line order of the config file, adding the permitted ports 
 +and subtracting the avoided ports from the set of allowed ports.  The 
 +processing starts with the non IANA allocated ports above 1024 in the set 
 +of allowed ports.
 +.TP
 +.B outgoing\-port\-avoid: \fI<port number or range>
 +Do not permit unbound to open this port or range of ports for use to send 
 +queries. Use this to make sure unbound does not grab a port that another
 +daemon needs. The port is avoided on all outgoing interfaces, both IP4 and IP6.
 +By default only ports above 1024 that have not been assigned by IANA are used.
 +Give a port number or a range of the form "low\-high", without spaces.
 +.TP
 +.B outgoing\-num\-tcp: \fI<number>
- Number of outgoing TCP buffers to allocate per thread. Default is 10. If set
- to 0, or if do\-tcp is "no", no TCP queries to authoritative servers are done.
++Number of outgoing TCP buffers to allocate per thread. Default is 10. If
++set to 0, or if do\-tcp is "no", no TCP queries to authoritative servers
++are done.  For larger installations increasing this value is a good idea.
 +.TP
 +.B incoming\-num\-tcp: \fI<number>
- Number of incoming TCP buffers to allocate per thread. Default is 10. If set
- to 0, or if do\-tcp is "no", no TCP queries from clients are accepted.
++Number of incoming TCP buffers to allocate per thread. Default is
++10. If set to 0, or if do\-tcp is "no", no TCP queries from clients are
++accepted. For larger installations increasing this value is a good idea.
 +.TP
 +.B edns\-buffer\-size: \fI<number>
 +Number of bytes size to advertise as the EDNS reassembly buffer size.
 +This is the value put into datagrams over UDP towards peers.  The actual
 +buffer size is determined by msg\-buffer\-size (both for TCP and UDP).  Do
 +not set higher than that value.  Default is 4096 which is RFC recommended.
 +If you have fragmentation reassembly problems, usually seen as timeouts,
 +then a value of 1480 can fix it.  Setting to 512 bypasses even the most
 +stringent path MTU problems, but is seen as extreme, since the amount
 +of TCP fallback generated is excessive (probably also for this resolver,
 +consider tuning the outgoing tcp number).
 +.TP
 +.B max\-udp\-size: \fI<number>
 +Maximum UDP response size (not applied to TCP response).  65536 disables the
 +udp response size maximum, and uses the choice from the client, always.
 +Suggested values are 512 to 4096. Default is 4096. 
 +.TP
 +.B msg\-buffer\-size: \fI<number>
 +Number of bytes size of the message buffers. Default is 65552 bytes, enough
 +for 64 Kb packets, the maximum DNS message size. No message larger than this
 +can be sent or received. Can be reduced to use less memory, but some requests
 +for DNS data, such as for huge resource records, will result in a SERVFAIL 
 +reply to the client.
 +.TP
 +.B msg\-cache\-size: \fI<number>
 +Number of bytes size of the message cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B msg\-cache\-slabs: \fI<number>
 +Number of slabs in the message cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. Setting (close) to the number of cpus is a 
 +reasonable guess.
 +.TP
 +.B num\-queries\-per\-thread: \fI<number>
 +The number of queries that every thread will service simultaneously.
 +If more queries arrive that need servicing, and no queries can be jostled out
 +(see \fIjostle\-timeout\fR), then the queries are dropped. This forces
 +the client to resend after a timeout; allowing the server time to work on
 +the existing queries. Default depends on compile options, 512 or 1024.
 +.TP
 +.B jostle\-timeout: \fI<msec>
 +Timeout used when the server is very busy.  Set to a value that usually
 +results in one roundtrip to the authority servers.  If too many queries 
 +arrive, then 50% of the queries are allowed to run to completion, and
 +the other 50% are replaced with the new incoming query if they have already 
 +spent more than their allowed time.  This protects against denial of 
 +service by slow queries or high query rates.  Default 200 milliseconds.
 +The effect is that the qps for long-lasting queries is about 
 +(numqueriesperthread / 2) / (average time for such long queries) qps.
 +The qps for short queries can be about (numqueriesperthread / 2)
 +/ (jostletimeout in whole seconds) qps per thread, about (1024/2)*5 = 2560
 +qps by default.
 +.TP
 +.B delay\-close: \fI<msec>
 +Extra delay for timeouted UDP ports before they are closed, in msec.
 +Default is 0, and that disables it.  This prevents very delayed answer
 +packets from the upstream (recursive) servers from bouncing against
 +closed ports and setting off all sort of close-port counters, with
 +eg. 1500 msec.  When timeouts happen you need extra sockets, it checks
 +the ID and remote IP of packets, and unwanted packets are added to the
 +unwanted packet counter.
 +.TP
 +.B so\-rcvbuf: \fI<number>
 +If not 0, then set the SO_RCVBUF socket option to get more buffer
 +space on UDP port 53 incoming queries.  So that short spikes on busy
 +servers do not drop packets (see counter in netstat \-su).  Default is
 +0 (use system value).  Otherwise, the number of bytes to ask for, try
 +"4m" on a busy server.  The OS caps it at a maximum, on linux unbound
 +needs root permission to bypass the limit, or the admin can use sysctl
 +net.core.rmem_max.  On BSD change kern.ipc.maxsockbuf in /etc/sysctl.conf.
 +On OpenBSD change header and recompile kernel. On Solaris ndd \-set
 +/dev/udp udp_max_buf 8388608.
 +.TP
 +.B so\-sndbuf: \fI<number>
 +If not 0, then set the SO_SNDBUF socket option to get more buffer space on
 +UDP port 53 outgoing queries.  This for very busy servers handles spikes
 +in answer traffic, otherwise 'send: resource temporarily unavailable'
 +can get logged, the buffer overrun is also visible by netstat \-su.
 +Default is 0 (use system value).  Specify the number of bytes to ask
 +for, try "4m" on a very busy server.  The OS caps it at a maximum, on
 +linux unbound needs root permission to bypass the limit, or the admin
 +can use sysctl net.core.wmem_max.  On BSD, Solaris changes are similar
 +to so\-rcvbuf.
 +.TP
 +.B so\-reuseport: \fI<yes or no>
 +If yes, then open dedicated listening sockets for incoming queries for each
 +thread and try to set the SO_REUSEPORT socket option on each socket.  May
 +distribute incoming queries to threads more evenly.  Default is no.  On Linux
 +it is supported in kernels >= 3.9.  On other systems, FreeBSD, OSX it may
 +also work.  You can enable it (on any platform and kernel),
 +it then attempts to open the port and passes the option if it was available
 +at compile time, if that works it is used, if it fails, it continues
 +silently (unless verbosity 3) without the option.
 +.TP
++.B ip\-transparent: \fI<yes or no>
++If yes, then use IP_TRANSPARENT socket option on sockets where unbound
++is listening for incoming traffic.  Default no.  Allows you to bind to
++non\-local interfaces.  For example for non\-existant IP addresses that
++are going to exist later on, with host failover configuration.  This is
++a lot like interface\-automatic, but that one services all interfaces
++and with this option you can select which (future) interfaces unbound
++provides service on.  This option needs unbound to be started with root
++permissions on some systems.
++.TP
 +.B rrset\-cache\-size: \fI<number>
 +Number of bytes size of the RRset cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B rrset\-cache\-slabs: \fI<number>
 +Number of slabs in the RRset cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. 
 +.TP
 +.B cache\-max\-ttl: \fI<seconds>
 +Time to live maximum for RRsets and messages in the cache. Default is 
 +86400 seconds (1 day). If the maximum kicks in, responses to clients 
 +still get decrementing TTLs based on the original (larger) values. 
 +When the internal TTL expires, the cache item has expired.
 +Can be set lower to force the resolver to query for data often, and not
 +trust (very large) TTL values.
 +.TP
 +.B cache\-min\-ttl: \fI<seconds>
 +Time to live minimum for RRsets and messages in the cache. Default is 0.
 +If the the minimum kicks in, the data is cached for longer than the domain
 +owner intended, and thus less queries are made to look up the data.
 +Zero makes sure the data in the cache is as the domain owner intended,
 +higher values, especially more than an hour or so, can lead to trouble as 
 +the data in the cache does not match up with the actual data any more.
 +.TP
++.B cache\-max\-negative\-ttl: \fI<seconds>
++Time to live maximum for negative responses, these have a SOA in the
++authority section that is limited in time.  Default is 3600.
++.TP
 +.B infra\-host\-ttl: \fI<seconds>
 +Time to live for entries in the host cache. The host cache contains 
 +roundtrip timing, lameness and EDNS support information. Default is 900.
 +.TP
 +.B infra\-cache\-slabs: \fI<number>
 +Number of slabs in the infrastructure cache. Slabs reduce lock contention 
 +by threads. Must be set to a power of 2. 
 +.TP
 +.B infra\-cache\-numhosts: \fI<number>
 +Number of hosts for which information is cached. Default is 10000.
 +.TP
 +.B infra\-cache\-min\-rtt: \fI<msec>
 +Lower limit for dynamic retransmit timeout calculation in infrastructure
 +cache. Default is 50 milliseconds. Increase this value if using forwarders
 +needing more time to do recursive name resolution.
 +.TP
 +.B do\-ip4: \fI<yes or no>
 +Enable or disable whether ip4 queries are answered or issued. Default is yes.
 +.TP
 +.B do\-ip6: \fI<yes or no>
 +Enable or disable whether ip6 queries are answered or issued. Default is yes.
 +If disabled, queries are not answered on IPv6, and queries are not sent on
 +IPv6 to the internet nameservers.  With this option you can disable the
 +ipv6 transport for sending DNS traffic, it does not impact the contents of
 +the DNS traffic, which may have ip4 and ip6 addresses in it.
 +.TP
 +.B do\-udp: \fI<yes or no>
 +Enable or disable whether UDP queries are answered or issued. Default is yes.
 +.TP
 +.B do\-tcp: \fI<yes or no>
 +Enable or disable whether TCP queries are answered or issued. Default is yes.
 +.TP
 +.B tcp\-upstream: \fI<yes or no>
 +Enable or disable whether the upstream queries use TCP only for transport.
 +Default is no.  Useful in tunneling scenarios.
 +.TP
 +.B ssl\-upstream: \fI<yes or no>
 +Enabled or disable whether the upstream queries use SSL only for transport.
 +Default is no.  Useful in tunneling scenarios.  The SSL contains plain DNS in
 +TCP wireformat.  The other server must support this (see \fBssl\-service\-key\fR).
 +.TP
 +.B ssl\-service-key: \fI<file>
 +If enabled, the server provider SSL service on its TCP sockets.  The clients
 +have to use ssl\-upstream: yes.  The file is the private key for the TLS
 +session.  The public certificate is in the ssl\-service\-pem file.  Default
 +is "", turned off.  Requires a restart (a reload is not enough) if changed,
 +because the private key is read while root permissions are held and before
 +chroot (if any).  Normal DNS TCP service is not provided and gives errors,
 +this service is best run with a different \fBport:\fR config or \fI@port\fR
 +suffixes in the \fBinterface\fR config.
 +.TP
 +.B ssl\-service\-pem: \fI<file>
 +The public key certificate pem file for the ssl service.  Default is "",
 +turned off.
 +.TP
 +.B ssl\-port: \fI<number>
 +The port number on which to provide TCP SSL service, default 443, only
 +interfaces configured with that port number as @number get the SSL service.
 +.TP
 +.B do\-daemonize: \fI<yes or no>
 +Enable or disable whether the unbound server forks into the background as
 +a daemon. Default is yes.
 +.TP
 +.B access\-control: \fI<IP netblock> <action>
 +The netblock is given as an IP4 or IP6 address with /size appended for a 
 +classless network block. The action can be \fIdeny\fR, \fIrefuse\fR, 
 +\fIallow\fR, \fIallow_snoop\fR, \fIdeny_non_local\fR or \fIrefuse_non_local\fR.
 +.IP
 +The action \fIdeny\fR stops queries from hosts from that netblock.
 +.IP
 +The action \fIrefuse\fR stops queries too, but sends a DNS rcode REFUSED 
 +error message back.
 +.IP
 +The action \fIallow\fR gives access to clients from that netblock.  
 +It gives only access for recursion clients (which is 
 +what almost all clients need).  Nonrecursive queries are refused.
 +.IP
 +The \fIallow\fR action does allow nonrecursive queries to access the 
 +local\-data that is configured.  The reason is that this does not involve
 +the unbound server recursive lookup algorithm, and static data is served 
 +in the reply.  This supports normal operations where nonrecursive queries 
 +are made for the authoritative data.  For nonrecursive queries any replies 
 +from the dynamic cache are refused.
 +.IP
 +The action \fIallow_snoop\fR gives nonrecursive access too.  This give 
 +both recursive and non recursive access.  The name \fIallow_snoop\fR refers 
 +to cache snooping, a technique to use nonrecursive queries to examine
 +the cache contents (for malicious acts).  However, nonrecursive queries can 
 +also be a valuable debugging tool (when you want to examine the cache 
 +contents). In that case use \fIallow_snoop\fR for your administration host.
 +.IP
 +By default only localhost is \fIallow\fRed, the rest is \fIrefuse\fRd.
 +The default is \fIrefuse\fRd, because that is protocol\-friendly. The DNS 
 +protocol is not designed to handle dropped packets due to policy, and 
 +dropping may result in (possibly excessive) retried queries.
 +.IP
 +The deny_non_local and refuse_non_local settings are for hosts that are
 +only allowed to query for the authoritative local\-data, they are not
 +allowed full recursion but only the static data.  With deny_non_local,
 +messages that are disallowed are dropped, with refuse_non_local they
 +receive error code REFUSED.
 +.TP
 +.B chroot: \fI<directory>
 +If chroot is enabled, you should pass the configfile (from the
 +commandline) as a full path from the original root. After the
 +chroot has been performed the now defunct portion of the config 
 +file path is removed to be able to reread the config after a reload. 
 +.IP
 +All other file paths (working dir, logfile, roothints, and
 +key files) can be specified in several ways:
 +as an absolute path relative to the new root,
 +as a relative path to the working directory, or
 +as an absolute path relative to the original root.
 +In the last case the path is adjusted to remove the unused portion.
 +.IP
 +The pidfile can be either a relative path to the working directory, or
 +an absolute path relative to the original root. It is written just prior
 +to chroot and dropping permissions. This allows the pidfile to be 
 +/var/run/unbound.pid and the chroot to be /var/unbound, for example.
 +.IP
 +Additionally, unbound may need to access /dev/random (for entropy)
 +from inside the chroot.
 +.IP
 +If given a chroot is done to the given directory. The default is 
 +"@UNBOUND_CHROOT_DIR@". If you give "" no chroot is performed.
 +.TP
 +.B username: \fI<name>
 +If given, after binding the port the user privileges are dropped. Default is
 +"@UNBOUND_USERNAME@". If you give username: "" no user change is performed. 
 +.IP
 +If this user is not capable of binding the
 +port, reloads (by signal HUP) will still retain the opened ports.
 +If you change the port number in the config file, and that new port number 
 +requires privileges, then a reload will fail; a restart is needed.
 +.TP
 +.B directory: \fI<directory>
 +Sets the working directory for the program. Default is "@UNBOUND_RUN_DIR@".
 +.TP
 +.B logfile: \fI<filename>
 +If "" is given, logging goes to stderr, or nowhere once daemonized.
 +The logfile is appended to, in the following format: 
 +.nf
 +[seconds since 1970] unbound[pid:tid]: type: message. 
 +.fi
 +If this option is given, the use\-syslog is option is set to "no".
 +The logfile is reopened (for append) when the config file is reread, on 
 +SIGHUP.
 +.TP
 +.B use\-syslog: \fI<yes or no>
 +Sets unbound to send log messages to the syslogd, using 
 +\fIsyslog\fR(3). 
 +The log facility LOG_DAEMON is used, with identity "unbound".
 +The logfile setting is overridden when use\-syslog is turned on.
 +The default is to log to syslog.
 +.TP
 +.B log\-time\-ascii: \fI<yes or no>
 +Sets logfile lines to use a timestamp in UTC ascii. Default is no, which
 +prints the seconds since 1970 in brackets. No effect if using syslog, in
 +that case syslog formats the timestamp printed into the log files.
 +.TP
 +.B log\-queries: \fI<yes or no>
 +Prints one line per query to the log, with the log timestamp and IP address,
 +name, type and class.  Default is no.  Note that it takes time to print these
 +lines which makes the server (significantly) slower.  Odd (nonprintable)
 +characters in names are printed as '?'.
 +.TP
 +.B pidfile: \fI<filename>
 +The process id is written to the file. Default is "@UNBOUND_PIDFILE@". 
 +So,
 +.nf
 +kill \-HUP `cat @UNBOUND_PIDFILE@` 
 +.fi
 +triggers a reload,
 +.nf
 +kill \-QUIT `cat @UNBOUND_PIDFILE@` 
 +.fi
 +gracefully terminates.
 +.TP
 +.B root\-hints: \fI<filename>
 +Read the root hints from this file. Default is nothing, using builtin hints
 +for the IN class. The file has the format of zone files, with root 
 +nameserver names and addresses only. The default may become outdated,
 +when servers change, therefore it is good practice to use a root\-hints file.
 +.TP
 +.B hide\-identity: \fI<yes or no>
 +If enabled id.server and hostname.bind queries are refused.
 +.TP
 +.B identity: \fI<string>
 +Set the identity to report. If set to "", the default, then the hostname
 +of the server is returned.
 +.TP
 +.B hide\-version: \fI<yes or no>
 +If enabled version.server and version.bind queries are refused.
 +.TP
 +.B version: \fI<string>
 +Set the version to report. If set to "", the default, then the package
 +version is returned.
 +.TP
 +.B target\-fetch\-policy: \fI<"list of numbers">
 +Set the target fetch policy used by unbound to determine if it should fetch
 +nameserver target addresses opportunistically. The policy is described per
 +dependency depth. 
 +.IP
 +The number of values determines the maximum dependency depth
 +that unbound will pursue in answering a query.  
 +A value of \-1 means to fetch all targets opportunistically for that dependency
 +depth. A value of 0 means to fetch on demand only. A positive value fetches
 +that many targets opportunistically. 
 +.IP
 +Enclose the list between quotes ("") and put spaces between numbers.
 +The default is "3 2 1 0 0". Setting all zeroes, "0 0 0 0 0" gives behaviour
 +closer to that of BIND 9, while setting "\-1 \-1 \-1 \-1 \-1" gives behaviour 
 +rumoured to be closer to that of BIND 8.
 +.TP
 +.B harden\-short\-bufsize: \fI<yes or no>
 +Very small EDNS buffer sizes from queries are ignored. Default is off, since
 +it is legal protocol wise to send these, and unbound tries to give very 
 +small answers to these queries, where possible.
 +.TP
 +.B harden\-large\-queries: \fI<yes or no>
 +Very large queries are ignored. Default is off, since it is legal protocol
 +wise to send these, and could be necessary for operation if TSIG or EDNS
 +payload is very large.
 +.TP
 +.B harden\-glue: \fI<yes or no>
 +Will trust glue only if it is within the servers authority. Default is on.
 +.TP
 +.B harden\-dnssec\-stripped: \fI<yes or no>
 +Require DNSSEC data for trust\-anchored zones, if such data is absent,
 +the zone becomes bogus. If turned off, and no DNSSEC data is received
 +(or the DNSKEY data fails to validate), then the zone is made insecure, 
 +this behaves like there is no trust anchor. You could turn this off if 
 +you are sometimes behind an intrusive firewall (of some sort) that 
 +removes DNSSEC data from packets, or a zone changes from signed to 
 +unsigned to badly signed often. If turned off you run the risk of a 
 +downgrade attack that disables security for a zone. Default is on.
 +.TP
 +.B harden\-below\-nxdomain: \fI<yes or no>
 +From draft\-vixie\-dnsext\-resimprove, returns nxdomain to queries for a name
 +below another name that is already known to be nxdomain.  DNSSEC mandates
 +noerror for empty nonterminals, hence this is possible.  Very old software
 +might return nxdomain for empty nonterminals (that usually happen for reverse
 +IP address lookups), and thus may be incompatible with this.  To try to avoid
 +this only DNSSEC-secure nxdomains are used, because the old software does not
 +have DNSSEC.  Default is off.
 +.TP
 +.B harden\-referral\-path: \fI<yes or no>
 +Harden the referral path by performing additional queries for
 +infrastructure data.  Validates the replies if trust anchors are configured
 +and the zones are signed.  This enforces DNSSEC validation on nameserver
 +NS sets and the nameserver addresses that are encountered on the referral 
 +path to the answer.
 +Default off, because it burdens the authority servers, and it is
 +not RFC standard, and could lead to performance problems because of the
 +extra query load that is generated.  Experimental option.
 +If you enable it consider adding more numbers after the target\-fetch\-policy
 +to increase the max depth that is checked to.
 +.TP
++.B harden\-algo\-downgrade: \fI<yes or no>
++Harden against algorithm downgrade when multiple algorithms are
++advertised in the DS record.  If no, allows the weakest algorithm to
++validate the zone.  Default is yes.  Zone signers must produce zones
++that allow this feature to work, but sometimes they do not, and turning
++this option off avoids that validation failure.
++.TP
 +.B use\-caps\-for\-id: \fI<yes or no>
 +Use 0x20\-encoded random bits in the query to foil spoof attempts.
 +This perturbs the lowercase and uppercase of query names sent to 
 +authority servers and checks if the reply still has the correct casing. 
 +Disabled by default. 
 +This feature is an experimental implementation of draft dns\-0x20.
 +.TP
++.B caps\-whitelist: \fI<domain>
++Whitelist the domain so that it does not receive caps\-for\-id perturbed
++queries.  For domains that do not support 0x20 and also fail with fallback
++because they keep sending different answers, like some load balancers.
++Can be given multiple times, for different domains.
++.TP
 +.B private\-address: \fI<IP address or subnet>
 +Give IPv4 of IPv6 addresses or classless subnets. These are addresses
 +on your private network, and are not allowed to be returned for public
 +internet names.  Any occurence of such addresses are removed from
 +DNS answers. Additionally, the DNSSEC validator may mark the answers
 +bogus. This protects against so\-called DNS Rebinding, where a user browser
 +is turned into a network proxy, allowing remote access through the browser
 +to other parts of your private network.  Some names can be allowed to
 +contain your private addresses, by default all the \fBlocal\-data\fR
 +that you configured is allowed to, and you can specify additional
 +names using \fBprivate\-domain\fR.  No private addresses are enabled
 +by default.  We consider to enable this for the RFC1918 private IP
 +address space by default in later releases. That would enable private 
 +addresses for 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 
 +fd00::/8 and fe80::/10, since the RFC standards say these addresses 
 +should not be visible on the public internet.  Turning on 127.0.0.0/8 
 +would hinder many spamblocklists as they use that.
 +.TP
 +.B private\-domain: \fI<domain name>
 +Allow this domain, and all its subdomains to contain private addresses.
 +Give multiple times to allow multiple domain names to contain private 
 +addresses. Default is none.
 +.TP
 +.B unwanted\-reply\-threshold: \fI<number>
 +If set, a total number of unwanted replies is kept track of in every thread.
 +When it reaches the threshold, a defensive action is taken and a warning
 +is printed to the log.  The defensive action is to clear the rrset and
 +message caches, hopefully flushing away any poison.  A value of 10 million
 +is suggested.  Default is 0 (turned off).
 +.TP
 +.B do\-not\-query\-address: \fI<IP address>
 +Do not query the given IP address. Can be IP4 or IP6. Append /num to 
 +indicate a classless delegation netblock, for example like
 +10.2.3.4/24 or 2001::11/64.
 +.TP
 +.B do\-not\-query\-localhost: \fI<yes or no>
 +If yes, localhost is added to the do\-not\-query\-address entries, both
 +IP6 ::1 and IP4 127.0.0.1/8. If no, then localhost can be used to send
 +queries to. Default is yes.
 +.TP
 +.B prefetch: \fI<yes or no>
 +If yes, message cache elements are prefetched before they expire to
 +keep the cache up to date.  Default is no.  Turning it on gives about
 +10 percent more traffic and load on the machine, but popular items do
 +not expire from the cache.
 +.TP
 +.B prefetch-key: \fI<yes or no>
 +If yes, fetch the DNSKEYs earlier in the validation process, when a DS
 +record is encountered.  This lowers the latency of requests.  It does use
 +a little more CPU.  Also if the cache is set to 0, it is no use. Default is no.
 +.TP
 +.B rrset-roundrobin: \fI<yes or no>
 +If yes, Unbound rotates RRSet order in response (the random number is taken
 +from the query ID, for speed and thread safety).  Default is no.
 +.TP
 +.B minimal-responses: \fI<yes or no>
 +If yes, Unbound doesn't insert authority/additional sections into response
 +messages when those sections are not required.  This reduces response
 +size significantly, and may avoid TCP fallback for some responses.
 +This may cause a slight speedup.  The default is no, because the DNS
 +protocol RFCs mandate these sections, and the additional content could
 +be of use and save roundtrips for clients.
 +.TP
 +.B module\-config: \fI<"module names">
 +Module configuration, a list of module names separated by spaces, surround
 +the string with quotes (""). The modules can be validator, iterator.
 +Setting this to "iterator" will result in a non\-validating server.
 +Setting this to "validator iterator" will turn on DNSSEC validation.
 +The ordering of the modules is important.
 +You must also set trust\-anchors for validation to be useful.
 +.TP
 +.B trust\-anchor\-file: \fI<filename>
 +File with trusted keys for validation. Both DS and DNSKEY entries can appear
 +in the file. The format of the file is the standard DNS Zone file format.
 +Default is "", or no trust anchor file.
 +.TP
 +.B auto\-trust\-anchor\-file: \fI<filename>
 +File with trust anchor for one zone, which is tracked with RFC5011 probes.
 +The probes are several times per month, thus the machine must be online
 +frequently.  The initial file can be one with contents as described in
 +\fBtrust\-anchor\-file\fR.  The file is written to when the anchor is updated,
 +so the unbound user must have write permission.
 +.TP
 +.B trust\-anchor: \fI<"Resource Record">
 +A DS or DNSKEY RR for a key to use for validation. Multiple entries can be
 +given to specify multiple trusted keys, in addition to the trust\-anchor\-files.
 +The resource record is entered in the same format as 'dig' or 'drill' prints
 +them, the same format as in the zone file. Has to be on a single line, with
 +"" around it. A TTL can be specified for ease of cut and paste, but is ignored. 
 +A class can be specified, but class IN is default.
 +.TP
 +.B trusted\-keys\-file: \fI<filename>
 +File with trusted keys for validation. Specify more than one file
 +with several entries, one file per entry. Like \fBtrust\-anchor\-file\fR
 +but has a different file format. Format is BIND\-9 style format, 
 +the trusted\-keys { name flag proto algo "key"; }; clauses are read.
 +It is possible to use wildcards with this statement, the wildcard is
 +expanded on start and on reload.
 +.TP
 +.B dlv\-anchor\-file: \fI<filename>
++This option was used during early days DNSSEC deployment when no parent-side
++DS record registrations were easily available.  Nowadays, it is best to have
++DS records registered with the parent zone (many top level zones are signed).
 +File with trusted keys for DLV (DNSSEC Lookaside Validation). Both DS and
 +DNSKEY entries can be used in the file, in the same format as for
 +\fItrust\-anchor\-file:\fR statements. Only one DLV can be configured, more
 +would be slow. The DLV configured is used as a root trusted DLV, this 
 +means that it is a lookaside for the root. Default is "", or no dlv anchor file.
++DLV is going to be decommissioned.  Please do not use it any more.
 +.TP
 +.B dlv\-anchor: \fI<"Resource Record">
 +Much like trust\-anchor, this is a DLV anchor with the DS or DNSKEY inline.
++DLV is going to be decommissioned.  Please do not use it any more.
 +.TP
 +.B domain\-insecure: \fI<domain name>
 +Sets domain name to be insecure, DNSSEC chain of trust is ignored towards
 +the domain name.  So a trust anchor above the domain name can not make the
 +domain secure with a DS record, such a DS record is then ignored.
 +Also keys from DLV are ignored for the domain.  Can be given multiple times
 +to specify multiple domains that are treated as if unsigned.  If you set
 +trust anchors for the domain they override this setting (and the domain 
 +is secured).
 +.IP
 +This can be useful if you want to make sure a trust anchor for external
 +lookups does not affect an (unsigned) internal domain.  A DS record 
 +externally can create validation failures for that internal domain.
 +.TP
 +.B val\-override\-date: \fI<rrsig\-style date spec>
 +Default is "" or "0", which disables this debugging feature. If enabled by
 +giving a RRSIG style date, that date is used for verifying RRSIG inception
 +and expiration dates, instead of the current date. Do not set this unless 
 +you are debugging signature inception and expiration. The value \-1 ignores
 +the date altogether, useful for some special applications.
 +.TP
 +.B val\-sig\-skew\-min: \fI<seconds>
 +Minimum number of seconds of clock skew to apply to validated signatures.
 +A value of 10% of the signature lifetime (expiration \- inception) is
 +used, capped by this setting.  Default is 3600 (1 hour) which allows for
 +daylight savings differences.  Lower this value for more strict checking
 +of short lived signatures.
 +.TP
 +.B val\-sig\-skew\-max: \fI<seconds>
 +Maximum number of seconds of clock skew to apply to validated signatures.
 +A value of 10% of the signature lifetime (expiration \- inception)
 +is used, capped by this setting.  Default is 86400 (24 hours) which
 +allows for timezone setting problems in stable domains.  Setting both
 +min and max very low disables the clock skew allowances.  Setting both
 +min and max very high makes the validator check the signature timestamps
 +less strictly.
 +.TP
 +.B val\-bogus\-ttl: \fI<number>
 +The time to live for bogus data. This is data that has failed validation;
 +due to invalid signatures or other checks. The TTL from that data cannot be
 +trusted, and this value is used instead. The value is in seconds, default 60.
 +The time interval prevents repeated revalidation of bogus data.
 +.TP
 +.B val\-clean\-additional: \fI<yes or no>
 +Instruct the validator to remove data from the additional section of secure
 +messages that are not signed properly. Messages that are insecure, bogus,
 +indeterminate or unchecked are not affected. Default is yes. Use this setting
 +to protect the users that rely on this validator for authentication from 
 +protentially bad data in the additional section.
 +.TP
 +.B val\-log\-level: \fI<number>
 +Have the validator print validation failures to the log.  Regardless of
 +the verbosity setting.  Default is 0, off.  At 1, for every user query
 +that fails a line is printed to the logs.  This way you can monitor what
 +happens with validation.  Use a diagnosis tool, such as dig or drill,
 +to find out why validation is failing for these queries.  At 2, not only
 +the query that failed is printed but also the reason why unbound thought
 +it was wrong and which server sent the faulty data.
 +.TP
 +.B val\-permissive\-mode: \fI<yes or no>
 +Instruct the validator to mark bogus messages as indeterminate. The security
 +checks are performed, but if the result is bogus (failed security), the
 +reply is not withheld from the client with SERVFAIL as usual. The client 
 +receives the bogus data. For messages that are found to be secure the AD bit 
 +is set in replies. Also logging is performed as for full validation.
 +The default value is "no". 
 +.TP
 +.B ignore\-cd\-flag: \fI<yes or no>
 +Instruct unbound to ignore the CD flag from clients and refuse to
 +return bogus answers to them.  Thus, the CD (Checking Disabled) flag
 +does not disable checking any more.  This is useful if legacy (w2008)
 +servers that set the CD flag but cannot validate DNSSEC themselves are
 +the clients, and then unbound provides them with DNSSEC protection.
 +The default value is "no".
 +.TP
 +.B val\-nsec3\-keysize\-iterations: \fI<"list of values">
 +List of keysize and iteration count values, separated by spaces, surrounded
 +by quotes. Default is "1024 150 2048 500 4096 2500". This determines the
 +maximum allowed NSEC3 iteration count before a message is simply marked
 +insecure instead of performing the many hashing iterations. The list must
 +be in ascending order and have at least one entry. If you set it to 
 +"1024 65535" there is no restriction to NSEC3 iteration values.
 +This table must be kept short; a very long list could cause slower operation.
 +.TP
 +.B add\-holddown: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to add new trust anchors only after they have been
 +visible for this time.  Default is 30 days as per the RFC.
 +.TP
 +.B del\-holddown: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to remove revoked trust anchors after they have been
 +kept in the revoked list for this long.  Default is 30 days as per
 +the RFC.
 +.TP
 +.B keep\-missing: \fI<seconds>
 +Instruct the \fBauto\-trust\-anchor\-file\fR probe mechanism for RFC5011
 +autotrust updates to remove missing trust anchors after they have been
 +unseen for this long.  This cleans up the state file if the target zone
 +does not perform trust anchor revocation, so this makes the auto probe
 +mechanism work with zones that perform regular (non\-5011) rollovers.
 +The default is 366 days.  The value 0 does not remove missing anchors,
 +as per the RFC.
 +.TP
 +.B key\-cache\-size: \fI<number>
 +Number of bytes size of the key cache. Default is 4 megabytes.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B key\-cache\-slabs: \fI<number>
 +Number of slabs in the key cache. Slabs reduce lock contention by threads.
 +Must be set to a power of 2. Setting (close) to the number of cpus is a 
 +reasonable guess.
 +.TP
 +.B neg\-cache\-size: \fI<number>
 +Number of bytes size of the aggressive negative cache. Default is 1 megabyte.
 +A plain number is in bytes, append 'k', 'm' or 'g' for kilobytes, megabytes
 +or gigabytes (1024*1024 bytes in a megabyte).
 +.TP
 +.B unblock\-lan\-zones: \fI<yesno>
 +Default is disabled.  If enabled, then for private address space,
 +the reverse lookups are no longer filtered.  This allows unbound when
 +running as dns service on a host where it provides service for that host,
 +to put out all of the queries for the 'lan' upstream.  When enabled,
 +only localhost, 127.0.0.1 reverse and ::1 reverse zones are configured
 +with default local zones.  Disable the option when unbound is running
 +as a (DHCP-) DNS network resolver for a group of machines, where such
 +lookups should be filtered (RFC compliance), this also stops potential
 +data leakage about the local network to the upstream DNS servers.
 +.TP
 +.B local\-zone: \fI<zone> <type>
 +Configure a local zone. The type determines the answer to give if
 +there is no match from local\-data. The types are deny, refuse, static,
- transparent, redirect, nodefault, typetransparent, inform, and are explained
- below. After that the default settings are listed. Use local\-data: to
- enter data into the local zone. Answers for local zones are authoritative
- DNS answers. By default the zones are class IN.
++transparent, redirect, nodefault, typetransparent, inform, inform_deny,
++and are explained below. After that the default settings are listed. Use
++local\-data: to enter data into the local zone. Answers for local zones
++are authoritative DNS answers. By default the zones are class IN.
 +.IP
 +If you need more complicated authoritative data, with referrals, wildcards,
 +CNAME/DNAME support, or DNSSEC authoritative service, setup a stub\-zone for
 +it as detailed in the stub zone section below.
 +.TP 10
 +\h'5'\fIdeny\fR
 +Do not send an answer, drop the query.
 +If there is a match from local data, the query is answered.
 +.TP 10
 +\h'5'\fIrefuse\fR
 +Send an error message reply, with rcode REFUSED.
 +If there is a match from local data, the query is answered.
 +.TP 10
 +\h'5'\fIstatic\fR
 +If there is a match from local data, the query is answered.
 +Otherwise, the query is answered with nodata or nxdomain.
 +For a negative answer a SOA is included in the answer if present
 +as local\-data for the zone apex domain.
 +.TP 10
 +\h'5'\fItransparent\fR 
 +If there is a match from local data, the query is answered.
 +Otherwise if the query has a different name, the query is resolved normally.
 +If the query is for a name given in localdata but no such type of data is
 +given in localdata, then a noerror nodata answer is returned.
 +If no local\-zone is given local\-data causes a transparent zone
 +to be created by default.
 +.TP 10
 +\h'5'\fItypetransparent\fR 
 +If there is a match from local data, the query is answered.  If the query
 +is for a different name, or for the same name but for a different type,
 +the query is resolved normally.  So, similar to transparent but types
 +that are not listed in local data are resolved normally, so if an A record
 +is in the local data that does not cause a nodata reply for AAAA queries.
 +.TP 10
 +\h'5'\fIredirect\fR 
 +The query is answered from the local data for the zone name.
 +There may be no local data beneath the zone name.
 +This answers queries for the zone, and all subdomains of the zone
 +with the local data for the zone.
 +It can be used to redirect a domain to return a different address record
 +to the end user, with 
 +local\-zone: "example.com." redirect and 
 +local\-data: "example.com. A 127.0.0.1"
 +queries for www.example.com and www.foo.example.com are redirected, so
 +that users with web browsers cannot access sites with suffix example.com.
 +.TP 10
 +\h'5'\fIinform\fR 
 +The query is answered normally.  The client IP address (@portnumber)
 +is printed to the logfile.  The log message is: timestamp, unbound-pid,
 +info: zonename inform IP@port queryname type class.  This option can be
 +used for normal resolution, but machines looking up infected names are
 +logged, eg. to run antivirus on them.
 +.TP 10
++\h'5'\fIinform_deny\fR 
++The query is dropped, like 'deny', and logged, like 'inform'.  Ie. find
++infected machines without answering the queries.
++.TP 10
 +\h'5'\fInodefault\fR 
 +Used to turn off default contents for AS112 zones. The other types
 +also turn off default contents for the zone. The 'nodefault' option 
 +has no other effect than turning off default contents for the 
 +given zone.
 +.P
 +The default zones are localhost, reverse 127.0.0.1 and ::1, and the AS112
 +zones. The AS112 zones are reverse DNS zones for private use and reserved
 +IP addresses for which the servers on the internet cannot provide correct
 +answers. They are configured by default to give nxdomain (no reverse 
 +information) answers. The defaults can be turned off by specifying your
 +own local\-zone of that name, or using the 'nodefault' type. Below is a 
 +list of the default zone contents.
 +.TP 10
 +\h'5'\fIlocalhost\fR 
 +The IP4 and IP6 localhost information is given. NS and SOA records are provided
 +for completeness and to satisfy some DNS update tools. Default content:
 +.nf
 +local\-zone: "localhost." static
 +local\-data: "localhost. 10800 IN NS localhost."
 +local\-data: "localhost. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "localhost. 10800 IN A 127.0.0.1"
 +local\-data: "localhost. 10800 IN AAAA ::1"
 +.fi
 +.TP 10
 +\h'5'\fIreverse IPv4 loopback\fR 
 +Default content:
 +.nf
 +local\-zone: "127.in\-addr.arpa." static
 +local\-data: "127.in\-addr.arpa. 10800 IN NS localhost."
 +local\-data: "127.in\-addr.arpa. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "1.0.0.127.in\-addr.arpa. 10800 IN 
 +    PTR localhost."
 +.fi
 +.TP 10
 +\h'5'\fIreverse IPv6 loopback\fR 
 +Default content:
 +.nf
 +local\-zone: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa." static
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    NS localhost."
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    SOA localhost. nobody.invalid. 1 3600 1200 604800 10800"
 +local\-data: "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +    0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN 
 +    PTR localhost."
 +.fi
 +.TP 10
 +\h'5'\fIreverse RFC1918 local use zones\fR 
 +Reverse data for zones 10.in\-addr.arpa, 16.172.in\-addr.arpa to 
 +31.172.in\-addr.arpa, 168.192.in\-addr.arpa.
 +The \fBlocal\-zone:\fR is set static and as \fBlocal\-data:\fR SOA and NS 
 +records are provided.
 +.TP 10
 +\h'5'\fIreverse RFC3330 IP4 this, link\-local, testnet and broadcast\fR 
 +Reverse data for zones 0.in\-addr.arpa, 254.169.in\-addr.arpa, 
 +2.0.192.in\-addr.arpa (TEST NET 1), 100.51.198.in\-addr.arpa (TEST NET 2),
 +113.0.203.in\-addr.arpa (TEST NET 3), 255.255.255.255.in\-addr.arpa.
 +And from 64.100.in\-addr.arpa to 127.100.in\-addr.arpa (Shared Address Space).
 +.TP 10
 +\h'5'\fIreverse RFC4291 IP6 unspecified\fR
 +Reverse data for zone 
 +.nf
 +0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
 +0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.
 +.fi
 +.TP 10
 +\h'5'\fIreverse RFC4193 IPv6 Locally Assigned Local Addresses\fR
 +Reverse data for zone D.F.ip6.arpa.
 +.TP 10
 +\h'5'\fIreverse RFC4291 IPv6 Link Local Addresses\fR
 +Reverse data for zones 8.E.F.ip6.arpa to B.E.F.ip6.arpa.
 +.TP 10
 +\h'5'\fIreverse IPv6 Example Prefix\fR
 +Reverse data for zone 8.B.D.0.1.0.0.2.ip6.arpa. This zone is used for
 +tutorials and examples. You can remove the block on this zone with:
 +.nf
 +  local\-zone: 8.B.D.0.1.0.0.2.ip6.arpa. nodefault
 +.fi
 +You can also selectively unblock a part of the zone by making that part
 +transparent with a local\-zone statement.
 +This also works with the other default zones.
 +.\" End of local-zone listing.
 +.TP 5
 +.B local\-data: \fI"<resource record string>"
 +Configure local data, which is served in reply to queries for it.
 +The query has to match exactly unless you configure the local\-zone as 
 +redirect. If not matched exactly, the local\-zone type determines
 +further processing. If local\-data is configured that is not a subdomain of
 +a local\-zone, a transparent local\-zone is configured. 
 +For record types such as TXT, use single quotes, as in 
 +local\-data: 'example. TXT "text"'.
 +.IP
 +If you need more complicated authoritative data, with referrals, wildcards,
 +CNAME/DNAME support, or DNSSEC authoritative service, setup a stub\-zone for
 +it as detailed in the stub zone section below.
 +.TP 5
 +.B local\-data\-ptr: \fI"IPaddr name"
 +Configure local data shorthand for a PTR record with the reversed IPv4 or
 +IPv6 address and the host name.  For example "192.0.2.4 www.example.com".
 +TTL can be inserted like this: "2001:DB8::4 7200 www.example.com"
++.TP 5
++.B ratelimit: \fI<number or 0>
++Enable ratelimiting of queries sent to nameserver for performing recursion.
++If 0, the default, it is disabled.  This option is experimental at this time.
++The ratelimit is in queries per second that are allowed.  More queries are
++turned away with an error (servfail).  This stops recursive floods, eg. random
++query names, but not spoofed reflection floods.  Cached responses are not
++ratelimited by this setting.  The zone of the query is determined by examining
++the nameservers for it, the zone name is used to keep track of the rate.
++For example, 1000 may be a suitable value to stop the server from being
++overloaded with random names, and keeps unbound from sending traffic to the
++nameservers for those zones.
++.TP 5
++.B ratelimit\-size: \fI<memory size>
++Give the size of the data structure in which the current ongoing rates are
++kept track in.  Default 4m.  In bytes or use m(mega), k(kilo), g(giga).
++The ratelimit structure is small, so this data structure likely does
++not need to be large.
++.TP 5
++.B ratelimit\-slabs: \fI<number>
++Give power of 2 number of slabs, this is used to reduce lock contention
++in the ratelimit tracking data structure.  Close to the number of cpus is
++a fairly good setting.
++.TP 5
++.B ratelimit\-factor: \fI<number>
++Set the amount of queries to rate limit when the limit is exceeded.
++If set to 0, all queries are dropped for domains where the limit is
++exceeded.  If set to another value, 1 in that number is allowed through
++to complete.  Default is 10, allowing 1/10 traffic to flow normally.
++This can make ordinary queries complete (if repeatedly queried for),
++and enter the cache, whilst also mitigiting the traffic flow by the
++factor given.
++.TP 5
++.B ratelimit\-for\-domain: \fI<domain> <number qps>
++Override the global ratelimit for an exact match domain name with the listed
++number.  You can give this for any number of names.  For example, for
++a top\-level\-domain you may want to have a higher limit than other names.
++.TP 5
++.B ratelimit\-below\-domain: \fI<domain> <number qps>
++Override the global ratelimit for a domain name that ends in this name.
++You can give this multiple times, it then describes different settings
++in different parts of the namespace.  The closest matching suffix is used
++to determine the qps limit.  The rate for the exact matching domain name
++is not changed, use ratelimit\-for\-domain to set that, you might want
++to use different settings for a top\-level\-domain and subdomains.
 +.SS "Remote Control Options"
 +In the
 +.B remote\-control:
 +clause are the declarations for the remote control facility.  If this is
 +enabled, the \fIunbound\-control\fR(8) utility can be used to send
 +commands to the running unbound server.  The server uses these clauses
 +to setup SSLv3 / TLSv1 security for the connection.  The
 +\fIunbound\-control\fR(8) utility also reads the \fBremote\-control\fR
 +section for options.  To setup the correct self\-signed certificates use the
 +\fIunbound\-control\-setup\fR(8) utility.
 +.TP 5
 +.B control\-enable: \fI<yes or no>
 +The option is used to enable remote control, default is "no".
 +If turned off, the server does not listen for control commands.
 +.TP 5
 +.B control\-interface: \fI<ip address or path>
 +Give IPv4 or IPv6 addresses or local socket path to listen on for
 +control commands.
 +By default localhost (127.0.0.1 and ::1) is listened to.
 +Use 0.0.0.0 and ::0 to listen to all interfaces.
 +If you change this and permissions have been dropped, you must restart
 +the server for the change to take effect.
 +.TP 5
 +.B control\-port: \fI<port number>
 +The port number to listen on for IPv4 or IPv6 control interfaces,
 +default is 8953.
 +If you change this and permissions have been dropped, you must restart
 +the server for the change to take effect.
 +.TP 5
 +.B control\-use\-cert: \fI<yes or no>
 +Whether to require certificate authentication of control connections.
 +The default is "yes".
 +This should not be changed unless there are other mechanisms in place
 +to prevent untrusted users from accessing the remote control
 +interface.
 +.TP 5
 +.B server\-key\-file: \fI<private key file>
 +Path to the server private key, by default unbound_server.key.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by the unbound server, but not by \fIunbound\-control\fR.
 +.TP 5
 +.B server\-cert\-file: \fI<certificate file.pem>
 +Path to the server self signed certificate, by default unbound_server.pem.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by the unbound server, and also by \fIunbound\-control\fR.
 +.TP 5
 +.B control\-key\-file: \fI<private key file>
 +Path to the control client private key, by default unbound_control.key.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by \fIunbound\-control\fR.
 +.TP 5
 +.B control\-cert\-file: \fI<certificate file.pem>
 +Path to the control client certificate, by default unbound_control.pem.
 +This certificate has to be signed with the server certificate.
 +This file is generated by the \fIunbound\-control\-setup\fR utility.
 +This file is used by \fIunbound\-control\fR.
 +.SS "Stub Zone Options"
 +.LP
 +There may be multiple
 +.B stub\-zone:
 +clauses. Each with a name: and zero or more hostnames or IP addresses.
 +For the stub zone this list of nameservers is used. Class IN is assumed.
 +The servers should be authority servers, not recursors; unbound performs
 +the recursive processing itself for stub zones.
 +.P
 +The stub zone can be used to configure authoritative data to be used
 +by the resolver that cannot be accessed using the public internet servers.
 +This is useful for company\-local data or private zones. Setup an 
 +authoritative server on a different host (or different port). Enter a config 
 +entry for unbound with 
 +.B stub\-addr:
 +<ip address of host[@port]>. 
 +The unbound resolver can then access the data, without referring to the 
 +public internet for it. 
 +.P
 +This setup allows DNSSEC signed zones to be served by that 
 +authoritative server, in which case a trusted key entry with the public key
 +can be put in config, so that unbound can validate the data and set the AD 
 +bit on replies for the private zone (authoritative servers do not set the 
 +AD bit).  This setup makes unbound capable of answering queries for the 
 +private zone, and can even set the AD bit ('authentic'), but the AA 
 +('authoritative') bit is not set on these replies. 
 +.TP
 +.B name: \fI<domain name>
 +Name of the stub zone.
 +.TP
 +.B stub\-host: \fI<domain name>
 +Name of stub zone nameserver. Is itself resolved before it is used.
 +.TP
 +.B stub\-addr: \fI<IP address>
 +IP address of stub zone nameserver. Can be IP 4 or IP 6.
 +To use a nondefault port for DNS communication append '@' with the port number.
 +.TP
 +.B stub\-prime: \fI<yes or no>
 +This option is by default off.  If enabled it performs NS set priming, 
 +which is similar to root hints, where it starts using the list of nameservers 
 +currently published by the zone.  Thus, if the hint list is slightly outdated,
 +the resolver picks up a correct list online.
 +.TP
 +.B stub\-first: \fI<yes or no>
 +If enabled, a query is attempted without the stub clause if it fails.
 +The data could not be retrieved and would have caused SERVFAIL because
 +the servers are unreachable, instead it is tried without this clause.
 +The default is no.
 +.SS "Forward Zone Options"
 +.LP
 +There may be multiple
 +.B forward\-zone:
 +clauses. Each with a \fBname:\fR and zero or more hostnames or IP
 +addresses.  For the forward zone this list of nameservers is used to
 +forward the queries to. The servers listed as \fBforward\-host:\fR and
 +\fBforward\-addr:\fR have to handle further recursion for the query.  Thus,
 +those servers are not authority servers, but are (just like unbound is)
 +recursive servers too; unbound does not perform recursion itself for the
 +forward zone, it lets the remote server do it.  Class IN is assumed.
 +A forward\-zone entry with name "." and a forward\-addr target will
 +forward all queries to that other server (unless it can answer from
 +the cache).
 +.TP
 +.B name: \fI<domain name>
 +Name of the forward zone.
 +.TP
 +.B forward\-host: \fI<domain name>
 +Name of server to forward to. Is itself resolved before it is used.
 +.TP
 +.B forward\-addr: \fI<IP address>
 +IP address of server to forward to. Can be IP 4 or IP 6.
 +To use a nondefault port for DNS communication append '@' with the port number.
 +.TP
 +.B forward\-first: \fI<yes or no>
 +If enabled, a query is attempted without the forward clause if it fails.
 +The data could not be retrieved and would have caused SERVFAIL because
 +the servers are unreachable, instead it is tried without this clause.
 +The default is no.
 +.SS "Python Module Options"
 +.LP
 +The
 +.B python:
 +clause gives the settings for the \fIpython\fR(1) script module.  This module
 +acts like the iterator and validator modules do, on queries and answers.
 +To enable the script module it has to be compiled into the daemon,
 +and the word "python" has to be put in the \fBmodule\-config:\fR option
 +(usually first, or between the validator and iterator).
 +.TP
 +.B python\-script: \fI<python file>\fR
 +The script file to load. 
 +.SS "DNS64 Module Options"
 +.LP
 +The dns64 module must be configured in the \fBmodule\-config:\fR "dns64
 +validator iterator" directive and be compiled into the daemon to be
 +enabled.  These settings go in the \fBserver:\fR section.
 +.TP
 +.B dns64\-prefix: \fI<IPv6 prefix>\fR
 +This sets the DNS64 prefix to use to synthesize AAAA records with.
 +It must be /96 or shorter.  The default prefix is 64:ff9b::/96.
 +.TP
 +.B dns64\-synthall: \fI<yes or no>\fR
 +Debug option, default no.  If enabled, synthesize all AAAA records
 +despite the presence of actual AAAA records.
 +.SH "MEMORY CONTROL EXAMPLE"
 +In the example config settings below memory usage is reduced. Some service
 +levels are lower, notable very large data and a high TCP load are no longer
 +supported. Very large data and high TCP loads are exceptional for the DNS.
 +DNSSEC validation is enabled, just add trust anchors.
 +If you do not have to worry about programs using more than 3 Mb of memory,
 +the below example is not for you. Use the defaults to receive full service,
 +which on BSD\-32bit tops out at 30\-40 Mb after heavy usage. 
 +.P
 +.nf
 +# example settings that reduce memory usage
 +server:
 +      num\-threads: 1
 +      outgoing\-num\-tcp: 1   # this limits TCP service, uses less buffers.
 +      incoming\-num\-tcp: 1
 +      outgoing\-range: 60     # uses less memory, but less performance.
 +      msg\-buffer\-size: 8192   # note this limits service, 'no huge stuff'.
 +      msg\-cache\-size: 100k
 +      msg\-cache\-slabs: 1
 +      rrset\-cache\-size: 100k
 +      rrset\-cache\-slabs: 1
 +      infra\-cache\-numhosts: 200
 +      infra\-cache\-slabs: 1
 +      key\-cache\-size: 100k
 +      key\-cache\-slabs: 1
 +      neg\-cache\-size: 10k
 +      num\-queries\-per\-thread: 30
 +      target\-fetch\-policy: "2 1 0 0 0 0"
 +      harden\-large\-queries: "yes"
 +      harden\-short\-bufsize: "yes"
 +.fi
 +.SH "FILES"
 +.TP
 +.I @UNBOUND_RUN_DIR@
 +default unbound working directory.
 +.TP
 +.I @UNBOUND_CHROOT_DIR@
 +default
 +\fIchroot\fR(2)
 +location.
 +.TP
 +.I @ub_conf_file@
 +unbound configuration file.
 +.TP
 +.I @UNBOUND_PIDFILE@
 +default unbound pidfile with process ID of the running daemon.
 +.TP
 +.I unbound.log
 +unbound log file. default is to log to 
 +\fIsyslog\fR(3). 
 +.SH "SEE ALSO"
 +\fIunbound\fR(8), 
 +\fIunbound\-checkconf\fR(8).
 +.SH "AUTHORS"
 +.B Unbound 
 +was written by NLnet Labs. Please see CREDITS file
 +in the distribution for further details.
diff --cc contrib/unbound/freebsd-configure.sh
index c8852e7fee18e3cbb8b10104ec1f80135d3f2d64,0000000000000000000000000000000000000000..4430f3c9747416cf7c0cebdac94e30a38291b9fb
mode 100755,000000..100755
--- 1/contrib/unbound/freebsd-configure.sh
--- /dev/null
+++ b/contrib/unbound/freebsd-configure.sh
@@@ -1,37 -1,0 +1,37 @@@
- [ -f $ldnsobj/libldns.a ] || error "can't find LDNS object directory"
 +#!/bin/sh
 +#
 +# $FreeBSD$
 +#
 +
 +set -e
 +
 +error() {
 +      echo "$@" >&2
 +      exit 1
 +}
 +
 +unbound=$(dirname $(realpath $0))
 +cd $unbound
 +
 +ldnssrc=$(realpath $unbound/../ldns)
 +[ -f $ldnssrc/ldns/ldns.h ] || error "can't find LDNS sources"
 +export CFLAGS="-I$ldnssrc"
 +
 +ldnsbld=$(realpath $unbound/../../lib/libldns)
 +[ -f $ldnsbld/Makefile ] || error "can't find LDNS build directory"
 +
 +ldnsobj=$(realpath $(make -C$ldnsbld -V.OBJDIR))
++[ -f $ldnsobj/libprivateldns.a ] || error "can't find LDNS object directory"
 +export LDFLAGS="-L$ldnsobj"
 +
 +autoconf
 +autoheader
 +./configure \
 +      --prefix= --exec-prefix=/usr \
 +      --with-conf-file=/var/unbound/unbound.conf \
 +      --with-run-dir=/var/unbound \
 +      --with-username=unbound
 +
 +# Don't try to provide bogus memory usage statistics based on sbrk(2).
 +sed -n -i.orig -e '/HAVE_SBRK/!p' config.status
 +./config.status config.h
diff --cc contrib/unbound/iterator/iter_delegpt.c
index b212ec0775fd65def221dd38c96c25efae87f4e7,0000000000000000000000000000000000000000..0e251ff583c4fa4ed279500171c0701d5f79c9b7
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_delegpt.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_delegpt.c
@@@ -1,647 -1,0 +1,647 @@@
- #include "ldns/rrdef.h"
- #include "ldns/sbuffer.h"
 +/*
 + * iterator/iter_delegpt.c - delegation point with NS and address information.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file implements the Delegation Point. It contains a list of name servers
 + * and their addresses if known.
 + */
 +#include "config.h"
 +#include "iterator/iter_delegpt.h"
 +#include "services/cache/dns.h"
 +#include "util/regional.h"
 +#include "util/data/dname.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/msgreply.h"
 +#include "util/net_help.h"
++#include "sldns/rrdef.h"
++#include "sldns/sbuffer.h"
 +
 +struct delegpt* 
 +delegpt_create(struct regional* region)
 +{
 +      struct delegpt* dp=(struct delegpt*)regional_alloc(
 +              region, sizeof(*dp));
 +      if(!dp)
 +              return NULL;
 +      memset(dp, 0, sizeof(*dp));
 +      return dp;
 +}
 +
 +struct delegpt* delegpt_copy(struct delegpt* dp, struct regional* region)
 +{
 +      struct delegpt* copy = delegpt_create(region);
 +      struct delegpt_ns* ns;
 +      struct delegpt_addr* a;
 +      if(!copy) 
 +              return NULL;
 +      if(!delegpt_set_name(copy, region, dp->name))
 +              return NULL;
 +      copy->bogus = dp->bogus;
 +      copy->has_parent_side_NS = dp->has_parent_side_NS;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              if(!delegpt_add_ns(copy, region, ns->name, ns->lame))
 +                      return NULL;
 +              copy->nslist->resolved = ns->resolved;
 +              copy->nslist->got4 = ns->got4;
 +              copy->nslist->got6 = ns->got6;
 +              copy->nslist->done_pside4 = ns->done_pside4;
 +              copy->nslist->done_pside6 = ns->done_pside6;
 +      }
 +      for(a = dp->target_list; a; a = a->next_target) {
 +              if(!delegpt_add_addr(copy, region, &a->addr, a->addrlen, 
 +                      a->bogus, a->lame))
 +                      return NULL;
 +      }
 +      return copy;
 +}
 +
 +int 
 +delegpt_set_name(struct delegpt* dp, struct regional* region, uint8_t* name)
 +{
 +      log_assert(!dp->dp_type_mlc);
 +      dp->namelabs = dname_count_size_labels(name, &dp->namelen);
 +      dp->name = regional_alloc_init(region, name, dp->namelen);
 +      return dp->name != 0;
 +}
 +
 +int 
 +delegpt_add_ns(struct delegpt* dp, struct regional* region, uint8_t* name,
 +      uint8_t lame)
 +{
 +      struct delegpt_ns* ns;
 +      size_t len;
 +      (void)dname_count_size_labels(name, &len);
 +      log_assert(!dp->dp_type_mlc);
 +      /* slow check for duplicates to avoid counting failures when
 +       * adding the same server as a dependency twice */
 +      if(delegpt_find_ns(dp, name, len))
 +              return 1;
 +      ns = (struct delegpt_ns*)regional_alloc(region,
 +              sizeof(struct delegpt_ns));
 +      if(!ns)
 +              return 0;
 +      ns->next = dp->nslist;
 +      ns->namelen = len;
 +      dp->nslist = ns;
 +      ns->name = regional_alloc_init(region, name, ns->namelen);
 +      ns->resolved = 0;
 +      ns->got4 = 0;
 +      ns->got6 = 0;
 +      ns->lame = lame;
 +      ns->done_pside4 = 0;
 +      ns->done_pside6 = 0;
 +      return ns->name != 0;
 +}
 +
 +struct delegpt_ns*
 +delegpt_find_ns(struct delegpt* dp, uint8_t* name, size_t namelen)
 +{
 +      struct delegpt_ns* p = dp->nslist;
 +      while(p) {
 +              if(namelen == p->namelen && 
 +                      query_dname_compare(name, p->name) == 0) {
 +                      return p;
 +              }
 +              p = p->next;
 +      }
 +      return NULL;
 +}
 +
 +struct delegpt_addr*
 +delegpt_find_addr(struct delegpt* dp, struct sockaddr_storage* addr, 
 +      socklen_t addrlen)
 +{
 +      struct delegpt_addr* p = dp->target_list;
 +      while(p) {
 +              if(sockaddr_cmp_addr(addr, addrlen, &p->addr, p->addrlen)==0
 +                      && ((struct sockaddr_in*)addr)->sin_port ==
 +                         ((struct sockaddr_in*)&p->addr)->sin_port) {
 +                      return p;
 +              }
 +              p = p->next_target;
 +      }
 +      return NULL;
 +}
 +
 +int 
 +delegpt_add_target(struct delegpt* dp, struct regional* region, 
 +      uint8_t* name, size_t namelen, struct sockaddr_storage* addr, 
 +      socklen_t addrlen, uint8_t bogus, uint8_t lame)
 +{
 +      struct delegpt_ns* ns = delegpt_find_ns(dp, name, namelen);
 +      log_assert(!dp->dp_type_mlc);
 +      if(!ns) {
 +              /* ignore it */
 +              return 1;
 +      }
 +      if(!lame) {
 +              if(addr_is_ip6(addr, addrlen))
 +                      ns->got6 = 1;
 +              else    ns->got4 = 1;
 +              if(ns->got4 && ns->got6)
 +                      ns->resolved = 1;
 +      }
 +      return delegpt_add_addr(dp, region, addr, addrlen, bogus, lame);
 +}
 +
 +int 
 +delegpt_add_addr(struct delegpt* dp, struct regional* region, 
 +      struct sockaddr_storage* addr, socklen_t addrlen, uint8_t bogus, 
 +      uint8_t lame)
 +{
 +      struct delegpt_addr* a;
 +      log_assert(!dp->dp_type_mlc);
 +      /* check for duplicates */
 +      if((a = delegpt_find_addr(dp, addr, addrlen))) {
 +              if(bogus)
 +                      a->bogus = bogus;
 +              if(!lame)
 +                      a->lame = 0;
 +              return 1;
 +      }
 +
 +      a = (struct delegpt_addr*)regional_alloc(region,
 +              sizeof(struct delegpt_addr));
 +      if(!a)
 +              return 0;
 +      a->next_target = dp->target_list;
 +      dp->target_list = a;
 +      a->next_result = 0;
 +      a->next_usable = dp->usable_list;
 +      dp->usable_list = a;
 +      memcpy(&a->addr, addr, addrlen);
 +      a->addrlen = addrlen;
 +      a->attempts = 0;
 +      a->bogus = bogus;
 +      a->lame = lame;
 +      a->dnsseclame = 0;
 +      return 1;
 +}
 +
 +void
 +delegpt_count_ns(struct delegpt* dp, size_t* numns, size_t* missing)
 +{
 +      struct delegpt_ns* ns;
 +      *numns = 0;
 +      *missing = 0;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              (*numns)++;
 +              if(!ns->resolved)
 +                      (*missing)++;
 +      }
 +}
 +
 +void
 +delegpt_count_addr(struct delegpt* dp, size_t* numaddr, size_t* numres, 
 +      size_t* numavail)
 +{
 +      struct delegpt_addr* a;
 +      *numaddr = 0;
 +      *numres = 0;
 +      *numavail = 0;
 +      for(a = dp->target_list; a; a = a->next_target) {
 +              (*numaddr)++;
 +      }
 +      for(a = dp->result_list; a; a = a->next_result) {
 +              (*numres)++;
 +      }
 +      for(a = dp->usable_list; a; a = a->next_usable) {
 +              (*numavail)++;
 +      }
 +}
 +
 +void delegpt_log(enum verbosity_value v, struct delegpt* dp)
 +{
 +      char buf[LDNS_MAX_DOMAINLEN+1];
 +      struct delegpt_ns* ns;
 +      struct delegpt_addr* a;
 +      size_t missing=0, numns=0, numaddr=0, numres=0, numavail=0;
 +      if(verbosity < v)
 +              return;
 +      dname_str(dp->name, buf);
 +      if(dp->nslist == NULL && dp->target_list == NULL) {
 +              log_info("DelegationPoint<%s>: empty", buf);
 +              return;
 +      }
 +      delegpt_count_ns(dp, &numns, &missing);
 +      delegpt_count_addr(dp, &numaddr, &numres, &numavail);
 +      log_info("DelegationPoint<%s>: %u names (%u missing), "
 +              "%u addrs (%u result, %u avail)%s", 
 +              buf, (unsigned)numns, (unsigned)missing, 
 +              (unsigned)numaddr, (unsigned)numres, (unsigned)numavail,
 +              (dp->has_parent_side_NS?" parentNS":" cacheNS"));
 +      if(verbosity >= VERB_ALGO) {
 +              for(ns = dp->nslist; ns; ns = ns->next) {
 +                      dname_str(ns->name, buf);
 +                      log_info("  %s %s%s%s%s%s%s%s", buf, 
 +                      (ns->resolved?"*":""),
 +                      (ns->got4?" A":""), (ns->got6?" AAAA":""),
 +                      (dp->bogus?" BOGUS":""), (ns->lame?" PARENTSIDE":""),
 +                      (ns->done_pside4?" PSIDE_A":""),
 +                      (ns->done_pside6?" PSIDE_AAAA":""));
 +              }
 +              for(a = dp->target_list; a; a = a->next_target) {
 +                      const char* str = "  ";
 +                      if(a->bogus && a->lame) str = "  BOGUS ADDR_LAME ";
 +                      else if(a->bogus) str = "  BOGUS ";
 +                      else if(a->lame) str = "  ADDR_LAME ";
 +                      log_addr(VERB_ALGO, str, &a->addr, a->addrlen);
 +              }
 +      }
 +}
 +
 +void 
 +delegpt_add_unused_targets(struct delegpt* dp)
 +{
 +      struct delegpt_addr* usa = dp->usable_list;
 +      dp->usable_list = NULL;
 +      while(usa) {
 +              usa->next_result = dp->result_list;
 +              dp->result_list = usa;
 +              usa = usa->next_usable;
 +      }
 +}
 +
 +size_t
 +delegpt_count_targets(struct delegpt* dp)
 +{
 +      struct delegpt_addr* a;
 +      size_t n = 0;
 +      for(a = dp->target_list; a; a = a->next_target)
 +              n++;
 +      return n;
 +}
 +
 +size_t 
 +delegpt_count_missing_targets(struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      size_t n = 0;
 +      for(ns = dp->nslist; ns; ns = ns->next)
 +              if(!ns->resolved)
 +                      n++;
 +      return n;
 +}
 +
 +/** find NS rrset in given list */
 +static struct ub_packed_rrset_key*
 +find_NS(struct reply_info* rep, size_t from, size_t to)
 +{
 +      size_t i;
 +      for(i=from; i<to; i++) {
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NS)
 +                      return rep->rrsets[i];
 +      }
 +      return NULL;
 +}
 +
 +struct delegpt* 
 +delegpt_from_message(struct dns_msg* msg, struct regional* region)
 +{
 +      struct ub_packed_rrset_key* ns_rrset = NULL;
 +      struct delegpt* dp;
 +      size_t i;
 +      /* look for NS records in the authority section... */
 +      ns_rrset = find_NS(msg->rep, msg->rep->an_numrrsets, 
 +              msg->rep->an_numrrsets+msg->rep->ns_numrrsets);
 +
 +      /* In some cases (even legitimate, perfectly legal cases), the 
 +       * NS set for the "referral" might be in the answer section. */
 +      if(!ns_rrset)
 +              ns_rrset = find_NS(msg->rep, 0, msg->rep->an_numrrsets);
 +      
 +      /* If there was no NS rrset in the authority section, then this 
 +       * wasn't a referral message. (It might not actually be a 
 +       * referral message anyway) */
 +      if(!ns_rrset)
 +              return NULL;
 +      
 +      /* If we found any, then Yay! we have a delegation point. */
 +      dp = delegpt_create(region);
 +      if(!dp)
 +              return NULL;
 +      dp->has_parent_side_NS = 1; /* created from message */
 +      if(!delegpt_set_name(dp, region, ns_rrset->rk.dname))
 +              return NULL;
 +      if(!delegpt_rrset_add_ns(dp, region, ns_rrset, 0))
 +              return NULL;
 +
 +      /* add glue, A and AAAA in answer and additional section */
 +      for(i=0; i<msg->rep->rrset_count; i++) {
 +              struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +              /* skip auth section. FIXME really needed?*/
 +              if(msg->rep->an_numrrsets <= i && 
 +                      i < (msg->rep->an_numrrsets+msg->rep->ns_numrrsets))
 +                      continue;
 +
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_A) {
 +                      if(!delegpt_add_rrset_A(dp, region, s, 0))
 +                              return NULL;
 +              } else if(ntohs(s->rk.type) == LDNS_RR_TYPE_AAAA) {
 +                      if(!delegpt_add_rrset_AAAA(dp, region, s, 0))
 +                              return NULL;
 +              }
 +      }
 +      return dp;
 +}
 +
 +int 
 +delegpt_rrset_add_ns(struct delegpt* dp, struct regional* region,
 +        struct ub_packed_rrset_key* ns_rrset, uint8_t lame)
 +{
 +      struct packed_rrset_data* nsdata = (struct packed_rrset_data*)
 +              ns_rrset->entry.data;
 +      size_t i;
 +      log_assert(!dp->dp_type_mlc);
 +      if(nsdata->security == sec_status_bogus)
 +              dp->bogus = 1;
 +      for(i=0; i<nsdata->count; i++) {
 +              if(nsdata->rr_len[i] < 2+1) continue; /* len + root label */
 +              if(dname_valid(nsdata->rr_data[i]+2, nsdata->rr_len[i]-2) !=
 +                      (size_t)sldns_read_uint16(nsdata->rr_data[i]))
 +                      continue; /* bad format */
 +              /* add rdata of NS (= wirefmt dname), skip rdatalen bytes */
 +              if(!delegpt_add_ns(dp, region, nsdata->rr_data[i]+2, lame))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +int 
 +delegpt_add_rrset_A(struct delegpt* dp, struct regional* region,
 +      struct ub_packed_rrset_key* ak, uint8_t lame)
 +{
 +        struct packed_rrset_data* d=(struct packed_rrset_data*)ak->entry.data;
 +        size_t i;
 +        struct sockaddr_in sa;
 +        socklen_t len = (socklen_t)sizeof(sa);
 +      log_assert(!dp->dp_type_mlc);
 +        memset(&sa, 0, len);
 +        sa.sin_family = AF_INET;
 +        sa.sin_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +        for(i=0; i<d->count; i++) {
 +                if(d->rr_len[i] != 2 + INET_SIZE)
 +                        continue;
 +                memmove(&sa.sin_addr, d->rr_data[i]+2, INET_SIZE);
 +                if(!delegpt_add_target(dp, region, ak->rk.dname,
 +                        ak->rk.dname_len, (struct sockaddr_storage*)&sa,
 +                        len, (d->security==sec_status_bogus), lame))
 +                        return 0;
 +        }
 +        return 1;
 +}
 +
 +int 
 +delegpt_add_rrset_AAAA(struct delegpt* dp, struct regional* region,
 +      struct ub_packed_rrset_key* ak, uint8_t lame)
 +{
 +        struct packed_rrset_data* d=(struct packed_rrset_data*)ak->entry.data;
 +        size_t i;
 +        struct sockaddr_in6 sa;
 +        socklen_t len = (socklen_t)sizeof(sa);
 +      log_assert(!dp->dp_type_mlc);
 +        memset(&sa, 0, len);
 +        sa.sin6_family = AF_INET6;
 +        sa.sin6_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +        for(i=0; i<d->count; i++) {
 +                if(d->rr_len[i] != 2 + INET6_SIZE) /* rdatalen + len of IP6 */
 +                        continue;
 +                memmove(&sa.sin6_addr, d->rr_data[i]+2, INET6_SIZE);
 +                if(!delegpt_add_target(dp, region, ak->rk.dname,
 +                        ak->rk.dname_len, (struct sockaddr_storage*)&sa,
 +                        len, (d->security==sec_status_bogus), lame))
 +                        return 0;
 +        }
 +        return 1;
 +}
 +
 +int 
 +delegpt_add_rrset(struct delegpt* dp, struct regional* region,
 +        struct ub_packed_rrset_key* rrset, uint8_t lame)
 +{
 +      if(!rrset)
 +              return 1;
 +      if(ntohs(rrset->rk.type) == LDNS_RR_TYPE_NS)
 +              return delegpt_rrset_add_ns(dp, region, rrset, lame);
 +      else if(ntohs(rrset->rk.type) == LDNS_RR_TYPE_A)
 +              return delegpt_add_rrset_A(dp, region, rrset, lame);
 +      else if(ntohs(rrset->rk.type) == LDNS_RR_TYPE_AAAA)
 +              return delegpt_add_rrset_AAAA(dp, region, rrset, lame);
 +      log_warn("Unknown rrset type added to delegpt");
 +      return 1;
 +}
 +
 +void delegpt_add_neg_msg(struct delegpt* dp, struct msgreply_entry* msg)
 +{
 +      struct reply_info* rep = (struct reply_info*)msg->entry.data;
 +      if(!rep) return;
 +
 +      /* if error or no answers */
 +      if(FLAGS_GET_RCODE(rep->flags) != 0 || rep->an_numrrsets == 0) {
 +              struct delegpt_ns* ns = delegpt_find_ns(dp, msg->key.qname, 
 +                      msg->key.qname_len);
 +              if(ns) {
 +                      if(msg->key.qtype == LDNS_RR_TYPE_A)
 +                              ns->got4 = 1;
 +                      else if(msg->key.qtype == LDNS_RR_TYPE_AAAA)
 +                              ns->got6 = 1;
 +                      if(ns->got4 && ns->got6)
 +                              ns->resolved = 1;
 +              }
 +      }
 +}
 +
 +void delegpt_no_ipv6(struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              /* no ipv6, so only ipv4 is enough to resolve a nameserver */
 +              if(ns->got4)
 +                      ns->resolved = 1;
 +      }
 +}
 +
 +void delegpt_no_ipv4(struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              /* no ipv4, so only ipv6 is enough to resolve a nameserver */
 +              if(ns->got6)
 +                      ns->resolved = 1;
 +      }
 +}
 +
 +struct delegpt* delegpt_create_mlc(uint8_t* name)
 +{
 +      struct delegpt* dp=(struct delegpt*)calloc(1, sizeof(*dp));
 +      if(!dp)
 +              return NULL;
 +      dp->dp_type_mlc = 1;
 +      if(name) {
 +              dp->namelabs = dname_count_size_labels(name, &dp->namelen);
 +              dp->name = memdup(name, dp->namelen);
 +              if(!dp->name) {
 +                      free(dp);
 +                      return NULL;
 +              }
 +      }
 +      return dp;
 +}
 +
 +void delegpt_free_mlc(struct delegpt* dp)
 +{
 +      struct delegpt_ns* n, *nn;
 +      struct delegpt_addr* a, *na;
 +      if(!dp) return;
 +      log_assert(dp->dp_type_mlc);
 +      n = dp->nslist;
 +      while(n) {
 +              nn = n->next;
 +              free(n->name);
 +              free(n);
 +              n = nn;
 +      }
 +      a = dp->target_list;
 +      while(a) {
 +              na = a->next_target;
 +              free(a);
 +              a = na;
 +      }
 +      free(dp->name);
 +      free(dp);
 +}
 +
 +int delegpt_set_name_mlc(struct delegpt* dp, uint8_t* name)
 +{
 +      log_assert(dp->dp_type_mlc);
 +      dp->namelabs = dname_count_size_labels(name, &dp->namelen);
 +      dp->name = memdup(name, dp->namelen);
 +      return (dp->name != NULL);
 +}
 +
 +int delegpt_add_ns_mlc(struct delegpt* dp, uint8_t* name, uint8_t lame)
 +{
 +      struct delegpt_ns* ns;
 +      size_t len;
 +      (void)dname_count_size_labels(name, &len);
 +      log_assert(dp->dp_type_mlc);
 +      /* slow check for duplicates to avoid counting failures when
 +       * adding the same server as a dependency twice */
 +      if(delegpt_find_ns(dp, name, len))
 +              return 1;
 +      ns = (struct delegpt_ns*)malloc(sizeof(struct delegpt_ns));
 +      if(!ns)
 +              return 0;
 +      ns->namelen = len;
 +      ns->name = memdup(name, ns->namelen);
 +      if(!ns->name) {
 +              free(ns);
 +              return 0;
 +      }
 +      ns->next = dp->nslist;
 +      dp->nslist = ns;
 +      ns->resolved = 0;
 +      ns->got4 = 0;
 +      ns->got6 = 0;
 +      ns->lame = (uint8_t)lame;
 +      ns->done_pside4 = 0;
 +      ns->done_pside6 = 0;
 +      return 1;
 +}
 +
 +int delegpt_add_addr_mlc(struct delegpt* dp, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t bogus, uint8_t lame)
 +{
 +      struct delegpt_addr* a;
 +      log_assert(dp->dp_type_mlc);
 +      /* check for duplicates */
 +      if((a = delegpt_find_addr(dp, addr, addrlen))) {
 +              if(bogus)
 +                      a->bogus = bogus;
 +              if(!lame)
 +                      a->lame = 0;
 +              return 1;
 +      }
 +
 +      a = (struct delegpt_addr*)malloc(sizeof(struct delegpt_addr));
 +      if(!a)
 +              return 0;
 +      a->next_target = dp->target_list;
 +      dp->target_list = a;
 +      a->next_result = 0;
 +      a->next_usable = dp->usable_list;
 +      dp->usable_list = a;
 +      memcpy(&a->addr, addr, addrlen);
 +      a->addrlen = addrlen;
 +      a->attempts = 0;
 +      a->bogus = bogus;
 +      a->lame = lame;
 +      a->dnsseclame = 0;
 +      return 1;
 +}
 +
 +int delegpt_add_target_mlc(struct delegpt* dp, uint8_t* name, size_t namelen,
 +      struct sockaddr_storage* addr, socklen_t addrlen, uint8_t bogus,
 +      uint8_t lame)
 +{
 +      struct delegpt_ns* ns = delegpt_find_ns(dp, name, namelen);
 +      log_assert(dp->dp_type_mlc);
 +      if(!ns) {
 +              /* ignore it */
 +              return 1;
 +      }
 +      if(!lame) {
 +              if(addr_is_ip6(addr, addrlen))
 +                      ns->got6 = 1;
 +              else    ns->got4 = 1;
 +              if(ns->got4 && ns->got6)
 +                      ns->resolved = 1;
 +      }
 +      return delegpt_add_addr_mlc(dp, addr, addrlen, bogus, lame);
 +}
 +
 +size_t delegpt_get_mem(struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      size_t s;
 +      if(!dp) return 0;
 +      s = sizeof(*dp) + dp->namelen +
 +              delegpt_count_targets(dp)*sizeof(struct delegpt_addr);
 +      for(ns=dp->nslist; ns; ns=ns->next)
 +              s += sizeof(*ns)+ns->namelen;
 +      return s;
 +}
diff --cc contrib/unbound/iterator/iter_fwd.c
index 012121241194ec16b1296ef83945f69e7335c041,0000000000000000000000000000000000000000..0feee032c960fcfb83b60b41f446e2065cd391cc
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_fwd.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_fwd.c
@@@ -1,506 -1,0 +1,506 @@@
- #include "ldns/rrdef.h"
- #include "ldns/str2wire.h"
 +/*
 + * iterator/iter_fwd.c - iterative resolver module forward zones.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist the iterator module.
 + * Keep track of forward zones and config settings.
 + */
 +#include "config.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_delegpt.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
++#include "sldns/rrdef.h"
++#include "sldns/str2wire.h"
 +
 +int
 +fwd_cmp(const void* k1, const void* k2)
 +{
 +      int m;
 +      struct iter_forward_zone* n1 = (struct iter_forward_zone*)k1;
 +      struct iter_forward_zone* n2 = (struct iter_forward_zone*)k2;
 +      if(n1->dclass != n2->dclass) {
 +              if(n1->dclass < n2->dclass)
 +                      return -1;
 +              return 1;
 +      }
 +      return dname_lab_cmp(n1->name, n1->namelabs, n2->name, n2->namelabs, 
 +              &m);
 +}
 +
 +struct iter_forwards* 
 +forwards_create(void)
 +{
 +      struct iter_forwards* fwd = (struct iter_forwards*)calloc(1,
 +              sizeof(struct iter_forwards));
 +      if(!fwd)
 +              return NULL;
 +      return fwd;
 +}
 +
 +static void fwd_zone_free(struct iter_forward_zone* n)
 +{
 +      if(!n) return;
 +      delegpt_free_mlc(n->dp);
 +      free(n->name);
 +      free(n);
 +}
 +
 +static void delfwdnode(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct iter_forward_zone* node = (struct iter_forward_zone*)n;
 +      fwd_zone_free(node);
 +}
 +
 +static void fwd_del_tree(struct iter_forwards* fwd)
 +{
 +      if(fwd->tree)
 +              traverse_postorder(fwd->tree, &delfwdnode, NULL);
 +      free(fwd->tree);
 +}
 +
 +void 
 +forwards_delete(struct iter_forwards* fwd)
 +{
 +      if(!fwd) 
 +              return;
 +      fwd_del_tree(fwd);
 +      free(fwd);
 +}
 +
 +/** insert info into forward structure */
 +static int
 +forwards_insert_data(struct iter_forwards* fwd, uint16_t c, uint8_t* nm, 
 +      size_t nmlen, int nmlabs, struct delegpt* dp)
 +{
 +      struct iter_forward_zone* node = (struct iter_forward_zone*)malloc(
 +              sizeof(struct iter_forward_zone));
 +      if(!node) {
 +              delegpt_free_mlc(dp);
 +              return 0;
 +      }
 +      node->node.key = node;
 +      node->dclass = c;
 +      node->name = memdup(nm, nmlen);
 +      if(!node->name) {
 +              delegpt_free_mlc(dp);
 +              free(node);
 +              return 0;
 +      }
 +      node->namelen = nmlen;
 +      node->namelabs = nmlabs;
 +      node->dp = dp;
 +      if(!rbtree_insert(fwd->tree, &node->node)) {
 +              char buf[257];
 +              dname_str(nm, buf);
 +              log_err("duplicate forward zone %s ignored.", buf);
 +              delegpt_free_mlc(dp);
 +              free(node->name);
 +              free(node);
 +      }
 +      return 1;
 +}
 +
 +/** insert new info into forward structure given dp */
 +static int
 +forwards_insert(struct iter_forwards* fwd, uint16_t c, struct delegpt* dp)
 +{
 +      return forwards_insert_data(fwd, c, dp->name, dp->namelen,
 +              dp->namelabs, dp);
 +}
 +
 +/** initialise parent pointers in the tree */
 +static void
 +fwd_init_parents(struct iter_forwards* fwd)
 +{
 +      struct iter_forward_zone* node, *prev = NULL, *p;
 +      int m;
 +      RBTREE_FOR(node, struct iter_forward_zone*, fwd->tree) {
 +              node->parent = NULL;
 +              if(!prev || prev->dclass != node->dclass) {
 +                      prev = node;
 +                      continue;
 +              }
 +              (void)dname_lab_cmp(prev->name, prev->namelabs, node->name,
 +                      node->namelabs, &m); /* we know prev is smaller */
 +              /* sort order like: . com. bla.com. zwb.com. net. */
 +              /* find the previous, or parent-parent-parent */
 +              for(p = prev; p; p = p->parent)
 +                      /* looking for name with few labels, a parent */
 +                      if(p->namelabs <= m) {
 +                              /* ==: since prev matched m, this is closest*/
 +                              /* <: prev matches more, but is not a parent,
 +                               * this one is a (grand)parent */
 +                              node->parent = p;
 +                              break;
 +                      }
 +              prev = node;
 +      }
 +}
 +
 +/** set zone name */
 +static struct delegpt* 
 +read_fwds_name(struct config_stub* s)
 +{
 +      struct delegpt* dp;
 +      uint8_t* dname;
 +      size_t dname_len;
 +      if(!s->name) {
 +              log_err("forward zone without a name (use name \".\" to forward everything)");
 +              return NULL;
 +      }
 +      dname = sldns_str2wire_dname(s->name, &dname_len);
 +      if(!dname) {
 +              log_err("cannot parse forward zone name %s", s->name);
 +              return NULL;
 +      }
 +      if(!(dp=delegpt_create_mlc(dname))) {
 +              free(dname);
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      free(dname);
 +      return dp;
 +}
 +
 +/** set fwd host names */
 +static int 
 +read_fwds_host(struct config_stub* s, struct delegpt* dp)
 +{
 +      struct config_strlist* p;
 +      uint8_t* dname;
 +      size_t dname_len;
 +      for(p = s->hosts; p; p = p->next) {
 +              log_assert(p->str);
 +              dname = sldns_str2wire_dname(p->str, &dname_len);
 +              if(!dname) {
 +                      log_err("cannot parse forward %s server name: '%s'", 
 +                              s->name, p->str);
 +                      return 0;
 +              }
 +              if(!delegpt_add_ns_mlc(dp, dname, 0)) {
 +                      free(dname);
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              free(dname);
 +      }
 +      return 1;
 +}
 +
 +/** set fwd server addresses */
 +static int 
 +read_fwds_addr(struct config_stub* s, struct delegpt* dp)
 +{
 +      struct config_strlist* p;
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      for(p = s->addrs; p; p = p->next) {
 +              log_assert(p->str);
 +              if(!extstrtoaddr(p->str, &addr, &addrlen)) {
 +                      log_err("cannot parse forward %s ip address: '%s'", 
 +                              s->name, p->str);
 +                      return 0;
 +              }
 +              if(!delegpt_add_addr_mlc(dp, &addr, addrlen, 0, 0)) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** read forwards config */
 +static int 
 +read_forwards(struct iter_forwards* fwd, struct config_file* cfg)
 +{
 +      struct config_stub* s;
 +      for(s = cfg->forwards; s; s = s->next) {
 +              struct delegpt* dp;
 +              if(!(dp=read_fwds_name(s)))
 +                      return 0;
 +              if(!read_fwds_host(s, dp) || !read_fwds_addr(s, dp)) {
 +                      delegpt_free_mlc(dp);
 +                      return 0;
 +              }
 +              /* set flag that parent side NS information is included.
 +               * Asking a (higher up) server on the internet is not useful */
 +              /* the flag is turned off for 'forward-first' so that the
 +               * last resort will ask for parent-side NS record and thus
 +               * fallback to the internet name servers on a failure */
 +              dp->has_parent_side_NS = (uint8_t)!s->isfirst;
 +              verbose(VERB_QUERY, "Forward zone server list:");
 +              delegpt_log(VERB_QUERY, dp);
 +              if(!forwards_insert(fwd, LDNS_RR_CLASS_IN, dp))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** insert a stub hole (if necessary) for stub name */
 +static int
 +fwd_add_stub_hole(struct iter_forwards* fwd, uint16_t c, uint8_t* nm)
 +{
 +      struct iter_forward_zone key;
 +      key.node.key = &key;
 +      key.dclass = c;
 +      key.name = nm;
 +      key.namelabs = dname_count_size_labels(key.name, &key.namelen);
 +      return forwards_insert_data(fwd, key.dclass, key.name,
 +              key.namelen, key.namelabs, NULL);
 +}
 +
 +/** make NULL entries for stubs */
 +static int
 +make_stub_holes(struct iter_forwards* fwd, struct config_file* cfg)
 +{
 +      struct config_stub* s;
 +      uint8_t* dname;
 +      size_t dname_len;
 +      for(s = cfg->stubs; s; s = s->next) {
 +              dname = sldns_str2wire_dname(s->name, &dname_len);
 +              if(!dname) {
 +                      log_err("cannot parse stub name '%s'", s->name);
 +                      return 0;
 +              }
 +              if(!fwd_add_stub_hole(fwd, LDNS_RR_CLASS_IN, dname)) {
 +                      free(dname);
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              free(dname);
 +      }
 +      return 1;
 +}
 +
 +int 
 +forwards_apply_cfg(struct iter_forwards* fwd, struct config_file* cfg)
 +{
 +      fwd_del_tree(fwd);
 +      fwd->tree = rbtree_create(fwd_cmp);
 +      if(!fwd->tree)
 +              return 0;
 +
 +      /* read forward zones */
 +      if(!read_forwards(fwd, cfg))
 +              return 0;
 +      if(!make_stub_holes(fwd, cfg))
 +              return 0;
 +      fwd_init_parents(fwd);
 +      return 1;
 +}
 +
 +struct delegpt* 
 +forwards_find(struct iter_forwards* fwd, uint8_t* qname, uint16_t qclass)
 +{
 +      rbnode_t* res = NULL;
 +      struct iter_forward_zone key;
 +      key.node.key = &key;
 +      key.dclass = qclass;
 +      key.name = qname;
 +      key.namelabs = dname_count_size_labels(qname, &key.namelen);
 +      res = rbtree_search(fwd->tree, &key);
 +      if(res) return ((struct iter_forward_zone*)res)->dp;
 +      return NULL;
 +}
 +
 +struct delegpt* 
 +forwards_lookup(struct iter_forwards* fwd, uint8_t* qname, uint16_t qclass)
 +{
 +      /* lookup the forward zone in the tree */
 +      rbnode_t* res = NULL;
 +      struct iter_forward_zone *result;
 +      struct iter_forward_zone key;
 +      key.node.key = &key;
 +      key.dclass = qclass;
 +      key.name = qname;
 +      key.namelabs = dname_count_size_labels(qname, &key.namelen);
 +      if(rbtree_find_less_equal(fwd->tree, &key, &res)) {
 +              /* exact */
 +              result = (struct iter_forward_zone*)res;
 +      } else {
 +              /* smaller element (or no element) */
 +              int m;
 +              result = (struct iter_forward_zone*)res;
 +              if(!result || result->dclass != qclass)
 +                      return NULL;
 +              /* count number of labels matched */
 +              (void)dname_lab_cmp(result->name, result->namelabs, key.name,
 +                      key.namelabs, &m);
 +              while(result) { /* go up until qname is subdomain of stub */
 +                      if(result->namelabs <= m)
 +                              break;
 +                      result = result->parent;
 +              }
 +      }
 +      if(result)
 +              return result->dp;
 +      return NULL;
 +}
 +
 +struct delegpt* 
 +forwards_lookup_root(struct iter_forwards* fwd, uint16_t qclass)
 +{
 +      uint8_t root = 0;
 +      return forwards_lookup(fwd, &root, qclass);
 +}
 +
 +int
 +forwards_next_root(struct iter_forwards* fwd, uint16_t* dclass)
 +{
 +      struct iter_forward_zone key;
 +      rbnode_t* n;
 +      struct iter_forward_zone* p;
 +      if(*dclass == 0) {
 +              /* first root item is first item in tree */
 +              n = rbtree_first(fwd->tree);
 +              if(n == RBTREE_NULL)
 +                      return 0;
 +              p = (struct iter_forward_zone*)n;
 +              if(dname_is_root(p->name)) {
 +                      *dclass = p->dclass;
 +                      return 1;
 +              }
 +              /* root not first item? search for higher items */
 +              *dclass = p->dclass + 1;
 +              return forwards_next_root(fwd, dclass);
 +      }
 +      /* find class n in tree, we may get a direct hit, or if we don't
 +       * this is the last item of the previous class so rbtree_next() takes
 +       * us to the next root (if any) */
 +      key.node.key = &key;
 +      key.name = (uint8_t*)"\000";
 +      key.namelen = 1;
 +      key.namelabs = 0;
 +      key.dclass = *dclass;
 +      n = NULL;
 +      if(rbtree_find_less_equal(fwd->tree, &key, &n)) {
 +              /* exact */
 +              return 1;
 +      } else {
 +              /* smaller element */
 +              if(!n || n == RBTREE_NULL)
 +                      return 0; /* nothing found */
 +              n = rbtree_next(n);
 +              if(n == RBTREE_NULL)
 +                      return 0; /* no higher */
 +              p = (struct iter_forward_zone*)n;
 +              if(dname_is_root(p->name)) {
 +                      *dclass = p->dclass;
 +                      return 1;
 +              }
 +              /* not a root node, return next higher item */
 +              *dclass = p->dclass+1;
 +              return forwards_next_root(fwd, dclass);
 +      }
 +}
 +
 +size_t 
 +forwards_get_mem(struct iter_forwards* fwd)
 +{
 +      struct iter_forward_zone* p;
 +      size_t s;
 +      if(!fwd)
 +              return 0;
 +      s = sizeof(*fwd) + sizeof(*fwd->tree);
 +      RBTREE_FOR(p, struct iter_forward_zone*, fwd->tree) {
 +              s += sizeof(*p) + p->namelen + delegpt_get_mem(p->dp);
 +      }
 +      return s;
 +}
 +
 +static struct iter_forward_zone*
 +fwd_zone_find(struct iter_forwards* fwd, uint16_t c, uint8_t* nm)
 +{
 +      struct iter_forward_zone key;
 +      key.node.key = &key;
 +      key.dclass = c;
 +      key.name = nm;
 +      key.namelabs = dname_count_size_labels(nm, &key.namelen);
 +      return (struct iter_forward_zone*)rbtree_search(fwd->tree, &key);
 +}
 +
 +int 
 +forwards_add_zone(struct iter_forwards* fwd, uint16_t c, struct delegpt* dp)
 +{
 +      struct iter_forward_zone *z;
 +      if((z=fwd_zone_find(fwd, c, dp->name)) != NULL) {
 +              (void)rbtree_delete(fwd->tree, &z->node);
 +              fwd_zone_free(z);
 +      }
 +      if(!forwards_insert(fwd, c, dp))
 +              return 0;
 +      fwd_init_parents(fwd);
 +      return 1;
 +}
 +
 +void 
 +forwards_delete_zone(struct iter_forwards* fwd, uint16_t c, uint8_t* nm)
 +{
 +      struct iter_forward_zone *z;
 +      if(!(z=fwd_zone_find(fwd, c, nm)))
 +              return; /* nothing to do */
 +      (void)rbtree_delete(fwd->tree, &z->node);
 +      fwd_zone_free(z);
 +      fwd_init_parents(fwd);
 +}
 +
 +int
 +forwards_add_stub_hole(struct iter_forwards* fwd, uint16_t c, uint8_t* nm)
 +{
 +      if(!fwd_add_stub_hole(fwd, c, nm)) {
 +              return 0;
 +      }
 +      fwd_init_parents(fwd);
 +      return 1;
 +}
 +
 +void
 +forwards_delete_stub_hole(struct iter_forwards* fwd, uint16_t c, uint8_t* nm)
 +{
 +      struct iter_forward_zone *z;
 +      if(!(z=fwd_zone_find(fwd, c, nm)))
 +              return; /* nothing to do */
 +      if(z->dp != NULL)
 +              return; /* not a stub hole */
 +      (void)rbtree_delete(fwd->tree, &z->node);
 +      fwd_zone_free(z);
 +      fwd_init_parents(fwd);
 +}
 +
diff --cc contrib/unbound/iterator/iter_hints.c
index 57b57c2e034d0ffc8772e3c16bd150bb5023a60f,0000000000000000000000000000000000000000..25cae0723751ea65bbb15e332e4a9752aac895bc
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_hints.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_hints.c
@@@ -1,542 -1,0 +1,542 @@@
- #include "ldns/rrdef.h"
- #include "ldns/str2wire.h"
- #include "ldns/wire2str.h"
 +/*
 + * iterator/iter_hints.c - iterative resolver module stub and root hints.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist the iterator module.
 + * Keep track of stub and root hints, and read those from config.
 + */
 +#include "config.h"
 +#include "iterator/iter_hints.h"
 +#include "iterator/iter_delegpt.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
++#include "sldns/rrdef.h"
++#include "sldns/str2wire.h"
++#include "sldns/wire2str.h"
 +
 +struct iter_hints* 
 +hints_create(void)
 +{
 +      struct iter_hints* hints = (struct iter_hints*)calloc(1,
 +              sizeof(struct iter_hints));
 +      if(!hints)
 +              return NULL;
 +      return hints;
 +}
 +
 +static void hints_stub_free(struct iter_hints_stub* s)
 +{
 +      if(!s) return;
 +      delegpt_free_mlc(s->dp);
 +      free(s);
 +}
 +
 +static void delhintnode(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct iter_hints_stub* node = (struct iter_hints_stub*)n;
 +      hints_stub_free(node);
 +}
 +
 +static void hints_del_tree(struct iter_hints* hints)
 +{
 +      traverse_postorder(&hints->tree, &delhintnode, NULL);
 +}
 +
 +void 
 +hints_delete(struct iter_hints* hints)
 +{
 +      if(!hints) 
 +              return;
 +      hints_del_tree(hints);
 +      free(hints);
 +}
 +
 +/** add hint to delegation hints */
 +static int
 +ah(struct delegpt* dp, const char* sv, const char* ip)
 +{
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      size_t dname_len;
 +      uint8_t* dname = sldns_str2wire_dname(sv, &dname_len);
 +      if(!dname) {
 +              log_err("could not parse %s", sv);
 +              return 0;
 +      }
 +      if(!delegpt_add_ns_mlc(dp, dname, 0) ||
 +         !extstrtoaddr(ip, &addr, &addrlen) ||
 +         !delegpt_add_target_mlc(dp, dname, dname_len,
 +              &addr, addrlen, 0, 0)) {
 +              free(dname);
 +              return 0;
 +      }
 +      free(dname);
 +      return 1;
 +}
 +
 +/** obtain compiletime provided root hints */
 +static struct delegpt* 
 +compile_time_root_prime(int do_ip4, int do_ip6)
 +{
 +      /* from:
 +       ;       This file is made available by InterNIC
 +       ;       under anonymous FTP as
 +       ;           file                /domain/named.cache
 +       ;           on server           FTP.INTERNIC.NET
 +       ;       -OR-                    RS.INTERNIC.NET
 +       ;
 +       ;       related version of root zone:   changes-on-20120103
 +       */
 +      struct delegpt* dp = delegpt_create_mlc((uint8_t*)"\000");
 +      if(!dp)
 +              return NULL;
 +      dp->has_parent_side_NS = 1;
 +      if(do_ip4) {
 +      if(!ah(dp, "A.ROOT-SERVERS.NET.", "198.41.0.4"))        goto failed;
 +      if(!ah(dp, "B.ROOT-SERVERS.NET.", "192.228.79.201")) goto failed;
 +      if(!ah(dp, "C.ROOT-SERVERS.NET.", "192.33.4.12"))       goto failed;
 +      if(!ah(dp, "D.ROOT-SERVERS.NET.", "199.7.91.13"))       goto failed;
 +      if(!ah(dp, "E.ROOT-SERVERS.NET.", "192.203.230.10")) goto failed;
 +      if(!ah(dp, "F.ROOT-SERVERS.NET.", "192.5.5.241"))       goto failed;
 +      if(!ah(dp, "G.ROOT-SERVERS.NET.", "192.112.36.4"))      goto failed;
 +      if(!ah(dp, "H.ROOT-SERVERS.NET.", "128.63.2.53"))       goto failed;
 +      if(!ah(dp, "I.ROOT-SERVERS.NET.", "192.36.148.17"))     goto failed;
 +      if(!ah(dp, "J.ROOT-SERVERS.NET.", "192.58.128.30"))     goto failed;
 +      if(!ah(dp, "K.ROOT-SERVERS.NET.", "193.0.14.129"))      goto failed;
 +      if(!ah(dp, "L.ROOT-SERVERS.NET.", "199.7.83.42"))       goto failed;
 +      if(!ah(dp, "M.ROOT-SERVERS.NET.", "202.12.27.33"))      goto failed;
 +      }
 +      if(do_ip6) {
 +      if(!ah(dp, "A.ROOT-SERVERS.NET.", "2001:503:ba3e::2:30")) goto failed;
 +      if(!ah(dp, "B.ROOT-SERVERS.NET.", "2001:500:84::b")) goto failed;
 +      if(!ah(dp, "C.ROOT-SERVERS.NET.", "2001:500:2::c")) goto failed;
 +      if(!ah(dp, "D.ROOT-SERVERS.NET.", "2001:500:2d::d")) goto failed;
 +      if(!ah(dp, "F.ROOT-SERVERS.NET.", "2001:500:2f::f")) goto failed;
 +      if(!ah(dp, "H.ROOT-SERVERS.NET.", "2001:500:1::803f:235")) goto failed;
 +      if(!ah(dp, "I.ROOT-SERVERS.NET.", "2001:7fe::53")) goto failed;
 +      if(!ah(dp, "J.ROOT-SERVERS.NET.", "2001:503:c27::2:30")) goto failed;
 +      if(!ah(dp, "K.ROOT-SERVERS.NET.", "2001:7fd::1")) goto failed;
 +      if(!ah(dp, "L.ROOT-SERVERS.NET.", "2001:500:3::42")) goto failed;
 +      if(!ah(dp, "M.ROOT-SERVERS.NET.", "2001:dc3::35")) goto failed;
 +      }
 +      return dp;
 +failed:
 +      delegpt_free_mlc(dp);
 +      return 0;
 +}
 +
 +/** insert new hint info into hint structure */
 +static int
 +hints_insert(struct iter_hints* hints, uint16_t c, struct delegpt* dp,
 +      int noprime)
 +{
 +      struct iter_hints_stub* node = (struct iter_hints_stub*)malloc(
 +              sizeof(struct iter_hints_stub));
 +      if(!node) {
 +              delegpt_free_mlc(dp);
 +              return 0;
 +      }
 +      node->dp = dp;
 +      node->noprime = (uint8_t)noprime;
 +      if(!name_tree_insert(&hints->tree, &node->node, dp->name, dp->namelen,
 +              dp->namelabs, c)) {
 +              char buf[257];
 +              dname_str(dp->name, buf);
 +              log_err("second hints for zone %s ignored.", buf);
 +              delegpt_free_mlc(dp);
 +              free(node);
 +      }
 +      return 1;
 +}
 +
 +/** set stub name */
 +static struct delegpt* 
 +read_stubs_name(struct config_stub* s)
 +{
 +      struct delegpt* dp;
 +      size_t dname_len;
 +      uint8_t* dname;
 +      if(!s->name) {
 +              log_err("stub zone without a name");
 +              return NULL;
 +      }
 +      dname = sldns_str2wire_dname(s->name, &dname_len);
 +      if(!dname) {
 +              log_err("cannot parse stub zone name %s", s->name);
 +              return NULL;
 +      }
 +      if(!(dp=delegpt_create_mlc(dname))) {
 +              free(dname);
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      free(dname);
 +      return dp;
 +}
 +
 +/** set stub host names */
 +static int 
 +read_stubs_host(struct config_stub* s, struct delegpt* dp)
 +{
 +      struct config_strlist* p;
 +      size_t dname_len;
 +      uint8_t* dname;
 +      for(p = s->hosts; p; p = p->next) {
 +              log_assert(p->str);
 +              dname = sldns_str2wire_dname(p->str, &dname_len);
 +              if(!dname) {
 +                      log_err("cannot parse stub %s nameserver name: '%s'", 
 +                              s->name, p->str);
 +                      return 0;
 +              }
 +              if(!delegpt_add_ns_mlc(dp, dname, 0)) {
 +                      free(dname);
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              free(dname);
 +      }
 +      return 1;
 +}
 +
 +/** set stub server addresses */
 +static int 
 +read_stubs_addr(struct config_stub* s, struct delegpt* dp)
 +{
 +      struct config_strlist* p;
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      for(p = s->addrs; p; p = p->next) {
 +              log_assert(p->str);
 +              if(!extstrtoaddr(p->str, &addr, &addrlen)) {
 +                      log_err("cannot parse stub %s ip address: '%s'", 
 +                              s->name, p->str);
 +                      return 0;
 +              }
 +              if(!delegpt_add_addr_mlc(dp, &addr, addrlen, 0, 0)) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** read stubs config */
 +static int 
 +read_stubs(struct iter_hints* hints, struct config_file* cfg)
 +{
 +      struct config_stub* s;
 +      struct delegpt* dp;
 +      for(s = cfg->stubs; s; s = s->next) {
 +              if(!(dp=read_stubs_name(s)))
 +                      return 0;
 +              if(!read_stubs_host(s, dp) || !read_stubs_addr(s, dp)) {
 +                      delegpt_free_mlc(dp);
 +                      return 0;
 +              }
 +              /* the flag is turned off for 'stub-first' so that the
 +               * last resort will ask for parent-side NS record and thus
 +               * fallback to the internet name servers on a failure */
 +              dp->has_parent_side_NS = (uint8_t)!s->isfirst;
 +              delegpt_log(VERB_QUERY, dp);
 +              if(!hints_insert(hints, LDNS_RR_CLASS_IN, dp, !s->isprime))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** read root hints from file */
 +static int 
 +read_root_hints(struct iter_hints* hints, char* fname)
 +{
 +      struct sldns_file_parse_state pstate;
 +      struct delegpt* dp;
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      size_t rr_len, dname_len;
 +      int status;
 +      uint16_t c = LDNS_RR_CLASS_IN;
 +      FILE* f = fopen(fname, "r");
 +      if(!f) {
 +              log_err("could not read root hints %s: %s",
 +                      fname, strerror(errno));
 +              return 0;
 +      }
 +      dp = delegpt_create_mlc(NULL);
 +      if(!dp) {
 +              log_err("out of memory reading root hints");
 +              fclose(f);
 +              return 0;
 +      }
 +      verbose(VERB_QUERY, "Reading root hints from %s", fname);
 +      memset(&pstate, 0, sizeof(pstate));
 +      pstate.lineno = 1;
 +      dp->has_parent_side_NS = 1;
 +      while(!feof(f)) {
 +              rr_len = sizeof(rr);
 +              dname_len = 0;
 +              status = sldns_fp2wire_rr_buf(f, rr, &rr_len, &dname_len,
 +                      &pstate);
 +              if(status != 0) {
 +                      log_err("reading root hints %s %d:%d: %s", fname,
 +                              pstate.lineno, LDNS_WIREPARSE_OFFSET(status),
 +                              sldns_get_errorstr_parse(status));
 +                      goto stop_read;
 +              }
 +              if(rr_len == 0)
 +                      continue; /* EMPTY line, TTL or ORIGIN */
 +              if(sldns_wirerr_get_type(rr, rr_len, dname_len)
 +                      == LDNS_RR_TYPE_NS) {
 +                      if(!delegpt_add_ns_mlc(dp, sldns_wirerr_get_rdata(rr,
 +                              rr_len, dname_len), 0)) {
 +                              log_err("out of memory reading root hints");
 +                              goto stop_read;
 +                      }
 +                      c = sldns_wirerr_get_class(rr, rr_len, dname_len);
 +                      if(!dp->name) {
 +                              if(!delegpt_set_name_mlc(dp, rr)) {
 +                                      log_err("out of memory.");
 +                                      goto stop_read;
 +                              }
 +                      }
 +              } else if(sldns_wirerr_get_type(rr, rr_len, dname_len)
 +                      == LDNS_RR_TYPE_A && sldns_wirerr_get_rdatalen(rr,
 +                      rr_len, dname_len) == INET_SIZE) {
 +                      struct sockaddr_in sa;
 +                      socklen_t len = (socklen_t)sizeof(sa);
 +                      memset(&sa, 0, len);
 +                      sa.sin_family = AF_INET;
 +                      sa.sin_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +                      memmove(&sa.sin_addr, 
 +                              sldns_wirerr_get_rdata(rr, rr_len, dname_len),
 +                              INET_SIZE);
 +                      if(!delegpt_add_target_mlc(dp, rr, dname_len,
 +                                      (struct sockaddr_storage*)&sa, len, 
 +                                      0, 0)) {
 +                              log_err("out of memory reading root hints");
 +                              goto stop_read;
 +                      }
 +              } else if(sldns_wirerr_get_type(rr, rr_len, dname_len)
 +                      == LDNS_RR_TYPE_AAAA && sldns_wirerr_get_rdatalen(rr,
 +                      rr_len, dname_len) == INET6_SIZE) {
 +                      struct sockaddr_in6 sa;
 +                      socklen_t len = (socklen_t)sizeof(sa);
 +                      memset(&sa, 0, len);
 +                      sa.sin6_family = AF_INET6;
 +                      sa.sin6_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +                      memmove(&sa.sin6_addr, 
 +                              sldns_wirerr_get_rdata(rr, rr_len, dname_len),
 +                              INET6_SIZE);
 +                      if(!delegpt_add_target_mlc(dp, rr, dname_len,
 +                                      (struct sockaddr_storage*)&sa, len,
 +                                      0, 0)) {
 +                              log_err("out of memory reading root hints");
 +                              goto stop_read;
 +                      }
 +              } else {
 +                      char buf[17];
 +                      sldns_wire2str_type_buf(sldns_wirerr_get_type(rr,
 +                              rr_len, dname_len), buf, sizeof(buf));
 +                      log_warn("root hints %s:%d skipping type %s",
 +                              fname, pstate.lineno, buf);
 +              }
 +      }
 +      fclose(f);
 +      if(!dp->name) {
 +              log_warn("root hints %s: no NS content", fname);
 +              delegpt_free_mlc(dp);
 +              return 1;
 +      }
 +      if(!hints_insert(hints, c, dp, 0)) {
 +              return 0;
 +      }
 +      delegpt_log(VERB_QUERY, dp);
 +      return 1;
 +
 +stop_read:
 +      delegpt_free_mlc(dp);
 +      fclose(f);
 +      return 0;
 +}
 +
 +/** read root hints list */
 +static int 
 +read_root_hints_list(struct iter_hints* hints, struct config_file* cfg)
 +{
 +      struct config_strlist* p;
 +      for(p = cfg->root_hints; p; p = p->next) {
 +              log_assert(p->str);
 +              if(p->str && p->str[0]) {
 +                      char* f = p->str;
 +                      if(cfg->chrootdir && cfg->chrootdir[0] &&
 +                              strncmp(p->str, cfg->chrootdir, 
 +                              strlen(cfg->chrootdir)) == 0)
 +                              f += strlen(cfg->chrootdir);
 +                      if(!read_root_hints(hints, f))
 +                              return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +int 
 +hints_apply_cfg(struct iter_hints* hints, struct config_file* cfg)
 +{
 +      hints_del_tree(hints);
 +      name_tree_init(&hints->tree);
 +      
 +      /* read root hints */
 +      if(!read_root_hints_list(hints, cfg))
 +              return 0;
 +
 +      /* read stub hints */
 +      if(!read_stubs(hints, cfg))
 +              return 0;
 +
 +      /* use fallback compiletime root hints */
 +      if(!hints_lookup_root(hints, LDNS_RR_CLASS_IN)) {
 +              struct delegpt* dp = compile_time_root_prime(cfg->do_ip4,
 +                      cfg->do_ip6);
 +              verbose(VERB_ALGO, "no config, using builtin root hints.");
 +              if(!dp) 
 +                      return 0;
 +              if(!hints_insert(hints, LDNS_RR_CLASS_IN, dp, 0))
 +                      return 0;
 +      }
 +
 +      name_tree_init_parents(&hints->tree);
 +      return 1;
 +}
 +
 +struct delegpt* 
 +hints_lookup_root(struct iter_hints* hints, uint16_t qclass)
 +{
 +      uint8_t rootlab = 0;
 +      struct iter_hints_stub *stub;
 +      stub = (struct iter_hints_stub*)name_tree_find(&hints->tree,
 +              &rootlab, 1, 1, qclass);
 +      if(!stub)
 +              return NULL;
 +      return stub->dp;
 +}
 +
 +struct iter_hints_stub* 
 +hints_lookup_stub(struct iter_hints* hints, uint8_t* qname, 
 +      uint16_t qclass, struct delegpt* cache_dp)
 +{
 +      size_t len;
 +      int labs;
 +      struct iter_hints_stub *r;
 +
 +      /* first lookup the stub */
 +      labs = dname_count_size_labels(qname, &len);
 +      r = (struct iter_hints_stub*)name_tree_lookup(&hints->tree, qname,
 +              len, labs, qclass);
 +      if(!r) return NULL;
 +
 +      /* If there is no cache (root prime situation) */
 +      if(cache_dp == NULL) {
 +              if(r->dp->namelabs != 1)
 +                      return r; /* no cache dp, use any non-root stub */
 +              return NULL;
 +      }
 +
 +      /*
 +       * If the stub is same as the delegation we got
 +       * And has noprime set, we need to 'prime' to use this stub instead.
 +       */
 +      if(r->noprime && query_dname_compare(cache_dp->name, r->dp->name)==0)
 +              return r; /* use this stub instead of cached dp */
 +      
 +      /* 
 +       * If our cached delegation point is above the hint, we need to prime.
 +       */
 +      if(dname_strict_subdomain(r->dp->name, r->dp->namelabs,
 +              cache_dp->name, cache_dp->namelabs))
 +              return r; /* need to prime this stub */
 +      return NULL;
 +}
 +
 +int hints_next_root(struct iter_hints* hints, uint16_t* qclass)
 +{
 +      return name_tree_next_root(&hints->tree, qclass);
 +}
 +
 +size_t 
 +hints_get_mem(struct iter_hints* hints)
 +{
 +      size_t s;
 +      struct iter_hints_stub* p;
 +      if(!hints) return 0;
 +      s = sizeof(*hints);
 +      RBTREE_FOR(p, struct iter_hints_stub*, &hints->tree) {
 +              s += sizeof(*p) + delegpt_get_mem(p->dp);
 +      }
 +      return s;
 +}
 +
 +int 
 +hints_add_stub(struct iter_hints* hints, uint16_t c, struct delegpt* dp,
 +      int noprime)
 +{
 +      struct iter_hints_stub *z;
 +      if((z=(struct iter_hints_stub*)name_tree_find(&hints->tree,
 +              dp->name, dp->namelen, dp->namelabs, c)) != NULL) {
 +              (void)rbtree_delete(&hints->tree, &z->node);
 +              hints_stub_free(z);
 +      }
 +      if(!hints_insert(hints, c, dp, noprime))
 +              return 0;
 +      name_tree_init_parents(&hints->tree);
 +      return 1;
 +}
 +
 +void 
 +hints_delete_stub(struct iter_hints* hints, uint16_t c, uint8_t* nm)
 +{
 +      struct iter_hints_stub *z;
 +      size_t len;
 +      int labs = dname_count_size_labels(nm, &len);
 +      if(!(z=(struct iter_hints_stub*)name_tree_find(&hints->tree,
 +              nm, len, labs, c)))
 +              return; /* nothing to do */
 +      (void)rbtree_delete(&hints->tree, &z->node);
 +      hints_stub_free(z);
 +      name_tree_init_parents(&hints->tree);
 +}
 +
diff --cc contrib/unbound/iterator/iter_priv.c
index 9e09a84bd01e69c32aed4def49ba149c46eb0560,0000000000000000000000000000000000000000..90bea1746d9aa6f52ee579192170ea8af9dd1bb2
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_priv.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_priv.c
@@@ -1,296 -1,0 +1,296 @@@
- #include "ldns/str2wire.h"
- #include "ldns/sbuffer.h"
 +/*
 + * iterator/iter_priv.c - iterative resolver private address and domain store
 + *
 + * Copyright (c) 2008, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist the iterator module.
 + * Keep track of the private addresses and lookup fast.
 + */
 +
 +#include "config.h"
 +#include "iterator/iter_priv.h"
 +#include "util/regional.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgparse.h"
 +#include "util/net_help.h"
 +#include "util/storage/dnstree.h"
++#include "sldns/str2wire.h"
++#include "sldns/sbuffer.h"
 +
 +struct iter_priv* priv_create(void)
 +{
 +      struct iter_priv* priv = (struct iter_priv*)calloc(1, sizeof(*priv));
 +      if(!priv)
 +              return NULL;
 +      priv->region = regional_create();
 +      if(!priv->region) {
 +              priv_delete(priv);
 +              return NULL;
 +      }
 +      addr_tree_init(&priv->a);
 +      name_tree_init(&priv->n);
 +      return priv;
 +}
 +
 +void priv_delete(struct iter_priv* priv)
 +{
 +      if(!priv) return;
 +      regional_destroy(priv->region);
 +      free(priv);
 +}
 +
 +/** Read private-addr declarations from config */
 +static int read_addrs(struct iter_priv* priv, struct config_file* cfg)
 +{
 +      /* parse addresses, report errors, insert into tree */
 +      struct config_strlist* p;
 +      struct addr_tree_node* n;
 +      struct sockaddr_storage addr;
 +      int net;
 +      socklen_t addrlen;
 +
 +      for(p = cfg->private_address; p; p = p->next) {
 +              log_assert(p->str);
 +              if(!netblockstrtoaddr(p->str, UNBOUND_DNS_PORT, &addr, 
 +                      &addrlen, &net)) {
 +                      log_err("cannot parse private-address: %s", p->str);
 +                      return 0;
 +              }
 +              n = (struct addr_tree_node*)regional_alloc(priv->region,
 +                      sizeof(*n));
 +              if(!n) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              if(!addr_tree_insert(&priv->a, n, &addr, addrlen, net)) {
 +                      verbose(VERB_QUERY, "ignoring duplicate "
 +                              "private-address: %s", p->str);
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** Read private-domain declarations from config */
 +static int read_names(struct iter_priv* priv, struct config_file* cfg)
 +{
 +      /* parse names, report errors, insert into tree */
 +      struct config_strlist* p;
 +      struct name_tree_node* n;
 +      uint8_t* nm, *nmr;
 +      size_t nm_len;
 +      int nm_labs;
 +
 +      for(p = cfg->private_domain; p; p = p->next) {
 +              log_assert(p->str);
 +              nm = sldns_str2wire_dname(p->str, &nm_len);
 +              if(!nm) {
 +                      log_err("cannot parse private-domain: %s", p->str);
 +                      return 0;
 +              }
 +              nm_labs = dname_count_size_labels(nm, &nm_len);
 +              nmr = (uint8_t*)regional_alloc_init(priv->region, nm, nm_len);
 +              free(nm);
 +              if(!nmr) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              n = (struct name_tree_node*)regional_alloc(priv->region,
 +                      sizeof(*n));
 +              if(!n) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              if(!name_tree_insert(&priv->n, n, nmr, nm_len, nm_labs,
 +                      LDNS_RR_CLASS_IN)) {
 +                      verbose(VERB_QUERY, "ignoring duplicate "
 +                              "private-domain: %s", p->str);
 +              }
 +      }
 +      return 1;
 +}
 +
 +int priv_apply_cfg(struct iter_priv* priv, struct config_file* cfg)
 +{
 +      /* empty the current contents */
 +      regional_free_all(priv->region);
 +      addr_tree_init(&priv->a);
 +      name_tree_init(&priv->n);
 +
 +      /* read new contents */
 +      if(!read_addrs(priv, cfg))
 +              return 0;
 +      if(!read_names(priv, cfg))
 +              return 0;
 +
 +      /* prepare for lookups */
 +      addr_tree_init_parents(&priv->a);
 +      name_tree_init_parents(&priv->n);
 +      return 1;
 +}
 +
 +/**
 + * See if an address is blocked.
 + * @param priv: structure for address storage.
 + * @param addr: address to check
 + * @param addrlen: length of addr.
 + * @return: true if the address must not be queried. false if unlisted.
 + */
 +static int 
 +priv_lookup_addr(struct iter_priv* priv, struct sockaddr_storage* addr,
 +      socklen_t addrlen)
 +{
 +      return addr_tree_lookup(&priv->a, addr, addrlen) != NULL;
 +}
 +
 +/**
 + * See if a name is whitelisted.
 + * @param priv: structure for address storage.
 + * @param pkt: the packet (for compression ptrs).
 + * @param name: name to check.
 + * @param name_len: uncompressed length of the name to check.
 + * @param dclass: class to check.
 + * @return: true if the name is OK. false if unlisted.
 + */
 +static int 
 +priv_lookup_name(struct iter_priv* priv, sldns_buffer* pkt,
 +      uint8_t* name, size_t name_len, uint16_t dclass)
 +{
 +      size_t len;
 +      uint8_t decomp[256];
 +      int labs;
 +      if(name_len >= sizeof(decomp))
 +              return 0;
 +      dname_pkt_copy(pkt, decomp, name);
 +      labs = dname_count_size_labels(decomp, &len);
 +      log_assert(name_len == len);
 +      return name_tree_lookup(&priv->n, decomp, len, labs, dclass) != NULL;
 +}
 +
 +size_t priv_get_mem(struct iter_priv* priv)
 +{
 +      if(!priv) return 0;
 +      return sizeof(*priv) + regional_get_mem(priv->region);
 +}
 +
 +/** remove RR from msgparse RRset, return true if rrset is entirely bad */
 +static int
 +remove_rr(const char* str, sldns_buffer* pkt, struct rrset_parse* rrset,
 +      struct rr_parse* prev, struct rr_parse** rr, struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      if(verbosity >= VERB_QUERY && rrset->dname_len <= LDNS_MAX_DOMAINLEN && str) {
 +              uint8_t buf[LDNS_MAX_DOMAINLEN+1];
 +              dname_pkt_copy(pkt, buf, rrset->dname);
 +              log_name_addr(VERB_QUERY, str, buf, addr, addrlen);
 +      }
 +      if(prev)
 +              prev->next = (*rr)->next;
 +      else    rrset->rr_first = (*rr)->next;
 +      if(rrset->rr_last == *rr)
 +              rrset->rr_last = prev;
 +      rrset->rr_count --;
 +      rrset->size -= (*rr)->size;
 +      /* rr struct still exists, but is unlinked, so that in the for loop
 +       * the rr->next works fine to continue. */
 +      return rrset->rr_count == 0;
 +}
 +
 +int priv_rrset_bad(struct iter_priv* priv, sldns_buffer* pkt,
 +      struct rrset_parse* rrset)
 +{
 +      if(priv->a.count == 0) 
 +              return 0; /* there are no blocked addresses */
 +
 +      /* see if it is a private name, that is allowed to have any */
 +      if(priv_lookup_name(priv, pkt, rrset->dname, rrset->dname_len,
 +              ntohs(rrset->rrset_class))) {
 +              return 0;
 +      } else {
 +              /* so its a public name, check the address */
 +              socklen_t len;
 +              struct rr_parse* rr, *prev = NULL;
 +              if(rrset->type == LDNS_RR_TYPE_A) {
 +                      struct sockaddr_storage addr;
 +                      struct sockaddr_in sa;
 +
 +                      len = (socklen_t)sizeof(sa);
 +                      memset(&sa, 0, len);
 +                      sa.sin_family = AF_INET;
 +                      sa.sin_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +                      for(rr = rrset->rr_first; rr; rr = rr->next) {
 +                              if(sldns_read_uint16(rr->ttl_data+4) 
 +                                      != INET_SIZE) {
 +                                      prev = rr;
 +                                      continue;
 +                              }
 +                              memmove(&sa.sin_addr, rr->ttl_data+4+2, 
 +                                      INET_SIZE);
 +                              memmove(&addr, &sa, len);
 +                              if(priv_lookup_addr(priv, &addr, len)) {
 +                                      if(remove_rr("sanitize: removing public name with private address", pkt, rrset, prev, &rr, &addr, len))
 +                                              return 1;
 +                                      continue;
 +                              }
 +                              prev = rr;
 +                      }
 +              } else if(rrset->type == LDNS_RR_TYPE_AAAA) {
 +                      struct sockaddr_storage addr;
 +                      struct sockaddr_in6 sa;
 +                      len = (socklen_t)sizeof(sa);
 +                      memset(&sa, 0, len);
 +                      sa.sin6_family = AF_INET6;
 +                      sa.sin6_port = (in_port_t)htons(UNBOUND_DNS_PORT);
 +                      for(rr = rrset->rr_first; rr; rr = rr->next) {
 +                              if(sldns_read_uint16(rr->ttl_data+4) 
 +                                      != INET6_SIZE) {
 +                                      prev = rr;
 +                                      continue;
 +                              }
 +                              memmove(&sa.sin6_addr, rr->ttl_data+4+2, 
 +                                      INET6_SIZE);
 +                              memmove(&addr, &sa, len);
 +                              if(priv_lookup_addr(priv, &addr, len)) {
 +                                      if(remove_rr("sanitize: removing public name with private address", pkt, rrset, prev, &rr, &addr, len))
 +                                              return 1;
 +                                      continue;
 +                              }
 +                              prev = rr;
 +                      }
 +              } 
 +      }
 +      return 0;
 +}
diff --cc contrib/unbound/iterator/iter_resptype.c
index 45f919387dcabee6e991e3319b21b5129ea793a8,0000000000000000000000000000000000000000..f146a2b6bfe8f19bb369ccb90691fadd780c5b17
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_resptype.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_resptype.c
@@@ -1,287 -1,0 +1,287 @@@
- #include "ldns/rrdef.h"
- #include "ldns/pkthdr.h"
 +/*
 + * iterator/iter_resptype.c - response type information and classification.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file defines the response type. DNS Responses can be classified as
 + * one of the response types.
 + */
 +#include "config.h"
 +#include "iterator/iter_resptype.h"
 +#include "iterator/iter_delegpt.h"
 +#include "services/cache/dns.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
++#include "sldns/rrdef.h"
++#include "sldns/pkthdr.h"
 +
 +enum response_type 
 +response_type_from_cache(struct dns_msg* msg, 
 +      struct query_info* request)
 +{
 +      /* If the message is NXDOMAIN, then it is an ANSWER. */
 +      if(FLAGS_GET_RCODE(msg->rep->flags) == LDNS_RCODE_NXDOMAIN)
 +              return RESPONSE_TYPE_ANSWER;
 +      if(request->qtype == LDNS_RR_TYPE_ANY)
 +              return RESPONSE_TYPE_ANSWER;
 +      
 +      /* First we look at the answer section. This can tell us if this is
 +       * CNAME or positive ANSWER. */
 +      if(msg->rep->an_numrrsets > 0) {
 +              /* Now look at the answer section first. 3 states: 
 +               *      o our answer is there directly,
 +               *      o our answer is there after a cname,
 +               *      o or there is just a cname. */
 +              uint8_t* mname = request->qname;
 +              size_t mname_len = request->qname_len;
 +              size_t i;
 +              for(i=0; i<msg->rep->an_numrrsets; i++) {
 +                      struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +
 +                      /* If we have encountered an answer (before or 
 +                       * after a CNAME), then we are done! Note that 
 +                       * if qtype == CNAME then this will be noted as 
 +                       * an ANSWER before it gets treated as a CNAME, 
 +                       * as it should */
 +                      if(ntohs(s->rk.type) == request->qtype &&
 +                              ntohs(s->rk.rrset_class) == request->qclass &&
 +                              query_dname_compare(mname, s->rk.dname) == 0) {
 +                              return RESPONSE_TYPE_ANSWER;
 +                      }
 +
 +                      /* If we have encountered a CNAME, make sure that 
 +                       * it is relevant. */
 +                      if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME &&
 +                              query_dname_compare(mname, s->rk.dname) == 0) {
 +                              get_cname_target(s, &mname, &mname_len);
 +                      }
 +              }
 +
 +              /* if we encountered a CNAME (or a bunch of CNAMEs), and 
 +               * still got to here, then it is a CNAME response. (i.e., 
 +               * the CNAME chain didn't terminate in an answer rrset.) */
 +              if(mname != request->qname) {
 +                      return RESPONSE_TYPE_CNAME;
 +              }
 +      }
 +
 +      /* At this point, since we don't need to detect REFERRAL or LAME 
 +       * messages, it can only be an ANSWER. */
 +      return RESPONSE_TYPE_ANSWER;
 +}
 +
 +enum response_type 
 +response_type_from_server(int rdset,
 +      struct dns_msg* msg, struct query_info* request, struct delegpt* dp)
 +{
 +      uint8_t* origzone = (uint8_t*)"\000"; /* the default */
 +      struct ub_packed_rrset_key* s;
 +      size_t i;
 +
 +      if(!msg || !request)
 +              return RESPONSE_TYPE_THROWAWAY;
 +      
 +      /* If the message is NXDOMAIN, then it answers the question. */
 +      if(FLAGS_GET_RCODE(msg->rep->flags) == LDNS_RCODE_NXDOMAIN) {
 +              /* make sure its not recursive when we don't want it to */
 +              if( (msg->rep->flags&BIT_RA) &&
 +                      !(msg->rep->flags&BIT_AA) && !rdset)
 +                              return RESPONSE_TYPE_REC_LAME;
 +              /* it could be a CNAME with NXDOMAIN rcode */
 +              for(i=0; i<msg->rep->an_numrrsets; i++) {
 +                      s = msg->rep->rrsets[i];
 +                      if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME &&
 +                              query_dname_compare(request->qname,
 +                              s->rk.dname) == 0) {
 +                              return RESPONSE_TYPE_CNAME;
 +                      }
 +              }
 +              return RESPONSE_TYPE_ANSWER;
 +      }
 +      
 +      /* Other response codes mean (so far) to throw the response away as
 +       * meaningless and move on to the next nameserver. */
 +      if(FLAGS_GET_RCODE(msg->rep->flags) != LDNS_RCODE_NOERROR)
 +              return RESPONSE_TYPE_THROWAWAY;
 +
 +      /* Note: TC bit has already been handled */
 +
 +      if(dp) {
 +              origzone = dp->name;
 +      }
 +
 +      /* First we look at the answer section. This can tell us if this is a
 +       * CNAME or ANSWER or (provisional) ANSWER. */
 +      if(msg->rep->an_numrrsets > 0) {
 +              uint8_t* mname = request->qname;
 +              size_t mname_len = request->qname_len;
 +
 +              /* Now look at the answer section first. 3 states: our 
 +               * answer is there directly, our answer is there after 
 +               * a cname, or there is just a cname. */
 +              for(i=0; i<msg->rep->an_numrrsets; i++) {
 +                      s = msg->rep->rrsets[i];
 +                      
 +                      /* if the answer section has NS rrset, and qtype ANY 
 +                       * and the delegation is lower, and no CNAMEs followed,
 +                       * this is a referral where the NS went to AN section */
 +                      if((request->qtype == LDNS_RR_TYPE_ANY ||
 +                              request->qtype == LDNS_RR_TYPE_NS) &&
 +                              ntohs(s->rk.type) == LDNS_RR_TYPE_NS &&
 +                              ntohs(s->rk.rrset_class) == request->qclass &&
 +                              dname_strict_subdomain_c(s->rk.dname, 
 +                              origzone)) {
 +                              if((msg->rep->flags&BIT_AA))
 +                                      return RESPONSE_TYPE_ANSWER;
 +                              return RESPONSE_TYPE_REFERRAL;
 +                      }
 +
 +                      /* If we have encountered an answer (before or 
 +                       * after a CNAME), then we are done! Note that 
 +                       * if qtype == CNAME then this will be noted as an
 +                       * ANSWER before it gets treated as a CNAME, as 
 +                       * it should. */
 +                      if(ntohs(s->rk.type) == request->qtype &&
 +                              ntohs(s->rk.rrset_class) == request->qclass &&
 +                              query_dname_compare(mname, s->rk.dname) == 0) {
 +                              if((msg->rep->flags&BIT_AA))
 +                                      return RESPONSE_TYPE_ANSWER;
 +                              /* If the AA bit isn't on, and we've seen 
 +                               * the answer, we only provisionally say 
 +                               * 'ANSWER' -- it very well could be a 
 +                               * REFERRAL. */
 +                              break;
 +                      }
 +
 +                      /* If we have encountered a CNAME, make sure that 
 +                       * it is relevant. */
 +                      if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME &&
 +                              query_dname_compare(mname, s->rk.dname) == 0) {
 +                              get_cname_target(s, &mname, &mname_len);
 +                      }
 +              }
 +              /* not a referral, and qtype any, thus an answer */
 +              if(request->qtype == LDNS_RR_TYPE_ANY)
 +                      return RESPONSE_TYPE_ANSWER;
 +              /* if we encountered a CNAME (or a bunch of CNAMEs), and 
 +               * still got to here, then it is a CNAME response. 
 +               * (This is regardless of the AA bit at this point) */
 +              if(mname != request->qname) {
 +                      return RESPONSE_TYPE_CNAME;
 +              }
 +      }
 +
 +      /* Looking at the authority section, we just look and see if 
 +       * there is a SOA record, that means a NOERROR/NODATA */
 +      for(i = msg->rep->an_numrrsets; i < (msg->rep->an_numrrsets +
 +              msg->rep->ns_numrrsets); i++) {
 +              s = msg->rep->rrsets[i];
 +
 +              /* The normal way of detecting NOERROR/NODATA. */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_SOA &&
 +                      dname_subdomain_c(request->qname, s->rk.dname)) {
 +                      /* we do our own recursion, thank you */
 +                      if( (msg->rep->flags&BIT_RA) &&
 +                              !(msg->rep->flags&BIT_AA) && !rdset)
 +                              return RESPONSE_TYPE_REC_LAME;
 +                      return RESPONSE_TYPE_ANSWER;
 +              }
 +      }
 +      /* Looking at the authority section, we just look and see if 
 +       * there is a delegation NS set, turning it into a delegation. 
 +       * Otherwise, we will have to conclude ANSWER (either it is 
 +       * NOERROR/NODATA, or an non-authoritative answer). */
 +      for(i = msg->rep->an_numrrsets; i < (msg->rep->an_numrrsets +
 +              msg->rep->ns_numrrsets); i++) {
 +              s = msg->rep->rrsets[i];
 +
 +              /* Detect REFERRAL/LAME/ANSWER based on the relationship 
 +               * of the NS set to the originating zone name. */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NS) {
 +                      /* If we are getting an NS set for the zone we 
 +                       * thought we were contacting, then it is an answer.*/
 +                      if(query_dname_compare(s->rk.dname, origzone) == 0) {
 +                              /* see if mistakenly a recursive server was
 +                               * deployed and is responding nonAA */
 +                              if( (msg->rep->flags&BIT_RA) &&
 +                                      !(msg->rep->flags&BIT_AA) && !rdset)
 +                                      return RESPONSE_TYPE_REC_LAME;
 +                              /* Or if a lame server is deployed,
 +                               * which gives ns==zone delegation from cache 
 +                               * without AA bit as well, with nodata nosoa*/
 +                              /* real answer must be +AA and SOA RFC(2308),
 +                               * so this is wrong, and we SERVFAIL it if
 +                               * this is the only possible reply, if it
 +                               * is misdeployed the THROWAWAY makes us pick
 +                               * the next server from the selection */
 +                              if(msg->rep->an_numrrsets==0 &&
 +                                      !(msg->rep->flags&BIT_AA) && !rdset)
 +                                      return RESPONSE_TYPE_THROWAWAY;
 +                              return RESPONSE_TYPE_ANSWER;
 +                      }
 +                      /* If we are getting a referral upwards (or to 
 +                       * the same zone), then the server is 'lame'. */
 +                      if(dname_subdomain_c(origzone, s->rk.dname)) {
 +                              if(rdset) /* forward or reclame not LAME */
 +                                      return RESPONSE_TYPE_THROWAWAY;
 +                              return RESPONSE_TYPE_LAME;
 +                      }
 +                      /* If the NS set is below the delegation point we 
 +                       * are on, and it is non-authoritative, then it is 
 +                       * a referral, otherwise it is an answer. */
 +                      if(dname_subdomain_c(s->rk.dname, origzone)) {
 +                              /* NOTE: I no longer remember in what case 
 +                               * we would like this to be an answer. 
 +                               * NODATA should have a SOA or nothing, 
 +                               * not an NS rrset. 
 +                               * True, referrals should not have the AA 
 +                               * bit set, but... */
 +                               
 +                              /* if((msg->rep->flags&BIT_AA))
 +                                      return RESPONSE_TYPE_ANSWER; */
 +                              return RESPONSE_TYPE_REFERRAL;
 +                      }
 +                      /* Otherwise, the NS set is irrelevant. */
 +              }
 +      }
 +
 +      /* If we've gotten this far, this is NOERROR/NODATA (which could 
 +       * be an entirely empty message) */
 +      /* check if recursive answer; saying it has empty cache */
 +      if( (msg->rep->flags&BIT_RA) && !(msg->rep->flags&BIT_AA) && !rdset)
 +              return RESPONSE_TYPE_REC_LAME;
 +      return RESPONSE_TYPE_ANSWER;
 +}
diff --cc contrib/unbound/iterator/iter_scrub.c
index 1c81975b234f9f385c21825df2ce0f06151a04b2,0000000000000000000000000000000000000000..cc05867c0a4b4968936ce3f743bfa4dc99b03f60
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_scrub.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_scrub.c
@@@ -1,756 -1,0 +1,756 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * iterator/iter_scrub.c - scrubbing, normalization, sanitization of DNS msgs.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file has routine(s) for cleaning up incoming DNS messages from 
 + * possible useless or malicious junk in it.
 + */
 +#include "config.h"
 +#include "iterator/iter_scrub.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_priv.h"
 +#include "services/cache/rrset.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +#include "util/config_file.h"
 +#include "util/module.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgreply.h"
 +#include "util/alloc.h"
-                               if(!parse_get_cname_target(rrset, &t, &tlen))
++#include "sldns/sbuffer.h"
 +
 +/** RRset flag used during scrubbing. The RRset is OK. */
 +#define RRSET_SCRUB_OK        0x80
 +
 +/** remove rrset, update loop variables */
 +static void
 +remove_rrset(const char* str, sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct rrset_parse* prev, struct rrset_parse** rrset)
 +{
 +      if(verbosity >= VERB_QUERY && str
 +              && (*rrset)->dname_len <= LDNS_MAX_DOMAINLEN) {
 +              uint8_t buf[LDNS_MAX_DOMAINLEN+1];
 +              dname_pkt_copy(pkt, buf, (*rrset)->dname);
 +              log_nametypeclass(VERB_QUERY, str, buf, 
 +                      (*rrset)->type, ntohs((*rrset)->rrset_class));
 +      }
 +      if(prev)
 +              prev->rrset_all_next = (*rrset)->rrset_all_next;
 +      else    msg->rrset_first = (*rrset)->rrset_all_next;
 +      if(msg->rrset_last == *rrset)
 +              msg->rrset_last = prev;
 +      msg->rrset_count --;
 +      switch((*rrset)->section) {
 +              case LDNS_SECTION_ANSWER: msg->an_rrsets--; break;
 +              case LDNS_SECTION_AUTHORITY: msg->ns_rrsets--; break;
 +              case LDNS_SECTION_ADDITIONAL: msg->ar_rrsets--; break;
 +              default: log_assert(0);
 +      }
 +      msgparse_bucket_remove(msg, *rrset);
 +      *rrset = (*rrset)->rrset_all_next;
 +}
 +
 +/** return true if rr type has additional names in it */
 +static int
 +has_additional(uint16_t t)
 +{
 +      switch(t) {
 +              case LDNS_RR_TYPE_MB:
 +              case LDNS_RR_TYPE_MD:
 +              case LDNS_RR_TYPE_MF:
 +              case LDNS_RR_TYPE_NS:
 +              case LDNS_RR_TYPE_MX:
 +              case LDNS_RR_TYPE_KX:
 +              case LDNS_RR_TYPE_SRV:
 +                      return 1;
 +              case LDNS_RR_TYPE_NAPTR:
 +                      /* TODO: NAPTR not supported, glue stripped off */
 +                      return 0;
 +      }
 +      return 0;
 +}
 +
 +/** get additional name from rrset RR, return false if no name present */
 +static int
 +get_additional_name(struct rrset_parse* rrset, struct rr_parse* rr, 
 +      uint8_t** nm, size_t* nmlen, sldns_buffer* pkt) 
 +{
 +      size_t offset = 0;
 +      size_t len, oldpos;
 +      switch(rrset->type) {
 +              case LDNS_RR_TYPE_MB:
 +              case LDNS_RR_TYPE_MD:
 +              case LDNS_RR_TYPE_MF:
 +              case LDNS_RR_TYPE_NS:
 +                      offset = 0;
 +                      break;
 +              case LDNS_RR_TYPE_MX:
 +              case LDNS_RR_TYPE_KX:
 +                      offset = 2;
 +                      break;
 +              case LDNS_RR_TYPE_SRV:
 +                      offset = 6;
 +                      break;
 +              case LDNS_RR_TYPE_NAPTR:
 +                      /* TODO: NAPTR not supported, glue stripped off */
 +                      return 0;
 +              default:
 +                      return 0;
 +      }
 +      len = sldns_read_uint16(rr->ttl_data+sizeof(uint32_t));
 +      if(len < offset+1)
 +              return 0; /* rdata field too small */
 +      *nm = rr->ttl_data+sizeof(uint32_t)+sizeof(uint16_t)+offset;
 +      oldpos = sldns_buffer_position(pkt);
 +      sldns_buffer_set_position(pkt, (size_t)(*nm - sldns_buffer_begin(pkt)));
 +      *nmlen = pkt_dname_len(pkt);
 +      sldns_buffer_set_position(pkt, oldpos);
 +      if(*nmlen == 0)
 +              return 0;
 +      return 1;
 +}
 +
 +/** Place mark on rrsets in additional section they are OK */
 +static void
 +mark_additional_rrset(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct rrset_parse* rrset)
 +{
 +      /* Mark A and AAAA for NS as appropriate additional section info. */
 +      uint8_t* nm = NULL;
 +      size_t nmlen = 0;
 +      struct rr_parse* rr;
 +
 +      if(!has_additional(rrset->type))
 +              return;
 +      for(rr = rrset->rr_first; rr; rr = rr->next) {
 +              if(get_additional_name(rrset, rr, &nm, &nmlen, pkt)) {
 +                      /* mark A */
 +                      hashvalue_t h = pkt_hash_rrset(pkt, nm, LDNS_RR_TYPE_A, 
 +                              rrset->rrset_class, 0);
 +                      struct rrset_parse* r = msgparse_hashtable_lookup(
 +                              msg, pkt, h, 0, nm, nmlen, 
 +                              LDNS_RR_TYPE_A, rrset->rrset_class);
 +                      if(r && r->section == LDNS_SECTION_ADDITIONAL) {
 +                              r->flags |= RRSET_SCRUB_OK;
 +                      }
 +                      
 +                      /* mark AAAA */
 +                      h = pkt_hash_rrset(pkt, nm, LDNS_RR_TYPE_AAAA, 
 +                              rrset->rrset_class, 0);
 +                      r = msgparse_hashtable_lookup(msg, pkt, h, 0, nm, 
 +                              nmlen, LDNS_RR_TYPE_AAAA, rrset->rrset_class);
 +                      if(r && r->section == LDNS_SECTION_ADDITIONAL) {
 +                              r->flags |= RRSET_SCRUB_OK;
 +                      }
 +              }
 +      }
 +}
 +
 +/** Get target name of a CNAME */
 +static int
 +parse_get_cname_target(struct rrset_parse* rrset, uint8_t** sname, 
 +      size_t* snamelen)
 +{
 +      if(rrset->rr_count != 1) {
 +              struct rr_parse* sig;
 +              verbose(VERB_ALGO, "Found CNAME rrset with "
 +                      "size > 1: %u", (unsigned)rrset->rr_count);
 +              /* use the first CNAME! */
 +              rrset->rr_count = 1;
 +              rrset->size = rrset->rr_first->size;
 +              for(sig=rrset->rrsig_first; sig; sig=sig->next)
 +                      rrset->size += sig->size;
 +              rrset->rr_last = rrset->rr_first;
 +              rrset->rr_first->next = NULL;
 +      }
 +      if(rrset->rr_first->size < sizeof(uint16_t)+1)
 +              return 0; /* CNAME rdata too small */
 +      *sname = rrset->rr_first->ttl_data + sizeof(uint32_t)
 +              + sizeof(uint16_t); /* skip ttl, rdatalen */
 +      *snamelen = rrset->rr_first->size - sizeof(uint16_t);
 +      return 1;
 +}
 +
 +/** Synthesize CNAME from DNAME, false if too long */
 +static int 
 +synth_cname(uint8_t* qname, size_t qnamelen, struct rrset_parse* dname_rrset, 
 +      uint8_t* alias, size_t* aliaslen, sldns_buffer* pkt)
 +{
 +      /* we already know that sname is a strict subdomain of DNAME owner */
 +      uint8_t* dtarg = NULL;
 +      size_t dtarglen;
 +      if(!parse_get_cname_target(dname_rrset, &dtarg, &dtarglen))
 +              return 0; 
 +      log_assert(qnamelen > dname_rrset->dname_len);
 +      /* DNAME from com. to net. with qname example.com. -> example.net. */
 +      /* so: \3com\0 to \3net\0 and qname \7example\3com\0 */
 +      *aliaslen = qnamelen + dtarglen - dname_rrset->dname_len;
 +      if(*aliaslen > LDNS_MAX_DOMAINLEN)
 +              return 0; /* should have been RCODE YXDOMAIN */
 +      /* decompress dnames into buffer, we know it fits */
 +      dname_pkt_copy(pkt, alias, qname);
 +      dname_pkt_copy(pkt, alias+(qnamelen-dname_rrset->dname_len), dtarg);
 +      return 1;
 +}
 +
 +/** synthesize a CNAME rrset */
 +static struct rrset_parse*
 +synth_cname_rrset(uint8_t** sname, size_t* snamelen, uint8_t* alias, 
 +      size_t aliaslen, struct regional* region, struct msg_parse* msg, 
 +      struct rrset_parse* rrset, struct rrset_parse* prev,
 +      struct rrset_parse* nx, sldns_buffer* pkt)
 +{
 +      struct rrset_parse* cn = (struct rrset_parse*)regional_alloc(region,
 +              sizeof(struct rrset_parse));
 +      if(!cn)
 +              return NULL;
 +      memset(cn, 0, sizeof(*cn));
 +      cn->rr_first = (struct rr_parse*)regional_alloc(region, 
 +              sizeof(struct rr_parse));
 +      if(!cn->rr_first)
 +              return NULL;
 +      cn->rr_last = cn->rr_first;
 +      /* CNAME from sname to alias */
 +      cn->dname = (uint8_t*)regional_alloc(region, *snamelen);
 +      if(!cn->dname)
 +              return NULL;
 +      dname_pkt_copy(pkt, cn->dname, *sname);
 +      cn->dname_len = *snamelen;
 +      cn->type = LDNS_RR_TYPE_CNAME;
 +      cn->section = rrset->section;
 +      cn->rrset_class = rrset->rrset_class;
 +      cn->rr_count = 1;
 +      cn->size = sizeof(uint16_t) + aliaslen;
 +      cn->hash=pkt_hash_rrset(pkt, cn->dname, cn->type, cn->rrset_class, 0);
 +      /* allocate TTL + rdatalen + uncompressed dname */
 +      memset(cn->rr_first, 0, sizeof(struct rr_parse));
 +      cn->rr_first->outside_packet = 1;
 +      cn->rr_first->ttl_data = (uint8_t*)regional_alloc(region, 
 +              sizeof(uint32_t)+sizeof(uint16_t)+aliaslen);
 +      if(!cn->rr_first->ttl_data)
 +              return NULL;
 +      sldns_write_uint32(cn->rr_first->ttl_data, 0); /* TTL = 0 */
 +      sldns_write_uint16(cn->rr_first->ttl_data+4, aliaslen);
 +      memmove(cn->rr_first->ttl_data+6, alias, aliaslen);
 +      cn->rr_first->size = sizeof(uint16_t)+aliaslen;
 +
 +      /* link it in */
 +      cn->rrset_all_next = nx;
 +      if(prev)
 +              prev->rrset_all_next = cn;
 +      else    msg->rrset_first = cn;
 +      if(nx == NULL)
 +              msg->rrset_last = cn;
 +      msg->rrset_count ++;
 +      msg->an_rrsets++;
 +      /* it is not inserted in the msg hashtable. */
 +
 +      *sname = cn->rr_first->ttl_data + sizeof(uint32_t)+sizeof(uint16_t);
 +      *snamelen = aliaslen;
 +      return cn;
 +}
 +
 +/** check if DNAME applies to a name */
 +static int
 +pkt_strict_sub(sldns_buffer* pkt, uint8_t* sname, uint8_t* dr)
 +{
 +      uint8_t buf1[LDNS_MAX_DOMAINLEN+1];
 +      uint8_t buf2[LDNS_MAX_DOMAINLEN+1];
 +      /* decompress names */
 +      dname_pkt_copy(pkt, buf1, sname);
 +      dname_pkt_copy(pkt, buf2, dr);
 +      return dname_strict_subdomain_c(buf1, buf2);
 +}
 +
 +/** check subdomain with decompression */
 +static int
 +pkt_sub(sldns_buffer* pkt, uint8_t* comprname, uint8_t* zone)
 +{
 +      uint8_t buf[LDNS_MAX_DOMAINLEN+1];
 +      dname_pkt_copy(pkt, buf, comprname);
 +      return dname_subdomain_c(buf, zone);
 +}
 +
 +/** check subdomain with decompression, compressed is parent */
 +static int
 +sub_of_pkt(sldns_buffer* pkt, uint8_t* zone, uint8_t* comprname)
 +{
 +      uint8_t buf[LDNS_MAX_DOMAINLEN+1];
 +      dname_pkt_copy(pkt, buf, comprname);
 +      return dname_subdomain_c(zone, buf);
 +}
 +
 +/**
 + * This routine normalizes a response. This includes removing "irrelevant"
 + * records from the answer and additional sections and (re)synthesizing
 + * CNAMEs from DNAMEs, if present.
 + *
 + * @param pkt: packet.
 + * @param msg: msg to normalize.
 + * @param qinfo: original query.
 + * @param region: where to allocate synthesized CNAMEs.
 + * @return 0 on error.
 + */
 +static int
 +scrub_normalize(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct query_info* qinfo, struct regional* region)
 +{
 +      uint8_t* sname = qinfo->qname;
 +      size_t snamelen = qinfo->qname_len;
 +      struct rrset_parse* rrset, *prev, *nsset=NULL;
 +
 +      if(FLAGS_GET_RCODE(msg->flags) != LDNS_RCODE_NOERROR &&
 +              FLAGS_GET_RCODE(msg->flags) != LDNS_RCODE_NXDOMAIN)
 +              return 1;
 +
 +      /* For the ANSWER section, remove all "irrelevant" records and add
 +       * synthesized CNAMEs from DNAMEs
 +       * This will strip out-of-order CNAMEs as well. */
 +
 +      /* walk through the parse packet rrset list, keep track of previous
 +       * for insert and delete ease, and examine every RRset */
 +      prev = NULL;
 +      rrset = msg->rrset_first;
 +      while(rrset && rrset->section == LDNS_SECTION_ANSWER) {
 +              if(rrset->type == LDNS_RR_TYPE_DNAME && 
 +                      pkt_strict_sub(pkt, sname, rrset->dname)) {
 +                      /* check if next rrset is correct CNAME. else,
 +                       * synthesize a CNAME */
 +                      struct rrset_parse* nx = rrset->rrset_all_next;
 +                      uint8_t alias[LDNS_MAX_DOMAINLEN+1];
 +                      size_t aliaslen = 0;
 +                      if(rrset->rr_count != 1) {
 +                              verbose(VERB_ALGO, "Found DNAME rrset with "
 +                                      "size > 1: %u", 
 +                                      (unsigned)rrset->rr_count);
 +                              return 0;
 +                      }
 +                      if(!synth_cname(sname, snamelen, rrset, alias, 
 +                              &aliaslen, pkt)) {
 +                              verbose(VERB_ALGO, "synthesized CNAME "
 +                                      "too long");
 +                              return 0;
 +                      }
 +                      if(nx && nx->type == LDNS_RR_TYPE_CNAME && 
 +                         dname_pkt_compare(pkt, sname, nx->dname) == 0) {
 +                              /* check next cname */
 +                              uint8_t* t = NULL;
 +                              size_t tlen = 0;
++                              if(!parse_get_cname_target(nx, &t, &tlen))
 +                                      return 0;
 +                              if(dname_pkt_compare(pkt, alias, t) == 0) {
 +                                      /* it's OK and better capitalized */
 +                                      prev = rrset;
 +                                      rrset = nx;
 +                                      continue;
 +                              }
 +                              /* synth ourselves */
 +                      }
 +                      /* synth a CNAME rrset */
 +                      prev = synth_cname_rrset(&sname, &snamelen, alias, 
 +                              aliaslen, region, msg, rrset, rrset, nx, pkt);
 +                      if(!prev) {
 +                              log_err("out of memory synthesizing CNAME");
 +                              return 0;
 +                      }
 +                      /* FIXME: resolve the conflict between synthesized 
 +                       * CNAME ttls and the cache. */
 +                      rrset = nx;
 +                      continue;
 +
 +              }
 +
 +              /* The only records in the ANSWER section not allowed to */
 +              if(dname_pkt_compare(pkt, sname, rrset->dname) != 0) {
 +                      remove_rrset("normalize: removing irrelevant RRset:", 
 +                              pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +
 +              /* Follow the CNAME chain. */
 +              if(rrset->type == LDNS_RR_TYPE_CNAME) {
 +                      uint8_t* oldsname = sname;
 +                      if(!parse_get_cname_target(rrset, &sname, &snamelen))
 +                              return 0;
 +                      prev = rrset;
 +                      rrset = rrset->rrset_all_next;
 +                      /* in CNAME ANY response, can have data after CNAME */
 +                      if(qinfo->qtype == LDNS_RR_TYPE_ANY) {
 +                              while(rrset && rrset->section ==
 +                                      LDNS_SECTION_ANSWER &&
 +                                      dname_pkt_compare(pkt, oldsname,
 +                                      rrset->dname) == 0) {
 +                                      prev = rrset;
 +                                      rrset = rrset->rrset_all_next;
 +                              }
 +                      }
 +                      continue;
 +              }
 +
 +              /* Otherwise, make sure that the RRset matches the qtype. */
 +              if(qinfo->qtype != LDNS_RR_TYPE_ANY && 
 +                      qinfo->qtype != rrset->type) {
 +                      remove_rrset("normalize: removing irrelevant RRset:", 
 +                              pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +
 +              /* Mark the additional names from relevant rrset as OK. */
 +              /* only for RRsets that match the query name, other ones
 +               * will be removed by sanitize, so no additional for them */
 +              if(dname_pkt_compare(pkt, qinfo->qname, rrset->dname) == 0)
 +                      mark_additional_rrset(pkt, msg, rrset);
 +              
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +
 +      /* Mark additional names from AUTHORITY */
 +      while(rrset && rrset->section == LDNS_SECTION_AUTHORITY) {
 +              if(rrset->type==LDNS_RR_TYPE_DNAME ||
 +                      rrset->type==LDNS_RR_TYPE_CNAME ||
 +                      rrset->type==LDNS_RR_TYPE_A ||
 +                      rrset->type==LDNS_RR_TYPE_AAAA) {
 +                      remove_rrset("normalize: removing irrelevant "
 +                              "RRset:", pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +              /* only one NS set allowed in authority section */
 +              if(rrset->type==LDNS_RR_TYPE_NS) {
 +                      /* NS set must be pertinent to the query */
 +                      if(!sub_of_pkt(pkt, qinfo->qname, rrset->dname)) {
 +                              remove_rrset("normalize: removing irrelevant "
 +                                      "RRset:", pkt, msg, prev, &rrset);
 +                              continue;
 +                      }
 +                      if(nsset == NULL) {
 +                              nsset = rrset;
 +                      } else {
 +                              remove_rrset("normalize: removing irrelevant "
 +                                      "RRset:", pkt, msg, prev, &rrset);
 +                              continue;
 +                      }
 +              }
 +              mark_additional_rrset(pkt, msg, rrset);
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +
 +      /* For each record in the additional section, remove it if it is an
 +       * address record and not in the collection of additional names 
 +       * found in ANSWER and AUTHORITY. */
 +      /* These records have not been marked OK previously */
 +      while(rrset && rrset->section == LDNS_SECTION_ADDITIONAL) {
 +              /* FIXME: what about other types? */
 +              if(rrset->type==LDNS_RR_TYPE_A || 
 +                      rrset->type==LDNS_RR_TYPE_AAAA) 
 +              {
 +                      if((rrset->flags & RRSET_SCRUB_OK)) {
 +                              /* remove flag to clean up flags variable */
 +                              rrset->flags &= ~RRSET_SCRUB_OK;
 +                      } else {
 +                              remove_rrset("normalize: removing irrelevant "
 +                                      "RRset:", pkt, msg, prev, &rrset);
 +                              continue;
 +                      }
 +              }
 +              if(rrset->type==LDNS_RR_TYPE_DNAME || 
 +                      rrset->type==LDNS_RR_TYPE_CNAME ||
 +                      rrset->type==LDNS_RR_TYPE_NS) {
 +                      remove_rrset("normalize: removing irrelevant "
 +                              "RRset:", pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +      
 +      return 1;
 +}
 +
 +/**
 + * Store potential poison in the cache (only if hardening disabled).
 + * The rrset is stored in the cache but removed from the message.
 + * So that it will be used for infrastructure purposes, but not be 
 + * returned to the client.
 + * @param pkt: packet
 + * @param msg: message parsed
 + * @param env: environment with cache
 + * @param rrset: to store.
 + */
 +static void
 +store_rrset(sldns_buffer* pkt, struct msg_parse* msg, struct module_env* env,
 +      struct rrset_parse* rrset)
 +{
 +      struct ub_packed_rrset_key* k;
 +      struct packed_rrset_data* d;
 +      struct rrset_ref ref;
 +      time_t now = *env->now;
 +
 +      k = alloc_special_obtain(env->alloc);
 +      if(!k)
 +              return;
 +      k->entry.data = NULL;
 +      if(!parse_copy_decompress_rrset(pkt, msg, rrset, NULL, k)) {
 +              alloc_special_release(env->alloc, k);
 +              return;
 +      }
 +      d = (struct packed_rrset_data*)k->entry.data;
 +      packed_rrset_ttl_add(d, now);
 +      ref.key = k;
 +      ref.id = k->id;
 +      /*ignore ret: it was in the cache, ref updated */
 +      (void)rrset_cache_update(env->rrset_cache, &ref, env->alloc, now);
 +}
 +
 +/** Check if there are SOA records in the authority section (negative) */
 +static int
 +soa_in_auth(struct msg_parse* msg)
 +{
 +      struct rrset_parse* rrset;
 +      for(rrset = msg->rrset_first; rrset; rrset = rrset->rrset_all_next)
 +              if(rrset->type == LDNS_RR_TYPE_SOA &&
 +                      rrset->section == LDNS_SECTION_AUTHORITY) 
 +                      return 1;
 +      return 0;
 +}
 + 
 +/**
 + * Check if right hand name in NSEC is within zone
 + * @param rrset: the NSEC rrset
 + * @param zonename: the zone name.
 + * @return true if BAD.
 + */
 +static int sanitize_nsec_is_overreach(struct rrset_parse* rrset, 
 +      uint8_t* zonename)
 +{
 +      struct rr_parse* rr;
 +      uint8_t* rhs;
 +      size_t len;
 +      log_assert(rrset->type == LDNS_RR_TYPE_NSEC);
 +      for(rr = rrset->rr_first; rr; rr = rr->next) {
 +              rhs = rr->ttl_data+4+2;
 +              len = sldns_read_uint16(rr->ttl_data+4);
 +              if(!dname_valid(rhs, len)) {
 +                      /* malformed domain name in rdata */
 +                      return 1;
 +              }
 +              if(!dname_subdomain_c(rhs, zonename)) {
 +                      /* overreaching */
 +                      return 1;
 +              }
 +      }
 +      /* all NSEC RRs OK */
 +      return 0;
 +}
 +
 +/**
 + * Given a response event, remove suspect RRsets from the response.
 + * "Suspect" rrsets are potentially poison. Note that this routine expects
 + * the response to be in a "normalized" state -- that is, all "irrelevant"
 + * RRsets have already been removed, CNAMEs are in order, etc.
 + *
 + * @param pkt: packet.
 + * @param msg: msg to normalize.
 + * @param qinfo: the question originally asked.
 + * @param zonename: name of server zone.
 + * @param env: module environment with config and cache.
 + * @param ie: iterator environment with private address data.
 + * @return 0 on error.
 + */
 +static int
 +scrub_sanitize(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct query_info* qinfo, uint8_t* zonename, struct module_env* env,
 +      struct iter_env* ie)
 +{
 +      int del_addi = 0; /* if additional-holding rrsets are deleted, we
 +              do not trust the normalized additional-A-AAAA any more */
 +      struct rrset_parse* rrset, *prev;
 +      prev = NULL;
 +      rrset = msg->rrset_first;
 +
 +      /* the first DNAME is allowed to stay. It needs checking before
 +       * it can be used from the cache. After normalization, an initial 
 +       * DNAME will have a correctly synthesized CNAME after it. */
 +      if(rrset && rrset->type == LDNS_RR_TYPE_DNAME && 
 +              rrset->section == LDNS_SECTION_ANSWER &&
 +              pkt_strict_sub(pkt, qinfo->qname, rrset->dname) &&
 +              pkt_sub(pkt, rrset->dname, zonename)) {
 +              prev = rrset; /* DNAME allowed to stay in answer section */
 +              rrset = rrset->rrset_all_next;
 +      }
 +      
 +      /* remove all records from the answer section that are 
 +       * not the same domain name as the query domain name.
 +       * The answer section should contain rrsets with the same name
 +       * as the question. For DNAMEs a CNAME has been synthesized.
 +       * Wildcards have the query name in answer section.
 +       * ANY queries get query name in answer section.
 +       * Remainders of CNAME chains are cut off and resolved by iterator. */
 +      while(rrset && rrset->section == LDNS_SECTION_ANSWER) {
 +              if(dname_pkt_compare(pkt, qinfo->qname, rrset->dname) != 0) {
 +                      if(has_additional(rrset->type)) del_addi = 1;
 +                      remove_rrset("sanitize: removing extraneous answer "
 +                              "RRset:", pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +
 +      /* At this point, we brutally remove ALL rrsets that aren't 
 +       * children of the originating zone. The idea here is that, 
 +       * as far as we know, the server that we contacted is ONLY 
 +       * authoritative for the originating zone. It, of course, MAY 
 +       * be authoriative for any other zones, and of course, MAY 
 +       * NOT be authoritative for some subdomains of the originating 
 +       * zone. */
 +      prev = NULL;
 +      rrset = msg->rrset_first;
 +      while(rrset) {
 +
 +              /* remove private addresses */
 +              if( (rrset->type == LDNS_RR_TYPE_A || 
 +                      rrset->type == LDNS_RR_TYPE_AAAA)) {
 +
 +                      /* do not set servfail since this leads to too
 +                       * many drops of other people using rfc1918 space */
 +                      /* also do not remove entire rrset, unless all records
 +                       * in it are bad */
 +                      if(priv_rrset_bad(ie->priv, pkt, rrset)) {
 +                              remove_rrset(NULL, pkt, msg, prev, &rrset);
 +                              continue;
 +                      }
 +              }
 +              
 +              /* skip DNAME records -- they will always be followed by a 
 +               * synthesized CNAME, which will be relevant.
 +               * FIXME: should this do something differently with DNAME 
 +               * rrsets NOT in Section.ANSWER? */
 +              /* But since DNAME records are also subdomains of the zone,
 +               * same check can be used */
 +
 +              if(!pkt_sub(pkt, rrset->dname, zonename)) {
 +                      if(msg->an_rrsets == 0 && 
 +                              rrset->type == LDNS_RR_TYPE_NS && 
 +                              rrset->section == LDNS_SECTION_AUTHORITY &&
 +                              FLAGS_GET_RCODE(msg->flags) == 
 +                              LDNS_RCODE_NOERROR && !soa_in_auth(msg) &&
 +                              sub_of_pkt(pkt, zonename, rrset->dname)) {
 +                              /* noerror, nodata and this NS rrset is above
 +                               * the zone. This is LAME! 
 +                               * Leave in the NS for lame classification. */
 +                              /* remove everything from the additional
 +                               * (we dont want its glue that was approved
 +                               * during the normalize action) */
 +                              del_addi = 1;
 +                      } else if(!env->cfg->harden_glue && (
 +                              rrset->type == LDNS_RR_TYPE_A ||
 +                              rrset->type == LDNS_RR_TYPE_AAAA)) {
 +                              /* store in cache! Since it is relevant
 +                               * (from normalize) it will be picked up 
 +                               * from the cache to be used later */
 +                              store_rrset(pkt, msg, env, rrset);
 +                              remove_rrset("sanitize: storing potential "
 +                              "poison RRset:", pkt, msg, prev, &rrset);
 +                              continue;
 +                      } else {
 +                              if(has_additional(rrset->type)) del_addi = 1;
 +                              remove_rrset("sanitize: removing potential "
 +                              "poison RRset:", pkt, msg, prev, &rrset);
 +                              continue;
 +                      }
 +              }
 +              if(del_addi && rrset->section == LDNS_SECTION_ADDITIONAL) {
 +                      remove_rrset("sanitize: removing potential "
 +                      "poison reference RRset:", pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +              /* check if right hand side of NSEC is within zone */
 +              if(rrset->type == LDNS_RR_TYPE_NSEC &&
 +                      sanitize_nsec_is_overreach(rrset, zonename)) {
 +                      remove_rrset("sanitize: removing overreaching NSEC "
 +                              "RRset:", pkt, msg, prev, &rrset);
 +                      continue;
 +              }
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +      return 1;
 +}
 +
 +int 
 +scrub_message(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct query_info* qinfo, uint8_t* zonename, struct regional* region,
 +      struct module_env* env, struct iter_env* ie)
 +{
 +      /* basic sanity checks */
 +      log_nametypeclass(VERB_ALGO, "scrub for", zonename, LDNS_RR_TYPE_NS, 
 +              qinfo->qclass);
 +      if(msg->qdcount > 1)
 +              return 0;
 +      if( !(msg->flags&BIT_QR) )
 +              return 0;
 +      msg->flags &= ~(BIT_AD|BIT_Z); /* force off bit AD and Z */
 +      
 +      /* make sure that a query is echoed back when NOERROR or NXDOMAIN */
 +      /* this is not required for basic operation but is a forgery 
 +       * resistance (security) feature */
 +      if((FLAGS_GET_RCODE(msg->flags) == LDNS_RCODE_NOERROR ||
 +              FLAGS_GET_RCODE(msg->flags) == LDNS_RCODE_NXDOMAIN) &&
 +              msg->qdcount == 0)
 +              return 0;
 +
 +      /* if a query is echoed back, make sure it is correct. Otherwise,
 +       * this may be not a reply to our query. */
 +      if(msg->qdcount == 1) {
 +              if(dname_pkt_compare(pkt, msg->qname, qinfo->qname) != 0)
 +                      return 0;
 +              if(msg->qtype != qinfo->qtype || msg->qclass != qinfo->qclass)
 +                      return 0;
 +      }
 +
 +      /* normalize the response, this cleans up the additional.  */
 +      if(!scrub_normalize(pkt, msg, qinfo, region))
 +              return 0;
 +      /* delete all out-of-zone information */
 +      if(!scrub_sanitize(pkt, msg, qinfo, zonename, env, ie))
 +              return 0;
 +      return 1;
 +}
diff --cc contrib/unbound/iterator/iter_utils.c
index 10ae12f75c6cd728c860b8acc4ffb6fd9f13cfed,0000000000000000000000000000000000000000..bc94ef682247ccaa0664cfa1a649f514930eb810
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_utils.c
--- /dev/null
+++ b/contrib/unbound/iterator/iter_utils.c
@@@ -1,1064 -1,0 +1,1115 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * iterator/iter_utils.c - iterative resolver module utility functions.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist the iterator module.
 + * Configuration options. Forward zones. 
 + */
 +#include "config.h"
 +#include "iterator/iter_utils.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_hints.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_donotq.h"
 +#include "iterator/iter_delegpt.h"
 +#include "iterator/iter_priv.h"
 +#include "services/cache/infra.h"
 +#include "services/cache/dns.h"
 +#include "services/cache/rrset.h"
 +#include "util/net_help.h"
 +#include "util/module.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/regional.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/dname.h"
 +#include "util/random.h"
 +#include "util/fptr_wlist.h"
 +#include "validator/val_anchor.h"
 +#include "validator/val_kcache.h"
 +#include "validator/val_kentry.h"
 +#include "validator/val_utils.h"
 +#include "validator/val_sigcrypt.h"
++#include "sldns/sbuffer.h"
++#include "sldns/str2wire.h"
 +
 +/** time when nameserver glue is said to be 'recent' */
 +#define SUSPICION_RECENT_EXPIRY 86400
 +/** penalty to validation failed blacklisted IPs */
 +#define BLACKLIST_PENALTY (USEFUL_SERVER_TOP_TIMEOUT*4)
 +
 +/** fillup fetch policy array */
 +static void
 +fetch_fill(struct iter_env* ie, const char* str)
 +{
 +      char* s = (char*)str, *e;
 +      int i;
 +      for(i=0; i<ie->max_dependency_depth+1; i++) {
 +              ie->target_fetch_policy[i] = strtol(s, &e, 10);
 +              if(s == e)
 +                      fatal_exit("cannot parse fetch policy number %s", s);
 +              s = e;
 +      }
 +}
 +
 +/** Read config string that represents the target fetch policy */
 +static int
 +read_fetch_policy(struct iter_env* ie, const char* str)
 +{
 +      int count = cfg_count_numbers(str);
 +      if(count < 1) {
 +              log_err("Cannot parse target fetch policy: \"%s\"", str);
 +              return 0;
 +      }
 +      ie->max_dependency_depth = count - 1;
 +      ie->target_fetch_policy = (int*)calloc(
 +              (size_t)ie->max_dependency_depth+1, sizeof(int));
 +      if(!ie->target_fetch_policy) {
 +              log_err("alloc fetch policy: out of memory");
 +              return 0;
 +      }
 +      fetch_fill(ie, str);
 +      return 1;
 +}
 +
++/** apply config caps whitelist items to name tree */
++static int
++caps_white_apply_cfg(rbtree_t* ntree, struct config_file* cfg)
++{
++      struct config_strlist* p;
++      for(p=cfg->caps_whitelist; p; p=p->next) {
++              struct name_tree_node* n;
++              size_t len;
++              uint8_t* nm = sldns_str2wire_dname(p->str, &len);
++              if(!nm) {
++                      log_err("could not parse %s", p->str);
++                      return 0;
++              }
++              n = (struct name_tree_node*)calloc(1, sizeof(*n));
++              if(!n) {
++                      log_err("out of memory");
++                      free(nm);
++                      return 0;
++              }
++              n->node.key = n;
++              n->name = nm;
++              n->len = len;
++              n->labs = dname_count_labels(nm);
++              n->dclass = LDNS_RR_CLASS_IN;
++              if(!name_tree_insert(ntree, n, nm, len, n->labs, n->dclass)) {
++                      /* duplicate element ignored, idempotent */
++                      free(n->name);
++                      free(n);
++              }
++      }
++      name_tree_init_parents(ntree);
++      return 1;
++}
++
 +int 
 +iter_apply_cfg(struct iter_env* iter_env, struct config_file* cfg)
 +{
 +      int i;
 +      /* target fetch policy */
 +      if(!read_fetch_policy(iter_env, cfg->target_fetch_policy))
 +              return 0;
 +      for(i=0; i<iter_env->max_dependency_depth+1; i++)
 +              verbose(VERB_QUERY, "target fetch policy for level %d is %d",
 +                      i, iter_env->target_fetch_policy[i]);
 +      
 +      if(!iter_env->donotq)
 +              iter_env->donotq = donotq_create();
 +      if(!iter_env->donotq || !donotq_apply_cfg(iter_env->donotq, cfg)) {
 +              log_err("Could not set donotqueryaddresses");
 +              return 0;
 +      }
 +      if(!iter_env->priv)
 +              iter_env->priv = priv_create();
 +      if(!iter_env->priv || !priv_apply_cfg(iter_env->priv, cfg)) {
 +              log_err("Could not set private addresses");
 +              return 0;
 +      }
++      if(cfg->caps_whitelist) {
++              if(!iter_env->caps_white)
++                      iter_env->caps_white = rbtree_create(name_tree_compare);
++              if(!iter_env->caps_white || !caps_white_apply_cfg(
++                      iter_env->caps_white, cfg)) {
++                      log_err("Could not set capsforid whitelist");
++                      return 0;
++              }
++
++      }
 +      iter_env->supports_ipv6 = cfg->do_ip6;
 +      iter_env->supports_ipv4 = cfg->do_ip4;
 +      return 1;
 +}
 +
 +/** filter out unsuitable targets
 + * @param iter_env: iterator environment with ipv6-support flag.
 + * @param env: module environment with infra cache.
 + * @param name: zone name
 + * @param namelen: length of name
 + * @param qtype: query type (host order).
 + * @param now: current time
 + * @param a: address in delegation point we are examining.
 + * @return an integer that signals the target suitability.
 + *    as follows:
 + *    -1: The address should be omitted from the list.
 + *        Because:
 + *            o The address is bogus (DNSSEC validation failure).
 + *            o Listed as donotquery
 + *            o is ipv6 but no ipv6 support (in operating system).
 + *            o is ipv4 but no ipv4 support (in operating system).
 + *            o is lame
 + *    Otherwise, an rtt in milliseconds.
 + *    0 .. USEFUL_SERVER_TOP_TIMEOUT-1
 + *            The roundtrip time timeout estimate. less than 2 minutes.
 + *            Note that util/rtt.c has a MIN_TIMEOUT of 50 msec, thus
 + *            values 0 .. 49 are not used, unless that is changed.
 + *    USEFUL_SERVER_TOP_TIMEOUT
 + *            This value exactly is given for unresponsive blacklisted.
 + *    USEFUL_SERVER_TOP_TIMEOUT+1
 + *            For non-blacklisted servers: huge timeout, but has traffic.
 + *    USEFUL_SERVER_TOP_TIMEOUT*1 ..
 + *            parent-side lame servers get this penalty. A dispreferential
 + *            server. (lame in delegpt).
 + *    USEFUL_SERVER_TOP_TIMEOUT*2 ..
 + *            dnsseclame servers get penalty
 + *    USEFUL_SERVER_TOP_TIMEOUT*3 ..
 + *            recursion lame servers get penalty
 + *    UNKNOWN_SERVER_NICENESS 
 + *            If no information is known about the server, this is
 + *            returned. 376 msec or so.
 + *    +BLACKLIST_PENALTY (of USEFUL_TOP_TIMEOUT*4) for dnssec failed IPs.
 + *
 + * When a final value is chosen that is dnsseclame ; dnsseclameness checking
 + * is turned off (so we do not discard the reply).
 + * When a final value is chosen that is recursionlame; RD bit is set on query.
 + * Because of the numbers this means recursionlame also have dnssec lameness
 + * checking turned off. 
 + */
 +static int
 +iter_filter_unsuitable(struct iter_env* iter_env, struct module_env* env,
 +      uint8_t* name, size_t namelen, uint16_t qtype, time_t now, 
 +      struct delegpt_addr* a)
 +{
 +      int rtt, lame, reclame, dnsseclame;
 +      if(a->bogus)
 +              return -1; /* address of server is bogus */
 +      if(donotq_lookup(iter_env->donotq, &a->addr, a->addrlen)) {
 +              log_addr(VERB_ALGO, "skip addr on the donotquery list",
 +                      &a->addr, a->addrlen);
 +              return -1; /* server is on the donotquery list */
 +      }
 +      if(!iter_env->supports_ipv6 && addr_is_ip6(&a->addr, a->addrlen)) {
 +              return -1; /* there is no ip6 available */
 +      }
 +      if(!iter_env->supports_ipv4 && !addr_is_ip6(&a->addr, a->addrlen)) {
 +              return -1; /* there is no ip4 available */
 +      }
 +      /* check lameness - need zone , class info */
 +      if(infra_get_lame_rtt(env->infra_cache, &a->addr, a->addrlen, 
 +              name, namelen, qtype, &lame, &dnsseclame, &reclame, 
 +              &rtt, now)) {
 +              log_addr(VERB_ALGO, "servselect", &a->addr, a->addrlen);
 +              verbose(VERB_ALGO, "   rtt=%d%s%s%s%s", rtt,
 +                      lame?" LAME":"",
 +                      dnsseclame?" DNSSEC_LAME":"",
 +                      reclame?" REC_LAME":"",
 +                      a->lame?" ADDR_LAME":"");
 +              if(lame)
 +                      return -1; /* server is lame */
 +              else if(rtt >= USEFUL_SERVER_TOP_TIMEOUT)
 +                      /* server is unresponsive,
 +                       * we used to return TOP_TIMOUT, but fairly useless,
 +                       * because if == TOP_TIMEOUT is dropped because
 +                       * blacklisted later, instead, remove it here, so
 +                       * other choices (that are not blacklisted) can be
 +                       * tried */
 +                      return -1;
 +              /* select remainder from worst to best */
 +              else if(reclame)
 +                      return rtt+USEFUL_SERVER_TOP_TIMEOUT*3; /* nonpref */
 +              else if(dnsseclame || a->dnsseclame)
 +                      return rtt+USEFUL_SERVER_TOP_TIMEOUT*2; /* nonpref */
 +              else if(a->lame)
 +                      return rtt+USEFUL_SERVER_TOP_TIMEOUT+1; /* nonpref */
 +              else    return rtt;
 +      }
 +      /* no server information present */
 +      if(a->dnsseclame)
 +              return UNKNOWN_SERVER_NICENESS+USEFUL_SERVER_TOP_TIMEOUT*2; /* nonpref */
 +      else if(a->lame)
 +              return USEFUL_SERVER_TOP_TIMEOUT+1+UNKNOWN_SERVER_NICENESS; /* nonpref */
 +      return UNKNOWN_SERVER_NICENESS;
 +}
 +
 +/** lookup RTT information, and also store fastest rtt (if any) */
 +static int
 +iter_fill_rtt(struct iter_env* iter_env, struct module_env* env,
 +      uint8_t* name, size_t namelen, uint16_t qtype, time_t now, 
 +      struct delegpt* dp, int* best_rtt, struct sock_list* blacklist)
 +{
 +      int got_it = 0;
 +      struct delegpt_addr* a;
 +      if(dp->bogus)
 +              return 0; /* NS bogus, all bogus, nothing found */
 +      for(a=dp->result_list; a; a = a->next_result) {
 +              a->sel_rtt = iter_filter_unsuitable(iter_env, env, 
 +                      name, namelen, qtype, now, a);
 +              if(a->sel_rtt != -1) {
 +                      if(sock_list_find(blacklist, &a->addr, a->addrlen))
 +                              a->sel_rtt += BLACKLIST_PENALTY;
 +
 +                      if(!got_it) {
 +                              *best_rtt = a->sel_rtt;
 +                              got_it = 1;
 +                      } else if(a->sel_rtt < *best_rtt) {
 +                              *best_rtt = a->sel_rtt;
 +                      }
 +              }
 +      }
 +      return got_it;
 +}
 +
 +/** filter the addres list, putting best targets at front,
 + * returns number of best targets (or 0, no suitable targets) */
 +static int
 +iter_filter_order(struct iter_env* iter_env, struct module_env* env,
 +      uint8_t* name, size_t namelen, uint16_t qtype, time_t now, 
 +      struct delegpt* dp, int* selected_rtt, int open_target, 
 +      struct sock_list* blacklist)
 +{
 +      int got_num = 0, low_rtt = 0, swap_to_front;
 +      struct delegpt_addr* a, *n, *prev=NULL;
 +
 +      /* fillup sel_rtt and find best rtt in the bunch */
 +      got_num = iter_fill_rtt(iter_env, env, name, namelen, qtype, now, dp, 
 +              &low_rtt, blacklist);
 +      if(got_num == 0) 
 +              return 0;
 +      if(low_rtt >= USEFUL_SERVER_TOP_TIMEOUT &&
 +              (delegpt_count_missing_targets(dp) > 0 || open_target > 0)) {
 +              verbose(VERB_ALGO, "Bad choices, trying to get more choice");
 +              return 0; /* we want more choice. The best choice is a bad one.
 +                           return 0 to force the caller to fetch more */
 +      }
 +
 +      got_num = 0;
 +      a = dp->result_list;
 +      while(a) {
 +              /* skip unsuitable targets */
 +              if(a->sel_rtt == -1) {
 +                      prev = a;
 +                      a = a->next_result;
 +                      continue;
 +              }
 +              /* classify the server address and determine what to do */
 +              swap_to_front = 0;
 +              if(a->sel_rtt >= low_rtt && a->sel_rtt - low_rtt <= RTT_BAND) {
 +                      got_num++;
 +                      swap_to_front = 1;
 +              } else if(a->sel_rtt<low_rtt && low_rtt-a->sel_rtt<=RTT_BAND) {
 +                      got_num++;
 +                      swap_to_front = 1;
 +              }
 +              /* swap to front if necessary, or move to next result */
 +              if(swap_to_front && prev) {
 +                      n = a->next_result;
 +                      prev->next_result = n;
 +                      a->next_result = dp->result_list;
 +                      dp->result_list = a;
 +                      a = n;
 +              } else {
 +                      prev = a;
 +                      a = a->next_result;
 +              }
 +      }
 +      *selected_rtt = low_rtt;
 +      return got_num;
 +}
 +
 +struct delegpt_addr* 
 +iter_server_selection(struct iter_env* iter_env, 
 +      struct module_env* env, struct delegpt* dp, 
 +      uint8_t* name, size_t namelen, uint16_t qtype, int* dnssec_lame,
 +      int* chase_to_rd, int open_target, struct sock_list* blacklist)
 +{
 +      int sel;
 +      int selrtt;
 +      struct delegpt_addr* a, *prev;
 +      int num = iter_filter_order(iter_env, env, name, namelen, qtype,
 +              *env->now, dp, &selrtt, open_target, blacklist);
 +
 +      if(num == 0)
 +              return NULL;
 +      verbose(VERB_ALGO, "selrtt %d", selrtt);
 +      if(selrtt > BLACKLIST_PENALTY) {
 +              if(selrtt-BLACKLIST_PENALTY > USEFUL_SERVER_TOP_TIMEOUT*3) {
 +                      verbose(VERB_ALGO, "chase to "
 +                              "blacklisted recursion lame server");
 +                      *chase_to_rd = 1;
 +              }
 +              if(selrtt-BLACKLIST_PENALTY > USEFUL_SERVER_TOP_TIMEOUT*2) {
 +                      verbose(VERB_ALGO, "chase to "
 +                              "blacklisted dnssec lame server");
 +                      *dnssec_lame = 1;
 +              }
 +      } else {
 +              if(selrtt > USEFUL_SERVER_TOP_TIMEOUT*3) {
 +                      verbose(VERB_ALGO, "chase to recursion lame server");
 +                      *chase_to_rd = 1;
 +              }
 +              if(selrtt > USEFUL_SERVER_TOP_TIMEOUT*2) {
 +                      verbose(VERB_ALGO, "chase to dnssec lame server");
 +                      *dnssec_lame = 1;
 +              }
 +              if(selrtt == USEFUL_SERVER_TOP_TIMEOUT) {
 +                      verbose(VERB_ALGO, "chase to blacklisted lame server");
 +                      return NULL;
 +              }
 +      }
 +
 +      if(num == 1) {
 +              a = dp->result_list;
 +              if(++a->attempts < OUTBOUND_MSG_RETRY)
 +                      return a;
 +              dp->result_list = a->next_result;
 +              return a;
 +      }
 +
 +      /* randomly select a target from the list */
 +      log_assert(num > 1);
 +      /* grab secure random number, to pick unexpected server.
 +       * also we need it to be threadsafe. */
 +      sel = ub_random_max(env->rnd, num); 
 +      a = dp->result_list;
 +      prev = NULL;
 +      while(sel > 0 && a) {
 +              prev = a;
 +              a = a->next_result;
 +              sel--;
 +      }
 +      if(!a)  /* robustness */
 +              return NULL;
 +      if(++a->attempts < OUTBOUND_MSG_RETRY)
 +              return a;
 +      /* remove it from the delegation point result list */
 +      if(prev)
 +              prev->next_result = a->next_result;
 +      else    dp->result_list = a->next_result;
 +      return a;
 +}
 +
 +struct dns_msg* 
 +dns_alloc_msg(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct regional* region)
 +{
 +      struct dns_msg* m = (struct dns_msg*)regional_alloc(region,
 +              sizeof(struct dns_msg));
 +      if(!m)
 +              return NULL;
 +      memset(m, 0, sizeof(*m));
 +      if(!parse_create_msg(pkt, msg, NULL, &m->qinfo, &m->rep, region)) {
 +              log_err("malloc failure: allocating incoming dns_msg");
 +              return NULL;
 +      }
 +      return m;
 +}
 +
 +struct dns_msg* 
 +dns_copy_msg(struct dns_msg* from, struct regional* region)
 +{
 +      struct dns_msg* m = (struct dns_msg*)regional_alloc(region,
 +              sizeof(struct dns_msg));
 +      if(!m)
 +              return NULL;
 +      m->qinfo = from->qinfo;
 +      if(!(m->qinfo.qname = regional_alloc_init(region, from->qinfo.qname,
 +              from->qinfo.qname_len)))
 +              return NULL;
 +      if(!(m->rep = reply_info_copy(from->rep, NULL, region)))
 +              return NULL;
 +      return m;
 +}
 +
 +void 
 +iter_dns_store(struct module_env* env, struct query_info* msgqinf,
 +      struct reply_info* msgrep, int is_referral, time_t leeway, int pside,
 +      struct regional* region, uint16_t flags)
 +{
 +      if(!dns_cache_store(env, msgqinf, msgrep, is_referral, leeway,
 +              pside, region, flags))
 +              log_err("out of memory: cannot store data in cache");
 +}
 +
 +int 
 +iter_ns_probability(struct ub_randstate* rnd, int n, int m)
 +{
 +      int sel;
 +      if(n == m) /* 100% chance */
 +              return 1;
 +      /* we do not need secure random numbers here, but
 +       * we do need it to be threadsafe, so we use this */
 +      sel = ub_random_max(rnd, m); 
 +      return (sel < n);
 +}
 +
 +/** detect dependency cycle for query and target */
 +static int
 +causes_cycle(struct module_qstate* qstate, uint8_t* name, size_t namelen,
 +      uint16_t t, uint16_t c)
 +{
 +      struct query_info qinf;
 +      qinf.qname = name;
 +      qinf.qname_len = namelen;
 +      qinf.qtype = t;
 +      qinf.qclass = c;
 +      fptr_ok(fptr_whitelist_modenv_detect_cycle(
 +              qstate->env->detect_cycle));
 +      return (*qstate->env->detect_cycle)(qstate, &qinf, 
 +              (uint16_t)(BIT_RD|BIT_CD), qstate->is_priming,
 +              qstate->is_valrec);
 +}
 +
 +void 
 +iter_mark_cycle_targets(struct module_qstate* qstate, struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              if(ns->resolved)
 +                      continue;
 +              /* see if this ns as target causes dependency cycle */
 +              if(causes_cycle(qstate, ns->name, ns->namelen, 
 +                      LDNS_RR_TYPE_AAAA, qstate->qinfo.qclass) ||
 +                 causes_cycle(qstate, ns->name, ns->namelen, 
 +                      LDNS_RR_TYPE_A, qstate->qinfo.qclass)) {
 +                      log_nametypeclass(VERB_QUERY, "skipping target due "
 +                              "to dependency cycle (harden-glue: no may "
 +                              "fix some of the cycles)", 
 +                              ns->name, LDNS_RR_TYPE_A, 
 +                              qstate->qinfo.qclass);
 +                      ns->resolved = 1;
 +              }
 +      }
 +}
 +
 +void 
 +iter_mark_pside_cycle_targets(struct module_qstate* qstate, struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              if(ns->done_pside4 && ns->done_pside6)
 +                      continue;
 +              /* see if this ns as target causes dependency cycle */
 +              if(causes_cycle(qstate, ns->name, ns->namelen, 
 +                      LDNS_RR_TYPE_A, qstate->qinfo.qclass)) {
 +                      log_nametypeclass(VERB_QUERY, "skipping target due "
 +                              "to dependency cycle", ns->name,
 +                              LDNS_RR_TYPE_A, qstate->qinfo.qclass);
 +                      ns->done_pside4 = 1;
 +              }
 +              if(causes_cycle(qstate, ns->name, ns->namelen, 
 +                      LDNS_RR_TYPE_AAAA, qstate->qinfo.qclass)) {
 +                      log_nametypeclass(VERB_QUERY, "skipping target due "
 +                              "to dependency cycle", ns->name,
 +                              LDNS_RR_TYPE_AAAA, qstate->qinfo.qclass);
 +                      ns->done_pside6 = 1;
 +              }
 +      }
 +}
 +
 +int 
 +iter_dp_is_useless(struct query_info* qinfo, uint16_t qflags, 
 +      struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      /* check:
 +       *      o RD qflag is on.
 +       *      o no addresses are provided.
 +       *      o all NS items are required glue.
 +       * OR
 +       *      o RD qflag is on.
 +       *      o no addresses are provided.
 +       *      o the query is for one of the nameservers in dp,
 +       *        and that nameserver is a glue-name for this dp.
 +       */
 +      if(!(qflags&BIT_RD))
 +              return 0;
 +      /* either available or unused targets */
 +      if(dp->usable_list || dp->result_list)
 +              return 0;
 +      
 +      /* see if query is for one of the nameservers, which is glue */
 +      if( (qinfo->qtype == LDNS_RR_TYPE_A ||
 +              qinfo->qtype == LDNS_RR_TYPE_AAAA) &&
 +              dname_subdomain_c(qinfo->qname, dp->name) &&
 +              delegpt_find_ns(dp, qinfo->qname, qinfo->qname_len))
 +              return 1;
 +      
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              if(ns->resolved) /* skip failed targets */
 +                      continue;
 +              if(!dname_subdomain_c(ns->name, dp->name))
 +                      return 0; /* one address is not required glue */
 +      }
 +      return 1;
 +}
 +
 +int 
 +iter_indicates_dnssec(struct module_env* env, struct delegpt* dp,
 +        struct dns_msg* msg, uint16_t dclass)
 +{
 +      struct trust_anchor* a;
 +      /* information not available, !env->anchors can be common */
 +      if(!env || !env->anchors || !dp || !dp->name)
 +              return 0;
 +      /* a trust anchor exists with this name, RRSIGs expected */
 +      if((a=anchor_find(env->anchors, dp->name, dp->namelabs, dp->namelen,
 +              dclass))) {
 +              lock_basic_unlock(&a->lock);
 +              return 1;
 +      }
 +      /* see if DS rrset was given, in AUTH section */
 +      if(msg && msg->rep &&
 +              reply_find_rrset_section_ns(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_DS, dclass))
 +              return 1;
 +      /* look in key cache */
 +      if(env->key_cache) {
 +              struct key_entry_key* kk = key_cache_obtain(env->key_cache,
 +                      dp->name, dp->namelen, dclass, env->scratch, *env->now);
 +              if(kk) {
 +                      if(query_dname_compare(kk->name, dp->name) == 0) {
 +                        if(key_entry_isgood(kk) || key_entry_isbad(kk)) {
 +                              regional_free_all(env->scratch);
 +                              return 1;
 +                        } else if(key_entry_isnull(kk)) {
 +                              regional_free_all(env->scratch);
 +                              return 0;
 +                        }
 +                      }
 +                      regional_free_all(env->scratch);
 +              }
 +      }
 +      return 0;
 +}
 +
 +int 
 +iter_msg_has_dnssec(struct dns_msg* msg)
 +{
 +      size_t i;
 +      if(!msg || !msg->rep)
 +              return 0;
 +      for(i=0; i<msg->rep->an_numrrsets + msg->rep->ns_numrrsets; i++) {
 +              if(((struct packed_rrset_data*)msg->rep->rrsets[i]->
 +                      entry.data)->rrsig_count > 0)
 +                      return 1;
 +      }
 +      /* empty message has no DNSSEC info, with DNSSEC the reply is
 +       * not empty (NSEC) */
 +      return 0;
 +}
 +
 +int iter_msg_from_zone(struct dns_msg* msg, struct delegpt* dp,
 +        enum response_type type, uint16_t dclass)
 +{
 +      if(!msg || !dp || !msg->rep || !dp->name)
 +              return 0;
 +      /* SOA RRset - always from reply zone */
 +      if(reply_find_rrset_section_an(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_SOA, dclass) ||
 +         reply_find_rrset_section_ns(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_SOA, dclass))
 +              return 1;
 +      if(type == RESPONSE_TYPE_REFERRAL) {
 +              size_t i;
 +              /* if it adds a single label, i.e. we expect .com,
 +               * and referral to example.com. NS ... , then origin zone
 +               * is .com. For a referral to sub.example.com. NS ... then
 +               * we do not know, since example.com. may be in between. */
 +              for(i=0; i<msg->rep->an_numrrsets+msg->rep->ns_numrrsets; 
 +                      i++) {
 +                      struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +                      if(ntohs(s->rk.type) == LDNS_RR_TYPE_NS &&
 +                              ntohs(s->rk.rrset_class) == dclass) {
 +                              int l = dname_count_labels(s->rk.dname);
 +                              if(l == dp->namelabs + 1 &&
 +                                      dname_strict_subdomain(s->rk.dname,
 +                                      l, dp->name, dp->namelabs))
 +                                      return 1;
 +                      }
 +              }
 +              return 0;
 +      }
 +      log_assert(type==RESPONSE_TYPE_ANSWER || type==RESPONSE_TYPE_CNAME);
 +      /* not a referral, and not lame delegation (upwards), so, 
 +       * any NS rrset must be from the zone itself */
 +      if(reply_find_rrset_section_an(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_NS, dclass) ||
 +         reply_find_rrset_section_ns(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_NS, dclass))
 +              return 1;
 +      /* a DNSKEY set is expected at the zone apex as well */
 +      /* this is for 'minimal responses' for DNSKEYs */
 +      if(reply_find_rrset_section_an(msg->rep, dp->name, dp->namelen,
 +              LDNS_RR_TYPE_DNSKEY, dclass))
 +              return 1;
 +      return 0;
 +}
 +
 +/**
 + * check equality of two rrsets 
 + * @param k1: rrset
 + * @param k2: rrset
 + * @return true if equal
 + */
 +static int
 +rrset_equal(struct ub_packed_rrset_key* k1, struct ub_packed_rrset_key* k2)
 +{
 +      struct packed_rrset_data* d1 = (struct packed_rrset_data*)
 +              k1->entry.data;
 +      struct packed_rrset_data* d2 = (struct packed_rrset_data*)
 +              k2->entry.data;
 +      size_t i, t;
 +      if(k1->rk.dname_len != k2->rk.dname_len ||
 +              k1->rk.flags != k2->rk.flags ||
 +              k1->rk.type != k2->rk.type ||
 +              k1->rk.rrset_class != k2->rk.rrset_class ||
 +              query_dname_compare(k1->rk.dname, k2->rk.dname) != 0)
 +              return 0;
 +      if(     /* do not check ttl: d1->ttl != d2->ttl || */
 +              d1->count != d2->count ||
 +              d1->rrsig_count != d2->rrsig_count ||
 +              d1->trust != d2->trust ||
 +              d1->security != d2->security)
 +              return 0;
 +      t = d1->count + d1->rrsig_count;
 +      for(i=0; i<t; i++) {
 +              if(d1->rr_len[i] != d2->rr_len[i] ||
 +                      /* no ttl check: d1->rr_ttl[i] != d2->rr_ttl[i] ||*/
 +                      memcmp(d1->rr_data[i], d2->rr_data[i], 
 +                              d1->rr_len[i]) != 0)
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +int 
 +reply_equal(struct reply_info* p, struct reply_info* q, struct regional* region)
 +{
 +      size_t i;
 +      if(p->flags != q->flags ||
 +              p->qdcount != q->qdcount ||
 +              /* do not check TTL, this may differ */
 +              /*
 +              p->ttl != q->ttl ||
 +              p->prefetch_ttl != q->prefetch_ttl ||
 +              */
 +              p->security != q->security ||
 +              p->an_numrrsets != q->an_numrrsets ||
 +              p->ns_numrrsets != q->ns_numrrsets ||
 +              p->ar_numrrsets != q->ar_numrrsets ||
 +              p->rrset_count != q->rrset_count)
 +              return 0;
 +      for(i=0; i<p->rrset_count; i++) {
 +              if(!rrset_equal(p->rrsets[i], q->rrsets[i])) {
 +                      if(!rrset_canonical_equal(region, p->rrsets[i],
 +                              q->rrsets[i])) {
 +                              regional_free_all(region);
 +                              return 0;
 +                      }
 +                      regional_free_all(region);
 +              }
 +      }
 +      return 1;
 +}
 +
 +void 
 +caps_strip_reply(struct reply_info* rep)
 +{
 +      size_t i;
 +      if(!rep) return;
 +      /* see if message is a referral, in which case the additional and
 +       * NS record cannot be removed */
 +      /* referrals have the AA flag unset (strict check, not elsewhere in
 +       * unbound, but for 0x20 this is very convenient). */
 +      if(!(rep->flags&BIT_AA))
 +              return;
 +      /* remove the additional section from the reply */
 +      if(rep->ar_numrrsets != 0) {
 +              verbose(VERB_ALGO, "caps fallback: removing additional section");
 +              rep->rrset_count -= rep->ar_numrrsets;
 +              rep->ar_numrrsets = 0;
 +      }
 +      /* is there an NS set in the authority section to remove? */
 +      /* the failure case (Cisco firewalls) only has one rrset in authsec */
 +      for(i=rep->an_numrrsets; i<rep->an_numrrsets+rep->ns_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NS) {
 +                      /* remove NS rrset and break from loop (loop limits
 +                       * have changed) */
 +                      /* move last rrset into this position (there is no
 +                       * additional section any more) */
 +                      verbose(VERB_ALGO, "caps fallback: removing NS rrset");
 +                      if(i < rep->rrset_count-1)
 +                              rep->rrsets[i]=rep->rrsets[rep->rrset_count-1];
 +                      rep->rrset_count --;
 +                      rep->ns_numrrsets --;
 +                      break;
 +              }
 +      }
 +}
 +
++int caps_failed_rcode(struct reply_info* rep)
++{
++      return !(FLAGS_GET_RCODE(rep->flags) == LDNS_RCODE_NOERROR ||
++              FLAGS_GET_RCODE(rep->flags) == LDNS_RCODE_NXDOMAIN);
++}
++
 +void 
 +iter_store_parentside_rrset(struct module_env* env, 
 +      struct ub_packed_rrset_key* rrset)
 +{
 +      struct rrset_ref ref;
 +      rrset = packed_rrset_copy_alloc(rrset, env->alloc, *env->now);
 +      if(!rrset) {
 +              log_err("malloc failure in store_parentside_rrset");
 +              return;
 +      }
 +      rrset->rk.flags |= PACKED_RRSET_PARENT_SIDE;
 +      rrset->entry.hash = rrset_key_hash(&rrset->rk);
 +      ref.key = rrset;
 +      ref.id = rrset->id;
 +      /* ignore ret: if it was in the cache, ref updated */
 +      (void)rrset_cache_update(env->rrset_cache, &ref, env->alloc, *env->now);
 +}
 +
 +/** fetch NS record from reply, if any */
 +static struct ub_packed_rrset_key*
 +reply_get_NS_rrset(struct reply_info* rep)
 +{
 +      size_t i;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              if(rep->rrsets[i]->rk.type == htons(LDNS_RR_TYPE_NS)) {
 +                      return rep->rrsets[i];
 +              }
 +      }
 +      return NULL;
 +}
 +
 +void
 +iter_store_parentside_NS(struct module_env* env, struct reply_info* rep)
 +{
 +      struct ub_packed_rrset_key* rrset = reply_get_NS_rrset(rep);
 +      if(rrset) {
 +              log_rrset_key(VERB_ALGO, "store parent-side NS", rrset);
 +              iter_store_parentside_rrset(env, rrset);
 +      }
 +}
 +
 +void iter_store_parentside_neg(struct module_env* env, 
 +        struct query_info* qinfo, struct reply_info* rep)
 +{
 +      /* TTL: NS from referral in iq->deleg_msg,
 +       *      or first RR from iq->response,
 +       *      or servfail5secs if !iq->response */ 
 +      time_t ttl = NORR_TTL;
 +      struct ub_packed_rrset_key* neg;
 +      struct packed_rrset_data* newd;
 +      if(rep) {
 +              struct ub_packed_rrset_key* rrset = reply_get_NS_rrset(rep);
 +              if(!rrset && rep->rrset_count != 0) rrset = rep->rrsets[0];
 +              if(rrset) ttl = ub_packed_rrset_ttl(rrset);
 +      }
 +      /* create empty rrset to store */
 +      neg = (struct ub_packed_rrset_key*)regional_alloc(env->scratch,
 +                      sizeof(struct ub_packed_rrset_key));
 +      if(!neg) {
 +              log_err("out of memory in store_parentside_neg");
 +              return;
 +      }
 +      memset(&neg->entry, 0, sizeof(neg->entry));
 +      neg->entry.key = neg;
 +      neg->rk.type = htons(qinfo->qtype);
 +      neg->rk.rrset_class = htons(qinfo->qclass);
 +      neg->rk.flags = 0;
 +      neg->rk.dname = regional_alloc_init(env->scratch, qinfo->qname, 
 +              qinfo->qname_len);
 +      if(!neg->rk.dname) {
 +              log_err("out of memory in store_parentside_neg");
 +              return;
 +      }
 +      neg->rk.dname_len = qinfo->qname_len;
 +      neg->entry.hash = rrset_key_hash(&neg->rk);
 +      newd = (struct packed_rrset_data*)regional_alloc_zero(env->scratch, 
 +              sizeof(struct packed_rrset_data) + sizeof(size_t) +
 +              sizeof(uint8_t*) + sizeof(time_t) + sizeof(uint16_t));
 +      if(!newd) {
 +              log_err("out of memory in store_parentside_neg");
 +              return;
 +      }
 +      neg->entry.data = newd;
 +      newd->ttl = ttl;
 +      /* entry must have one RR, otherwise not valid in cache.
 +       * put in one RR with empty rdata: those are ignored as nameserver */
 +      newd->count = 1;
 +      newd->rrsig_count = 0;
 +      newd->trust = rrset_trust_ans_noAA;
 +      newd->rr_len = (size_t*)((uint8_t*)newd +
 +              sizeof(struct packed_rrset_data));
 +      newd->rr_len[0] = 0 /* zero len rdata */ + sizeof(uint16_t);
 +      packed_rrset_ptr_fixup(newd);
 +      newd->rr_ttl[0] = newd->ttl;
 +      sldns_write_uint16(newd->rr_data[0], 0 /* zero len rdata */);
 +      /* store it */
 +      log_rrset_key(VERB_ALGO, "store parent-side negative", neg);
 +      iter_store_parentside_rrset(env, neg);
 +}
 +
 +int 
 +iter_lookup_parent_NS_from_cache(struct module_env* env, struct delegpt* dp,
 +      struct regional* region, struct query_info* qinfo)
 +{
 +      struct ub_packed_rrset_key* akey;
 +      akey = rrset_cache_lookup(env->rrset_cache, dp->name, 
 +              dp->namelen, LDNS_RR_TYPE_NS, qinfo->qclass, 
 +              PACKED_RRSET_PARENT_SIDE, *env->now, 0);
 +      if(akey) {
 +              log_rrset_key(VERB_ALGO, "found parent-side NS in cache", akey);
 +              dp->has_parent_side_NS = 1;
 +              /* and mark the new names as lame */
 +              if(!delegpt_rrset_add_ns(dp, region, akey, 1)) {
 +                      lock_rw_unlock(&akey->entry.lock);
 +                      return 0;
 +              }
 +              lock_rw_unlock(&akey->entry.lock);
 +      }
 +      return 1;
 +}
 +
 +int iter_lookup_parent_glue_from_cache(struct module_env* env,
 +        struct delegpt* dp, struct regional* region, struct query_info* qinfo)
 +{
 +      struct ub_packed_rrset_key* akey;
 +      struct delegpt_ns* ns;
 +      size_t num = delegpt_count_targets(dp);
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              /* get cached parentside A */
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_A, qinfo->qclass, 
 +                      PACKED_RRSET_PARENT_SIDE, *env->now, 0);
 +              if(akey) {
 +                      log_rrset_key(VERB_ALGO, "found parent-side", akey);
 +                      ns->done_pside4 = 1;
 +                      /* a negative-cache-element has no addresses it adds */
 +                      if(!delegpt_add_rrset_A(dp, region, akey, 1))
 +                              log_err("malloc failure in lookup_parent_glue");
 +                      lock_rw_unlock(&akey->entry.lock);
 +              }
 +              /* get cached parentside AAAA */
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_AAAA, qinfo->qclass, 
 +                      PACKED_RRSET_PARENT_SIDE, *env->now, 0);
 +              if(akey) {
 +                      log_rrset_key(VERB_ALGO, "found parent-side", akey);
 +                      ns->done_pside6 = 1;
 +                      /* a negative-cache-element has no addresses it adds */
 +                      if(!delegpt_add_rrset_AAAA(dp, region, akey, 1))
 +                              log_err("malloc failure in lookup_parent_glue");
 +                      lock_rw_unlock(&akey->entry.lock);
 +              }
 +      }
 +      /* see if new (but lame) addresses have become available */
 +      return delegpt_count_targets(dp) != num;
 +}
 +
 +int 
 +iter_get_next_root(struct iter_hints* hints, struct iter_forwards* fwd, 
 +      uint16_t* c)
 +{
 +      uint16_t c1 = *c, c2 = *c;
 +      int r1 = hints_next_root(hints, &c1);
 +      int r2 = forwards_next_root(fwd, &c2);
 +      if(!r1 && !r2) /* got none, end of list */
 +              return 0;
 +      else if(!r1) /* got one, return that */
 +              *c = c2;
 +      else if(!r2)
 +              *c = c1;
 +      else if(c1 < c2) /* got both take smallest */
 +              *c = c1;
 +      else    *c = c2;
 +      return 1;
 +}
 +
 +void
 +iter_scrub_ds(struct dns_msg* msg, struct ub_packed_rrset_key* ns, uint8_t* z)
 +{
 +      /* Only the DS record for the delegation itself is expected.
 +       * We allow DS for everything between the bailiwick and the 
 +       * zonecut, thus DS records must be at or above the zonecut.
 +       * And the DS records must be below the server authority zone.
 +       * The answer section is already scrubbed. */
 +      size_t i = msg->rep->an_numrrsets;
 +      while(i < (msg->rep->an_numrrsets + msg->rep->ns_numrrsets)) {
 +              struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_DS &&
 +                      (!ns || !dname_subdomain_c(ns->rk.dname, s->rk.dname)
 +                      || query_dname_compare(z, s->rk.dname) == 0)) {
 +                      log_nametypeclass(VERB_ALGO, "removing irrelevant DS",
 +                              s->rk.dname, ntohs(s->rk.type),
 +                              ntohs(s->rk.rrset_class));
 +                      memmove(msg->rep->rrsets+i, msg->rep->rrsets+i+1,
 +                              sizeof(struct ub_packed_rrset_key*) * 
 +                              (msg->rep->rrset_count-i-1));
 +                      msg->rep->ns_numrrsets--;
 +                      msg->rep->rrset_count--;
 +                      /* stay at same i, but new record */
 +                      continue;
 +              }
 +              i++;
 +      }
 +}
 +
 +void iter_dec_attempts(struct delegpt* dp, int d)
 +{
 +      struct delegpt_addr* a;
 +      for(a=dp->target_list; a; a = a->next_target) {
 +              if(a->attempts >= OUTBOUND_MSG_RETRY) {
 +                      /* add back to result list */
 +                      a->next_result = dp->result_list;
 +                      dp->result_list = a;
 +              }
 +              if(a->attempts > d)
 +                      a->attempts -= d;
 +              else a->attempts = 0;
 +      }
 +}
 +
 +void iter_merge_retry_counts(struct delegpt* dp, struct delegpt* old)
 +{
 +      struct delegpt_addr* a, *o, *prev;
 +      for(a=dp->target_list; a; a = a->next_target) {
 +              o = delegpt_find_addr(old, &a->addr, a->addrlen);
 +              if(o) {
 +                      log_addr(VERB_ALGO, "copy attempt count previous dp",
 +                              &a->addr, a->addrlen);
 +                      a->attempts = o->attempts;
 +              }
 +      }
 +      prev = NULL;
 +      a = dp->usable_list;
 +      while(a) {
 +              if(a->attempts >= OUTBOUND_MSG_RETRY) {
 +                      log_addr(VERB_ALGO, "remove from usable list dp",
 +                              &a->addr, a->addrlen);
 +                      /* remove from result list */
 +                      if(prev)
 +                              prev->next_usable = a->next_usable;
 +                      else    dp->usable_list = a->next_usable;
 +                      /* prev stays the same */
 +                      a = a->next_usable;
 +                      continue;
 +              }
 +              prev = a;
 +              a = a->next_usable;
 +      }
 +}
 +
 +int
 +iter_ds_toolow(struct dns_msg* msg, struct delegpt* dp)
 +{
 +      /* if for query example.com, there is example.com SOA or a subdomain
 +       * of example.com, then we are too low and need to fetch NS. */
 +      size_t i;
 +      /* if we have a DNAME or CNAME we are probably wrong */
 +      /* if we have a qtype DS in the answer section, its fine */
 +      for(i=0; i < msg->rep->an_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_DNAME ||
 +                      ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME) {
 +                      /* not the right answer, maybe too low, check the
 +                       * RRSIG signer name (if there is any) for a hint
 +                       * that it is from the dp zone anyway */
 +                      uint8_t* sname;
 +                      size_t slen;
 +                      val_find_rrset_signer(s, &sname, &slen);
 +                      if(sname && query_dname_compare(dp->name, sname)==0)
 +                              return 0; /* it is fine, from the right dp */
 +                      return 1;
 +              }
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_DS)
 +                      return 0; /* fine, we have a DS record */
 +      }
 +      for(i=msg->rep->an_numrrsets;
 +              i < msg->rep->an_numrrsets + msg->rep->ns_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = msg->rep->rrsets[i];
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_SOA) {
 +                      if(dname_subdomain_c(s->rk.dname, msg->qinfo.qname))
 +                              return 1; /* point is too low */
 +                      if(query_dname_compare(s->rk.dname, dp->name)==0)
 +                              return 0; /* right dp */
 +              }
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC ||
 +                      ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      uint8_t* sname;
 +                      size_t slen;
 +                      val_find_rrset_signer(s, &sname, &slen);
 +                      if(sname && query_dname_compare(dp->name, sname)==0)
 +                              return 0; /* it is fine, from the right dp */
 +                      return 1;
 +              }
 +      }
 +      /* we do not know */
 +      return 1;
 +}
 +
 +int iter_dp_cangodown(struct query_info* qinfo, struct delegpt* dp)
 +{
 +      /* no delegation point, do not see how we can go down,
 +       * robust check, it should really exist */
 +      if(!dp) return 0;
 +
 +      /* see if dp equals the qname, then we cannot go down further */
 +      if(query_dname_compare(qinfo->qname, dp->name) == 0)
 +              return 0;
 +      /* if dp is one label above the name we also cannot go down further */
 +      if(dname_count_labels(qinfo->qname) == dp->namelabs+1)
 +              return 0;
 +      return 1;
 +}
diff --cc contrib/unbound/iterator/iter_utils.h
index 9373487e002c95712c8f5a7721bb8778eeb247b9,0000000000000000000000000000000000000000..3a4df3e45968bd3bfbe70b7860d5bb59cf4b4750
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iter_utils.h
--- /dev/null
+++ b/contrib/unbound/iterator/iter_utils.h
@@@ -1,348 -1,0 +1,356 @@@
 +/*
 + * iterator/iter_utils.h - iterative resolver module utility functions.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist the iterator module.
 + * Configuration options. Forward zones. 
 + */
 +
 +#ifndef ITERATOR_ITER_UTILS_H
 +#define ITERATOR_ITER_UTILS_H
 +#include "iterator/iter_resptype.h"
 +struct sldns_buffer;
 +struct iter_env;
 +struct iter_hints;
 +struct iter_forwards;
 +struct config_file;
 +struct module_env;
 +struct delegpt_addr;
 +struct delegpt;
 +struct regional;
 +struct msg_parse;
 +struct ub_randstate;
 +struct query_info;
 +struct reply_info;
 +struct module_qstate;
 +struct sock_list;
 +struct ub_packed_rrset_key;
 +
 +/**
 + * Process config options and set iterator module state.
 + * Sets default values if no config is found.
 + * @param iter_env: iterator module state.
 + * @param cfg: config options.
 + * @return 0 on error.
 + */
 +int iter_apply_cfg(struct iter_env* iter_env, struct config_file* cfg);
 +
 +/**
 + * Select a valid, nice target to send query to.
 + * Sorting and removing unsuitable targets is combined.
 + *
 + * @param iter_env: iterator module global state, with ip6 enabled and 
 + *    do-not-query-addresses.
 + * @param env: environment with infra cache (lameness, rtt info).
 + * @param dp: delegation point with result list.
 + * @param name: zone name (for lameness check).
 + * @param namelen: length of name.
 + * @param qtype: query type that we want to send.
 + * @param dnssec_lame: set to 1, if a known dnssec-lame server is selected
 + *    these are not preferred, but are used as a last resort.
 + * @param chase_to_rd: set to 1 if a known recursion lame server is selected
 + *    these are not preferred, but are used as a last resort.
 + * @param open_target: number of currently outstanding target queries.
 + *    If we wait for these, perhaps more server addresses become available.
 + * @param blacklist: the IP blacklist to use.
 + * @return best target or NULL if no target.
 + *    if not null, that target is removed from the result list in the dp.
 + */
 +struct delegpt_addr* iter_server_selection(struct iter_env* iter_env, 
 +      struct module_env* env, struct delegpt* dp, uint8_t* name, 
 +      size_t namelen, uint16_t qtype, int* dnssec_lame,
 +      int* chase_to_rd, int open_target, struct sock_list* blacklist);
 +
 +/**
 + * Allocate dns_msg from parsed msg, in regional.
 + * @param pkt: packet.
 + * @param msg: parsed message (cleaned and ready for regional allocation).
 + * @param regional: regional to use for allocation.
 + * @return newly allocated dns_msg, or NULL on memory error.
 + */
 +struct dns_msg* dns_alloc_msg(struct sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct regional* regional);
 +
 +/**
 + * Copy a dns_msg to this regional.
 + * @param from: dns message, also in regional.
 + * @param regional: regional to use for allocation.
 + * @return newly allocated dns_msg, or NULL on memory error.
 + */
 +struct dns_msg* dns_copy_msg(struct dns_msg* from, struct regional* regional);
 +
 +/**
 + * Allocate a dns_msg with malloc/alloc structure and store in dns cache.
 + * @param env: environment, with alloc structure and dns cache.
 + * @param qinf: query info, the query for which answer is stored.
 + * @param rep: reply in dns_msg from dns_alloc_msg for example.
 + * @param is_referral: If true, then the given message to be stored is a
 + *    referral. The cache implementation may use this as a hint.
 + * @param leeway: prefetch TTL leeway to expire old rrsets quicker.
 + * @param pside: true if dp is parentside, thus message is 'fresh' and NS
 + *    can be prefetch-updates.
 + * @param region: to copy modified (cache is better) rrs back to.
 + * @param flags: with BIT_CD for dns64 AAAA translated queries.
 + * @return void, because we are not interested in alloc errors,
 + *    the iterator and validator can operate on the results in their
 + *    scratch space (the qstate.region) and are not dependent on the cache.
 + *    It is useful to log the alloc failure (for the server operator),
 + *    but the query resolution can continue without cache storage.
 + */
 +void iter_dns_store(struct module_env* env, struct query_info* qinf,
 +      struct reply_info* rep, int is_referral, time_t leeway, int pside,
 +      struct regional* region, uint16_t flags);
 +
 +/**
 + * Select randomly with n/m probability.
 + * For shuffle NS records for address fetching.
 + * @param rnd: random table
 + * @param n: probability.
 + * @param m: divisor for probability.
 + * @return true with n/m probability.
 + */
 +int iter_ns_probability(struct ub_randstate* rnd, int n, int m);
 +
 +/**
 + * Mark targets that result in a dependency cycle as done, so they
 + * will not get selected as targets.
 + * @param qstate: query state.
 + * @param dp: delegpt to mark ns in.
 + */
 +void iter_mark_cycle_targets(struct module_qstate* qstate, struct delegpt* dp);
 +
 +/**
 + * Mark targets that result in a dependency cycle as done, so they
 + * will not get selected as targets.  For the parent-side lookups.
 + * @param qstate: query state.
 + * @param dp: delegpt to mark ns in.
 + */
 +void iter_mark_pside_cycle_targets(struct module_qstate* qstate,
 +      struct delegpt* dp);
 +
 +/**
 + * See if delegation is useful or offers immediately no targets for 
 + * further recursion.
 + * @param qinfo: query name and type
 + * @param qflags: query flags with RD flag
 + * @param dp: delegpt to check.
 + * @return true if dp is useless.
 + */
 +int iter_dp_is_useless(struct query_info* qinfo, uint16_t qflags, 
 +      struct delegpt* dp);
 +
 +/**
 + * See if delegation is expected to have DNSSEC information (RRSIGs) in 
 + * its answers, or not. Inspects delegation point (name), trust anchors,
 + * and delegation message (DS RRset) to determine this.
 + * @param env: module env with trust anchors.
 + * @param dp: delegation point.
 + * @param msg: delegation message, with DS if a secure referral.
 + * @param dclass: class of query.
 + * @return 1 if dnssec is expected, 0 if not.
 + */
 +int iter_indicates_dnssec(struct module_env* env, struct delegpt* dp,
 +      struct dns_msg* msg, uint16_t dclass);
 +
 +/**
 + * See if a message contains DNSSEC.
 + * This is examined by looking for RRSIGs. With DNSSEC a valid answer, 
 + * nxdomain, nodata, referral or cname reply has RRSIGs in answer or auth 
 + * sections, sigs on answer data, SOA, DS, or NSEC/NSEC3 records.
 + * @param msg: message to examine.
 + * @return true if DNSSEC information was found.
 + */
 +int iter_msg_has_dnssec(struct dns_msg* msg);
 +
 +/**
 + * See if a message is known to be from a certain zone.
 + * This looks for SOA or NS rrsets, for answers.
 + * For referrals, when one label is delegated, the zone is detected.
 + * Does not look at signatures.
 + * @param msg: the message to inspect.
 + * @param dp: delegation point with zone name to look for.
 + * @param type: type of message.
 + * @param dclass: class of query.
 + * @return true if message is certain to be from zone in dp->name.
 + *    false if not sure (empty msg), or not from the zone.
 + */
 +int iter_msg_from_zone(struct dns_msg* msg, struct delegpt* dp, 
 +      enum response_type type, uint16_t dclass);
 +
 +/**
 + * Check if two replies are equal
 + * For fallback procedures
 + * @param p: reply one. The reply has rrset data pointers in region.
 + *    Does not check rrset-IDs
 + * @param q: reply two
 + * @param region: scratch buffer.
 + * @return if one and two are equal.
 + */
 +int reply_equal(struct reply_info* p, struct reply_info* q, struct regional* region);
 +
 +/**
 + * Remove unused bits from the reply if possible.
 + * So that caps-for-id (0x20) fallback is more likely to be successful.
 + * This removes like, the additional section, and NS record in the authority
 + * section if those records are gratuitous (not for a referral).
 + * @param rep: the reply to strip stuff out of.
 + */
 +void caps_strip_reply(struct reply_info* rep);
 +
++/**
++ * see if reply has a 'useful' rcode for capsforid comparison, so
++ * not SERVFAIL or REFUSED, and thus NOERROR or NXDOMAIN.
++ * @param rep: reply to check.
++ * @return true if the rcode is a bad type of message.
++ */
++int caps_failed_rcode(struct reply_info* rep);
++
 +/**
 + * Store parent-side rrset in seperate rrset cache entries for later 
 + * last-resort * lookups in case the child-side versions of this information 
 + * fails.
 + * @param env: environment with cache, time, ...
 + * @param rrset: the rrset to store (copied).
 + * Failure to store is logged, but otherwise ignored.
 + */
 +void iter_store_parentside_rrset(struct module_env* env, 
 +      struct ub_packed_rrset_key* rrset);
 +
 +/**
 + * Store parent-side NS records from a referral message
 + * @param env: environment with cache, time, ...
 + * @param rep: response with NS rrset.
 + * Failure to store is logged, but otherwise ignored.
 + */
 +void iter_store_parentside_NS(struct module_env* env, struct reply_info* rep);
 +
 +/**
 + * Store parent-side negative element, the parentside rrset does not exist,
 + * creates an rrset with empty rdata in the rrset cache with PARENTSIDE flag.
 + * @param env: environment with cache, time, ...
 + * @param qinfo: the identity of the rrset that is missing.
 + * @param rep: delegation response or answer response, to glean TTL from.
 + * (malloc) failure is logged but otherwise ignored.
 + */
 +void iter_store_parentside_neg(struct module_env* env, 
 +      struct query_info* qinfo, struct reply_info* rep);
 +
 +/**
 + * Add parent NS record if that exists in the cache.  This is both new
 + * information and acts like a timeout throttle on retries.
 + * @param env: query env with rrset cache and time.
 + * @param dp: delegation point to store result in.  Also this dp is used to
 + *    see which NS name is needed.
 + * @param region: region to alloc result in.
 + * @param qinfo: pertinent information, the qclass.
 + * @return false on malloc failure.
 + *    if true, the routine worked and if such cached information 
 + *    existed dp->has_parent_side_NS is set true.
 + */
 +int iter_lookup_parent_NS_from_cache(struct module_env* env,
 +      struct delegpt* dp, struct regional* region, struct query_info* qinfo);
 +
 +/**
 + * Add parent-side glue if that exists in the cache.  This is both new
 + * information and acts like a timeout throttle on retries to fetch them.
 + * @param env: query env with rrset cache and time.
 + * @param dp: delegation point to store result in.  Also this dp is used to
 + *    see which NS name is needed.
 + * @param region: region to alloc result in.
 + * @param qinfo: pertinent information, the qclass.
 + * @return: true, it worked, no malloc failures, and new addresses (lame)
 + *    have been added, giving extra options as query targets.
 + */
 +int iter_lookup_parent_glue_from_cache(struct module_env* env,
 +      struct delegpt* dp, struct regional* region, struct query_info* qinfo);
 +
 +/**
 + * Lookup next root-hint or root-forward entry.
 + * @param hints: the hints.
 + * @param fwd: the forwards.
 + * @param c: the class to start searching at. 0 means find first one.
 + * @return false if no classes found, true if found and returned in c.
 + */
 +int iter_get_next_root(struct iter_hints* hints, struct iter_forwards* fwd,
 +      uint16_t* c);
 +
 +/**
 + * Remove DS records that are inappropriate before they are cached.
 + * @param msg: the response to scrub.
 + * @param ns: RRSET that is the NS record for the referral.
 + *    if NULL, then all DS records are removed from the authority section.
 + * @param z: zone name that the response is from.
 + */
 +void iter_scrub_ds(struct dns_msg* msg, struct ub_packed_rrset_key* ns,
 +      uint8_t* z);
 +
 +/**
 + * Remove query attempts from all available ips. For 0x20.
 + * @param dp: delegpt.
 + * @param d: decrease.
 + */
 +void iter_dec_attempts(struct delegpt* dp, int d);
 +
 +/**
 + * Add retry counts from older delegpt to newer delegpt.
 + * Does not waste time on timeout'd (or other failing) addresses.
 + * @param dp: new delegationpoint.
 + * @param old: old delegationpoint.
 + */
 +void iter_merge_retry_counts(struct delegpt* dp, struct delegpt* old);
 +
 +/**
 + * See if a DS response (type ANSWER) is too low: a nodata answer with 
 + * a SOA record in the authority section at-or-below the qchase.qname.
 + * Also returns true if we are not sure (i.e. empty message, CNAME nosig).
 + * @param msg: the response.
 + * @param dp: the dp name is used to check if the RRSIG gives a clue that
 + *    it was originated from the correct nameserver.
 + * @return true if too low.
 + */
 +int iter_ds_toolow(struct dns_msg* msg, struct delegpt* dp);
 +
 +/**
 + * See if delegpt can go down a step to the qname or not
 + * @param qinfo: the query name looked up.
 + * @param dp: checked if the name can go lower to the qname
 + * @return true if can go down, false if that would not be possible.
 + * the current response seems to be the one and only, best possible, response.
 + */
 +int iter_dp_cangodown(struct query_info* qinfo, struct delegpt* dp);
 +
 +#endif /* ITERATOR_ITER_UTILS_H */
diff --cc contrib/unbound/iterator/iterator.c
index 2037cc8814f2b962f7df61eb5e20f24a369e1c43,0000000000000000000000000000000000000000..96918fa97883548ff1895076b5bf0b041179c5a7
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iterator.c
--- /dev/null
+++ b/contrib/unbound/iterator/iterator.c
@@@ -1,3054 -1,0 +1,3184 @@@
- #include "ldns/rrdef.h"
- #include "ldns/wire2str.h"
- #include "ldns/parseutil.h"
- #include "ldns/sbuffer.h"
 +/*
 + * iterator/iterator.c - iterative resolver DNS query response module
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a module that performs recusive iterative DNS query
 + * processing.
 + */
 +
 +#include "config.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_utils.h"
 +#include "iterator/iter_hints.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_donotq.h"
 +#include "iterator/iter_delegpt.h"
 +#include "iterator/iter_resptype.h"
 +#include "iterator/iter_scrub.h"
 +#include "iterator/iter_priv.h"
 +#include "validator/val_neg.h"
 +#include "services/cache/dns.h"
 +#include "services/cache/infra.h"
 +#include "util/module.h"
 +#include "util/netevent.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgencode.h"
 +#include "util/fptr_wlist.h"
 +#include "util/config_file.h"
-                       iq->caps_server+1 >= MAX_SENT_COUNT) {
++#include "util/random.h"
++#include "sldns/rrdef.h"
++#include "sldns/wire2str.h"
++#include "sldns/parseutil.h"
++#include "sldns/sbuffer.h"
 +
 +int 
 +iter_init(struct module_env* env, int id)
 +{
 +      struct iter_env* iter_env = (struct iter_env*)calloc(1,
 +              sizeof(struct iter_env));
 +      if(!iter_env) {
 +              log_err("malloc failure");
 +              return 0;
 +      }
 +      env->modinfo[id] = (void*)iter_env;
 +      if(!iter_apply_cfg(iter_env, env->cfg)) {
 +              log_err("iterator: could not apply configuration settings.");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
++/** delete caps_whitelist element */
++static void
++caps_free(struct rbnode_t* n, void* ATTR_UNUSED(d))
++{
++      if(n) {
++              free(((struct name_tree_node*)n)->name);
++              free(n);
++      }
++}
++
 +void 
 +iter_deinit(struct module_env* env, int id)
 +{
 +      struct iter_env* iter_env;
 +      if(!env || !env->modinfo[id])
 +              return;
 +      iter_env = (struct iter_env*)env->modinfo[id];
 +      free(iter_env->target_fetch_policy);
 +      priv_delete(iter_env->priv);
 +      donotq_delete(iter_env->donotq);
++      if(iter_env->caps_white) {
++              traverse_postorder(iter_env->caps_white, caps_free, NULL);
++              free(iter_env->caps_white);
++      }
 +      free(iter_env);
 +      env->modinfo[id] = NULL;
 +}
 +
 +/** new query for iterator */
 +static int
 +iter_new(struct module_qstate* qstate, int id)
 +{
 +      struct iter_qstate* iq = (struct iter_qstate*)regional_alloc(
 +              qstate->region, sizeof(struct iter_qstate));
 +      qstate->minfo[id] = iq;
 +      if(!iq) 
 +              return 0;
 +      memset(iq, 0, sizeof(*iq));
 +      iq->state = INIT_REQUEST_STATE;
 +      iq->final_state = FINISHED_STATE;
 +      iq->an_prepend_list = NULL;
 +      iq->an_prepend_last = NULL;
 +      iq->ns_prepend_list = NULL;
 +      iq->ns_prepend_last = NULL;
 +      iq->dp = NULL;
 +      iq->depth = 0;
 +      iq->num_target_queries = 0;
 +      iq->num_current_queries = 0;
 +      iq->query_restart_count = 0;
 +      iq->referral_count = 0;
 +      iq->sent_count = 0;
++      iq->ratelimit_ok = 0;
 +      iq->target_count = NULL;
 +      iq->wait_priming_stub = 0;
 +      iq->refetch_glue = 0;
 +      iq->dnssec_expected = 0;
 +      iq->dnssec_lame_query = 0;
 +      iq->chase_flags = qstate->query_flags;
 +      /* Start with the (current) qname. */
 +      iq->qchase = qstate->qinfo;
 +      outbound_list_init(&iq->outlist);
 +      return 1;
 +}
 +
 +/**
 + * Transition to the next state. This can be used to advance a currently
 + * processing event. It cannot be used to reactivate a forEvent.
 + *
 + * @param iq: iterator query state
 + * @param nextstate The state to transition to.
 + * @return true. This is so this can be called as the return value for the
 + *         actual process*State() methods. (Transitioning to the next state
 + *         implies further processing).
 + */
 +static int
 +next_state(struct iter_qstate* iq, enum iter_state nextstate)
 +{
 +      /* If transitioning to a "response" state, make sure that there is a
 +       * response */
 +      if(iter_state_is_responsestate(nextstate)) {
 +              if(iq->response == NULL) {
 +                      log_err("transitioning to response state sans "
 +                              "response.");
 +              }
 +      }
 +      iq->state = nextstate;
 +      return 1;
 +}
 +
 +/**
 + * Transition an event to its final state. Final states always either return
 + * a result up the module chain, or reactivate a dependent event. Which
 + * final state to transtion to is set in the module state for the event when
 + * it was created, and depends on the original purpose of the event.
 + *
 + * The response is stored in the qstate->buf buffer.
 + *
 + * @param iq: iterator query state
 + * @return false. This is so this method can be used as the return value for
 + *         the processState methods. (Transitioning to the final state
 + */
 +static int
 +final_state(struct iter_qstate* iq)
 +{
 +      return next_state(iq, iq->final_state);
 +}
 +
 +/**
 + * Callback routine to handle errors in parent query states
 + * @param qstate: query state that failed.
 + * @param id: module id.
 + * @param super: super state.
 + */
 +static void
 +error_supers(struct module_qstate* qstate, int id, struct module_qstate* super)
 +{
 +      struct iter_qstate* super_iq = (struct iter_qstate*)super->minfo[id];
 +
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_A ||
 +              qstate->qinfo.qtype == LDNS_RR_TYPE_AAAA) {
 +              /* mark address as failed. */
 +              struct delegpt_ns* dpns = NULL;
 +              if(super_iq->dp)
 +                      dpns = delegpt_find_ns(super_iq->dp, 
 +                              qstate->qinfo.qname, qstate->qinfo.qname_len);
 +              if(!dpns) {
 +                      /* not interested */
 +                      verbose(VERB_ALGO, "subq error, but not interested");
 +                      log_query_info(VERB_ALGO, "superq", &super->qinfo);
 +                      if(super_iq->dp)
 +                              delegpt_log(VERB_ALGO, super_iq->dp);
 +                      log_assert(0);
 +                      return;
 +              } else {
 +                      /* see if the failure did get (parent-lame) info */
 +                      if(!cache_fill_missing(super->env, 
 +                              super_iq->qchase.qclass, super->region, 
 +                              super_iq->dp))
 +                              log_err("out of memory adding missing");
 +              }
 +              dpns->resolved = 1; /* mark as failed */
 +              super_iq->num_target_queries--; 
 +      }
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_NS) {
 +              /* prime failed to get delegation */
 +              super_iq->dp = NULL;
 +      }
 +      /* evaluate targets again */
 +      super_iq->state = QUERYTARGETS_STATE; 
 +      /* super becomes runnable, and will process this change */
 +}
 +
 +/**
 + * Return an error to the client
 + * @param qstate: our query state
 + * @param id: module id
 + * @param rcode: error code (DNS errcode).
 + * @return: 0 for use by caller, to make notation easy, like:
 + *    return error_response(..). 
 + */
 +static int
 +error_response(struct module_qstate* qstate, int id, int rcode)
 +{
 +      verbose(VERB_QUERY, "return error response %s", 
 +              sldns_lookup_by_id(sldns_rcodes, rcode)?
 +              sldns_lookup_by_id(sldns_rcodes, rcode)->name:"??");
 +      qstate->return_rcode = rcode;
 +      qstate->return_msg = NULL;
 +      qstate->ext_state[id] = module_finished;
 +      return 0;
 +}
 +
 +/**
 + * Return an error to the client and cache the error code in the
 + * message cache (so per qname, qtype, qclass).
 + * @param qstate: our query state
 + * @param id: module id
 + * @param rcode: error code (DNS errcode).
 + * @return: 0 for use by caller, to make notation easy, like:
 + *    return error_response(..). 
 + */
 +static int
 +error_response_cache(struct module_qstate* qstate, int id, int rcode)
 +{
 +      /* store in cache */
 +      struct reply_info err;
 +      if(qstate->prefetch_leeway > NORR_TTL) {
 +              verbose(VERB_ALGO, "error response for prefetch in cache");
 +              /* attempt to adjust the cache entry prefetch */
 +              if(dns_cache_prefetch_adjust(qstate->env, &qstate->qinfo,
 +                      NORR_TTL, qstate->query_flags))
 +                      return error_response(qstate, id, rcode);
 +              /* if that fails (not in cache), fall through to store err */
 +      }
 +      memset(&err, 0, sizeof(err));
 +      err.flags = (uint16_t)(BIT_QR | BIT_RA);
 +      FLAGS_SET_RCODE(err.flags, rcode);
 +      err.qdcount = 1;
 +      err.ttl = NORR_TTL;
 +      err.prefetch_ttl = PREFETCH_TTL_CALC(err.ttl);
 +      /* do not waste time trying to validate this servfail */
 +      err.security = sec_status_indeterminate;
 +      verbose(VERB_ALGO, "store error response in message cache");
 +      iter_dns_store(qstate->env, &qstate->qinfo, &err, 0, 0, 0, NULL,
 +              qstate->query_flags);
 +      return error_response(qstate, id, rcode);
 +}
 +
 +/** check if prepend item is duplicate item */
 +static int
 +prepend_is_duplicate(struct ub_packed_rrset_key** sets, size_t to,
 +      struct ub_packed_rrset_key* dup)
 +{
 +      size_t i;
 +      for(i=0; i<to; i++) {
 +              if(sets[i]->rk.type == dup->rk.type &&
 +                      sets[i]->rk.rrset_class == dup->rk.rrset_class &&
 +                      sets[i]->rk.dname_len == dup->rk.dname_len &&
 +                      query_dname_compare(sets[i]->rk.dname, dup->rk.dname)
 +                      == 0)
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** prepend the prepend list in the answer and authority section of dns_msg */
 +static int
 +iter_prepend(struct iter_qstate* iq, struct dns_msg* msg, 
 +      struct regional* region)
 +{
 +      struct iter_prep_list* p;
 +      struct ub_packed_rrset_key** sets;
 +      size_t num_an = 0, num_ns = 0;;
 +      for(p = iq->an_prepend_list; p; p = p->next)
 +              num_an++;
 +      for(p = iq->ns_prepend_list; p; p = p->next)
 +              num_ns++;
 +      if(num_an + num_ns == 0)
 +              return 1;
 +      verbose(VERB_ALGO, "prepending %d rrsets", (int)num_an + (int)num_ns);
++      if(num_an > RR_COUNT_MAX || num_ns > RR_COUNT_MAX ||
++              msg->rep->rrset_count > RR_COUNT_MAX) return 0; /* overflow */
 +      sets = regional_alloc(region, (num_an+num_ns+msg->rep->rrset_count) *
 +              sizeof(struct ub_packed_rrset_key*));
 +      if(!sets) 
 +              return 0;
 +      /* ANSWER section */
 +      num_an = 0;
 +      for(p = iq->an_prepend_list; p; p = p->next) {
 +              sets[num_an++] = p->rrset;
 +      }
 +      memcpy(sets+num_an, msg->rep->rrsets, msg->rep->an_numrrsets *
 +              sizeof(struct ub_packed_rrset_key*));
 +      /* AUTH section */
 +      num_ns = 0;
 +      for(p = iq->ns_prepend_list; p; p = p->next) {
 +              if(prepend_is_duplicate(sets+msg->rep->an_numrrsets+num_an,
 +                      num_ns, p->rrset) || prepend_is_duplicate(
 +                      msg->rep->rrsets+msg->rep->an_numrrsets, 
 +                      msg->rep->ns_numrrsets, p->rrset))
 +                      continue;
 +              sets[msg->rep->an_numrrsets + num_an + num_ns++] = p->rrset;
 +      }
 +      memcpy(sets + num_an + msg->rep->an_numrrsets + num_ns, 
 +              msg->rep->rrsets + msg->rep->an_numrrsets, 
 +              (msg->rep->ns_numrrsets + msg->rep->ar_numrrsets) *
 +              sizeof(struct ub_packed_rrset_key*));
 +
 +      /* NXDOMAIN rcode can stay if we prepended DNAME/CNAMEs, because
 +       * this is what recursors should give. */
 +      msg->rep->rrset_count += num_an + num_ns;
 +      msg->rep->an_numrrsets += num_an;
 +      msg->rep->ns_numrrsets += num_ns;
 +      msg->rep->rrsets = sets;
 +      return 1;
 +}
 +
 +/**
 + * Add rrset to ANSWER prepend list
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param rrset: rrset to add.
 + * @return false on failure (malloc).
 + */
 +static int
 +iter_add_prepend_answer(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct ub_packed_rrset_key* rrset)
 +{
 +      struct iter_prep_list* p = (struct iter_prep_list*)regional_alloc(
 +              qstate->region, sizeof(struct iter_prep_list));
 +      if(!p)
 +              return 0;
 +      p->rrset = rrset;
 +      p->next = NULL;
 +      /* add at end */
 +      if(iq->an_prepend_last)
 +              iq->an_prepend_last->next = p;
 +      else    iq->an_prepend_list = p;
 +      iq->an_prepend_last = p;
 +      return 1;
 +}
 +
 +/**
 + * Add rrset to AUTHORITY prepend list
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param rrset: rrset to add.
 + * @return false on failure (malloc).
 + */
 +static int
 +iter_add_prepend_auth(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct ub_packed_rrset_key* rrset)
 +{
 +      struct iter_prep_list* p = (struct iter_prep_list*)regional_alloc(
 +              qstate->region, sizeof(struct iter_prep_list));
 +      if(!p)
 +              return 0;
 +      p->rrset = rrset;
 +      p->next = NULL;
 +      /* add at end */
 +      if(iq->ns_prepend_last)
 +              iq->ns_prepend_last->next = p;
 +      else    iq->ns_prepend_list = p;
 +      iq->ns_prepend_last = p;
 +      return 1;
 +}
 +
 +/**
 + * Given a CNAME response (defined as a response containing a CNAME or DNAME
 + * that does not answer the request), process the response, modifying the
 + * state as necessary. This follows the CNAME/DNAME chain and returns the
 + * final query name.
 + *
 + * sets the new query name, after following the CNAME/DNAME chain.
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param msg: the response.
 + * @param mname: returned target new query name.
 + * @param mname_len: length of mname.
 + * @return false on (malloc) error.
 + */
 +static int
 +handle_cname_response(struct module_qstate* qstate, struct iter_qstate* iq,
 +        struct dns_msg* msg, uint8_t** mname, size_t* mname_len)
 +{
 +      size_t i;
 +      /* Start with the (current) qname. */
 +      *mname = iq->qchase.qname;
 +      *mname_len = iq->qchase.qname_len;
 +
 +      /* Iterate over the ANSWER rrsets in order, looking for CNAMEs and 
 +       * DNAMES. */
 +      for(i=0; i<msg->rep->an_numrrsets; i++) {
 +              struct ub_packed_rrset_key* r = msg->rep->rrsets[i];
 +              /* If there is a (relevant) DNAME, add it to the list.
 +               * We always expect there to be CNAME that was generated 
 +               * by this DNAME following, so we don't process the DNAME 
 +               * directly.  */
 +              if(ntohs(r->rk.type) == LDNS_RR_TYPE_DNAME &&
 +                      dname_strict_subdomain_c(*mname, r->rk.dname)) {
 +                      if(!iter_add_prepend_answer(qstate, iq, r))
 +                              return 0;
 +                      continue;
 +              }
 +
 +              if(ntohs(r->rk.type) == LDNS_RR_TYPE_CNAME &&
 +                      query_dname_compare(*mname, r->rk.dname) == 0) {
 +                      /* Add this relevant CNAME rrset to the prepend list.*/
 +                      if(!iter_add_prepend_answer(qstate, iq, r))
 +                              return 0;
 +                      get_cname_target(r, mname, mname_len);
 +              }
 +
 +              /* Other rrsets in the section are ignored. */
 +      }
 +      /* add authority rrsets to authority prepend, for wildcarded CNAMEs */
 +      for(i=msg->rep->an_numrrsets; i<msg->rep->an_numrrsets +
 +              msg->rep->ns_numrrsets; i++) {
 +              struct ub_packed_rrset_key* r = msg->rep->rrsets[i];
 +              /* only add NSEC/NSEC3, as they may be needed for validation */
 +              if(ntohs(r->rk.type) == LDNS_RR_TYPE_NSEC ||
 +                      ntohs(r->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      if(!iter_add_prepend_auth(qstate, iq, r))
 +                              return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
++/** see if target name is caps-for-id whitelisted */
++static int
++is_caps_whitelisted(struct iter_env* ie, struct iter_qstate* iq)
++{
++      if(!ie->caps_white) return 0; /* no whitelist, or no capsforid */
++      return name_tree_lookup(ie->caps_white, iq->qchase.qname,
++              iq->qchase.qname_len, dname_count_labels(iq->qchase.qname),
++              iq->qchase.qclass) != NULL;
++}
++
 +/** create target count structure for this query */
 +static void
 +target_count_create(struct iter_qstate* iq)
 +{
 +      if(!iq->target_count) {
 +              iq->target_count = (int*)calloc(2, sizeof(int));
 +              /* if calloc fails we simply do not track this number */
 +              if(iq->target_count)
 +                      iq->target_count[0] = 1;
 +      }
 +}
 +
 +static void
 +target_count_increase(struct iter_qstate* iq, int num)
 +{
 +      target_count_create(iq);
 +      if(iq->target_count)
 +              iq->target_count[1] += num;
 +}
 +
 +/**
 + * Generate a subrequest.
 + * Generate a local request event. Local events are tied to this module, and
 + * have a correponding (first tier) event that is waiting for this event to
 + * resolve to continue.
 + *
 + * @param qname The query name for this request.
 + * @param qnamelen length of qname
 + * @param qtype The query type for this request.
 + * @param qclass The query class for this request.
 + * @param qstate The event that is generating this event.
 + * @param id: module id.
 + * @param iq: The iterator state that is generating this event.
 + * @param initial_state The initial response state (normally this
 + *          is QUERY_RESP_STATE, unless it is known that the request won't
 + *          need iterative processing
 + * @param finalstate The final state for the response to this request.
 + * @param subq_ret: if newly allocated, the subquerystate, or NULL if it does
 + *    not need initialisation.
 + * @param v: if true, validation is done on the subquery.
 + * @return false on error (malloc).
 + */
 +static int
 +generate_sub_request(uint8_t* qname, size_t qnamelen, uint16_t qtype, 
 +      uint16_t qclass, struct module_qstate* qstate, int id,
 +      struct iter_qstate* iq, enum iter_state initial_state, 
 +      enum iter_state finalstate, struct module_qstate** subq_ret, int v)
 +{
 +      struct module_qstate* subq = NULL;
 +      struct iter_qstate* subiq = NULL;
 +      uint16_t qflags = 0; /* OPCODE QUERY, no flags */
 +      struct query_info qinf;
 +      int prime = (finalstate == PRIME_RESP_STATE)?1:0;
 +      int valrec = 0;
 +      qinf.qname = qname;
 +      qinf.qname_len = qnamelen;
 +      qinf.qtype = qtype;
 +      qinf.qclass = qclass;
 +
 +      /* RD should be set only when sending the query back through the INIT
 +       * state. */
 +      if(initial_state == INIT_REQUEST_STATE)
 +              qflags |= BIT_RD;
 +      /* We set the CD flag so we can send this through the "head" of 
 +       * the resolution chain, which might have a validator. We are 
 +       * uninterested in validating things not on the direct resolution 
 +       * path.  */
 +      if(!v) {
 +              qflags |= BIT_CD;
 +              valrec = 1;
 +      }
 +      
 +      /* attach subquery, lookup existing or make a new one */
 +      fptr_ok(fptr_whitelist_modenv_attach_sub(qstate->env->attach_sub));
 +      if(!(*qstate->env->attach_sub)(qstate, &qinf, qflags, prime, valrec,
 +              &subq)) {
 +              return 0;
 +      }
 +      *subq_ret = subq;
 +      if(subq) {
 +              /* initialise the new subquery */
 +              subq->curmod = id;
 +              subq->ext_state[id] = module_state_initial;
 +              subq->minfo[id] = regional_alloc(subq->region, 
 +                      sizeof(struct iter_qstate));
 +              if(!subq->minfo[id]) {
 +                      log_err("init subq: out of memory");
 +                      fptr_ok(fptr_whitelist_modenv_kill_sub(
 +                              qstate->env->kill_sub));
 +                      (*qstate->env->kill_sub)(subq);
 +                      return 0;
 +              }
 +              subiq = (struct iter_qstate*)subq->minfo[id];
 +              memset(subiq, 0, sizeof(*subiq));
 +              subiq->num_target_queries = 0;
 +              target_count_create(iq);
 +              subiq->target_count = iq->target_count;
 +              if(iq->target_count)
 +                      iq->target_count[0] ++; /* extra reference */
 +              subiq->num_current_queries = 0;
 +              subiq->depth = iq->depth+1;
 +              outbound_list_init(&subiq->outlist);
 +              subiq->state = initial_state;
 +              subiq->final_state = finalstate;
 +              subiq->qchase = subq->qinfo;
 +              subiq->chase_flags = subq->query_flags;
 +              subiq->refetch_glue = 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Generate and send a root priming request.
 + * @param qstate: the qtstate that triggered the need to prime.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @param qclass: the class to prime.
 + * @return 0 on failure
 + */
 +static int
 +prime_root(struct module_qstate* qstate, struct iter_qstate* iq, int id,
 +      uint16_t qclass)
 +{
 +      struct delegpt* dp;
 +      struct module_qstate* subq;
 +      verbose(VERB_DETAIL, "priming . %s NS", 
 +              sldns_lookup_by_id(sldns_rr_classes, (int)qclass)?
 +              sldns_lookup_by_id(sldns_rr_classes, (int)qclass)->name:"??");
 +      dp = hints_lookup_root(qstate->env->hints, qclass);
 +      if(!dp) {
 +              verbose(VERB_ALGO, "Cannot prime due to lack of hints");
 +              return 0;
 +      }
 +      /* Priming requests start at the QUERYTARGETS state, skipping 
 +       * the normal INIT state logic (which would cause an infloop). */
 +      if(!generate_sub_request((uint8_t*)"\000", 1, LDNS_RR_TYPE_NS, 
 +              qclass, qstate, id, iq, QUERYTARGETS_STATE, PRIME_RESP_STATE,
 +              &subq, 0)) {
 +              verbose(VERB_ALGO, "could not prime root");
 +              return 0;
 +      }
 +      if(subq) {
 +              struct iter_qstate* subiq = 
 +                      (struct iter_qstate*)subq->minfo[id];
 +              /* Set the initial delegation point to the hint.
 +               * copy dp, it is now part of the root prime query. 
 +               * dp was part of in the fixed hints structure. */
 +              subiq->dp = delegpt_copy(dp, subq->region);
 +              if(!subiq->dp) {
 +                      log_err("out of memory priming root, copydp");
 +                      fptr_ok(fptr_whitelist_modenv_kill_sub(
 +                              qstate->env->kill_sub));
 +                      (*qstate->env->kill_sub)(subq);
 +                      return 0;
 +              }
 +              /* there should not be any target queries. */
 +              subiq->num_target_queries = 0; 
 +              subiq->dnssec_expected = iter_indicates_dnssec(
 +                      qstate->env, subiq->dp, NULL, subq->qinfo.qclass);
 +      }
 +      
 +      /* this module stops, our submodule starts, and does the query. */
 +      qstate->ext_state[id] = module_wait_subquery;
 +      return 1;
 +}
 +
 +/**
 + * Generate and process a stub priming request. This method tests for the
 + * need to prime a stub zone, so it is safe to call for every request.
 + *
 + * @param qstate: the qtstate that triggered the need to prime.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @param qname: request name.
 + * @param qclass: request class.
 + * @return true if a priming subrequest was made, false if not. The will only
 + *         issue a priming request if it detects an unprimed stub.
 + *         Uses value of 2 to signal during stub-prime in root-prime situation
 + *         that a noprime-stub is available and resolution can continue.
 + */
 +static int
 +prime_stub(struct module_qstate* qstate, struct iter_qstate* iq, int id,
 +      uint8_t* qname, uint16_t qclass)
 +{
 +      /* Lookup the stub hint. This will return null if the stub doesn't 
 +       * need to be re-primed. */
 +      struct iter_hints_stub* stub;
 +      struct delegpt* stub_dp;
 +      struct module_qstate* subq;
 +
 +      if(!qname) return 0;
 +      stub = hints_lookup_stub(qstate->env->hints, qname, qclass, iq->dp);
 +      /* The stub (if there is one) does not need priming. */
 +      if(!stub)
 +              return 0;
 +      stub_dp = stub->dp;
 +
 +      /* is it a noprime stub (always use) */
 +      if(stub->noprime) {
 +              int r = 0;
 +              if(iq->dp == NULL) r = 2;
 +              /* copy the dp out of the fixed hints structure, so that
 +               * it can be changed when servicing this query */
 +              iq->dp = delegpt_copy(stub_dp, qstate->region);
 +              if(!iq->dp) {
 +                      log_err("out of memory priming stub");
 +                      (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +                      return 1; /* return 1 to make module stop, with error */
 +              }
 +              log_nametypeclass(VERB_DETAIL, "use stub", stub_dp->name, 
 +                      LDNS_RR_TYPE_NS, qclass);
 +              return r;
 +      }
 +
 +      /* Otherwise, we need to (re)prime the stub. */
 +      log_nametypeclass(VERB_DETAIL, "priming stub", stub_dp->name, 
 +              LDNS_RR_TYPE_NS, qclass);
 +
 +      /* Stub priming events start at the QUERYTARGETS state to avoid the
 +       * redundant INIT state processing. */
 +      if(!generate_sub_request(stub_dp->name, stub_dp->namelen, 
 +              LDNS_RR_TYPE_NS, qclass, qstate, id, iq,
 +              QUERYTARGETS_STATE, PRIME_RESP_STATE, &subq, 0)) {
 +              verbose(VERB_ALGO, "could not prime stub");
 +              (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              return 1; /* return 1 to make module stop, with error */
 +      }
 +      if(subq) {
 +              struct iter_qstate* subiq = 
 +                      (struct iter_qstate*)subq->minfo[id];
 +
 +              /* Set the initial delegation point to the hint. */
 +              /* make copy to avoid use of stub dp by different qs/threads */
 +              subiq->dp = delegpt_copy(stub_dp, subq->region);
 +              if(!subiq->dp) {
 +                      log_err("out of memory priming stub, copydp");
 +                      fptr_ok(fptr_whitelist_modenv_kill_sub(
 +                              qstate->env->kill_sub));
 +                      (*qstate->env->kill_sub)(subq);
 +                      (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +                      return 1; /* return 1 to make module stop, with error */
 +              }
 +              /* there should not be any target queries -- although there 
 +               * wouldn't be anyway, since stub hints never have 
 +               * missing targets. */
 +              subiq->num_target_queries = 0; 
 +              subiq->wait_priming_stub = 1;
 +              subiq->dnssec_expected = iter_indicates_dnssec(
 +                      qstate->env, subiq->dp, NULL, subq->qinfo.qclass);
 +      }
 +      
 +      /* this module stops, our submodule starts, and does the query. */
 +      qstate->ext_state[id] = module_wait_subquery;
 +      return 1;
 +}
 +
 +/**
 + * Generate A and AAAA checks for glue that is in-zone for the referral
 + * we just got to obtain authoritative information on the adresses.
 + *
 + * @param qstate: the qtstate that triggered the need to prime.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + */
 +static void
 +generate_a_aaaa_check(struct module_qstate* qstate, struct iter_qstate* iq, 
 +      int id)
 +{
 +      struct iter_env* ie = (struct iter_env*)qstate->env->modinfo[id];
 +      struct module_qstate* subq;
 +      size_t i;
 +      struct reply_info* rep = iq->response->rep;
 +      struct ub_packed_rrset_key* s;
 +      log_assert(iq->dp);
 +
 +      if(iq->depth == ie->max_dependency_depth)
 +              return;
 +      /* walk through additional, and check if in-zone,
 +       * only relevant A, AAAA are left after scrub anyway */
 +      for(i=rep->an_numrrsets+rep->ns_numrrsets; i<rep->rrset_count; i++) {
 +              s = rep->rrsets[i];
 +              /* check *ALL* addresses that are transmitted in additional*/
 +              /* is it an address ? */
 +              if( !(ntohs(s->rk.type)==LDNS_RR_TYPE_A ||
 +                      ntohs(s->rk.type)==LDNS_RR_TYPE_AAAA)) {
 +                      continue;
 +              }
 +              /* is this query the same as the A/AAAA check for it */
 +              if(qstate->qinfo.qtype == ntohs(s->rk.type) &&
 +                      qstate->qinfo.qclass == ntohs(s->rk.rrset_class) &&
 +                      query_dname_compare(qstate->qinfo.qname, 
 +                              s->rk.dname)==0 &&
 +                      (qstate->query_flags&BIT_RD) && 
 +                      !(qstate->query_flags&BIT_CD))
 +                      continue;
 +
 +              /* generate subrequest for it */
 +              log_nametypeclass(VERB_ALGO, "schedule addr fetch", 
 +                      s->rk.dname, ntohs(s->rk.type), 
 +                      ntohs(s->rk.rrset_class));
 +              if(!generate_sub_request(s->rk.dname, s->rk.dname_len, 
 +                      ntohs(s->rk.type), ntohs(s->rk.rrset_class),
 +                      qstate, id, iq,
 +                      INIT_REQUEST_STATE, FINISHED_STATE, &subq, 1)) {
 +                      verbose(VERB_ALGO, "could not generate addr check");
 +                      return;
 +              }
 +              /* ignore subq - not need for more init */
 +      }
 +}
 +
 +/**
 + * Generate a NS check request to obtain authoritative information
 + * on an NS rrset.
 + *
 + * @param qstate: the qtstate that triggered the need to prime.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + */
 +static void
 +generate_ns_check(struct module_qstate* qstate, struct iter_qstate* iq, int id)
 +{
 +      struct iter_env* ie = (struct iter_env*)qstate->env->modinfo[id];
 +      struct module_qstate* subq;
 +      log_assert(iq->dp);
 +
 +      if(iq->depth == ie->max_dependency_depth)
 +              return;
 +      /* is this query the same as the nscheck? */
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_NS &&
 +              query_dname_compare(iq->dp->name, qstate->qinfo.qname)==0 &&
 +              (qstate->query_flags&BIT_RD) && !(qstate->query_flags&BIT_CD)){
 +              /* spawn off A, AAAA queries for in-zone glue to check */
 +              generate_a_aaaa_check(qstate, iq, id);
 +              return;
 +      }
 +
 +      log_nametypeclass(VERB_ALGO, "schedule ns fetch", 
 +              iq->dp->name, LDNS_RR_TYPE_NS, iq->qchase.qclass);
 +      if(!generate_sub_request(iq->dp->name, iq->dp->namelen, 
 +              LDNS_RR_TYPE_NS, iq->qchase.qclass, qstate, id, iq,
 +              INIT_REQUEST_STATE, FINISHED_STATE, &subq, 1)) {
 +              verbose(VERB_ALGO, "could not generate ns check");
 +              return;
 +      }
 +      if(subq) {
 +              struct iter_qstate* subiq = 
 +                      (struct iter_qstate*)subq->minfo[id];
 +
 +              /* make copy to avoid use of stub dp by different qs/threads */
 +              /* refetch glue to start higher up the tree */
 +              subiq->refetch_glue = 1;
 +              subiq->dp = delegpt_copy(iq->dp, subq->region);
 +              if(!subiq->dp) {
 +                      log_err("out of memory generating ns check, copydp");
 +                      fptr_ok(fptr_whitelist_modenv_kill_sub(
 +                              qstate->env->kill_sub));
 +                      (*qstate->env->kill_sub)(subq);
 +                      return;
 +              }
 +      }
 +}
 +
 +/**
 + * Generate a DNSKEY prefetch query to get the DNSKEY for the DS record we
 + * just got in a referral (where we have dnssec_expected, thus have trust
 + * anchors above it).  Note that right after calling this routine the
 + * iterator detached subqueries (because of following the referral), and thus
 + * the DNSKEY query becomes detached, its return stored in the cache for
 + * later lookup by the validator.  This cache lookup by the validator avoids
 + * the roundtrip incurred by the DNSKEY query.  The DNSKEY query is now
 + * performed at about the same time the original query is sent to the domain,
 + * thus the two answers are likely to be returned at about the same time,
 + * saving a roundtrip from the validated lookup.
 + *
 + * @param qstate: the qtstate that triggered the need to prime.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + */
 +static void
 +generate_dnskey_prefetch(struct module_qstate* qstate, 
 +      struct iter_qstate* iq, int id)
 +{
 +      struct module_qstate* subq;
 +      log_assert(iq->dp);
 +
 +      /* is this query the same as the prefetch? */
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_DNSKEY &&
 +              query_dname_compare(iq->dp->name, qstate->qinfo.qname)==0 &&
 +              (qstate->query_flags&BIT_RD) && !(qstate->query_flags&BIT_CD)){
 +              return;
 +      }
 +
 +      /* if the DNSKEY is in the cache this lookup will stop quickly */
 +      log_nametypeclass(VERB_ALGO, "schedule dnskey prefetch", 
 +              iq->dp->name, LDNS_RR_TYPE_DNSKEY, iq->qchase.qclass);
 +      if(!generate_sub_request(iq->dp->name, iq->dp->namelen, 
 +              LDNS_RR_TYPE_DNSKEY, iq->qchase.qclass, qstate, id, iq,
 +              INIT_REQUEST_STATE, FINISHED_STATE, &subq, 0)) {
 +              /* we'll be slower, but it'll work */
 +              verbose(VERB_ALGO, "could not generate dnskey prefetch");
 +              return;
 +      }
 +      if(subq) {
 +              struct iter_qstate* subiq = 
 +                      (struct iter_qstate*)subq->minfo[id];
 +              /* this qstate has the right delegation for the dnskey lookup*/
 +              /* make copy to avoid use of stub dp by different qs/threads */
 +              subiq->dp = delegpt_copy(iq->dp, subq->region);
 +              /* if !subiq->dp, it'll start from the cache, no problem */
 +      }
 +}
 +
 +/**
 + * See if the query needs forwarding.
 + * 
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @return true if the request is forwarded, false if not.
 + *    If returns true but, iq->dp is NULL then a malloc failure occurred.
 + */
 +static int
 +forward_request(struct module_qstate* qstate, struct iter_qstate* iq)
 +{
 +      struct delegpt* dp;
 +      uint8_t* delname = iq->qchase.qname;
 +      size_t delnamelen = iq->qchase.qname_len;
 +      if(iq->refetch_glue) {
 +              delname = iq->dp->name;
 +              delnamelen = iq->dp->namelen;
 +      }
 +      /* strip one label off of DS query to lookup higher for it */
 +      if( (iq->qchase.qtype == LDNS_RR_TYPE_DS || iq->refetch_glue)
 +              && !dname_is_root(iq->qchase.qname))
 +              dname_remove_label(&delname, &delnamelen);
 +      dp = forwards_lookup(qstate->env->fwds, delname, iq->qchase.qclass);
 +      if(!dp) 
 +              return 0;
 +      /* send recursion desired to forward addr */
 +      iq->chase_flags |= BIT_RD; 
 +      iq->dp = delegpt_copy(dp, qstate->region);
 +      /* iq->dp checked by caller */
 +      verbose(VERB_ALGO, "forwarding request");
 +      return 1;
 +}
 +
 +/** 
 + * Process the initial part of the request handling. This state roughly
 + * corresponds to resolver algorithms steps 1 (find answer in cache) and 2
 + * (find the best servers to ask).
 + *
 + * Note that all requests start here, and query restarts revisit this state.
 + *
 + * This state either generates: 1) a response, from cache or error, 2) a
 + * priming event, or 3) forwards the request to the next state (init2,
 + * generally).
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param ie: iterator shared global environment.
 + * @param id: module id.
 + * @return true if the event needs more request processing immediately,
 + *         false if not.
 + */
 +static int
 +processInitRequest(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct iter_env* ie, int id)
 +{
 +      uint8_t* delname;
 +      size_t delnamelen;
 +      struct dns_msg* msg;
 +
 +      log_query_info(VERB_DETAIL, "resolving", &qstate->qinfo);
 +      /* check effort */
 +
 +      /* We enforce a maximum number of query restarts. This is primarily a
 +       * cheap way to prevent CNAME loops. */
 +      if(iq->query_restart_count > MAX_RESTART_COUNT) {
 +              verbose(VERB_QUERY, "request has exceeded the maximum number"
 +                      " of query restarts with %d", iq->query_restart_count);
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +
 +      /* We enforce a maximum recursion/dependency depth -- in general, 
 +       * this is unnecessary for dependency loops (although it will 
 +       * catch those), but it provides a sensible limit to the amount 
 +       * of work required to answer a given query. */
 +      verbose(VERB_ALGO, "request has dependency depth of %d", iq->depth);
 +      if(iq->depth > ie->max_dependency_depth) {
 +              verbose(VERB_QUERY, "request has exceeded the maximum "
 +                      "dependency depth with depth of %d", iq->depth);
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +
 +      /* If the request is qclass=ANY, setup to generate each class */
 +      if(qstate->qinfo.qclass == LDNS_RR_CLASS_ANY) {
 +              iq->qchase.qclass = 0;
 +              return next_state(iq, COLLECT_CLASS_STATE);
 +      }
 +
 +      /* Resolver Algorithm Step 1 -- Look for the answer in local data. */
 +
 +      /* This either results in a query restart (CNAME cache response), a
 +       * terminating response (ANSWER), or a cache miss (null). */
 +      
 +      if(qstate->blacklist) {
 +              /* if cache, or anything else, was blacklisted then
 +               * getting older results from cache is a bad idea, no cache */
 +              verbose(VERB_ALGO, "cache blacklisted, going to the network");
 +              msg = NULL;
 +      } else {
 +              msg = dns_cache_lookup(qstate->env, iq->qchase.qname, 
 +                      iq->qchase.qname_len, iq->qchase.qtype, 
 +                      iq->qchase.qclass, qstate->query_flags,
 +                      qstate->region, qstate->env->scratch);
 +              if(!msg && qstate->env->neg_cache) {
 +                      /* lookup in negative cache; may result in 
 +                       * NOERROR/NODATA or NXDOMAIN answers that need validation */
 +                      msg = val_neg_getmsg(qstate->env->neg_cache, &iq->qchase,
 +                              qstate->region, qstate->env->rrset_cache,
 +                              qstate->env->scratch_buffer, 
 +                              *qstate->env->now, 1/*add SOA*/, NULL);
 +              }
 +              /* item taken from cache does not match our query name, thus
 +               * security needs to be re-examined later */
 +              if(msg && query_dname_compare(qstate->qinfo.qname,
 +                      iq->qchase.qname) != 0)
 +                      msg->rep->security = sec_status_unchecked;
 +      }
 +      if(msg) {
 +              /* handle positive cache response */
 +              enum response_type type = response_type_from_cache(msg, 
 +                      &iq->qchase);
 +              if(verbosity >= VERB_ALGO) {
 +                      log_dns_msg("msg from cache lookup", &msg->qinfo, 
 +                              msg->rep);
 +                      verbose(VERB_ALGO, "msg ttl is %d, prefetch ttl %d", 
 +                              (int)msg->rep->ttl, 
 +                              (int)msg->rep->prefetch_ttl);
 +              }
 +
 +              if(type == RESPONSE_TYPE_CNAME) {
 +                      uint8_t* sname = 0;
 +                      size_t slen = 0;
 +                      verbose(VERB_ALGO, "returning CNAME response from "
 +                              "cache");
 +                      if(!handle_cname_response(qstate, iq, msg, 
 +                              &sname, &slen))
 +                              return error_response(qstate, id, 
 +                                      LDNS_RCODE_SERVFAIL);
 +                      iq->qchase.qname = sname;
 +                      iq->qchase.qname_len = slen;
 +                      /* This *is* a query restart, even if it is a cheap 
 +                       * one. */
 +                      iq->dp = NULL;
 +                      iq->refetch_glue = 0;
 +                      iq->query_restart_count++;
 +                      iq->sent_count = 0;
 +                      sock_list_insert(&qstate->reply_origin, NULL, 0, qstate->region);
 +                      return next_state(iq, INIT_REQUEST_STATE);
 +              }
 +
 +              /* if from cache, NULL, else insert 'cache IP' len=0 */
 +              if(qstate->reply_origin)
 +                      sock_list_insert(&qstate->reply_origin, NULL, 0, qstate->region);
 +              /* it is an answer, response, to final state */
 +              verbose(VERB_ALGO, "returning answer from cache.");
 +              iq->response = msg;
 +              return final_state(iq);
 +      }
 +      
 +      /* attempt to forward the request */
 +      if(forward_request(qstate, iq))
 +      {
 +              if(!iq->dp) {
 +                      log_err("alloc failure for forward dp");
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              iq->refetch_glue = 0;
 +              /* the request has been forwarded.
 +               * forwarded requests need to be immediately sent to the 
 +               * next state, QUERYTARGETS. */
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      }
 +
 +      /* Resolver Algorithm Step 2 -- find the "best" servers. */
 +
 +      /* first, adjust for DS queries. To avoid the grandparent problem, 
 +       * we just look for the closest set of server to the parent of qname.
 +       * When re-fetching glue we also need to ask the parent.
 +       */
 +      if(iq->refetch_glue) {
 +              if(!iq->dp) {
 +                      log_err("internal or malloc fail: no dp for refetch");
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              delname = iq->dp->name;
 +              delnamelen = iq->dp->namelen;
 +      } else {
 +              delname = iq->qchase.qname;
 +              delnamelen = iq->qchase.qname_len;
 +      }
 +      if(iq->qchase.qtype == LDNS_RR_TYPE_DS || iq->refetch_glue ||
 +         (iq->qchase.qtype == LDNS_RR_TYPE_NS && qstate->prefetch_leeway)) {
 +              /* remove first label from delname, root goes to hints,
 +               * but only to fetch glue, not for qtype=DS. */
 +              /* also when prefetching an NS record, fetch it again from
 +               * its parent, just as if it expired, so that you do not
 +               * get stuck on an older nameserver that gives old NSrecords */
 +              if(dname_is_root(delname) && (iq->refetch_glue ||
 +                      (iq->qchase.qtype == LDNS_RR_TYPE_NS &&
 +                      qstate->prefetch_leeway)))
 +                      delname = NULL; /* go to root priming */
 +              else    dname_remove_label(&delname, &delnamelen);
 +      }
 +      /* delname is the name to lookup a delegation for. If NULL rootprime */
 +      while(1) {
 +              
 +              /* Lookup the delegation in the cache. If null, then the 
 +               * cache needs to be primed for the qclass. */
 +              if(delname)
 +                   iq->dp = dns_cache_find_delegation(qstate->env, delname, 
 +                      delnamelen, iq->qchase.qtype, iq->qchase.qclass, 
 +                      qstate->region, &iq->deleg_msg,
 +                      *qstate->env->now+qstate->prefetch_leeway);
 +              else iq->dp = NULL;
 +
 +              /* If the cache has returned nothing, then we have a 
 +               * root priming situation. */
 +              if(iq->dp == NULL) {
 +                      /* if there is a stub, then no root prime needed */
 +                      int r = prime_stub(qstate, iq, id, delname,
 +                              iq->qchase.qclass);
 +                      if(r == 2)
 +                              break; /* got noprime-stub-zone, continue */
 +                      else if(r)
 +                              return 0; /* stub prime request made */
 +                      if(forwards_lookup_root(qstate->env->fwds, 
 +                              iq->qchase.qclass)) {
 +                              /* forward zone root, no root prime needed */
 +                              /* fill in some dp - safety belt */
 +                              iq->dp = hints_lookup_root(qstate->env->hints, 
 +                                      iq->qchase.qclass);
 +                              if(!iq->dp) {
 +                                      log_err("internal error: no hints dp");
 +                                      return error_response(qstate, id, 
 +                                              LDNS_RCODE_SERVFAIL);
 +                              }
 +                              iq->dp = delegpt_copy(iq->dp, qstate->region);
 +                              if(!iq->dp) {
 +                                      log_err("out of memory in safety belt");
 +                                      return error_response(qstate, id, 
 +                                              LDNS_RCODE_SERVFAIL);
 +                              }
 +                              return next_state(iq, INIT_REQUEST_2_STATE);
 +                      }
 +                      /* Note that the result of this will set a new
 +                       * DelegationPoint based on the result of priming. */
 +                      if(!prime_root(qstate, iq, id, iq->qchase.qclass))
 +                              return error_response(qstate, id, 
 +                                      LDNS_RCODE_REFUSED);
 +
 +                      /* priming creates and sends a subordinate query, with 
 +                       * this query as the parent. So further processing for 
 +                       * this event will stop until reactivated by the 
 +                       * results of priming. */
 +                      return 0;
 +              }
++              if(!iq->ratelimit_ok && qstate->prefetch_leeway)
++                      iq->ratelimit_ok = 1; /* allow prefetches, this keeps
++                      otherwise valid data in the cache */
++              if(!iq->ratelimit_ok && infra_ratelimit_exceeded(
++                      qstate->env->infra_cache, iq->dp->name,
++                      iq->dp->namelen, *qstate->env->now)) {
++                      /* and increment the rate, so that the rate for time
++                       * now will also exceed the rate, keeping cache fresh */
++                      (void)infra_ratelimit_inc(qstate->env->infra_cache,
++                              iq->dp->name, iq->dp->namelen,
++                              *qstate->env->now);
++                      /* see if we are passed through with slip factor */
++                      if(qstate->env->cfg->ratelimit_factor != 0 &&
++                              ub_random_max(qstate->env->rnd,
++                                  qstate->env->cfg->ratelimit_factor) == 1) {
++                              iq->ratelimit_ok = 1;
++                              log_nametypeclass(VERB_ALGO, "ratelimit allowed through for "
++                                      "delegation point", iq->dp->name,
++                                      LDNS_RR_TYPE_NS, LDNS_RR_CLASS_IN);
++                      } else {
++                              log_nametypeclass(VERB_ALGO, "ratelimit exceeded with "
++                                      "delegation point", iq->dp->name,
++                                      LDNS_RR_TYPE_NS, LDNS_RR_CLASS_IN);
++                              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
++                      }
++              }
 +
 +              /* see if this dp not useless.
 +               * It is useless if:
 +               *      o all NS items are required glue. 
 +               *        or the query is for NS item that is required glue.
 +               *      o no addresses are provided.
 +               *      o RD qflag is on.
 +               * Instead, go up one level, and try to get even further
 +               * If the root was useless, use safety belt information. 
 +               * Only check cache returns, because replies for servers
 +               * could be useless but lead to loops (bumping into the
 +               * same server reply) if useless-checked.
 +               */
 +              if(iter_dp_is_useless(&qstate->qinfo, qstate->query_flags, 
 +                      iq->dp)) {
 +                      if(dname_is_root(iq->dp->name)) {
 +                              /* use safety belt */
 +                              verbose(VERB_QUERY, "Cache has root NS but "
 +                              "no addresses. Fallback to the safety belt.");
 +                              iq->dp = hints_lookup_root(qstate->env->hints, 
 +                                      iq->qchase.qclass);
 +                              /* note deleg_msg is from previous lookup,
 +                               * but RD is on, so it is not used */
 +                              if(!iq->dp) {
 +                                      log_err("internal error: no hints dp");
 +                                      return error_response(qstate, id, 
 +                                              LDNS_RCODE_REFUSED);
 +                              }
 +                              iq->dp = delegpt_copy(iq->dp, qstate->region);
 +                              if(!iq->dp) {
 +                                      log_err("out of memory in safety belt");
 +                                      return error_response(qstate, id, 
 +                                              LDNS_RCODE_SERVFAIL);
 +                              }
 +                              break;
 +                      } else {
 +                              verbose(VERB_ALGO, 
 +                                      "cache delegation was useless:");
 +                              delegpt_log(VERB_ALGO, iq->dp);
 +                              /* go up */
 +                              delname = iq->dp->name;
 +                              delnamelen = iq->dp->namelen;
 +                              dname_remove_label(&delname, &delnamelen);
 +                      }
 +              } else break;
 +      }
 +
 +      verbose(VERB_ALGO, "cache delegation returns delegpt");
 +      delegpt_log(VERB_ALGO, iq->dp);
 +
 +      /* Otherwise, set the current delegation point and move on to the 
 +       * next state. */
 +      return next_state(iq, INIT_REQUEST_2_STATE);
 +}
 +
 +/** 
 + * Process the second part of the initial request handling. This state
 + * basically exists so that queries that generate root priming events have
 + * the same init processing as ones that do not. Request events that reach
 + * this state must have a valid currentDelegationPoint set.
 + *
 + * This part is primarly handling stub zone priming. Events that reach this
 + * state must have a current delegation point.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @return true if the event needs more request processing immediately,
 + *         false if not.
 + */
 +static int
 +processInitRequest2(struct module_qstate* qstate, struct iter_qstate* iq,
 +      int id)
 +{
 +      uint8_t* delname;
 +      size_t delnamelen;
 +      log_query_info(VERB_QUERY, "resolving (init part 2): ", 
 +              &qstate->qinfo);
 +
 +      if(iq->refetch_glue) {
 +              if(!iq->dp) {
 +                      log_err("internal or malloc fail: no dp for refetch");
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              delname = iq->dp->name;
 +              delnamelen = iq->dp->namelen;
 +      } else {
 +              delname = iq->qchase.qname;
 +              delnamelen = iq->qchase.qname_len;
 +      }
 +      if(iq->qchase.qtype == LDNS_RR_TYPE_DS || iq->refetch_glue) {
 +              if(!dname_is_root(delname))
 +                      dname_remove_label(&delname, &delnamelen);
 +              iq->refetch_glue = 0; /* if CNAME causes restart, no refetch */
 +      }
 +      /* Check to see if we need to prime a stub zone. */
 +      if(prime_stub(qstate, iq, id, delname, iq->qchase.qclass)) {
 +              /* A priming sub request was made */
 +              return 0;
 +      }
 +
 +      /* most events just get forwarded to the next state. */
 +      return next_state(iq, INIT_REQUEST_3_STATE);
 +}
 +
 +/** 
 + * Process the third part of the initial request handling. This state exists
 + * as a separate state so that queries that generate stub priming events
 + * will get the tail end of the init process but not repeat the stub priming
 + * check.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @return true, advancing the event to the QUERYTARGETS_STATE.
 + */
 +static int
 +processInitRequest3(struct module_qstate* qstate, struct iter_qstate* iq, 
 +      int id)
 +{
 +      log_query_info(VERB_QUERY, "resolving (init part 3): ", 
 +              &qstate->qinfo);
 +      /* if the cache reply dp equals a validation anchor or msg has DS,
 +       * then DNSSEC RRSIGs are expected in the reply */
 +      iq->dnssec_expected = iter_indicates_dnssec(qstate->env, iq->dp, 
 +              iq->deleg_msg, iq->qchase.qclass);
 +
 +      /* If the RD flag wasn't set, then we just finish with the 
 +       * cached referral as the response. */
 +      if(!(qstate->query_flags & BIT_RD)) {
 +              iq->response = iq->deleg_msg;
 +              if(verbosity >= VERB_ALGO && iq->response)
 +                      log_dns_msg("no RD requested, using delegation msg", 
 +                              &iq->response->qinfo, iq->response->rep);
 +              if(qstate->reply_origin)
 +                      sock_list_insert(&qstate->reply_origin, NULL, 0, qstate->region);
 +              return final_state(iq);
 +      }
 +      /* After this point, unset the RD flag -- this query is going to 
 +       * be sent to an auth. server. */
 +      iq->chase_flags &= ~BIT_RD;
 +
 +      /* if dnssec expected, fetch key for the trust-anchor or cached-DS */
 +      if(iq->dnssec_expected && qstate->env->cfg->prefetch_key &&
 +              !(qstate->query_flags&BIT_CD)) {
 +              generate_dnskey_prefetch(qstate, iq, id);
 +              fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                      qstate->env->detach_subs));
 +              (*qstate->env->detach_subs)(qstate);
 +      }
 +
 +      /* Jump to the next state. */
 +      return next_state(iq, QUERYTARGETS_STATE);
 +}
 +
 +/**
 + * Given a basic query, generate a parent-side "target" query. 
 + * These are subordinate queries for missing delegation point target addresses,
 + * for which only the parent of the delegation provides correct IP addresses.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @param name: target qname.
 + * @param namelen: target qname length.
 + * @param qtype: target qtype (either A or AAAA).
 + * @param qclass: target qclass.
 + * @return true on success, false on failure.
 + */
 +static int
 +generate_parentside_target_query(struct module_qstate* qstate, 
 +      struct iter_qstate* iq, int id, uint8_t* name, size_t namelen, 
 +      uint16_t qtype, uint16_t qclass)
 +{
 +      struct module_qstate* subq;
 +      if(!generate_sub_request(name, namelen, qtype, qclass, qstate, 
 +              id, iq, INIT_REQUEST_STATE, FINISHED_STATE, &subq, 0))
 +              return 0;
 +      if(subq) {
 +              struct iter_qstate* subiq = 
 +                      (struct iter_qstate*)subq->minfo[id];
 +              /* blacklist the cache - we want to fetch parent stuff */
 +              sock_list_insert(&subq->blacklist, NULL, 0, subq->region);
 +              subiq->query_for_pside_glue = 1;
 +              if(dname_subdomain_c(name, iq->dp->name)) {
 +                      subiq->dp = delegpt_copy(iq->dp, subq->region);
 +                      subiq->dnssec_expected = iter_indicates_dnssec(
 +                              qstate->env, subiq->dp, NULL, 
 +                              subq->qinfo.qclass);
 +                      subiq->refetch_glue = 1;
 +              } else {
 +                      subiq->dp = dns_cache_find_delegation(qstate->env, 
 +                              name, namelen, qtype, qclass, subq->region,
 +                              &subiq->deleg_msg,
 +                              *qstate->env->now+subq->prefetch_leeway); 
 +                      /* if no dp, then it's from root, refetch unneeded */
 +                      if(subiq->dp) { 
 +                              subiq->dnssec_expected = iter_indicates_dnssec(
 +                                      qstate->env, subiq->dp, NULL, 
 +                                      subq->qinfo.qclass);
 +                              subiq->refetch_glue = 1;
 +                      }
 +              }
 +      }
 +      log_nametypeclass(VERB_QUERY, "new pside target", name, qtype, qclass);
 +      return 1;
 +}
 +
 +/**
 + * Given a basic query, generate a "target" query. These are subordinate
 + * queries for missing delegation point target addresses.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @param name: target qname.
 + * @param namelen: target qname length.
 + * @param qtype: target qtype (either A or AAAA).
 + * @param qclass: target qclass.
 + * @return true on success, false on failure.
 + */
 +static int
 +generate_target_query(struct module_qstate* qstate, struct iter_qstate* iq,
 +        int id, uint8_t* name, size_t namelen, uint16_t qtype, uint16_t qclass)
 +{
 +      struct module_qstate* subq;
 +      if(!generate_sub_request(name, namelen, qtype, qclass, qstate, 
 +              id, iq, INIT_REQUEST_STATE, FINISHED_STATE, &subq, 0))
 +              return 0;
 +      log_nametypeclass(VERB_QUERY, "new target", name, qtype, qclass);
 +      return 1;
 +}
 +
 +/**
 + * Given an event at a certain state, generate zero or more target queries
 + * for it's current delegation point.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param ie: iterator shared global environment.
 + * @param id: module id.
 + * @param maxtargets: The maximum number of targets to query for.
 + *    if it is negative, there is no maximum number of targets.
 + * @param num: returns the number of queries generated and processed, 
 + *    which may be zero if there were no missing targets.
 + * @return false on error.
 + */
 +static int
 +query_for_targets(struct module_qstate* qstate, struct iter_qstate* iq,
 +        struct iter_env* ie, int id, int maxtargets, int* num)
 +{
 +      int query_count = 0;
 +      struct delegpt_ns* ns;
 +      int missing;
 +      int toget = 0;
 +
 +      if(iq->depth == ie->max_dependency_depth)
 +              return 0;
 +      if(iq->depth > 0 && iq->target_count &&
 +              iq->target_count[1] > MAX_TARGET_COUNT) {
 +              char s[LDNS_MAX_DOMAINLEN+1];
 +              dname_str(qstate->qinfo.qname, s);
 +              verbose(VERB_QUERY, "request %s has exceeded the maximum "
 +                      "number of glue fetches %d", s, iq->target_count[1]);
 +              return 0;
 +      }
 +
 +      iter_mark_cycle_targets(qstate, iq->dp);
 +      missing = (int)delegpt_count_missing_targets(iq->dp);
 +      log_assert(maxtargets != 0); /* that would not be useful */
 +
 +      /* Generate target requests. Basically, any missing targets 
 +       * are queried for here, regardless if it is necessary to do 
 +       * so to continue processing. */
 +      if(maxtargets < 0 || maxtargets > missing)
 +              toget = missing;
 +      else    toget = maxtargets;
 +      if(toget == 0) {
 +              *num = 0;
 +              return 1;
 +      }
 +      /* select 'toget' items from the total of 'missing' items */
 +      log_assert(toget <= missing);
 +
 +      /* loop over missing targets */
 +      for(ns = iq->dp->nslist; ns; ns = ns->next) {
 +              if(ns->resolved)
 +                      continue;
 +
 +              /* randomly select this item with probability toget/missing */
 +              if(!iter_ns_probability(qstate->env->rnd, toget, missing)) {
 +                      /* do not select this one, next; select toget number
 +                       * of items from a list one less in size */
 +                      missing --;
 +                      continue;
 +              }
 +
 +              if(ie->supports_ipv6 && !ns->got6) {
 +                      /* Send the AAAA request. */
 +                      if(!generate_target_query(qstate, iq, id, 
 +                              ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_AAAA, iq->qchase.qclass)) {
 +                              *num = query_count;
 +                              if(query_count > 0)
 +                                      qstate->ext_state[id] = module_wait_subquery;
 +                              return 0;
 +                      }
 +                      query_count++;
 +              }
 +              /* Send the A request. */
 +              if(ie->supports_ipv4 && !ns->got4) {
 +                      if(!generate_target_query(qstate, iq, id, 
 +                              ns->name, ns->namelen, 
 +                              LDNS_RR_TYPE_A, iq->qchase.qclass)) {
 +                              *num = query_count;
 +                              if(query_count > 0)
 +                                      qstate->ext_state[id] = module_wait_subquery;
 +                              return 0;
 +                      }
 +                      query_count++;
 +              }
 +
 +              /* mark this target as in progress. */
 +              ns->resolved = 1;
 +              missing--;
 +              toget--;
 +              if(toget == 0)
 +                      break;
 +      }
 +      *num = query_count;
 +      if(query_count > 0)
 +              qstate->ext_state[id] = module_wait_subquery;
 +
 +      return 1;
 +}
 +
 +/** see if last resort is possible - does config allow queries to parent */
 +static int
 +can_have_last_resort(struct module_env* env, struct delegpt* dp,
 +      struct iter_qstate* iq)
 +{
 +      struct delegpt* fwddp;
 +      struct iter_hints_stub* stub;
 +      /* do not process a last resort (the parent side) if a stub
 +       * or forward is configured, because we do not want to go 'above'
 +       * the configured servers */
 +      if(!dname_is_root(dp->name) && (stub = (struct iter_hints_stub*)
 +              name_tree_find(&env->hints->tree, dp->name, dp->namelen,
 +              dp->namelabs, iq->qchase.qclass)) &&
 +              /* has_parent side is turned off for stub_first, where we
 +               * are allowed to go to the parent */
 +              stub->dp->has_parent_side_NS) {
 +              verbose(VERB_QUERY, "configured stub servers failed -- returning SERVFAIL");
 +              return 0;
 +      }
 +      if((fwddp = forwards_find(env->fwds, dp->name, iq->qchase.qclass)) &&
 +              /* has_parent_side is turned off for forward_first, where
 +               * we are allowed to go to the parent */
 +              fwddp->has_parent_side_NS) {
 +              verbose(VERB_QUERY, "configured forward servers failed -- returning SERVFAIL");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Called by processQueryTargets when it would like extra targets to query
 + * but it seems to be out of options.  At last resort some less appealing
 + * options are explored.  If there are no more options, the result is SERVFAIL
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param ie: iterator shared global environment.
 + * @param id: module id.
 + * @return true if the event requires more request processing immediately,
 + *         false if not. 
 + */
 +static int
 +processLastResort(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct iter_env* ie, int id)
 +{
 +      struct delegpt_ns* ns;
 +      int query_count = 0;
 +      verbose(VERB_ALGO, "No more query targets, attempting last resort");
 +      log_assert(iq->dp);
 +
 +      if(!can_have_last_resort(qstate->env, iq->dp, iq)) {
 +              /* fail -- no more targets, no more hope of targets, no hope 
 +               * of a response. */
 +              return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      if(!iq->dp->has_parent_side_NS && dname_is_root(iq->dp->name)) {
 +              struct delegpt* p = hints_lookup_root(qstate->env->hints,
 +                      iq->qchase.qclass);
 +              if(p) {
 +                      struct delegpt_ns* ns;
 +                      struct delegpt_addr* a;
 +                      iq->chase_flags &= ~BIT_RD; /* go to authorities */
 +                      for(ns = p->nslist; ns; ns=ns->next) {
 +                              (void)delegpt_add_ns(iq->dp, qstate->region,
 +                                      ns->name, ns->lame);
 +                      }
 +                      for(a = p->target_list; a; a=a->next_target) {
 +                              (void)delegpt_add_addr(iq->dp, qstate->region,
 +                                      &a->addr, a->addrlen, a->bogus,
 +                                      a->lame);
 +                      }
 +              }
 +              iq->dp->has_parent_side_NS = 1;
 +      } else if(!iq->dp->has_parent_side_NS) {
 +              if(!iter_lookup_parent_NS_from_cache(qstate->env, iq->dp,
 +                      qstate->region, &qstate->qinfo) 
 +                      || !iq->dp->has_parent_side_NS) {
 +                      /* if: malloc failure in lookup go up to try */
 +                      /* if: no parent NS in cache - go up one level */
 +                      verbose(VERB_ALGO, "try to grab parent NS");
 +                      iq->store_parent_NS = iq->dp;
 +                      iq->chase_flags &= ~BIT_RD; /* go to authorities */
 +                      iq->deleg_msg = NULL;
 +                      iq->refetch_glue = 1;
 +                      iq->query_restart_count++;
 +                      iq->sent_count = 0;
 +                      return next_state(iq, INIT_REQUEST_STATE);
 +              }
 +      }
 +      /* see if that makes new names available */
 +      if(!cache_fill_missing(qstate->env, iq->qchase.qclass, 
 +              qstate->region, iq->dp))
 +              log_err("out of memory in cache_fill_missing");
 +      if(iq->dp->usable_list) {
 +              verbose(VERB_ALGO, "try parent-side-name, w. glue from cache");
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      }
 +      /* try to fill out parent glue from cache */
 +      if(iter_lookup_parent_glue_from_cache(qstate->env, iq->dp,
 +              qstate->region, &qstate->qinfo)) {
 +              /* got parent stuff from cache, see if we can continue */
 +              verbose(VERB_ALGO, "try parent-side glue from cache");
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      }
 +      /* query for an extra name added by the parent-NS record */
 +      if(delegpt_count_missing_targets(iq->dp) > 0) {
 +              int qs = 0;
 +              verbose(VERB_ALGO, "try parent-side target name");
 +              if(!query_for_targets(qstate, iq, ie, id, 1, &qs)) {
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              iq->num_target_queries += qs;
 +              target_count_increase(iq, qs);
 +              if(qs != 0) {
 +                      qstate->ext_state[id] = module_wait_subquery;
 +                      return 0; /* and wait for them */
 +              }
 +      }
 +      if(iq->depth == ie->max_dependency_depth) {
 +              verbose(VERB_QUERY, "maxdepth and need more nameservers, fail");
 +              return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      if(iq->depth > 0 && iq->target_count &&
 +              iq->target_count[1] > MAX_TARGET_COUNT) {
 +              char s[LDNS_MAX_DOMAINLEN+1];
 +              dname_str(qstate->qinfo.qname, s);
 +              verbose(VERB_QUERY, "request %s has exceeded the maximum "
 +                      "number of glue fetches %d", s, iq->target_count[1]);
 +              return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      /* mark cycle targets for parent-side lookups */
 +      iter_mark_pside_cycle_targets(qstate, iq->dp);
 +      /* see if we can issue queries to get nameserver addresses */
 +      /* this lookup is not randomized, but sequential. */
 +      for(ns = iq->dp->nslist; ns; ns = ns->next) {
 +              /* query for parent-side A and AAAA for nameservers */
 +              if(ie->supports_ipv6 && !ns->done_pside6) {
 +                      /* Send the AAAA request. */
 +                      if(!generate_parentside_target_query(qstate, iq, id, 
 +                              ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_AAAA, iq->qchase.qclass))
 +                              return error_response(qstate, id,
 +                                      LDNS_RCODE_SERVFAIL);
 +                      ns->done_pside6 = 1;
 +                      query_count++;
 +              }
 +              if(ie->supports_ipv4 && !ns->done_pside4) {
 +                      /* Send the A request. */
 +                      if(!generate_parentside_target_query(qstate, iq, id, 
 +                              ns->name, ns->namelen, 
 +                              LDNS_RR_TYPE_A, iq->qchase.qclass))
 +                              return error_response(qstate, id,
 +                                      LDNS_RCODE_SERVFAIL);
 +                      ns->done_pside4 = 1;
 +                      query_count++;
 +              }
 +              if(query_count != 0) { /* suspend to await results */
 +                      verbose(VERB_ALGO, "try parent-side glue lookup");
 +                      iq->num_target_queries += query_count;
 +                      target_count_increase(iq, query_count);
 +                      qstate->ext_state[id] = module_wait_subquery;
 +                      return 0;
 +              }
 +      }
 +
 +      /* if this was a parent-side glue query itself, then store that
 +       * failure in cache. */
 +      if(iq->query_for_pside_glue && !iq->pside_glue)
 +              iter_store_parentside_neg(qstate->env, &qstate->qinfo,
 +                      iq->deleg_msg?iq->deleg_msg->rep:
 +                      (iq->response?iq->response->rep:NULL));
 +
 +      verbose(VERB_QUERY, "out of query targets -- returning SERVFAIL");
 +      /* fail -- no more targets, no more hope of targets, no hope 
 +       * of a response. */
 +      return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +}
 +
 +/** 
 + * Try to find the NS record set that will resolve a qtype DS query. Due
 + * to grandparent/grandchild reasons we did not get a proper lookup right
 + * away.  We need to create type NS queries until we get the right parent
 + * for this lookup.  We remove labels from the query to find the right point.
 + * If we end up at the old dp name, then there is no solution.
 + * 
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @return true if the event requires more immediate processing, false if
 + *         not. This is generally only true when forwarding the request to
 + *         the final state (i.e., on answer).
 + */
 +static int
 +processDSNSFind(struct module_qstate* qstate, struct iter_qstate* iq, int id)
 +{
 +      struct module_qstate* subq = NULL;
 +      verbose(VERB_ALGO, "processDSNSFind");
 +
 +      if(!iq->dsns_point) {
 +              /* initialize */
 +              iq->dsns_point = iq->qchase.qname;
 +              iq->dsns_point_len = iq->qchase.qname_len;
 +      }
 +      /* robustcheck for internal error: we are not underneath the dp */
 +      if(!dname_subdomain_c(iq->dsns_point, iq->dp->name)) {
 +              return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +
 +      /* go up one (more) step, until we hit the dp, if so, end */
 +      dname_remove_label(&iq->dsns_point, &iq->dsns_point_len);
 +      if(query_dname_compare(iq->dsns_point, iq->dp->name) == 0) {
 +              /* there was no inbetween nameserver, use the old delegation
 +               * point again.  And this time, because dsns_point is nonNULL
 +               * we are going to accept the (bad) result */
 +              iq->state = QUERYTARGETS_STATE;
 +              return 1;
 +      }
 +      iq->state = DSNS_FIND_STATE;
 +
 +      /* spawn NS lookup (validation not needed, this is for DS lookup) */
 +      log_nametypeclass(VERB_ALGO, "fetch nameservers", 
 +              iq->dsns_point, LDNS_RR_TYPE_NS, iq->qchase.qclass);
 +      if(!generate_sub_request(iq->dsns_point, iq->dsns_point_len, 
 +              LDNS_RR_TYPE_NS, iq->qchase.qclass, qstate, id, iq,
 +              INIT_REQUEST_STATE, FINISHED_STATE, &subq, 0)) {
 +              return error_response_cache(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +
 +      return 0;
 +}
 +      
 +/** 
 + * This is the request event state where the request will be sent to one of
 + * its current query targets. This state also handles issuing target lookup
 + * queries for missing target IP addresses. Queries typically iterate on
 + * this state, both when they are just trying different targets for a given
 + * delegation point, and when they change delegation points. This state
 + * roughly corresponds to RFC 1034 algorithm steps 3 and 4.
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param ie: iterator shared global environment.
 + * @param id: module id.
 + * @return true if the event requires more request processing immediately,
 + *         false if not. This state only returns true when it is generating
 + *         a SERVFAIL response because the query has hit a dead end.
 + */
 +static int
 +processQueryTargets(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct iter_env* ie, int id)
 +{
 +      int tf_policy;
 +      struct delegpt_addr* target;
 +      struct outbound_entry* outq;
 +
 +      /* NOTE: a request will encounter this state for each target it 
 +       * needs to send a query to. That is, at least one per referral, 
 +       * more if some targets timeout or return throwaway answers. */
 +
 +      log_query_info(VERB_QUERY, "processQueryTargets:", &qstate->qinfo);
 +      verbose(VERB_ALGO, "processQueryTargets: targetqueries %d, "
 +              "currentqueries %d sentcount %d", iq->num_target_queries, 
 +              iq->num_current_queries, iq->sent_count);
 +
 +      /* Make sure that we haven't run away */
 +      /* FIXME: is this check even necessary? */
 +      if(iq->referral_count > MAX_REFERRAL_COUNT) {
 +              verbose(VERB_QUERY, "request has exceeded the maximum "
 +                      "number of referrrals with %d", iq->referral_count);
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      if(iq->sent_count > MAX_SENT_COUNT) {
 +              verbose(VERB_QUERY, "request has exceeded the maximum "
 +                      "number of sends with %d", iq->sent_count);
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      
 +      /* Make sure we have a delegation point, otherwise priming failed
 +       * or another failure occurred */
 +      if(!iq->dp) {
 +              verbose(VERB_QUERY, "Failed to get a delegation, giving up");
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +      if(!ie->supports_ipv6)
 +              delegpt_no_ipv6(iq->dp);
 +      if(!ie->supports_ipv4)
 +              delegpt_no_ipv4(iq->dp);
 +      delegpt_log(VERB_ALGO, iq->dp);
 +
 +      if(iq->num_current_queries>0) {
 +              /* already busy answering a query, this restart is because
 +               * more delegpt addrs became available, wait for existing
 +               * query. */
 +              verbose(VERB_ALGO, "woke up, but wait for outstanding query");
 +              qstate->ext_state[id] = module_wait_reply;
 +              return 0;
 +      }
 +
 +      tf_policy = 0;
 +      /* < not <=, because although the array is large enough for <=, the
 +       * generated query will immediately be discarded due to depth and
 +       * that servfail is cached, which is not good as opportunism goes. */
 +      if(iq->depth < ie->max_dependency_depth
 +              && iq->sent_count < TARGET_FETCH_STOP) {
 +              tf_policy = ie->target_fetch_policy[iq->depth];
 +      }
 +
 +      /* if in 0x20 fallback get as many targets as possible */
 +      if(iq->caps_fallback) {
 +              int extra = 0;
 +              size_t naddr, nres, navail;
 +              if(!query_for_targets(qstate, iq, ie, id, -1, &extra)) {
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              iq->num_target_queries += extra;
 +              target_count_increase(iq, extra);
 +              if(iq->num_target_queries > 0) {
 +                      /* wait to get all targets, we want to try em */
 +                      verbose(VERB_ALGO, "wait for all targets for fallback");
 +                      qstate->ext_state[id] = module_wait_reply;
 +                      return 0;
 +              }
 +              /* did we do enough fallback queries already? */
 +              delegpt_count_addr(iq->dp, &naddr, &nres, &navail);
 +              /* the current caps_server is the number of fallbacks sent.
 +               * the original query is one that matched too, so we have
 +               * caps_server+1 number of matching queries now */
 +              if(iq->caps_server+1 >= naddr*3 ||
-               iq->dnssec_expected, iq->caps_fallback, &target->addr,
-               target->addrlen, iq->dp->name, iq->dp->namelen, qstate);
++                      iq->caps_server*2+2 >= MAX_SENT_COUNT) {
++                      /* *2 on sentcount check because ipv6 may fail */
 +                      /* we're done, process the response */
 +                      verbose(VERB_ALGO, "0x20 fallback had %d responses "
 +                              "match for %d wanted, done.", 
 +                              (int)iq->caps_server+1, (int)naddr*3);
++                      iq->response = iq->caps_response;
 +                      iq->caps_fallback = 0;
 +                      iter_dec_attempts(iq->dp, 3); /* space for fallback */
 +                      iq->num_current_queries++; /* RespState decrements it*/
 +                      iq->referral_count++; /* make sure we don't loop */
 +                      iq->sent_count = 0;
 +                      iq->state = QUERY_RESP_STATE;
 +                      return 1;
 +              }
 +              verbose(VERB_ALGO, "0x20 fallback number %d", 
 +                      (int)iq->caps_server);
 +
 +      /* if there is a policy to fetch missing targets 
 +       * opportunistically, do it. we rely on the fact that once a 
 +       * query (or queries) for a missing name have been issued, 
 +       * they will not show up again. */
 +      } else if(tf_policy != 0) {
 +              int extra = 0;
 +              verbose(VERB_ALGO, "attempt to get extra %d targets", 
 +                      tf_policy);
 +              (void)query_for_targets(qstate, iq, ie, id, tf_policy, &extra);
 +              /* errors ignored, these targets are not strictly necessary for
 +               * this result, we do not have to reply with SERVFAIL */
 +              iq->num_target_queries += extra;
 +              target_count_increase(iq, extra);
 +      }
 +
 +      /* Add the current set of unused targets to our queue. */
 +      delegpt_add_unused_targets(iq->dp);
 +
 +      /* Select the next usable target, filtering out unsuitable targets. */
 +      target = iter_server_selection(ie, qstate->env, iq->dp, 
 +              iq->dp->name, iq->dp->namelen, iq->qchase.qtype,
 +              &iq->dnssec_lame_query, &iq->chase_to_rd, 
 +              iq->num_target_queries, qstate->blacklist);
 +
 +      /* If no usable target was selected... */
 +      if(!target) {
 +              /* Here we distinguish between three states: generate a new 
 +               * target query, just wait, or quit (with a SERVFAIL).
 +               * We have the following information: number of active 
 +               * target queries, number of active current queries, 
 +               * the presence of missing targets at this delegation 
 +               * point, and the given query target policy. */
 +              
 +              /* Check for the wait condition. If this is true, then 
 +               * an action must be taken. */
 +              if(iq->num_target_queries==0 && iq->num_current_queries==0) {
 +                      /* If there is nothing to wait for, then we need 
 +                       * to distinguish between generating (a) new target 
 +                       * query, or failing. */
 +                      if(delegpt_count_missing_targets(iq->dp) > 0) {
 +                              int qs = 0;
 +                              verbose(VERB_ALGO, "querying for next "
 +                                      "missing target");
 +                              if(!query_for_targets(qstate, iq, ie, id, 
 +                                      1, &qs)) {
 +                                      return error_response(qstate, id,
 +                                              LDNS_RCODE_SERVFAIL);
 +                              }
 +                              if(qs == 0 && 
 +                                 delegpt_count_missing_targets(iq->dp) == 0){
 +                                      /* it looked like there were missing
 +                                       * targets, but they did not turn up.
 +                                       * Try the bad choices again (if any),
 +                                       * when we get back here missing==0,
 +                                       * so this is not a loop. */
 +                                      return 1;
 +                              }
 +                              iq->num_target_queries += qs;
 +                              target_count_increase(iq, qs);
 +                      }
 +                      /* Since a target query might have been made, we 
 +                       * need to check again. */
 +                      if(iq->num_target_queries == 0) {
++                              /* if in capsforid fallback, instead of last
++                               * resort, we agree with the current reply
++                               * we have (if any) (our count of addrs bad)*/
++                              if(iq->caps_fallback && iq->caps_reply) {
++                                      /* we're done, process the response */
++                                      verbose(VERB_ALGO, "0x20 fallback had %d responses, "
++                                              "but no more servers except "
++                                              "last resort, done.", 
++                                              (int)iq->caps_server+1);
++                                      iq->response = iq->caps_response;
++                                      iq->caps_fallback = 0;
++                                      iter_dec_attempts(iq->dp, 3); /* space for fallback */
++                                      iq->num_current_queries++; /* RespState decrements it*/
++                                      iq->referral_count++; /* make sure we don't loop */
++                                      iq->sent_count = 0;
++                                      iq->state = QUERY_RESP_STATE;
++                                      return 1;
++                              }
 +                              return processLastResort(qstate, iq, ie, id);
 +                      }
 +              }
 +
 +              /* otherwise, we have no current targets, so submerge 
 +               * until one of the target or direct queries return. */
 +              if(iq->num_target_queries>0 && iq->num_current_queries>0) {
 +                      verbose(VERB_ALGO, "no current targets -- waiting "
 +                              "for %d targets to resolve or %d outstanding"
 +                              " queries to respond", iq->num_target_queries, 
 +                              iq->num_current_queries);
 +                      qstate->ext_state[id] = module_wait_reply;
 +              } else if(iq->num_target_queries>0) {
 +                      verbose(VERB_ALGO, "no current targets -- waiting "
 +                              "for %d targets to resolve.",
 +                              iq->num_target_queries);
 +                      qstate->ext_state[id] = module_wait_subquery;
 +              } else {
 +                      verbose(VERB_ALGO, "no current targets -- waiting "
 +                              "for %d outstanding queries to respond.",
 +                              iq->num_current_queries);
 +                      qstate->ext_state[id] = module_wait_reply;
 +              }
 +              return 0;
 +      }
 +
++      /* if not forwarding, check ratelimits per delegationpoint name */
++      if(!(iq->chase_flags & BIT_RD) && !iq->ratelimit_ok) {
++              if(!infra_ratelimit_inc(qstate->env->infra_cache, iq->dp->name,
++                      iq->dp->namelen, *qstate->env->now)) {
++                      verbose(VERB_ALGO, "query exceeded ratelimits");
++                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
++              }
++      }
++
 +      /* We have a valid target. */
 +      if(verbosity >= VERB_QUERY) {
 +              log_query_info(VERB_QUERY, "sending query:", &iq->qchase);
 +              log_name_addr(VERB_QUERY, "sending to target:", iq->dp->name, 
 +                      &target->addr, target->addrlen);
 +              verbose(VERB_ALGO, "dnssec status: %s%s",
 +                      iq->dnssec_expected?"expected": "not expected",
 +                      iq->dnssec_lame_query?" but lame_query anyway": "");
 +      }
 +      fptr_ok(fptr_whitelist_modenv_send_query(qstate->env->send_query));
 +      outq = (*qstate->env->send_query)(
 +              iq->qchase.qname, iq->qchase.qname_len, 
 +              iq->qchase.qtype, iq->qchase.qclass, 
 +              iq->chase_flags | (iq->chase_to_rd?BIT_RD:0), EDNS_DO|BIT_CD, 
-               qstate->env->scratch, qstate->env, ie))
++              iq->dnssec_expected, iq->caps_fallback || is_caps_whitelisted(
++              ie, iq), &target->addr, target->addrlen, iq->dp->name,
++              iq->dp->namelen, qstate);
 +      if(!outq) {
 +              log_addr(VERB_DETAIL, "error sending query to auth server", 
 +                      &target->addr, target->addrlen);
++              if(!(iq->chase_flags & BIT_RD) && !iq->ratelimit_ok)
++                  infra_ratelimit_dec(qstate->env->infra_cache, iq->dp->name,
++                      iq->dp->namelen, *qstate->env->now);
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      }
 +      outbound_list_insert(&iq->outlist, outq);
 +      iq->num_current_queries++;
 +      iq->sent_count++;
 +      qstate->ext_state[id] = module_wait_reply;
 +
 +      return 0;
 +}
 +
 +/** find NS rrset in given list */
 +static struct ub_packed_rrset_key*
 +find_NS(struct reply_info* rep, size_t from, size_t to)
 +{
 +      size_t i;
 +      for(i=from; i<to; i++) {
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NS)
 +                      return rep->rrsets[i];
 +      }
 +      return NULL;
 +}
 +
 +
 +/** 
 + * Process the query response. All queries end up at this state first. This
 + * process generally consists of analyzing the response and routing the
 + * event to the next state (either bouncing it back to a request state, or
 + * terminating the processing for this event).
 + * 
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @return true if the event requires more immediate processing, false if
 + *         not. This is generally only true when forwarding the request to
 + *         the final state (i.e., on answer).
 + */
 +static int
 +processQueryResponse(struct module_qstate* qstate, struct iter_qstate* iq,
 +      int id)
 +{
 +      int dnsseclame = 0;
 +      enum response_type type;
 +      iq->num_current_queries--;
 +      if(iq->response == NULL) {
 +              iq->chase_to_rd = 0;
 +              iq->dnssec_lame_query = 0;
 +              verbose(VERB_ALGO, "query response was timeout");
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      }
 +      type = response_type_from_server(
 +              (int)((iq->chase_flags&BIT_RD) || iq->chase_to_rd),
 +              iq->response, &iq->qchase, iq->dp);
 +      iq->chase_to_rd = 0;
 +      if(type == RESPONSE_TYPE_REFERRAL && (iq->chase_flags&BIT_RD)) {
 +              /* When forwarding (RD bit is set), we handle referrals 
 +               * differently. No queries should be sent elsewhere */
 +              type = RESPONSE_TYPE_ANSWER;
 +      }
 +      if(iq->dnssec_expected && !iq->dnssec_lame_query &&
 +              !(iq->chase_flags&BIT_RD) 
 +              && type != RESPONSE_TYPE_LAME 
 +              && type != RESPONSE_TYPE_REC_LAME 
 +              && type != RESPONSE_TYPE_THROWAWAY 
 +              && type != RESPONSE_TYPE_UNTYPED) {
 +              /* a possible answer, see if it is missing DNSSEC */
 +              /* but not when forwarding, so we dont mark fwder lame */
 +              if(!iter_msg_has_dnssec(iq->response)) {
 +                      /* Mark this address as dnsseclame in this dp,
 +                       * because that will make serverselection disprefer
 +                       * it, but also, once it is the only final option,
 +                       * use dnssec-lame-bypass if it needs to query there.*/
 +                      if(qstate->reply) {
 +                              struct delegpt_addr* a = delegpt_find_addr(
 +                                      iq->dp, &qstate->reply->addr,
 +                                      qstate->reply->addrlen);
 +                              if(a) a->dnsseclame = 1;
 +                      }
 +                      /* test the answer is from the zone we expected,
 +                       * otherwise, (due to parent,child on same server), we
 +                       * might mark the server,zone lame inappropriately */
 +                      if(!iter_msg_from_zone(iq->response, iq->dp, type,
 +                              iq->qchase.qclass))
 +                              qstate->reply = NULL;
 +                      type = RESPONSE_TYPE_LAME;
 +                      dnsseclame = 1;
 +              }
 +      } else iq->dnssec_lame_query = 0;
 +      /* see if referral brings us close to the target */
 +      if(type == RESPONSE_TYPE_REFERRAL) {
 +              struct ub_packed_rrset_key* ns = find_NS(
 +                      iq->response->rep, iq->response->rep->an_numrrsets,
 +                      iq->response->rep->an_numrrsets 
 +                      + iq->response->rep->ns_numrrsets);
 +              if(!ns) ns = find_NS(iq->response->rep, 0, 
 +                              iq->response->rep->an_numrrsets);
 +              if(!ns || !dname_strict_subdomain_c(ns->rk.dname, iq->dp->name) 
 +                      || !dname_subdomain_c(iq->qchase.qname, ns->rk.dname)){
 +                      verbose(VERB_ALGO, "bad referral, throwaway");
 +                      type = RESPONSE_TYPE_THROWAWAY;
 +              } else
 +                      iter_scrub_ds(iq->response, ns, iq->dp->name);
 +      } else iter_scrub_ds(iq->response, NULL, NULL);
 +
 +      /* handle each of the type cases */
 +      if(type == RESPONSE_TYPE_ANSWER) {
 +              /* ANSWER type responses terminate the query algorithm, 
 +               * so they sent on their */
 +              if(verbosity >= VERB_DETAIL) {
 +                      verbose(VERB_DETAIL, "query response was %s",
 +                              FLAGS_GET_RCODE(iq->response->rep->flags)
 +                              ==LDNS_RCODE_NXDOMAIN?"NXDOMAIN ANSWER":
 +                              (iq->response->rep->an_numrrsets?"ANSWER":
 +                              "nodata ANSWER"));
 +              }
 +              /* if qtype is DS, check we have the right level of answer,
 +               * like grandchild answer but we need the middle, reject it */
 +              if(iq->qchase.qtype == LDNS_RR_TYPE_DS && !iq->dsns_point
 +                      && !(iq->chase_flags&BIT_RD)
 +                      && iter_ds_toolow(iq->response, iq->dp)
 +                      && iter_dp_cangodown(&iq->qchase, iq->dp)) {
 +                      /* close down outstanding requests to be discarded */
 +                      outbound_list_clear(&iq->outlist);
 +                      iq->num_current_queries = 0;
 +                      fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                              qstate->env->detach_subs));
 +                      (*qstate->env->detach_subs)(qstate);
 +                      iq->num_target_queries = 0;
 +                      return processDSNSFind(qstate, iq, id);
 +              }
 +              iter_dns_store(qstate->env, &iq->response->qinfo,
 +                      iq->response->rep, 0, qstate->prefetch_leeway,
 +                      iq->dp&&iq->dp->has_parent_side_NS,
 +                      qstate->region, qstate->query_flags);
 +              /* close down outstanding requests to be discarded */
 +              outbound_list_clear(&iq->outlist);
 +              iq->num_current_queries = 0;
 +              fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                      qstate->env->detach_subs));
 +              (*qstate->env->detach_subs)(qstate);
 +              iq->num_target_queries = 0;
 +              if(qstate->reply)
 +                      sock_list_insert(&qstate->reply_origin, 
 +                              &qstate->reply->addr, qstate->reply->addrlen, 
 +                              qstate->region);
 +              return final_state(iq);
 +      } else if(type == RESPONSE_TYPE_REFERRAL) {
 +              /* REFERRAL type responses get a reset of the 
 +               * delegation point, and back to the QUERYTARGETS_STATE. */
 +              verbose(VERB_DETAIL, "query response was REFERRAL");
 +
++              if(!(iq->chase_flags & BIT_RD) && !iq->ratelimit_ok) {
++                      /* we have a referral, no ratelimit, we can send
++                       * our queries to the given name */
++                      infra_ratelimit_dec(qstate->env->infra_cache,
++                              iq->dp->name, iq->dp->namelen,
++                              *qstate->env->now);
++              }
++
 +              /* if hardened, only store referral if we asked for it */
 +              if(!qstate->env->cfg->harden_referral_path ||
 +                  (  qstate->qinfo.qtype == LDNS_RR_TYPE_NS 
 +                      && (qstate->query_flags&BIT_RD) 
 +                      && !(qstate->query_flags&BIT_CD)
 +                         /* we know that all other NS rrsets are scrubbed
 +                          * away, thus on referral only one is left.
 +                          * see if that equals the query name... */
 +                      && ( /* auth section, but sometimes in answer section*/
 +                        reply_find_rrset_section_ns(iq->response->rep,
 +                              iq->qchase.qname, iq->qchase.qname_len,
 +                              LDNS_RR_TYPE_NS, iq->qchase.qclass)
 +                        || reply_find_rrset_section_an(iq->response->rep,
 +                              iq->qchase.qname, iq->qchase.qname_len,
 +                              LDNS_RR_TYPE_NS, iq->qchase.qclass)
 +                        )
 +                  )) {
 +                      /* Store the referral under the current query */
 +                      /* no prefetch-leeway, since its not the answer */
 +                      iter_dns_store(qstate->env, &iq->response->qinfo,
 +                              iq->response->rep, 1, 0, 0, NULL, 0);
 +                      if(iq->store_parent_NS)
 +                              iter_store_parentside_NS(qstate->env, 
 +                                      iq->response->rep);
 +                      if(qstate->env->neg_cache)
 +                              val_neg_addreferral(qstate->env->neg_cache, 
 +                                      iq->response->rep, iq->dp->name);
 +              }
 +              /* store parent-side-in-zone-glue, if directly queried for */
 +              if(iq->query_for_pside_glue && !iq->pside_glue) {
 +                      iq->pside_glue = reply_find_rrset(iq->response->rep, 
 +                              iq->qchase.qname, iq->qchase.qname_len, 
 +                              iq->qchase.qtype, iq->qchase.qclass);
 +                      if(iq->pside_glue) {
 +                              log_rrset_key(VERB_ALGO, "found parent-side "
 +                                      "glue", iq->pside_glue);
 +                              iter_store_parentside_rrset(qstate->env,
 +                                      iq->pside_glue);
 +                      }
 +              }
 +
 +              /* Reset the event state, setting the current delegation 
 +               * point to the referral. */
 +              iq->deleg_msg = iq->response;
 +              iq->dp = delegpt_from_message(iq->response, qstate->region);
 +              if(!iq->dp)
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              if(!cache_fill_missing(qstate->env, iq->qchase.qclass, 
 +                      qstate->region, iq->dp))
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              if(iq->store_parent_NS && query_dname_compare(iq->dp->name,
 +                      iq->store_parent_NS->name) == 0)
 +                      iter_merge_retry_counts(iq->dp, iq->store_parent_NS);
 +              delegpt_log(VERB_ALGO, iq->dp);
 +              /* Count this as a referral. */
 +              iq->referral_count++;
 +              iq->sent_count = 0;
 +              /* see if the next dp is a trust anchor, or a DS was sent
 +               * along, indicating dnssec is expected for next zone */
 +              iq->dnssec_expected = iter_indicates_dnssec(qstate->env, 
 +                      iq->dp, iq->response, iq->qchase.qclass);
 +              /* if dnssec, validating then also fetch the key for the DS */
 +              if(iq->dnssec_expected && qstate->env->cfg->prefetch_key &&
 +                      !(qstate->query_flags&BIT_CD))
 +                      generate_dnskey_prefetch(qstate, iq, id);
 +
 +              /* spawn off NS and addr to auth servers for the NS we just
 +               * got in the referral. This gets authoritative answer
 +               * (answer section trust level) rrset. 
 +               * right after, we detach the subs, answer goes to cache. */
 +              if(qstate->env->cfg->harden_referral_path)
 +                      generate_ns_check(qstate, iq, id);
 +
 +              /* stop current outstanding queries. 
 +               * FIXME: should the outstanding queries be waited for and
 +               * handled? Say by a subquery that inherits the outbound_entry.
 +               */
 +              outbound_list_clear(&iq->outlist);
 +              iq->num_current_queries = 0;
 +              fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                      qstate->env->detach_subs));
 +              (*qstate->env->detach_subs)(qstate);
 +              iq->num_target_queries = 0;
 +              verbose(VERB_ALGO, "cleared outbound list for next round");
 +              return next_state(iq, QUERYTARGETS_STATE);
 +      } else if(type == RESPONSE_TYPE_CNAME) {
 +              uint8_t* sname = NULL;
 +              size_t snamelen = 0;
 +              /* CNAME type responses get a query restart (i.e., get a 
 +               * reset of the query state and go back to INIT_REQUEST_STATE).
 +               */
 +              verbose(VERB_DETAIL, "query response was CNAME");
 +              if(verbosity >= VERB_ALGO)
 +                      log_dns_msg("cname msg", &iq->response->qinfo, 
 +                              iq->response->rep);
 +              /* if qtype is DS, check we have the right level of answer,
 +               * like grandchild answer but we need the middle, reject it */
 +              if(iq->qchase.qtype == LDNS_RR_TYPE_DS && !iq->dsns_point
 +                      && !(iq->chase_flags&BIT_RD)
 +                      && iter_ds_toolow(iq->response, iq->dp)
 +                      && iter_dp_cangodown(&iq->qchase, iq->dp)) {
 +                      outbound_list_clear(&iq->outlist);
 +                      iq->num_current_queries = 0;
 +                      fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                              qstate->env->detach_subs));
 +                      (*qstate->env->detach_subs)(qstate);
 +                      iq->num_target_queries = 0;
 +                      return processDSNSFind(qstate, iq, id);
 +              }
 +              /* Process the CNAME response. */
 +              if(!handle_cname_response(qstate, iq, iq->response, 
 +                      &sname, &snamelen))
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              /* cache the CNAME response under the current query */
 +              /* NOTE : set referral=1, so that rrsets get stored but not 
 +               * the partial query answer (CNAME only). */
 +              /* prefetchleeway applied because this updates answer parts */
 +              iter_dns_store(qstate->env, &iq->response->qinfo,
 +                      iq->response->rep, 1, qstate->prefetch_leeway,
 +                      iq->dp&&iq->dp->has_parent_side_NS, NULL,
 +                      qstate->query_flags);
 +              /* set the current request's qname to the new value. */
 +              iq->qchase.qname = sname;
 +              iq->qchase.qname_len = snamelen;
 +              /* Clear the query state, since this is a query restart. */
 +              iq->deleg_msg = NULL;
 +              iq->dp = NULL;
 +              iq->dsns_point = NULL;
 +              /* Note the query restart. */
 +              iq->query_restart_count++;
 +              iq->sent_count = 0;
 +
 +              /* stop current outstanding queries. 
 +               * FIXME: should the outstanding queries be waited for and
 +               * handled? Say by a subquery that inherits the outbound_entry.
 +               */
 +              outbound_list_clear(&iq->outlist);
 +              iq->num_current_queries = 0;
 +              fptr_ok(fptr_whitelist_modenv_detach_subs(
 +                      qstate->env->detach_subs));
 +              (*qstate->env->detach_subs)(qstate);
 +              iq->num_target_queries = 0;
 +              if(qstate->reply)
 +                      sock_list_insert(&qstate->reply_origin, 
 +                              &qstate->reply->addr, qstate->reply->addrlen, 
 +                              qstate->region);
 +              verbose(VERB_ALGO, "cleared outbound list for query restart");
 +              /* go to INIT_REQUEST_STATE for new qname. */
 +              return next_state(iq, INIT_REQUEST_STATE);
 +      } else if(type == RESPONSE_TYPE_LAME) {
 +              /* Cache the LAMEness. */
 +              verbose(VERB_DETAIL, "query response was %sLAME",
 +                      dnsseclame?"DNSSEC ":"");
 +              if(!dname_subdomain_c(iq->qchase.qname, iq->dp->name)) {
 +                      log_err("mark lame: mismatch in qname and dpname");
 +                      /* throwaway this reply below */
 +              } else if(qstate->reply) {
 +                      /* need addr for lameness cache, but we may have
 +                       * gotten this from cache, so test to be sure */
 +                      if(!infra_set_lame(qstate->env->infra_cache, 
 +                              &qstate->reply->addr, qstate->reply->addrlen, 
 +                              iq->dp->name, iq->dp->namelen, 
 +                              *qstate->env->now, dnsseclame, 0,
 +                              iq->qchase.qtype))
 +                              log_err("mark host lame: out of memory");
 +              }
 +      } else if(type == RESPONSE_TYPE_REC_LAME) {
 +              /* Cache the LAMEness. */
 +              verbose(VERB_DETAIL, "query response REC_LAME: "
 +                      "recursive but not authoritative server");
 +              if(!dname_subdomain_c(iq->qchase.qname, iq->dp->name)) {
 +                      log_err("mark rec_lame: mismatch in qname and dpname");
 +                      /* throwaway this reply below */
 +              } else if(qstate->reply) {
 +                      /* need addr for lameness cache, but we may have
 +                       * gotten this from cache, so test to be sure */
 +                      verbose(VERB_DETAIL, "mark as REC_LAME");
 +                      if(!infra_set_lame(qstate->env->infra_cache, 
 +                              &qstate->reply->addr, qstate->reply->addrlen, 
 +                              iq->dp->name, iq->dp->namelen, 
 +                              *qstate->env->now, 0, 1, iq->qchase.qtype))
 +                              log_err("mark host lame: out of memory");
 +              } 
 +      } else if(type == RESPONSE_TYPE_THROWAWAY) {
 +              /* LAME and THROWAWAY responses are handled the same way. 
 +               * In this case, the event is just sent directly back to 
 +               * the QUERYTARGETS_STATE without resetting anything, 
 +               * because, clearly, the next target must be tried. */
 +              verbose(VERB_DETAIL, "query response was THROWAWAY");
 +      } else {
 +              log_warn("A query response came back with an unknown type: %d",
 +                      (int)type);
 +      }
 +
 +      /* LAME, THROWAWAY and "unknown" all end up here.
 +       * Recycle to the QUERYTARGETS state to hopefully try a 
 +       * different target. */
 +      return next_state(iq, QUERYTARGETS_STATE);
 +}
 +
 +/**
 + * Return priming query results to interested super querystates.
 + * 
 + * Sets the delegation point and delegation message (not nonRD queries).
 + * This is a callback from walk_supers.
 + *
 + * @param qstate: priming query state that finished.
 + * @param id: module id.
 + * @param forq: the qstate for which priming has been done.
 + */
 +static void
 +prime_supers(struct module_qstate* qstate, int id, struct module_qstate* forq)
 +{
 +      struct iter_qstate* foriq = (struct iter_qstate*)forq->minfo[id];
 +      struct delegpt* dp = NULL;
 +
 +      log_assert(qstate->is_priming || foriq->wait_priming_stub);
 +      log_assert(qstate->return_rcode == LDNS_RCODE_NOERROR);
 +      /* Convert our response to a delegation point */
 +      dp = delegpt_from_message(qstate->return_msg, forq->region);
 +      if(!dp) {
 +              /* if there is no convertable delegation point, then 
 +               * the ANSWER type was (presumably) a negative answer. */
 +              verbose(VERB_ALGO, "prime response was not a positive "
 +                      "ANSWER; failing");
 +              foriq->dp = NULL;
 +              foriq->state = QUERYTARGETS_STATE;
 +              return;
 +      }
 +
 +      log_query_info(VERB_DETAIL, "priming successful for", &qstate->qinfo);
 +      delegpt_log(VERB_ALGO, dp);
 +      foriq->dp = dp;
 +      foriq->deleg_msg = dns_copy_msg(qstate->return_msg, forq->region);
 +      if(!foriq->deleg_msg) {
 +              log_err("copy prime response: out of memory");
 +              foriq->dp = NULL;
 +              foriq->state = QUERYTARGETS_STATE;
 +              return;
 +      }
 +
 +      /* root priming responses go to init stage 2, priming stub 
 +       * responses to to stage 3. */
 +      if(foriq->wait_priming_stub) {
 +              foriq->state = INIT_REQUEST_3_STATE;
 +              foriq->wait_priming_stub = 0;
 +      } else  foriq->state = INIT_REQUEST_2_STATE;
 +      /* because we are finished, the parent will be reactivated */
 +}
 +
 +/** 
 + * This handles the response to a priming query. This is used to handle both
 + * root and stub priming responses. This is basically the equivalent of the
 + * QUERY_RESP_STATE, but will not handle CNAME responses and will treat
 + * REFERRALs as ANSWERS. It will also update and reactivate the originating
 + * event.
 + *
 + * @param qstate: query state.
 + * @param id: module id.
 + * @return true if the event needs more immediate processing, false if not.
 + *         This state always returns false.
 + */
 +static int
 +processPrimeResponse(struct module_qstate* qstate, int id)
 +{
 +      struct iter_qstate* iq = (struct iter_qstate*)qstate->minfo[id];
 +      enum response_type type;
 +      iq->response->rep->flags &= ~(BIT_RD|BIT_RA); /* ignore rec-lame */
 +      type = response_type_from_server(
 +              (int)((iq->chase_flags&BIT_RD) || iq->chase_to_rd), 
 +              iq->response, &iq->qchase, iq->dp);
 +      if(type == RESPONSE_TYPE_ANSWER) {
 +              qstate->return_rcode = LDNS_RCODE_NOERROR;
 +              qstate->return_msg = iq->response;
 +      } else {
 +              qstate->return_rcode = LDNS_RCODE_SERVFAIL;
 +              qstate->return_msg = NULL;
 +      }
 +
 +      /* validate the root or stub after priming (if enabled).
 +       * This is the same query as the prime query, but with validation.
 +       * Now that we are primed, the additional queries that validation
 +       * may need can be resolved, such as DLV. */
 +      if(qstate->env->cfg->harden_referral_path) {
 +              struct module_qstate* subq = NULL;
 +              log_nametypeclass(VERB_ALGO, "schedule prime validation", 
 +                      qstate->qinfo.qname, qstate->qinfo.qtype,
 +                      qstate->qinfo.qclass);
 +              if(!generate_sub_request(qstate->qinfo.qname, 
 +                      qstate->qinfo.qname_len, qstate->qinfo.qtype,
 +                      qstate->qinfo.qclass, qstate, id, iq,
 +                      INIT_REQUEST_STATE, FINISHED_STATE, &subq, 1)) {
 +                      verbose(VERB_ALGO, "could not generate prime check");
 +              }
 +              generate_a_aaaa_check(qstate, iq, id);
 +      }
 +
 +      /* This event is finished. */
 +      qstate->ext_state[id] = module_finished;
 +      return 0;
 +}
 +
 +/** 
 + * Do final processing on responses to target queries. Events reach this
 + * state after the iterative resolution algorithm terminates. This state is
 + * responsible for reactiving the original event, and housekeeping related
 + * to received target responses (caching, updating the current delegation
 + * point, etc).
 + * Callback from walk_supers for every super state that is interested in 
 + * the results from this query.
 + *
 + * @param qstate: query state.
 + * @param id: module id.
 + * @param forq: super query state.
 + */
 +static void
 +processTargetResponse(struct module_qstate* qstate, int id,
 +      struct module_qstate* forq)
 +{
 +      struct iter_qstate* iq = (struct iter_qstate*)qstate->minfo[id];
 +      struct iter_qstate* foriq = (struct iter_qstate*)forq->minfo[id];
 +      struct ub_packed_rrset_key* rrset;
 +      struct delegpt_ns* dpns;
 +      log_assert(qstate->return_rcode == LDNS_RCODE_NOERROR);
 +
 +      foriq->state = QUERYTARGETS_STATE;
 +      log_query_info(VERB_ALGO, "processTargetResponse", &qstate->qinfo);
 +      log_query_info(VERB_ALGO, "processTargetResponse super", &forq->qinfo);
 +
 +      /* check to see if parent event is still interested (in orig name).  */
 +      if(!foriq->dp) {
 +              verbose(VERB_ALGO, "subq: parent not interested, was reset");
 +              return; /* not interested anymore */
 +      }
 +      dpns = delegpt_find_ns(foriq->dp, qstate->qinfo.qname,
 +                      qstate->qinfo.qname_len);
 +      if(!dpns) {
 +              /* If not interested, just stop processing this event */
 +              verbose(VERB_ALGO, "subq: parent not interested anymore");
 +              /* could be because parent was jostled out of the cache,
 +                 and a new identical query arrived, that does not want it*/
 +              return;
 +      }
 +
 +      /* Tell the originating event that this target query has finished
 +       * (regardless if it succeeded or not). */
 +      foriq->num_target_queries--;
 +
 +      /* if iq->query_for_pside_glue then add the pside_glue (marked lame) */
 +      if(iq->pside_glue) {
 +              /* if the pside_glue is NULL, then it could not be found,
 +               * the done_pside is already set when created and a cache
 +               * entry created in processFinished so nothing to do here */
 +              log_rrset_key(VERB_ALGO, "add parentside glue to dp", 
 +                      iq->pside_glue);
 +              if(!delegpt_add_rrset(foriq->dp, forq->region, 
 +                      iq->pside_glue, 1))
 +                      log_err("out of memory adding pside glue");
 +      }
 +
 +      /* This response is relevant to the current query, so we 
 +       * add (attempt to add, anyway) this target(s) and reactivate 
 +       * the original event. 
 +       * NOTE: we could only look for the AnswerRRset if the 
 +       * response type was ANSWER. */
 +      rrset = reply_find_answer_rrset(&iq->qchase, qstate->return_msg->rep);
 +      if(rrset) {
 +              /* if CNAMEs have been followed - add new NS to delegpt. */
 +              /* BTW. RFC 1918 says NS should not have got CNAMEs. Robust. */
 +              if(!delegpt_find_ns(foriq->dp, rrset->rk.dname, 
 +                      rrset->rk.dname_len)) {
 +                      /* if dpns->lame then set newcname ns lame too */
 +                      if(!delegpt_add_ns(foriq->dp, forq->region, 
 +                              rrset->rk.dname, dpns->lame))
 +                              log_err("out of memory adding cnamed-ns");
 +              }
 +              /* if dpns->lame then set the address(es) lame too */
 +              if(!delegpt_add_rrset(foriq->dp, forq->region, rrset, 
 +                      dpns->lame))
 +                      log_err("out of memory adding targets");
 +              verbose(VERB_ALGO, "added target response");
 +              delegpt_log(VERB_ALGO, foriq->dp);
 +      } else {
 +              verbose(VERB_ALGO, "iterator TargetResponse failed");
 +              dpns->resolved = 1; /* fail the target */
 +      }
 +}
 +
 +/**
 + * Process response for DS NS Find queries, that attempt to find the delegation
 + * point where we ask the DS query from.
 + *
 + * @param qstate: query state.
 + * @param id: module id.
 + * @param forq: super query state.
 + */
 +static void
 +processDSNSResponse(struct module_qstate* qstate, int id,
 +      struct module_qstate* forq)
 +{
 +      struct iter_qstate* foriq = (struct iter_qstate*)forq->minfo[id];
 +
 +      /* if the finished (iq->response) query has no NS set: continue
 +       * up to look for the right dp; nothing to change, do DPNSstate */
 +      if(qstate->return_rcode != LDNS_RCODE_NOERROR)
 +              return; /* seek further */
 +      /* find the NS RRset (without allowing CNAMEs) */
 +      if(!reply_find_rrset(qstate->return_msg->rep, qstate->qinfo.qname,
 +              qstate->qinfo.qname_len, LDNS_RR_TYPE_NS,
 +              qstate->qinfo.qclass)){
 +              return; /* seek further */
 +      }
 +
 +      /* else, store as DP and continue at querytargets */
 +      foriq->state = QUERYTARGETS_STATE;
 +      foriq->dp = delegpt_from_message(qstate->return_msg, forq->region);
 +      if(!foriq->dp) {
 +              log_err("out of memory in dsns dp alloc");
 +              return; /* dp==NULL in QUERYTARGETS makes SERVFAIL */
 +      }
 +      /* success, go query the querytargets in the new dp (and go down) */
 +}
 +
 +/**
 + * Process response for qclass=ANY queries for a particular class.
 + * Append to result or error-exit.
 + *
 + * @param qstate: query state.
 + * @param id: module id.
 + * @param forq: super query state.
 + */
 +static void
 +processClassResponse(struct module_qstate* qstate, int id,
 +      struct module_qstate* forq)
 +{
 +      struct iter_qstate* foriq = (struct iter_qstate*)forq->minfo[id];
 +      struct dns_msg* from = qstate->return_msg;
 +      log_query_info(VERB_ALGO, "processClassResponse", &qstate->qinfo);
 +      log_query_info(VERB_ALGO, "processClassResponse super", &forq->qinfo);
 +      if(qstate->return_rcode != LDNS_RCODE_NOERROR) {
 +              /* cause servfail for qclass ANY query */
 +              foriq->response = NULL;
 +              foriq->state = FINISHED_STATE;
 +              return;
 +      }
 +      /* append result */
 +      if(!foriq->response) {
 +              /* allocate the response: copy RCODE, sec_state */
 +              foriq->response = dns_copy_msg(from, forq->region);
 +              if(!foriq->response) {
 +                      log_err("malloc failed for qclass ANY response"); 
 +                      foriq->state = FINISHED_STATE;
 +                      return;
 +              }
 +              foriq->response->qinfo.qclass = forq->qinfo.qclass;
 +              /* qclass ANY does not receive the AA flag on replies */
 +              foriq->response->rep->authoritative = 0; 
 +      } else {
 +              struct dns_msg* to = foriq->response;
 +              /* add _from_ this response _to_ existing collection */
 +              /* if there are records, copy RCODE */
 +              /* lower sec_state if this message is lower */
 +              if(from->rep->rrset_count != 0) {
 +                      size_t n = from->rep->rrset_count+to->rep->rrset_count;
 +                      struct ub_packed_rrset_key** dest, **d;
 +                      /* copy appropriate rcode */
 +                      to->rep->flags = from->rep->flags;
 +                      /* copy rrsets */
++                      if(from->rep->rrset_count > RR_COUNT_MAX ||
++                              to->rep->rrset_count > RR_COUNT_MAX) {
++                              log_err("malloc failed (too many rrsets) in collect ANY"); 
++                              foriq->state = FINISHED_STATE;
++                              return; /* integer overflow protection */
++                      }
 +                      dest = regional_alloc(forq->region, sizeof(dest[0])*n);
 +                      if(!dest) {
 +                              log_err("malloc failed in collect ANY"); 
 +                              foriq->state = FINISHED_STATE;
 +                              return;
 +                      }
 +                      d = dest;
 +                      /* copy AN */
 +                      memcpy(dest, to->rep->rrsets, to->rep->an_numrrsets
 +                              * sizeof(dest[0]));
 +                      dest += to->rep->an_numrrsets;
 +                      memcpy(dest, from->rep->rrsets, from->rep->an_numrrsets
 +                              * sizeof(dest[0]));
 +                      dest += from->rep->an_numrrsets;
 +                      /* copy NS */
 +                      memcpy(dest, to->rep->rrsets+to->rep->an_numrrsets,
 +                              to->rep->ns_numrrsets * sizeof(dest[0]));
 +                      dest += to->rep->ns_numrrsets;
 +                      memcpy(dest, from->rep->rrsets+from->rep->an_numrrsets,
 +                              from->rep->ns_numrrsets * sizeof(dest[0]));
 +                      dest += from->rep->ns_numrrsets;
 +                      /* copy AR */
 +                      memcpy(dest, to->rep->rrsets+to->rep->an_numrrsets+
 +                              to->rep->ns_numrrsets,
 +                              to->rep->ar_numrrsets * sizeof(dest[0]));
 +                      dest += to->rep->ar_numrrsets;
 +                      memcpy(dest, from->rep->rrsets+from->rep->an_numrrsets+
 +                              from->rep->ns_numrrsets,
 +                              from->rep->ar_numrrsets * sizeof(dest[0]));
 +                      /* update counts */
 +                      to->rep->rrsets = d;
 +                      to->rep->an_numrrsets += from->rep->an_numrrsets;
 +                      to->rep->ns_numrrsets += from->rep->ns_numrrsets;
 +                      to->rep->ar_numrrsets += from->rep->ar_numrrsets;
 +                      to->rep->rrset_count = n;
 +              }
 +              if(from->rep->security < to->rep->security) /* lowest sec */
 +                      to->rep->security = from->rep->security;
 +              if(from->rep->qdcount != 0) /* insert qd if appropriate */
 +                      to->rep->qdcount = from->rep->qdcount;
 +              if(from->rep->ttl < to->rep->ttl) /* use smallest TTL */
 +                      to->rep->ttl = from->rep->ttl;
 +              if(from->rep->prefetch_ttl < to->rep->prefetch_ttl)
 +                      to->rep->prefetch_ttl = from->rep->prefetch_ttl;
 +      }
 +      /* are we done? */
 +      foriq->num_current_queries --;
 +      if(foriq->num_current_queries == 0)
 +              foriq->state = FINISHED_STATE;
 +}
 +      
 +/** 
 + * Collect class ANY responses and make them into one response.  This
 + * state is started and it creates queries for all classes (that have
 + * root hints).  The answers are then collected.
 + *
 + * @param qstate: query state.
 + * @param id: module id.
 + * @return true if the event needs more immediate processing, false if not.
 + */
 +static int
 +processCollectClass(struct module_qstate* qstate, int id)
 +{
 +      struct iter_qstate* iq = (struct iter_qstate*)qstate->minfo[id];
 +      struct module_qstate* subq;
 +      /* If qchase.qclass == 0 then send out queries for all classes.
 +       * Otherwise, do nothing (wait for all answers to arrive and the
 +       * processClassResponse to put them together, and that moves us
 +       * towards the Finished state when done. */
 +      if(iq->qchase.qclass == 0) {
 +              uint16_t c = 0;
 +              iq->qchase.qclass = LDNS_RR_CLASS_ANY;
 +              while(iter_get_next_root(qstate->env->hints,
 +                      qstate->env->fwds, &c)) {
 +                      /* generate query for this class */
 +                      log_nametypeclass(VERB_ALGO, "spawn collect query",
 +                              qstate->qinfo.qname, qstate->qinfo.qtype, c);
 +                      if(!generate_sub_request(qstate->qinfo.qname,
 +                              qstate->qinfo.qname_len, qstate->qinfo.qtype,
 +                              c, qstate, id, iq, INIT_REQUEST_STATE,
 +                              FINISHED_STATE, &subq, 
 +                              (int)!(qstate->query_flags&BIT_CD))) {
 +                              return error_response(qstate, id, 
 +                                      LDNS_RCODE_SERVFAIL);
 +                      }
 +                      /* ignore subq, no special init required */
 +                      iq->num_current_queries ++;
 +                      if(c == 0xffff)
 +                              break;
 +                      else c++;
 +              }
 +              /* if no roots are configured at all, return */
 +              if(iq->num_current_queries == 0) {
 +                      verbose(VERB_ALGO, "No root hints or fwds, giving up "
 +                              "on qclass ANY");
 +                      return error_response(qstate, id, LDNS_RCODE_REFUSED);
 +              }
 +              /* return false, wait for queries to return */
 +      }
 +      /* if woke up here because of an answer, wait for more answers */
 +      return 0;
 +}
 +
 +/** 
 + * This handles the final state for first-tier responses (i.e., responses to
 + * externally generated queries).
 + *
 + * @param qstate: query state.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + * @return true if the event needs more processing, false if not. Since this
 + *         is the final state for an event, it always returns false.
 + */
 +static int
 +processFinished(struct module_qstate* qstate, struct iter_qstate* iq,
 +      int id)
 +{
 +      log_query_info(VERB_QUERY, "finishing processing for", 
 +              &qstate->qinfo);
 +
 +      /* store negative cache element for parent side glue. */
 +      if(iq->query_for_pside_glue && !iq->pside_glue)
 +              iter_store_parentside_neg(qstate->env, &qstate->qinfo,
 +                      iq->deleg_msg?iq->deleg_msg->rep:
 +                      (iq->response?iq->response->rep:NULL));
 +      if(!iq->response) {
 +              verbose(VERB_ALGO, "No response is set, servfail");
 +              return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +      }
 +
 +      /* Make sure that the RA flag is set (since the presence of 
 +       * this module means that recursion is available) */
 +      iq->response->rep->flags |= BIT_RA;
 +
 +      /* Clear the AA flag */
 +      /* FIXME: does this action go here or in some other module? */
 +      iq->response->rep->flags &= ~BIT_AA;
 +
 +      /* make sure QR flag is on */
 +      iq->response->rep->flags |= BIT_QR;
 +
 +      /* we have finished processing this query */
 +      qstate->ext_state[id] = module_finished;
 +
 +      /* TODO:  we are using a private TTL, trim the response. */
 +      /* if (mPrivateTTL > 0){IterUtils.setPrivateTTL(resp, mPrivateTTL); } */
 +
 +      /* prepend any items we have accumulated */
 +      if(iq->an_prepend_list || iq->ns_prepend_list) {
 +              if(!iter_prepend(iq, iq->response, qstate->region)) {
 +                      log_err("prepend rrsets: out of memory");
 +                      return error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              }
 +              /* reset the query name back */
 +              iq->response->qinfo = qstate->qinfo;
 +              /* the security state depends on the combination */
 +              iq->response->rep->security = sec_status_unchecked;
 +              /* store message with the finished prepended items,
 +               * but only if we did recursion. The nonrecursion referral
 +               * from cache does not need to be stored in the msg cache. */
 +              if(qstate->query_flags&BIT_RD) {
 +                      iter_dns_store(qstate->env, &qstate->qinfo, 
 +                              iq->response->rep, 0, qstate->prefetch_leeway,
 +                              iq->dp&&iq->dp->has_parent_side_NS,
 +                              qstate->region, qstate->query_flags);
 +              }
 +      }
 +      qstate->return_rcode = LDNS_RCODE_NOERROR;
 +      qstate->return_msg = iq->response;
 +      return 0;
 +}
 +
 +/*
 + * Return priming query results to interestes super querystates.
 + * 
 + * Sets the delegation point and delegation message (not nonRD queries).
 + * This is a callback from walk_supers.
 + *
 + * @param qstate: query state that finished.
 + * @param id: module id.
 + * @param super: the qstate to inform.
 + */
 +void
 +iter_inform_super(struct module_qstate* qstate, int id, 
 +      struct module_qstate* super)
 +{
 +      if(!qstate->is_priming && super->qinfo.qclass == LDNS_RR_CLASS_ANY)
 +              processClassResponse(qstate, id, super);
 +      else if(super->qinfo.qtype == LDNS_RR_TYPE_DS && ((struct iter_qstate*)
 +              super->minfo[id])->state == DSNS_FIND_STATE)
 +              processDSNSResponse(qstate, id, super);
 +      else if(qstate->return_rcode != LDNS_RCODE_NOERROR)
 +              error_supers(qstate, id, super);
 +      else if(qstate->is_priming)
 +              prime_supers(qstate, id, super);
 +      else    processTargetResponse(qstate, id, super);
 +}
 +
 +/**
 + * Handle iterator state.
 + * Handle events. This is the real processing loop for events, responsible
 + * for moving events through the various states. If a processing method
 + * returns true, then it will be advanced to the next state. If false, then
 + * processing will stop.
 + *
 + * @param qstate: query state.
 + * @param ie: iterator shared global environment.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + */
 +static void
 +iter_handle(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct iter_env* ie, int id)
 +{
 +      int cont = 1;
 +      while(cont) {
 +              verbose(VERB_ALGO, "iter_handle processing q with state %s",
 +                      iter_state_to_string(iq->state));
 +              switch(iq->state) {
 +                      case INIT_REQUEST_STATE:
 +                              cont = processInitRequest(qstate, iq, ie, id);
 +                              break;
 +                      case INIT_REQUEST_2_STATE:
 +                              cont = processInitRequest2(qstate, iq, id);
 +                              break;
 +                      case INIT_REQUEST_3_STATE:
 +                              cont = processInitRequest3(qstate, iq, id);
 +                              break;
 +                      case QUERYTARGETS_STATE:
 +                              cont = processQueryTargets(qstate, iq, ie, id);
 +                              break;
 +                      case QUERY_RESP_STATE:
 +                              cont = processQueryResponse(qstate, iq, id);
 +                              break;
 +                      case PRIME_RESP_STATE:
 +                              cont = processPrimeResponse(qstate, id);
 +                              break;
 +                      case COLLECT_CLASS_STATE:
 +                              cont = processCollectClass(qstate, id);
 +                              break;
 +                      case DSNS_FIND_STATE:
 +                              cont = processDSNSFind(qstate, iq, id);
 +                              break;
 +                      case FINISHED_STATE:
 +                              cont = processFinished(qstate, iq, id);
 +                              break;
 +                      default:
 +                              log_warn("iterator: invalid state: %d",
 +                                      iq->state);
 +                              cont = 0;
 +                              break;
 +              }
 +      }
 +}
 +
 +/** 
 + * This is the primary entry point for processing request events. Note that
 + * this method should only be used by external modules.
 + * @param qstate: query state.
 + * @param ie: iterator shared global environment.
 + * @param iq: iterator query state.
 + * @param id: module id.
 + */
 +static void
 +process_request(struct module_qstate* qstate, struct iter_qstate* iq,
 +      struct iter_env* ie, int id)
 +{
 +      /* external requests start in the INIT state, and finish using the
 +       * FINISHED state. */
 +      iq->state = INIT_REQUEST_STATE;
 +      iq->final_state = FINISHED_STATE;
 +      verbose(VERB_ALGO, "process_request: new external request event");
 +      iter_handle(qstate, iq, ie, id);
 +}
 +
 +/** process authoritative server reply */
 +static void
 +process_response(struct module_qstate* qstate, struct iter_qstate* iq, 
 +      struct iter_env* ie, int id, struct outbound_entry* outbound,
 +      enum module_ev event)
 +{
 +      struct msg_parse* prs;
 +      struct edns_data edns;
 +      sldns_buffer* pkt;
 +
 +      verbose(VERB_ALGO, "process_response: new external response event");
 +      iq->response = NULL;
 +      iq->state = QUERY_RESP_STATE;
 +      if(event == module_event_noreply || event == module_event_error) {
 +              if(event == module_event_noreply && iq->sent_count >= 3 &&
 +                      qstate->env->cfg->use_caps_bits_for_id &&
 +                      !iq->caps_fallback) {
 +                      /* start fallback */
 +                      iq->caps_fallback = 1;
 +                      iq->caps_server = 0;
 +                      iq->caps_reply = NULL;
++                      iq->caps_response = NULL;
 +                      iq->state = QUERYTARGETS_STATE;
 +                      iq->num_current_queries--;
 +                      /* need fresh attempts for the 0x20 fallback, if
 +                       * that was the cause for the failure */
 +                      iter_dec_attempts(iq->dp, 3);
 +                      verbose(VERB_DETAIL, "Capsforid: timeouts, starting fallback");
 +                      goto handle_it;
 +              }
 +              goto handle_it;
 +      }
 +      if( (event != module_event_reply && event != module_event_capsfail)
 +              || !qstate->reply) {
 +              log_err("Bad event combined with response");
 +              outbound_list_remove(&iq->outlist, outbound);
 +              (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              return;
 +      }
 +
 +      /* parse message */
 +      prs = (struct msg_parse*)regional_alloc(qstate->env->scratch, 
 +              sizeof(struct msg_parse));
 +      if(!prs) {
 +              log_err("out of memory on incoming message");
 +              /* like packet got dropped */
 +              goto handle_it;
 +      }
 +      memset(prs, 0, sizeof(*prs));
 +      memset(&edns, 0, sizeof(edns));
 +      pkt = qstate->reply->c->buffer;
 +      sldns_buffer_set_position(pkt, 0);
 +      if(parse_packet(pkt, prs, qstate->env->scratch) != LDNS_RCODE_NOERROR) {
 +              verbose(VERB_ALGO, "parse error on reply packet");
 +              goto handle_it;
 +      }
 +      /* edns is not examined, but removed from message to help cache */
 +      if(parse_extract_edns(prs, &edns) != LDNS_RCODE_NOERROR)
 +              goto handle_it;
 +      /* remove CD-bit, we asked for in case we handle validation ourself */
 +      prs->flags &= ~BIT_CD;
 +
 +      /* normalize and sanitize: easy to delete items from linked lists */
 +      if(!scrub_message(pkt, prs, &iq->qchase, iq->dp->name, 
++              qstate->env->scratch, qstate->env, ie)) {
++              /* if 0x20 enabled, start fallback, but we have no message */
++              if(event == module_event_capsfail && !iq->caps_fallback) {
++                      iq->caps_fallback = 1;
++                      iq->caps_server = 0;
++                      iq->caps_reply = NULL;
++                      iq->caps_response = NULL;
++                      iq->state = QUERYTARGETS_STATE;
++                      iq->num_current_queries--;
++                      verbose(VERB_DETAIL, "Capsforid: scrub failed, starting fallback with no response");
++              }
 +              goto handle_it;
++      }
 +
 +      /* allocate response dns_msg in region */
 +      iq->response = dns_alloc_msg(pkt, prs, qstate->region);
 +      if(!iq->response)
 +              goto handle_it;
 +      log_query_info(VERB_DETAIL, "response for", &qstate->qinfo);
 +      log_name_addr(VERB_DETAIL, "reply from", iq->dp->name, 
 +              &qstate->reply->addr, qstate->reply->addrlen);
 +      if(verbosity >= VERB_ALGO)
 +              log_dns_msg("incoming scrubbed packet:", &iq->response->qinfo, 
 +                      iq->response->rep);
 +      
 +      if(event == module_event_capsfail || iq->caps_fallback) {
 +              /* for fallback we care about main answer, not additionals */
 +              /* removing that makes comparison more likely to succeed */
 +              caps_strip_reply(iq->response->rep);
 +              if(!iq->caps_fallback) {
 +                      /* start fallback */
 +                      iq->caps_fallback = 1;
 +                      iq->caps_server = 0;
 +                      iq->caps_reply = iq->response->rep;
++                      iq->caps_response = iq->response;
 +                      iq->state = QUERYTARGETS_STATE;
 +                      iq->num_current_queries--;
 +                      verbose(VERB_DETAIL, "Capsforid: starting fallback");
 +                      goto handle_it;
 +              } else {
 +                      /* check if reply is the same, otherwise, fail */
 +                      if(!iq->caps_reply) {
 +                              iq->caps_reply = iq->response->rep;
++                              iq->caps_response = iq->response;
 +                              iq->caps_server = -1; /*become zero at ++,
 +                              so that we start the full set of trials */
++                      } else if(caps_failed_rcode(iq->caps_reply) &&
++                              !caps_failed_rcode(iq->response->rep)) {
++                              /* prefer to upgrade to non-SERVFAIL */
++                              iq->caps_reply = iq->response->rep;
++                              iq->caps_response = iq->response;
++                      } else if(!caps_failed_rcode(iq->caps_reply) &&
++                              caps_failed_rcode(iq->response->rep)) {
++                              /* if we have non-SERVFAIL as answer then 
++                               * we can ignore SERVFAILs for the equality
++                               * comparison */
++                              /* no instructions here, skip other else */
++                      } else if(caps_failed_rcode(iq->caps_reply) &&
++                              caps_failed_rcode(iq->response->rep)) {
++                              /* failure is same as other failure in fallbk*/
++                              /* no instructions here, skip other else */
 +                      } else if(!reply_equal(iq->response->rep, iq->caps_reply,
 +                              qstate->env->scratch)) {
 +                              verbose(VERB_DETAIL, "Capsforid fallback: "
 +                                      "getting different replies, failed");
 +                              outbound_list_remove(&iq->outlist, outbound);
 +                              (void)error_response(qstate, id, 
 +                                      LDNS_RCODE_SERVFAIL);
 +                              return;
 +                      }
 +                      /* continue the fallback procedure at next server */
 +                      iq->caps_server++;
 +                      iq->state = QUERYTARGETS_STATE;
 +                      iq->num_current_queries--;
 +                      verbose(VERB_DETAIL, "Capsforid: reply is equal. "
 +                              "go to next fallback");
 +                      goto handle_it;
 +              }
 +      }
 +      iq->caps_fallback = 0; /* if we were in fallback, 0x20 is OK now */
 +
 +handle_it:
 +      outbound_list_remove(&iq->outlist, outbound);
 +      iter_handle(qstate, iq, ie, id);
 +}
 +
 +void 
 +iter_operate(struct module_qstate* qstate, enum module_ev event, int id,
 +      struct outbound_entry* outbound)
 +{
 +      struct iter_env* ie = (struct iter_env*)qstate->env->modinfo[id];
 +      struct iter_qstate* iq = (struct iter_qstate*)qstate->minfo[id];
 +      verbose(VERB_QUERY, "iterator[module %d] operate: extstate:%s event:%s", 
 +              id, strextstate(qstate->ext_state[id]), strmodulevent(event));
 +      if(iq) log_query_info(VERB_QUERY, "iterator operate: query", 
 +              &qstate->qinfo);
 +      if(iq && qstate->qinfo.qname != iq->qchase.qname)
 +              log_query_info(VERB_QUERY, "iterator operate: chased to", 
 +                      &iq->qchase);
 +
 +      /* perform iterator state machine */
 +      if((event == module_event_new || event == module_event_pass) && 
 +              iq == NULL) {
 +              if(!iter_new(qstate, id)) {
 +                      (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +                      return;
 +              }
 +              iq = (struct iter_qstate*)qstate->minfo[id];
 +              process_request(qstate, iq, ie, id);
 +              return;
 +      }
 +      if(iq && event == module_event_pass) {
 +              iter_handle(qstate, iq, ie, id);
 +              return;
 +      }
 +      if(iq && outbound) {
 +              process_response(qstate, iq, ie, id, outbound, event);
 +              return;
 +      }
 +      if(event == module_event_error) {
 +              verbose(VERB_ALGO, "got called with event error, giving up");
 +              (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +              return;
 +      }
 +
 +      log_err("bad event for iterator");
 +      (void)error_response(qstate, id, LDNS_RCODE_SERVFAIL);
 +}
 +
 +void 
 +iter_clear(struct module_qstate* qstate, int id)
 +{
 +      struct iter_qstate* iq;
 +      if(!qstate)
 +              return;
 +      iq = (struct iter_qstate*)qstate->minfo[id];
 +      if(iq) {
 +              outbound_list_clear(&iq->outlist);
 +              if(iq->target_count && --iq->target_count[0] == 0)
 +                      free(iq->target_count);
 +              iq->num_current_queries = 0;
 +      }
 +      qstate->minfo[id] = NULL;
 +}
 +
 +size_t 
 +iter_get_mem(struct module_env* env, int id)
 +{
 +      struct iter_env* ie = (struct iter_env*)env->modinfo[id];
 +      if(!ie)
 +              return 0;
 +      return sizeof(*ie) + sizeof(int)*((size_t)ie->max_dependency_depth+1)
 +              + donotq_get_mem(ie->donotq) + priv_get_mem(ie->priv);
 +}
 +
 +/**
 + * The iterator function block 
 + */
 +static struct module_func_block iter_block = {
 +      "iterator",
 +      &iter_init, &iter_deinit, &iter_operate, &iter_inform_super, 
 +      &iter_clear, &iter_get_mem
 +};
 +
 +struct module_func_block* 
 +iter_get_funcblock(void)
 +{
 +      return &iter_block;
 +}
 +
 +const char* 
 +iter_state_to_string(enum iter_state state)
 +{
 +      switch (state)
 +      {
 +      case INIT_REQUEST_STATE :
 +              return "INIT REQUEST STATE";
 +      case INIT_REQUEST_2_STATE :
 +              return "INIT REQUEST STATE (stage 2)";
 +      case INIT_REQUEST_3_STATE:
 +              return "INIT REQUEST STATE (stage 3)";
 +      case QUERYTARGETS_STATE :
 +              return "QUERY TARGETS STATE";
 +      case PRIME_RESP_STATE :
 +              return "PRIME RESPONSE STATE";
 +      case COLLECT_CLASS_STATE :
 +              return "COLLECT CLASS STATE";
 +      case DSNS_FIND_STATE :
 +              return "DSNS FIND STATE";
 +      case QUERY_RESP_STATE :
 +              return "QUERY RESPONSE STATE";
 +      case FINISHED_STATE :
 +              return "FINISHED RESPONSE STATE";
 +      default :
 +              return "UNKNOWN ITER STATE";
 +      }
 +}
 +
 +int 
 +iter_state_is_responsestate(enum iter_state s)
 +{
 +      switch(s) {
 +              case INIT_REQUEST_STATE :
 +              case INIT_REQUEST_2_STATE :
 +              case INIT_REQUEST_3_STATE :
 +              case QUERYTARGETS_STATE :
 +              case COLLECT_CLASS_STATE :
 +                      return 0;
 +              default:
 +                      break;
 +      }
 +      return 1;
 +}
diff --cc contrib/unbound/iterator/iterator.h
index 1364b86d722b37cee9e277cf083400e7bead38e4,0000000000000000000000000000000000000000..aaf0fb3834b701c00c7f1353ffc89a013d5d83ca
mode 100644,000000..100644
--- 1/contrib/unbound/iterator/iterator.h
--- /dev/null
+++ b/contrib/unbound/iterator/iterator.h
@@@ -1,378 -1,0 +1,386 @@@
 +/*
 + * iterator/iterator.h - iterative resolver DNS query response module
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a module that performs recusive iterative DNS query
 + * processing.
 + */
 +
 +#ifndef ITERATOR_ITERATOR_H
 +#define ITERATOR_ITERATOR_H
 +#include "services/outbound_list.h"
 +#include "util/data/msgreply.h"
 +#include "util/module.h"
 +struct delegpt;
 +struct iter_hints;
 +struct iter_forwards;
 +struct iter_donotq;
 +struct iter_prep_list;
 +struct iter_priv;
++struct rbtree_t;
 +
 +/** max number of targets spawned for a query and its subqueries */
 +#define MAX_TARGET_COUNT      32
 +/** max number of query restarts. Determines max number of CNAME chain. */
 +#define MAX_RESTART_COUNT       8
 +/** max number of referrals. Makes sure resolver does not run away */
 +#define MAX_REFERRAL_COUNT    130
 +/** max number of queries-sent-out.  Make sure large NS set does not loop */
 +#define MAX_SENT_COUNT                32
 +/** at what query-sent-count to stop target fetch policy */
 +#define TARGET_FETCH_STOP     3
 +/** how nice is a server without further information, in msec 
 + * Equals rtt initial timeout value.
 + */
 +#define UNKNOWN_SERVER_NICENESS 376
 +/** maximum timeout before a host is deemed unsuitable, in msec. 
 + * After host_ttl this will be timed out and the host will be tried again. 
 + * Equals RTT_MAX_TIMEOUT
 + */
 +#define USEFUL_SERVER_TOP_TIMEOUT     120000
 +/** number of retries on outgoing queries */
 +#define OUTBOUND_MSG_RETRY 5
 +/** RTT band, within this amount from the best, servers are chosen randomly.
 + * Chosen so that the UNKNOWN_SERVER_NICENESS falls within the band of a 
 + * fast server, this causes server exploration as a side benefit. msec. */
 +#define RTT_BAND 400
 +/** Start value for blacklisting a host, 2*USEFUL_SERVER_TOP_TIMEOUT in sec */
 +#define INFRA_BACKOFF_INITIAL 240
 +
 +/**
 + * Global state for the iterator. 
 + */
 +struct iter_env {
 +      /** A flag to indicate whether or not we have an IPv6 route */
 +      int supports_ipv6;
 +
 +      /** A flag to indicate whether or not we have an IPv4 route */
 +      int supports_ipv4;
 +
 +      /** A set of inetaddrs that should never be queried. */
 +      struct iter_donotq* donotq;
 +
 +      /** private address space and private domains */
 +      struct iter_priv* priv;
 +
++      /** whitelist for capsforid names */
++      struct rbtree_t* caps_white;
++
 +      /** The maximum dependency depth that this resolver will pursue. */
 +      int max_dependency_depth;
 +
 +      /**
 +       * The target fetch policy for each dependency level. This is 
 +       * described as a simple number (per dependency level): 
 +       *      negative numbers (usually just -1) mean fetch-all, 
 +       *      0 means only fetch on demand, and 
 +       *      positive numbers mean to fetch at most that many targets.
 +       * array of max_dependency_depth+1 size.
 +       */
 +      int* target_fetch_policy;
 +};
 +
 +/**
 + * State of the iterator for a query.
 + */
 +enum iter_state {
 +      /**
 +       * Externally generated queries start at this state. Query restarts are
 +       * reset to this state.
 +       */
 +      INIT_REQUEST_STATE = 0,
 +
 +      /**
 +       * Root priming events reactivate here, most other events pass 
 +       * through this naturally as the 2nd part of the INIT_REQUEST_STATE.
 +       */
 +      INIT_REQUEST_2_STATE,
 +
 +      /**
 +       * Stub priming events reactivate here, most other events pass 
 +       * through this naturally as the 3rd part of the INIT_REQUEST_STATE.
 +       */
 +      INIT_REQUEST_3_STATE,
 +
 +      /**
 +       * Each time a delegation point changes for a given query or a 
 +       * query times out and/or wakes up, this state is (re)visited. 
 +       * This state is reponsible for iterating through a list of 
 +       * nameserver targets.
 +       */
 +      QUERYTARGETS_STATE,
 +
 +      /**
 +       * Responses to queries start at this state. This state handles 
 +       * the decision tree associated with handling responses.
 +       */
 +      QUERY_RESP_STATE,
 +
 +      /** Responses to priming queries finish at this state. */
 +      PRIME_RESP_STATE,
 +
 +      /** Collecting query class information, for qclass=ANY, when
 +       * it spawns off queries for every class, it returns here. */
 +      COLLECT_CLASS_STATE,
 +
 +      /** Find NS record to resolve DS record from, walking to the right
 +       * NS spot until we find it */
 +      DSNS_FIND_STATE,
 +
 +      /** Responses that are to be returned upstream end at this state. 
 +       * As well as responses to target queries. */
 +      FINISHED_STATE
 +};
 +
 +/**
 + * Per query state for the iterator module.
 + */
 +struct iter_qstate {
 +      /** 
 +       * State of the iterator module.
 +       * This is the state that event is in or should sent to -- all 
 +       * requests should start with the INIT_REQUEST_STATE. All 
 +       * responses should start with QUERY_RESP_STATE. Subsequent 
 +       * processing of the event will change this state.
 +       */
 +      enum iter_state state;
 +
 +      /** 
 +       * Final state for the iterator module.
 +       * This is the state that responses should be routed to once the 
 +       * response is final. For externally initiated queries, this 
 +       * will be FINISHED_STATE, locally initiated queries will have 
 +       * different final states.
 +       */
 +      enum iter_state final_state;
 +
 +      /** 
 +       * The depth of this query, this means the depth of recursion.
 +       * This address is needed for another query, which is an address
 +       * needed for another query, etc. Original client query has depth 0.
 +       */
 +      int depth;
 +
 +      /**
 +       * The response
 +       */
 +      struct dns_msg* response;
 +
 +      /** 
 +       * This is a list of RRsets that must be prepended to the 
 +       * ANSWER section of a response before being sent upstream.
 +       */
 +      struct iter_prep_list* an_prepend_list;
 +      /** Last element of the prepend list */
 +      struct iter_prep_list* an_prepend_last;
 +
 +      /**
 +       * This is the list of RRsets that must be prepended to the
 +       * AUTHORITY section of the response before being sent upstream.
 +       */
 +      struct iter_prep_list* ns_prepend_list;
 +      /** Last element of the authority prepend list */
 +      struct iter_prep_list* ns_prepend_last;
 +
 +      /** query name used for chasing the results. Initially the same as
 +       * the state qinfo, but after CNAMEs this will be different. 
 +       * The query info used to elicit the results needed. */
 +      struct query_info qchase;
 +      /** query flags to use when chasing the answer (i.e. RD flag) */
 +      uint16_t chase_flags;
 +      /** true if we set RD bit because of last resort recursion lame query*/
 +      int chase_to_rd;
 +
 +      /** 
 +       * This is the current delegation point for an in-progress query. This
 +       * object retains state as to which delegation targets need to be
 +       * (sub)queried for vs which ones have already been visited.
 +       */
 +      struct delegpt* dp;
 +
 +      /** state for 0x20 fallback when capsfail happens, 0 not a fallback */
 +      int caps_fallback;
 +      /** state for capsfail: current server number to try */
 +      size_t caps_server;
 +      /** state for capsfail: stored query for comparisons. Can be NULL if
 +       * no response had been seen prior to starting the fallback. */
 +      struct reply_info* caps_reply;
++      struct dns_msg* caps_response;
 +
 +      /** Current delegation message - returned for non-RD queries */
 +      struct dns_msg* deleg_msg;
 +
 +      /** number of outstanding target sub queries */
 +      int num_target_queries;
 +
 +      /** outstanding direct queries */
 +      int num_current_queries;
 +
 +      /** the number of times this query has been restarted. */
 +      int query_restart_count;
 +
 +      /** the number of times this query as followed a referral. */
 +      int referral_count;
 +
 +      /** number of queries fired off */
 +      int sent_count;
 +      
 +      /** number of target queries spawned in [1], for this query and its
 +       * subqueries, the malloced-array is shared, [0] refcount. */
 +      int* target_count;
 +
++      /** if true, already tested for ratelimiting and passed the test */
++      int ratelimit_ok;
++
 +      /**
 +       * The query must store NS records from referrals as parentside RRs
 +       * Enabled once it hits resolution problems, to throttle retries.
 +       * If enabled it is the pointer to the old delegation point with
 +       * the old retry counts for bad-nameserver-addresses.
 +       */
 +      struct delegpt* store_parent_NS;
 +
 +      /**
 +       * The query is for parent-side glue(A or AAAA) for a nameserver.
 +       * If the item is seen as glue in a referral, and pside_glue is NULL,
 +       * then it is stored in pside_glue for later.
 +       * If it was never seen, at the end, then a negative caching element 
 +       * must be created.  
 +       * The (data or negative) RR cache element then throttles retries.
 +       */
 +      int query_for_pside_glue;
 +      /** the parent-side-glue element (NULL if none, its first match) */
 +      struct ub_packed_rrset_key* pside_glue;
 +
 +      /** If nonNULL we are walking upwards from DS query to find NS */
 +      uint8_t* dsns_point;
 +      /** length of the dname in dsns_point */
 +      size_t dsns_point_len;
 +
 +      /** 
 +       * expected dnssec information for this iteration step. 
 +       * If dnssec rrsigs are expected and not given, the server is marked
 +       * lame (dnssec-lame).
 +       */
 +      int dnssec_expected;
 +
 +      /**
 +       * We are expecting dnssec information, but we also know the server
 +       * is DNSSEC lame.  The response need not be marked dnssec-lame again.
 +       */
 +      int dnssec_lame_query;
 +
 +      /**
 +       * This is flag that, if true, means that this event is 
 +       * waiting for a stub priming query. 
 +       */
 +      int wait_priming_stub;
 +
 +      /**
 +       * This is a flag that, if true, means that this query is
 +       * for (re)fetching glue from a zone. Since the address should
 +       * have been glue, query again to the servers that should have
 +       * been returning it as glue.
 +       * The delegation point must be set to the one that should *not*
 +       * be used when creating the state. A higher one will be attempted.
 +       */
 +      int refetch_glue;
 +
 +      /** list of pending queries to authoritative servers. */
 +      struct outbound_list outlist;
 +};
 +
 +/**
 + * List of prepend items
 + */
 +struct iter_prep_list {
 +      /** next in list */
 +      struct iter_prep_list* next;
 +      /** rrset */
 +      struct ub_packed_rrset_key* rrset;
 +};
 +
 +/**
 + * Get the iterator function block.
 + * @return: function block with function pointers to iterator methods.
 + */
 +struct module_func_block* iter_get_funcblock(void);
 +
 +/**
 + * Get iterator state as a string
 + * @param state: to convert
 + * @return constant string that is printable.
 + */
 +const char* iter_state_to_string(enum iter_state state);
 +
 +/**
 + * See if iterator state is a response state
 + * @param s: to inspect
 + * @return true if response state.
 + */
 +int iter_state_is_responsestate(enum iter_state s);
 +
 +/** iterator init */
 +int iter_init(struct module_env* env, int id);
 +
 +/** iterator deinit */
 +void iter_deinit(struct module_env* env, int id);
 +
 +/** iterator operate on a query */
 +void iter_operate(struct module_qstate* qstate, enum module_ev event, int id,
 +      struct outbound_entry* outbound);
 +
 +/**
 + * Return priming query results to interestes super querystates.
 + * 
 + * Sets the delegation point and delegation message (not nonRD queries).
 + * This is a callback from walk_supers.
 + *
 + * @param qstate: query state that finished.
 + * @param id: module id.
 + * @param super: the qstate to inform.
 + */
 +void iter_inform_super(struct module_qstate* qstate, int id, 
 +      struct module_qstate* super);
 +
 +/** iterator cleanup query state */
 +void iter_clear(struct module_qstate* qstate, int id);
 +
 +/** iterator alloc size routine */
 +size_t iter_get_mem(struct module_env* env, int id);
 +
 +#endif /* ITERATOR_ITERATOR_H */
diff --cc contrib/unbound/libunbound/context.c
index c21f94184156cdc4ae248af2a25b172327678c13,0000000000000000000000000000000000000000..4469b5bb4eb227581b522dc6434634c57401416b
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/context.c
--- /dev/null
+++ b/contrib/unbound/libunbound/context.c
@@@ -1,401 -1,0 +1,401 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * libunbound/context.c - validating context for unbound internal use
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the validator context structure.
 + */
 +#include "config.h"
 +#include "libunbound/context.h"
 +#include "util/module.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +#include "services/modstack.h"
 +#include "services/localzone.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/infra.h"
 +#include "util/data/msgreply.h"
 +#include "util/storage/slabhash.h"
-       uint8_t* p = (uint8_t*)malloc(2*sizeof(uint32_t));
++#include "sldns/sbuffer.h"
 +
 +int 
 +context_finalize(struct ub_ctx* ctx)
 +{
 +      struct config_file* cfg = ctx->env->cfg;
 +      verbosity = cfg->verbosity;
 +      if(ctx->logfile_override)
 +              log_file(ctx->log_out);
 +      else    log_init(cfg->logfile, cfg->use_syslog, NULL);
 +      config_apply(cfg);
 +      if(!modstack_setup(&ctx->mods, cfg->module_conf, ctx->env))
 +              return UB_INITFAIL;
 +      ctx->local_zones = local_zones_create();
 +      if(!ctx->local_zones)
 +              return UB_NOMEM;
 +      if(!local_zones_apply_cfg(ctx->local_zones, cfg))
 +              return UB_INITFAIL;
 +      if(!ctx->env->msg_cache ||
 +         cfg->msg_cache_size != slabhash_get_size(ctx->env->msg_cache) || 
 +         cfg->msg_cache_slabs != ctx->env->msg_cache->size) {
 +              slabhash_delete(ctx->env->msg_cache);
 +              ctx->env->msg_cache = slabhash_create(cfg->msg_cache_slabs,
 +                      HASH_DEFAULT_STARTARRAY, cfg->msg_cache_size,
 +                      msgreply_sizefunc, query_info_compare,
 +                      query_entry_delete, reply_info_delete, NULL);
 +              if(!ctx->env->msg_cache)
 +                      return UB_NOMEM;
 +      }
 +      ctx->env->rrset_cache = rrset_cache_adjust(ctx->env->rrset_cache,
 +              ctx->env->cfg, ctx->env->alloc);
 +      if(!ctx->env->rrset_cache)
 +              return UB_NOMEM;
 +      ctx->env->infra_cache = infra_adjust(ctx->env->infra_cache, cfg);
 +      if(!ctx->env->infra_cache)
 +              return UB_NOMEM;
 +      ctx->finalized = 1;
 +      return UB_NOERROR;
 +}
 +
 +int context_query_cmp(const void* a, const void* b)
 +{
 +      if( *(int*)a < *(int*)b )
 +              return -1;
 +      if( *(int*)a > *(int*)b )
 +              return 1;
 +      return 0;
 +}
 +
 +void
 +context_query_delete(struct ctx_query* q) 
 +{
 +      if(!q) return;
 +      ub_resolve_free(q->res);
 +      free(q->msg);
 +      free(q);
 +}
 +
 +/** How many times to try to find an unused query-id-number for async */
 +#define NUM_ID_TRIES 100000
 +/** find next useful id number of 0 on error */
 +static int
 +find_id(struct ub_ctx* ctx, int* id)
 +{
 +      size_t tries = 0;
 +      ctx->next_querynum++;
 +      while(rbtree_search(&ctx->queries, &ctx->next_querynum)) {
 +              ctx->next_querynum++; /* numerical wraparound is fine */
 +              if(tries++ > NUM_ID_TRIES)
 +                      return 0;
 +      }
 +      *id = ctx->next_querynum;
 +      return 1;
 +}
 +
 +struct ctx_query* 
 +context_new(struct ub_ctx* ctx, const char* name, int rrtype, int rrclass, 
 +      ub_callback_t cb, void* cbarg)
 +{
 +      struct ctx_query* q = (struct ctx_query*)calloc(1, sizeof(*q));
 +      if(!q) return NULL;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(!find_id(ctx, &q->querynum)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(q);
 +              return NULL;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      q->node.key = &q->querynum;
 +      q->async = (cb != NULL);
 +      q->cb = cb;
 +      q->cb_arg = cbarg;
 +      q->res = (struct ub_result*)calloc(1, sizeof(*q->res));
 +      if(!q->res) {
 +              free(q);
 +              return NULL;
 +      }
 +      q->res->qname = strdup(name);
 +      if(!q->res->qname) {
 +              free(q->res);
 +              free(q);
 +              return NULL;
 +      }
 +      q->res->qtype = rrtype;
 +      q->res->qclass = rrclass;
 +
 +      /* add to query list */
 +      lock_basic_lock(&ctx->cfglock);
 +      if(q->async)
 +              ctx->num_async ++;
 +      (void)rbtree_insert(&ctx->queries, &q->node);
 +      lock_basic_unlock(&ctx->cfglock);
 +      return q;
 +}
 +
 +struct alloc_cache* 
 +context_obtain_alloc(struct ub_ctx* ctx, int locking)
 +{
 +      struct alloc_cache* a;
 +      int tnum = 0;
 +      if(locking) {
 +              lock_basic_lock(&ctx->cfglock);
 +      }
 +      a = ctx->alloc_list;
 +      if(a)
 +              ctx->alloc_list = a->super; /* snip off list */
 +      else    tnum = ctx->thr_next_num++;
 +      if(locking) {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +      if(a) {
 +              a->super = &ctx->superalloc;
 +              return a;
 +      }
 +      a = (struct alloc_cache*)calloc(1, sizeof(*a));
 +      if(!a)
 +              return NULL;
 +      alloc_init(a, &ctx->superalloc, tnum);
 +      return a;
 +}
 +
 +void 
 +context_release_alloc(struct ub_ctx* ctx, struct alloc_cache* alloc,
 +      int locking)
 +{
 +      if(!ctx || !alloc)
 +              return;
 +      if(locking) {
 +              lock_basic_lock(&ctx->cfglock);
 +      }
 +      alloc->super = ctx->alloc_list;
 +      ctx->alloc_list = alloc;
 +      if(locking) {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +}
 +
 +uint8_t* 
 +context_serialize_new_query(struct ctx_query* q, uint32_t* len)
 +{
 +      /* format for new query is
 +       *      o uint32 cmd
 +       *      o uint32 id
 +       *      o uint32 type
 +       *      o uint32 class
 +       *      o rest queryname (string)
 +       */
 +      uint8_t* p;
 +      size_t slen = strlen(q->res->qname) + 1/*end of string*/;
 +      *len = sizeof(uint32_t)*4 + slen;
 +      p = (uint8_t*)malloc(*len);
 +      if(!p) return NULL;
 +      sldns_write_uint32(p, UB_LIBCMD_NEWQUERY);
 +      sldns_write_uint32(p+sizeof(uint32_t), (uint32_t)q->querynum);
 +      sldns_write_uint32(p+2*sizeof(uint32_t), (uint32_t)q->res->qtype);
 +      sldns_write_uint32(p+3*sizeof(uint32_t), (uint32_t)q->res->qclass);
 +      memmove(p+4*sizeof(uint32_t), q->res->qname, slen);
 +      return p;
 +}
 +
 +struct ctx_query* 
 +context_deserialize_new_query(struct ub_ctx* ctx, uint8_t* p, uint32_t len)
 +{
 +      struct ctx_query* q = (struct ctx_query*)calloc(1, sizeof(*q));
 +      if(!q) return NULL;
 +      if(len < 4*sizeof(uint32_t)+1) {
 +              free(q);
 +              return NULL;
 +      }
 +      log_assert( sldns_read_uint32(p) == UB_LIBCMD_NEWQUERY);
 +      q->querynum = (int)sldns_read_uint32(p+sizeof(uint32_t));
 +      q->node.key = &q->querynum;
 +      q->async = 1;
 +      q->res = (struct ub_result*)calloc(1, sizeof(*q->res));
 +      if(!q->res) {
 +              free(q);
 +              return NULL;
 +      }
 +      q->res->qtype = (int)sldns_read_uint32(p+2*sizeof(uint32_t));
 +      q->res->qclass = (int)sldns_read_uint32(p+3*sizeof(uint32_t));
 +      q->res->qname = strdup((char*)(p+4*sizeof(uint32_t)));
 +      if(!q->res->qname) {
 +              free(q->res);
 +              free(q);
 +              return NULL;
 +      }
 +
 +      /** add to query list */
 +      ctx->num_async++;
 +      (void)rbtree_insert(&ctx->queries, &q->node);
 +      return q;
 +}
 +
 +struct ctx_query* 
 +context_lookup_new_query(struct ub_ctx* ctx, uint8_t* p, uint32_t len)
 +{
 +      struct ctx_query* q;
 +      int querynum;
 +      if(len < 4*sizeof(uint32_t)+1) {
 +              return NULL;
 +      }
 +      log_assert( sldns_read_uint32(p) == UB_LIBCMD_NEWQUERY);
 +      querynum = (int)sldns_read_uint32(p+sizeof(uint32_t));
 +      q = (struct ctx_query*)rbtree_search(&ctx->queries, &querynum);
 +      if(!q) {
 +              return NULL;
 +      }
 +      log_assert(q->async);
 +      return q;
 +}
 +
 +uint8_t* 
 +context_serialize_answer(struct ctx_query* q, int err, sldns_buffer* pkt,
 +      uint32_t* len)
 +{
 +      /* answer format
 +       *      o uint32 cmd
 +       *      o uint32 id
 +       *      o uint32 error_code
 +       *      o uint32 msg_security
 +       *      o uint32 length of why_bogus string (+1 for eos); 0 absent.
 +       *      o why_bogus_string
 +       *      o the remainder is the answer msg from resolver lookup.
 +       *        remainder can be length 0.
 +       */
 +      size_t pkt_len = pkt?sldns_buffer_remaining(pkt):0;
 +      size_t wlen = (pkt&&q->res->why_bogus)?strlen(q->res->why_bogus)+1:0;
 +      uint8_t* p;
 +      *len = sizeof(uint32_t)*5 + pkt_len + wlen;
 +      p = (uint8_t*)malloc(*len);
 +      if(!p) return NULL;
 +      sldns_write_uint32(p, UB_LIBCMD_ANSWER);
 +      sldns_write_uint32(p+sizeof(uint32_t), (uint32_t)q->querynum);
 +      sldns_write_uint32(p+2*sizeof(uint32_t), (uint32_t)err);
 +      sldns_write_uint32(p+3*sizeof(uint32_t), (uint32_t)q->msg_security);
 +      sldns_write_uint32(p+4*sizeof(uint32_t), (uint32_t)wlen);
 +      if(wlen > 0)
 +              memmove(p+5*sizeof(uint32_t), q->res->why_bogus, wlen);
 +      if(pkt_len > 0)
 +              memmove(p+5*sizeof(uint32_t)+wlen, 
 +                      sldns_buffer_begin(pkt), pkt_len);
 +      return p;
 +}
 +
 +struct ctx_query* 
 +context_deserialize_answer(struct ub_ctx* ctx,
 +        uint8_t* p, uint32_t len, int* err)
 +{
 +      struct ctx_query* q = NULL ;
 +      int id;
 +      size_t wlen;
 +      if(len < 5*sizeof(uint32_t)) return NULL;
 +      log_assert( sldns_read_uint32(p) == UB_LIBCMD_ANSWER);
 +      id = (int)sldns_read_uint32(p+sizeof(uint32_t));
 +      q = (struct ctx_query*)rbtree_search(&ctx->queries, &id);
 +      if(!q) return NULL; 
 +      *err = (int)sldns_read_uint32(p+2*sizeof(uint32_t));
 +      q->msg_security = sldns_read_uint32(p+3*sizeof(uint32_t));
 +      wlen = (size_t)sldns_read_uint32(p+4*sizeof(uint32_t));
 +      if(len > 5*sizeof(uint32_t) && wlen > 0) {
 +              if(len >= 5*sizeof(uint32_t)+wlen)
 +                      q->res->why_bogus = (char*)memdup(
 +                              p+5*sizeof(uint32_t), wlen);
 +              if(!q->res->why_bogus) {
 +                      /* pass malloc failure to the user callback */
 +                      q->msg_len = 0;
 +                      *err = UB_NOMEM;
 +                      return q;
 +              }
 +              q->res->why_bogus[wlen-1] = 0; /* zero terminated for sure */
 +      }
 +      if(len > 5*sizeof(uint32_t)+wlen) {
 +              q->msg_len = len - 5*sizeof(uint32_t) - wlen;
 +              q->msg = (uint8_t*)memdup(p+5*sizeof(uint32_t)+wlen, 
 +                      q->msg_len);
 +              if(!q->msg) {
 +                      /* pass malloc failure to the user callback */
 +                      q->msg_len = 0;
 +                      *err = UB_NOMEM;
 +                      return q;
 +              }
 +      } 
 +      return q;
 +}
 +
 +uint8_t* 
 +context_serialize_cancel(struct ctx_query* q, uint32_t* len)
 +{
 +      /* format of cancel:
 +       *      o uint32 cmd
 +       *      o uint32 async-id */
++      uint8_t* p = (uint8_t*)reallocarray(NULL, sizeof(uint32_t), 2);
 +      if(!p) return NULL;
 +      *len = 2*sizeof(uint32_t);
 +      sldns_write_uint32(p, UB_LIBCMD_CANCEL);
 +      sldns_write_uint32(p+sizeof(uint32_t), (uint32_t)q->querynum);
 +      return p;
 +}
 +
 +struct ctx_query* context_deserialize_cancel(struct ub_ctx* ctx,
 +        uint8_t* p, uint32_t len)
 +{
 +      struct ctx_query* q;
 +      int id;
 +      if(len != 2*sizeof(uint32_t)) return NULL;
 +      log_assert( sldns_read_uint32(p) == UB_LIBCMD_CANCEL);
 +      id = (int)sldns_read_uint32(p+sizeof(uint32_t));
 +      q = (struct ctx_query*)rbtree_search(&ctx->queries, &id);
 +      return q;
 +}
 +
 +uint8_t* 
 +context_serialize_quit(uint32_t* len)
 +{
 +      uint8_t* p = (uint8_t*)malloc(sizeof(uint32_t));
 +      if(!p)
 +              return NULL;
 +      *len = sizeof(uint32_t);
 +      sldns_write_uint32(p, UB_LIBCMD_QUIT);
 +      return p;
 +}
 +
 +enum ub_ctx_cmd context_serial_getcmd(uint8_t* p, uint32_t len)
 +{
 +      uint32_t v;
 +      if((size_t)len < sizeof(v))
 +              return UB_LIBCMD_QUIT;
 +      v = sldns_read_uint32(p);
 +      return v;
 +}
diff --cc contrib/unbound/libunbound/libunbound.c
index 91a663a773cb6552cce5619add4a488e7a5aae26,0000000000000000000000000000000000000000..b3a4c2ba77f6c8ce86ca7dbf7eb18f177d37d5b4
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/libunbound.c
--- /dev/null
+++ b/contrib/unbound/libunbound/libunbound.c
@@@ -1,1247 -1,0 +1,1249 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * unbound.c - unbound validating resolver public API implementation
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to resolve DNS queries and 
 + * validate the answers. Synchonously and asynchronously.
 + *
 + */
 +
 +/* include the public api first, it should be able to stand alone */
 +#include "libunbound/unbound.h"
 +#include "libunbound/unbound-event.h"
 +#include "config.h"
 +#include <ctype.h>
 +#include "libunbound/context.h"
 +#include "libunbound/libworker.h"
 +#include "util/locks.h"
 +#include "util/config_file.h"
 +#include "util/alloc.h"
 +#include "util/module.h"
 +#include "util/regional.h"
 +#include "util/log.h"
 +#include "util/random.h"
 +#include "util/net_help.h"
 +#include "util/tube.h"
 +#include "services/modstack.h"
 +#include "services/localzone.h"
 +#include "services/cache/infra.h"
 +#include "services/cache/rrset.h"
-                       free(name);
++#include "sldns/sbuffer.h"
 +#ifdef HAVE_PTHREAD
 +#include <signal.h>
 +#endif
 +
 +#if defined(UB_ON_WINDOWS) && defined (HAVE_WINDOWS_H)
 +#include <windows.h>
 +#include <iphlpapi.h>
 +#endif /* UB_ON_WINDOWS */
 +
 +/** create context functionality, but no pipes */
 +static struct ub_ctx* ub_ctx_create_nopipe(void)
 +{
 +      struct ub_ctx* ctx;
 +      unsigned int seed;
 +#ifdef USE_WINSOCK
 +      int r;
 +      WSADATA wsa_data;
 +#endif
 +      
 +      log_init(NULL, 0, NULL); /* logs to stderr */
 +      log_ident_set("libunbound");
 +#ifdef USE_WINSOCK
 +      if((r = WSAStartup(MAKEWORD(2,2), &wsa_data)) != 0) {
 +              log_err("could not init winsock. WSAStartup: %s",
 +                      wsa_strerror(r));
 +              return NULL;
 +      }
 +#endif
 +      verbosity = 0; /* errors only */
 +      checklock_start();
 +      ctx = (struct ub_ctx*)calloc(1, sizeof(*ctx));
 +      if(!ctx) {
 +              errno = ENOMEM;
 +              return NULL;
 +      }
 +      alloc_init(&ctx->superalloc, NULL, 0);
 +      seed = (unsigned int)time(NULL) ^ (unsigned int)getpid();
 +      if(!(ctx->seed_rnd = ub_initstate(seed, NULL))) {
 +              seed = 0;
 +              ub_randfree(ctx->seed_rnd);
 +              free(ctx);
 +              errno = ENOMEM;
 +              return NULL;
 +      }
 +      seed = 0;
 +      lock_basic_init(&ctx->qqpipe_lock);
 +      lock_basic_init(&ctx->rrpipe_lock);
 +      lock_basic_init(&ctx->cfglock);
 +      ctx->env = (struct module_env*)calloc(1, sizeof(*ctx->env));
 +      if(!ctx->env) {
 +              ub_randfree(ctx->seed_rnd);
 +              free(ctx);
 +              errno = ENOMEM;
 +              return NULL;
 +      }
 +      ctx->env->cfg = config_create_forlib();
 +      if(!ctx->env->cfg) {
 +              free(ctx->env);
 +              ub_randfree(ctx->seed_rnd);
 +              free(ctx);
 +              errno = ENOMEM;
 +              return NULL;
 +      }
 +      ctx->env->alloc = &ctx->superalloc;
 +      ctx->env->worker = NULL;
 +      ctx->env->need_to_validate = 0;
 +      modstack_init(&ctx->mods);
 +      rbtree_init(&ctx->queries, &context_query_cmp);
 +      return ctx;
 +}
 +
 +struct ub_ctx* 
 +ub_ctx_create(void)
 +{
 +      struct ub_ctx* ctx = ub_ctx_create_nopipe();
 +      if(!ctx)
 +              return NULL;
 +      if((ctx->qq_pipe = tube_create()) == NULL) {
 +              int e = errno;
 +              ub_randfree(ctx->seed_rnd);
 +              config_delete(ctx->env->cfg);
 +              modstack_desetup(&ctx->mods, ctx->env);
 +              free(ctx->env);
 +              free(ctx);
 +              errno = e;
 +              return NULL;
 +      }
 +      if((ctx->rr_pipe = tube_create()) == NULL) {
 +              int e = errno;
 +              tube_delete(ctx->qq_pipe);
 +              ub_randfree(ctx->seed_rnd);
 +              config_delete(ctx->env->cfg);
 +              modstack_desetup(&ctx->mods, ctx->env);
 +              free(ctx->env);
 +              free(ctx);
 +              errno = e;
 +              return NULL;
 +      }
 +      return ctx;
 +}
 +
 +struct ub_ctx* 
 +ub_ctx_create_event(struct event_base* eb)
 +{
 +      struct ub_ctx* ctx = ub_ctx_create_nopipe();
 +      if(!ctx)
 +              return NULL;
 +      /* no pipes, but we have the locks to make sure everything works */
 +      ctx->created_bg = 0;
 +      ctx->dothread = 1; /* the processing is in the same process,
 +              makes ub_cancel and ub_ctx_delete do the right thing */
 +      ctx->event_base = eb;
 +      return ctx;
 +}
 +      
 +/** delete q */
 +static void
 +delq(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct ctx_query* q = (struct ctx_query*)n;
 +      context_query_delete(q);
 +}
 +
 +/** stop the bg thread */
 +static void ub_stop_bg(struct ub_ctx* ctx)
 +{
 +      /* stop the bg thread */
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->created_bg) {
 +              uint8_t* msg;
 +              uint32_t len;
 +              uint32_t cmd = UB_LIBCMD_QUIT;
 +              lock_basic_unlock(&ctx->cfglock);
 +              lock_basic_lock(&ctx->qqpipe_lock);
 +              (void)tube_write_msg(ctx->qq_pipe, (uint8_t*)&cmd, 
 +                      (uint32_t)sizeof(cmd), 0);
 +              lock_basic_unlock(&ctx->qqpipe_lock);
 +              lock_basic_lock(&ctx->rrpipe_lock);
 +              while(tube_read_msg(ctx->rr_pipe, &msg, &len, 0)) {
 +                      /* discard all results except a quit confirm */
 +                      if(context_serial_getcmd(msg, len) == UB_LIBCMD_QUIT) {
 +                              free(msg);
 +                              break;
 +                      }
 +                      free(msg);
 +              }
 +              lock_basic_unlock(&ctx->rrpipe_lock);
 +
 +              /* if bg worker is a thread, wait for it to exit, so that all
 +               * resources are really gone. */
 +              lock_basic_lock(&ctx->cfglock);
 +              if(ctx->dothread) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      ub_thread_join(ctx->bg_tid);
 +              } else {
 +                      lock_basic_unlock(&ctx->cfglock);
 +              }
 +      }
 +      else {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +}
 +
 +void 
 +ub_ctx_delete(struct ub_ctx* ctx)
 +{
 +      struct alloc_cache* a, *na;
 +      int do_stop = 1;
 +      if(!ctx) return;
 +
 +      /* see if bg thread is created and if threads have been killed */
 +      /* no locks, because those may be held by terminated threads */
 +      /* for processes the read pipe is closed and we see that on read */
 +#ifdef HAVE_PTHREAD
 +      if(ctx->created_bg && ctx->dothread) {
 +              if(pthread_kill(ctx->bg_tid, 0) == ESRCH) {
 +                      /* thread has been killed */
 +                      do_stop = 0;
 +              }
 +      }
 +#endif /* HAVE_PTHREAD */
 +      if(do_stop)
 +              ub_stop_bg(ctx);
 +      libworker_delete_event(ctx->event_worker);
 +
 +      modstack_desetup(&ctx->mods, ctx->env);
 +      a = ctx->alloc_list;
 +      while(a) {
 +              na = a->super;
 +              a->super = &ctx->superalloc;
 +              alloc_clear(a);
 +              free(a);
 +              a = na;
 +      }
 +      local_zones_delete(ctx->local_zones);
 +      lock_basic_destroy(&ctx->qqpipe_lock);
 +      lock_basic_destroy(&ctx->rrpipe_lock);
 +      lock_basic_destroy(&ctx->cfglock);
 +      tube_delete(ctx->qq_pipe);
 +      tube_delete(ctx->rr_pipe);
 +      if(ctx->env) {
 +              slabhash_delete(ctx->env->msg_cache);
 +              rrset_cache_delete(ctx->env->rrset_cache);
 +              infra_delete(ctx->env->infra_cache);
 +              config_delete(ctx->env->cfg);
 +              free(ctx->env);
 +      }
 +      ub_randfree(ctx->seed_rnd);
 +      alloc_clear(&ctx->superalloc);
 +      traverse_postorder(&ctx->queries, delq, NULL);
 +      free(ctx);
 +#ifdef USE_WINSOCK
 +      WSACleanup();
 +#endif
 +}
 +
 +int 
 +ub_ctx_set_option(struct ub_ctx* ctx, const char* opt, const char* val)
 +{
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!config_set_option(ctx->env->cfg, opt, val)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_SYNTAX;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int
 +ub_ctx_get_option(struct ub_ctx* ctx, const char* opt, char** str)
 +{
 +      int r;
 +      lock_basic_lock(&ctx->cfglock);
 +      r = config_get_option_collate(ctx->env->cfg, opt, str);
 +      lock_basic_unlock(&ctx->cfglock);
 +      if(r == 0) r = UB_NOERROR;
 +      else if(r == 1) r = UB_SYNTAX;
 +      else if(r == 2) r = UB_NOMEM;
 +      return r;
 +}
 +
 +int 
 +ub_ctx_config(struct ub_ctx* ctx, const char* fname)
 +{
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!config_read(ctx->env->cfg, fname, NULL)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_SYNTAX;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_ctx_add_ta(struct ub_ctx* ctx, const char* ta)
 +{
 +      char* dup = strdup(ta);
 +      if(!dup) return UB_NOMEM;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!cfg_strlist_insert(&ctx->env->cfg->trust_anchor_list, dup)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_NOMEM;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_ctx_add_ta_file(struct ub_ctx* ctx, const char* fname)
 +{
 +      char* dup = strdup(fname);
 +      if(!dup) return UB_NOMEM;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!cfg_strlist_insert(&ctx->env->cfg->trust_anchor_file_list, dup)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_NOMEM;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int ub_ctx_add_ta_autr(struct ub_ctx* ctx, const char* fname)
 +{
 +      char* dup = strdup(fname);
 +      if(!dup) return UB_NOMEM;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!cfg_strlist_insert(&ctx->env->cfg->auto_trust_anchor_file_list,
 +              dup)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_NOMEM;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_ctx_trustedkeys(struct ub_ctx* ctx, const char* fname)
 +{
 +      char* dup = strdup(fname);
 +      if(!dup) return UB_NOMEM;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_AFTERFINAL;
 +      }
 +      if(!cfg_strlist_insert(&ctx->env->cfg->trusted_keys_file_list, dup)) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              free(dup);
 +              return UB_NOMEM;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int
 +ub_ctx_debuglevel(struct ub_ctx* ctx, int d)
 +{
 +      lock_basic_lock(&ctx->cfglock);
 +      verbosity = d;
 +      ctx->env->cfg->verbosity = d;
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int ub_ctx_debugout(struct ub_ctx* ctx, void* out)
 +{
 +      lock_basic_lock(&ctx->cfglock);
 +      log_file((FILE*)out);
 +      ctx->logfile_override = 1;
 +      ctx->log_out = out;
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_ctx_async(struct ub_ctx* ctx, int dothread)
 +{
 +#ifdef THREADS_DISABLED
 +      if(dothread) /* cannot do threading */
 +              return UB_NOERROR;
 +#endif
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_AFTERFINAL;
 +      }
 +      ctx->dothread = dothread;
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_poll(struct ub_ctx* ctx)
 +{
 +      /* no need to hold lock while testing for readability. */
 +      return tube_poll(ctx->rr_pipe);
 +}
 +
 +int 
 +ub_fd(struct ub_ctx* ctx)
 +{
 +      return tube_read_fd(ctx->rr_pipe);
 +}
 +
 +/** process answer from bg worker */
 +static int
 +process_answer_detail(struct ub_ctx* ctx, uint8_t* msg, uint32_t len,
 +      ub_callback_t* cb, void** cbarg, int* err,
 +      struct ub_result** res)
 +{
 +      struct ctx_query* q;
 +      if(context_serial_getcmd(msg, len) != UB_LIBCMD_ANSWER) {
 +              log_err("error: bad data from bg worker %d",
 +                      (int)context_serial_getcmd(msg, len));
 +              return 0;
 +      }
 +
 +      lock_basic_lock(&ctx->cfglock);
 +      q = context_deserialize_answer(ctx, msg, len, err);
 +      if(!q) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              /* probably simply the lookup that failed, i.e.
 +               * response returned before cancel was sent out, so noerror */
 +              return 1;
 +      }
 +      log_assert(q->async);
 +
 +      /* grab cb while locked */
 +      if(q->cancelled) {
 +              *cb = NULL;
 +              *cbarg = NULL;
 +      } else {
 +              *cb = q->cb;
 +              *cbarg = q->cb_arg;
 +      }
 +      if(*err) {
 +              *res = NULL;
 +              ub_resolve_free(q->res);
 +      } else {
 +              /* parse the message, extract rcode, fill result */
 +              sldns_buffer* buf = sldns_buffer_new(q->msg_len);
 +              struct regional* region = regional_create();
 +              *res = q->res;
 +              (*res)->rcode = LDNS_RCODE_SERVFAIL;
 +              if(region && buf) {
 +                      sldns_buffer_clear(buf);
 +                      sldns_buffer_write(buf, q->msg, q->msg_len);
 +                      sldns_buffer_flip(buf);
 +                      libworker_enter_result(*res, buf, region,
 +                              q->msg_security);
 +              }
 +              (*res)->answer_packet = q->msg;
 +              (*res)->answer_len = (int)q->msg_len;
 +              q->msg = NULL;
 +              sldns_buffer_free(buf);
 +              regional_destroy(region);
 +      }
 +      q->res = NULL;
 +      /* delete the q from list */
 +      (void)rbtree_delete(&ctx->queries, q->node.key);
 +      ctx->num_async--;
 +      context_query_delete(q);
 +      lock_basic_unlock(&ctx->cfglock);
 +
 +      if(*cb) return 2;
 +      ub_resolve_free(*res);
 +      return 1;
 +}
 +
 +/** process answer from bg worker */
 +static int
 +process_answer(struct ub_ctx* ctx, uint8_t* msg, uint32_t len)
 +{
 +      int err;
 +      ub_callback_t cb;
 +      void* cbarg;
 +      struct ub_result* res;
 +      int r;
 +
 +      r = process_answer_detail(ctx, msg, len, &cb, &cbarg, &err, &res);
 +
 +      /* no locks held while calling callback, so that library is
 +       * re-entrant. */
 +      if(r == 2)
 +              (*cb)(cbarg, err, res);
 +
 +      return r;
 +}
 +
 +int 
 +ub_process(struct ub_ctx* ctx)
 +{
 +      int r;
 +      uint8_t* msg;
 +      uint32_t len;
 +      while(1) {
 +              msg = NULL;
 +              lock_basic_lock(&ctx->rrpipe_lock);
 +              r = tube_read_msg(ctx->rr_pipe, &msg, &len, 1);
 +              lock_basic_unlock(&ctx->rrpipe_lock);
 +              if(r == 0)
 +                      return UB_PIPE;
 +              else if(r == -1)
 +                      break;
 +              if(!process_answer(ctx, msg, len)) {
 +                      free(msg);
 +                      return UB_PIPE;
 +              }
 +              free(msg);
 +      }
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_wait(struct ub_ctx* ctx)
 +{
 +      int err;
 +      ub_callback_t cb;
 +      void* cbarg;
 +      struct ub_result* res;
 +      int r;
 +      uint8_t* msg;
 +      uint32_t len;
 +      /* this is basically the same loop as _process(), but with changes.
 +       * holds the rrpipe lock and waits with tube_wait */
 +      while(1) {
 +              lock_basic_lock(&ctx->rrpipe_lock);
 +              lock_basic_lock(&ctx->cfglock);
 +              if(ctx->num_async == 0) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      lock_basic_unlock(&ctx->rrpipe_lock);
 +                      break;
 +              }
 +              lock_basic_unlock(&ctx->cfglock);
 +
 +              /* keep rrpipe locked, while
 +               *      o waiting for pipe readable
 +               *      o parsing message
 +               *      o possibly decrementing num_async
 +               * do callback without lock
 +               */
 +              r = tube_wait(ctx->rr_pipe);
 +              if(r) {
 +                      r = tube_read_msg(ctx->rr_pipe, &msg, &len, 1);
 +                      if(r == 0) {
 +                              lock_basic_unlock(&ctx->rrpipe_lock);
 +                              return UB_PIPE;
 +                      }
 +                      if(r == -1) {
 +                              lock_basic_unlock(&ctx->rrpipe_lock);
 +                              continue;
 +                      }
 +                      r = process_answer_detail(ctx, msg, len, 
 +                              &cb, &cbarg, &err, &res);
 +                      lock_basic_unlock(&ctx->rrpipe_lock);
 +                      free(msg);
 +                      if(r == 0)
 +                              return UB_PIPE;
 +                      if(r == 2)
 +                              (*cb)(cbarg, err, res);
 +              } else {
 +                      lock_basic_unlock(&ctx->rrpipe_lock);
 +              }
 +      }
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_resolve(struct ub_ctx* ctx, const char* name, int rrtype, 
 +      int rrclass, struct ub_result** result)
 +{
 +      struct ctx_query* q;
 +      int r;
 +      *result = NULL;
 +
 +      lock_basic_lock(&ctx->cfglock);
 +      if(!ctx->finalized) {
 +              r = context_finalize(ctx);
 +              if(r) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      return r;
 +              }
 +      }
 +      /* create new ctx_query and attempt to add to the list */
 +      lock_basic_unlock(&ctx->cfglock);
 +      q = context_new(ctx, name, rrtype, rrclass, NULL, NULL);
 +      if(!q)
 +              return UB_NOMEM;
 +      /* become a resolver thread for a bit */
 +
 +      r = libworker_fg(ctx, q);
 +      if(r) {
 +              lock_basic_lock(&ctx->cfglock);
 +              (void)rbtree_delete(&ctx->queries, q->node.key);
 +              context_query_delete(q);
 +              lock_basic_unlock(&ctx->cfglock);
 +              return r;
 +      }
 +      q->res->answer_packet = q->msg;
 +      q->res->answer_len = (int)q->msg_len;
 +      q->msg = NULL;
 +      *result = q->res;
 +      q->res = NULL;
 +
 +      lock_basic_lock(&ctx->cfglock);
 +      (void)rbtree_delete(&ctx->queries, q->node.key);
 +      context_query_delete(q);
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_resolve_event(struct ub_ctx* ctx, const char* name, int rrtype, 
 +      int rrclass, void* mydata, ub_event_callback_t callback, int* async_id)
 +{
 +      struct ctx_query* q;
 +      int r;
 +
 +      if(async_id)
 +              *async_id = 0;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(!ctx->finalized) {
 +              int r = context_finalize(ctx);
 +              if(r) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      return r;
 +              }
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      if(!ctx->event_worker) {
 +              ctx->event_worker = libworker_create_event(ctx,
 +                      ctx->event_base);
 +              if(!ctx->event_worker) {
 +                      return UB_INITFAIL;
 +              }
 +      }
 +
 +      /* create new ctx_query and attempt to add to the list */
 +      q = context_new(ctx, name, rrtype, rrclass, (ub_callback_t)callback,
 +              mydata);
 +      if(!q)
 +              return UB_NOMEM;
 +
 +      /* attach to mesh */
 +      if((r=libworker_attach_mesh(ctx, q, async_id)) != 0)
 +              return r;
 +      return UB_NOERROR;
 +}
 +
 +
 +int 
 +ub_resolve_async(struct ub_ctx* ctx, const char* name, int rrtype, 
 +      int rrclass, void* mydata, ub_callback_t callback, int* async_id)
 +{
 +      struct ctx_query* q;
 +      uint8_t* msg = NULL;
 +      uint32_t len = 0;
 +
 +      if(async_id)
 +              *async_id = 0;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(!ctx->finalized) {
 +              int r = context_finalize(ctx);
 +              if(r) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      return r;
 +              }
 +      }
 +      if(!ctx->created_bg) {
 +              int r;
 +              ctx->created_bg = 1;
 +              lock_basic_unlock(&ctx->cfglock);
 +              r = libworker_bg(ctx);
 +              if(r) {
 +                      lock_basic_lock(&ctx->cfglock);
 +                      ctx->created_bg = 0;
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      return r;
 +              }
 +      } else {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +
 +      /* create new ctx_query and attempt to add to the list */
 +      q = context_new(ctx, name, rrtype, rrclass, callback, mydata);
 +      if(!q)
 +              return UB_NOMEM;
 +
 +      /* write over pipe to background worker */
 +      lock_basic_lock(&ctx->cfglock);
 +      msg = context_serialize_new_query(q, &len);
 +      if(!msg) {
 +              (void)rbtree_delete(&ctx->queries, q->node.key);
 +              ctx->num_async--;
 +              context_query_delete(q);
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_NOMEM;
 +      }
 +      if(async_id)
 +              *async_id = q->querynum;
 +      lock_basic_unlock(&ctx->cfglock);
 +      
 +      lock_basic_lock(&ctx->qqpipe_lock);
 +      if(!tube_write_msg(ctx->qq_pipe, msg, len, 0)) {
 +              lock_basic_unlock(&ctx->qqpipe_lock);
 +              free(msg);
 +              return UB_PIPE;
 +      }
 +      lock_basic_unlock(&ctx->qqpipe_lock);
 +      free(msg);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_cancel(struct ub_ctx* ctx, int async_id)
 +{
 +      struct ctx_query* q;
 +      uint8_t* msg = NULL;
 +      uint32_t len = 0;
 +      lock_basic_lock(&ctx->cfglock);
 +      q = (struct ctx_query*)rbtree_search(&ctx->queries, &async_id);
 +      if(!q || !q->async) {
 +              /* it is not there, so nothing to do */
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_NOID;
 +      }
 +      log_assert(q->async);
 +      q->cancelled = 1;
 +      
 +      /* delete it */
 +      if(!ctx->dothread) { /* if forked */
 +              (void)rbtree_delete(&ctx->queries, q->node.key);
 +              ctx->num_async--;
 +              msg = context_serialize_cancel(q, &len);
 +              context_query_delete(q);
 +              lock_basic_unlock(&ctx->cfglock);
 +              if(!msg) {
 +                      return UB_NOMEM;
 +              }
 +              /* send cancel to background worker */
 +              lock_basic_lock(&ctx->qqpipe_lock);
 +              if(!tube_write_msg(ctx->qq_pipe, msg, len, 0)) {
 +                      lock_basic_unlock(&ctx->qqpipe_lock);
 +                      free(msg);
 +                      return UB_PIPE;
 +              }
 +              lock_basic_unlock(&ctx->qqpipe_lock);
 +              free(msg);
 +      } else {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +      return UB_NOERROR;
 +}
 +
 +void 
 +ub_resolve_free(struct ub_result* result)
 +{
 +      char** p;
 +      if(!result) return;
 +      free(result->qname);
 +      if(result->canonname != result->qname)
 +              free(result->canonname);
 +      if(result->data)
 +              for(p = result->data; *p; p++)
 +                      free(*p);
 +      free(result->data);
 +      free(result->len);
 +      free(result->answer_packet);
 +      free(result->why_bogus);
 +      free(result);
 +}
 +
 +const char* 
 +ub_strerror(int err)
 +{
 +      switch(err) {
 +              case UB_NOERROR: return "no error";
 +              case UB_SOCKET: return "socket io error";
 +              case UB_NOMEM: return "out of memory";
 +              case UB_SYNTAX: return "syntax error";
 +              case UB_SERVFAIL: return "server failure";
 +              case UB_FORKFAIL: return "could not fork";
 +              case UB_INITFAIL: return "initialization failure";
 +              case UB_AFTERFINAL: return "setting change after finalize";
 +              case UB_PIPE: return "error in pipe communication with async";
 +              case UB_READFILE: return "error reading file";
 +              case UB_NOID: return "error async_id does not exist";
 +              default: return "unknown error";
 +      }
 +}
 +
 +int 
 +ub_ctx_set_fwd(struct ub_ctx* ctx, const char* addr)
 +{
 +      struct sockaddr_storage storage;
 +      socklen_t stlen;
 +      struct config_stub* s;
 +      char* dupl;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              errno=EINVAL;
 +              return UB_AFTERFINAL;
 +      }
 +      if(!addr) {
 +              /* disable fwd mode - the root stub should be first. */
 +              if(ctx->env->cfg->forwards &&
 +                      strcmp(ctx->env->cfg->forwards->name, ".") == 0) {
 +                      s = ctx->env->cfg->forwards;
 +                      ctx->env->cfg->forwards = s->next;
 +                      s->next = NULL;
 +                      config_delstubs(s);
 +              }
 +              lock_basic_unlock(&ctx->cfglock);
 +              return UB_NOERROR;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +
 +      /* check syntax for addr */
 +      if(!extstrtoaddr(addr, &storage, &stlen)) {
 +              errno=EINVAL;
 +              return UB_SYNTAX;
 +      }
 +      
 +      /* it parses, add root stub in front of list */
 +      lock_basic_lock(&ctx->cfglock);
 +      if(!ctx->env->cfg->forwards ||
 +              strcmp(ctx->env->cfg->forwards->name, ".") != 0) {
 +              s = calloc(1, sizeof(*s));
 +              if(!s) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      errno=ENOMEM;
 +                      return UB_NOMEM;
 +              }
 +              s->name = strdup(".");
 +              if(!s->name) {
 +                      free(s);
 +                      lock_basic_unlock(&ctx->cfglock);
 +                      errno=ENOMEM;
 +                      return UB_NOMEM;
 +              }
 +              s->next = ctx->env->cfg->forwards;
 +              ctx->env->cfg->forwards = s;
 +      } else {
 +              log_assert(ctx->env->cfg->forwards);
 +              s = ctx->env->cfg->forwards;
 +      }
 +      dupl = strdup(addr);
 +      if(!dupl) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              errno=ENOMEM;
 +              return UB_NOMEM;
 +      }
 +      if(!cfg_strlist_insert(&s->addrs, dupl)) {
 +              free(dupl);
 +              lock_basic_unlock(&ctx->cfglock);
 +              errno=ENOMEM;
 +              return UB_NOMEM;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
 +
 +int 
 +ub_ctx_resolvconf(struct ub_ctx* ctx, const char* fname)
 +{
 +      FILE* in;
 +      int numserv = 0;
 +      char buf[1024];
 +      char* parse, *addr;
 +      int r;
 +
 +      if(fname == NULL) {
 +#if !defined(UB_ON_WINDOWS) || !defined(HAVE_WINDOWS_H)
 +              fname = "/etc/resolv.conf";
 +#else
 +              FIXED_INFO *info;
 +              ULONG buflen = sizeof(*info);
 +              IP_ADDR_STRING *ptr;
 +
 +              info = (FIXED_INFO *) malloc(sizeof (FIXED_INFO));
 +              if (info == NULL) 
 +                      return UB_READFILE;
 +
 +              if (GetNetworkParams(info, &buflen) == ERROR_BUFFER_OVERFLOW) {
 +                      free(info);
 +                      info = (FIXED_INFO *) malloc(buflen);
 +                      if (info == NULL)
 +                              return UB_READFILE;
 +              }
 +
 +              if (GetNetworkParams(info, &buflen) == NO_ERROR) {
 +                      int retval=0;
 +                      ptr = &(info->DnsServerList);
 +                      while (ptr) {
 +                              numserv++;
 +                              if((retval=ub_ctx_set_fwd(ctx, 
 +                                      ptr->IpAddress.String)!=0)) {
 +                                      free(info);
 +                                      return retval;
 +                              }
 +                              ptr = ptr->Next;
 +                      }
 +                      free(info);
 +                      if (numserv==0)
 +                              return UB_READFILE;
 +                      return UB_NOERROR;
 +              }
 +              free(info);
 +              return UB_READFILE;
 +#endif /* WINDOWS */
 +      }
 +      in = fopen(fname, "r");
 +      if(!in) {
 +              /* error in errno! perror(fname) */
 +              return UB_READFILE;
 +      }
 +      while(fgets(buf, (int)sizeof(buf), in)) {
 +              buf[sizeof(buf)-1] = 0;
 +              parse=buf;
 +              while(*parse == ' ' || *parse == '\t')
 +                      parse++;
 +              if(strncmp(parse, "nameserver", 10) == 0) {
 +                      numserv++;
 +                      parse += 10; /* skip 'nameserver' */
 +                      /* skip whitespace */
 +                      while(*parse == ' ' || *parse == '\t')
 +                              parse++;
 +                      addr = parse;
 +                      /* skip [0-9a-fA-F.:]*, i.e. IP4 and IP6 address */
 +                      while(isxdigit((unsigned char)*parse) || *parse=='.' || *parse==':')
 +                              parse++;
 +                      /* terminate after the address, remove newline */
 +                      *parse = 0;
 +                      
 +                      if((r = ub_ctx_set_fwd(ctx, addr)) != UB_NOERROR) {
 +                              fclose(in);
 +                              return r;
 +                      }
 +              }
 +      }
 +      fclose(in);
 +      if(numserv == 0) {
 +              /* from resolv.conf(5) if none given, use localhost */
 +              return ub_ctx_set_fwd(ctx, "127.0.0.1");
 +      }
 +      return UB_NOERROR;
 +}
 +
 +int
 +ub_ctx_hosts(struct ub_ctx* ctx, const char* fname)
 +{
 +      FILE* in;
 +      char buf[1024], ldata[1024];
 +      char* parse, *addr, *name, *ins;
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->finalized) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              errno=EINVAL;
 +              return UB_AFTERFINAL;
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      if(fname == NULL) {
 +#if defined(UB_ON_WINDOWS) && defined(HAVE_WINDOWS_H)
 +              /*
 +               * If this is Windows NT/XP/2K it's in
 +               * %WINDIR%\system32\drivers\etc\hosts.
 +               * If this is Windows 95/98/Me it's in %WINDIR%\hosts.
 +               */
 +              name = getenv("WINDIR");
 +              if (name != NULL) {
 +                      int retval=0;
 +                      snprintf(buf, sizeof(buf), "%s%s", name, 
 +                              "\\system32\\drivers\\etc\\hosts");
 +                      if((retval=ub_ctx_hosts(ctx, buf)) !=0 ) {
 +                              snprintf(buf, sizeof(buf), "%s%s", name, 
 +                                      "\\hosts");
 +                              retval=ub_ctx_hosts(ctx, buf);
 +                      }
-                       while(*parse == ' ' || *parse == '\t' || *parse=='\n')
 +                      return retval;
 +              }
 +              return UB_READFILE;
 +#else
 +              fname = "/etc/hosts";
 +#endif /* WIN32 */
 +      }
 +      in = fopen(fname, "r");
 +      if(!in) {
 +              /* error in errno! perror(fname) */
 +              return UB_READFILE;
 +      }
 +      while(fgets(buf, (int)sizeof(buf), in)) {
 +              buf[sizeof(buf)-1] = 0;
 +              parse=buf;
 +              while(*parse == ' ' || *parse == '\t')
 +                      parse++;
 +              if(*parse == '#')
 +                      continue; /* skip comment */
 +              /* format: <addr> spaces <name> spaces <name> ... */
 +              addr = parse;
 +              /* skip addr */
 +              while(isxdigit((unsigned char)*parse) || *parse == '.' || *parse == ':')
 +                      parse++;
++              if(*parse == '\r')
++                      parse++;
 +              if(*parse == '\n' || *parse == 0)
 +                      continue;
 +              if(*parse == '%') 
 +                      continue; /* ignore macOSX fe80::1%lo0 localhost */
 +              if(*parse != ' ' && *parse != '\t') {
 +                      /* must have whitespace after address */
 +                      fclose(in);
 +                      errno=EINVAL;
 +                      return UB_SYNTAX;
 +              }
 +              *parse++ = 0; /* end delimiter for addr ... */
 +              /* go to names and add them */
 +              while(*parse) {
++                      while(*parse == ' ' || *parse == '\t' || *parse=='\n'
++                              || *parse=='\r')
 +                              parse++;
 +                      if(*parse == 0 || *parse == '#')
 +                              break;
 +                      /* skip name, allows (too) many printable characters */
 +                      name = parse;
 +                      while('!' <= *parse && *parse <= '~')
 +                              parse++;
 +                      if(*parse)
 +                              *parse++ = 0; /* end delimiter for name */
 +                      snprintf(ldata, sizeof(ldata), "%s %s %s",
 +                              name, str_is_ip6(addr)?"AAAA":"A", addr);
 +                      ins = strdup(ldata);
 +                      if(!ins) {
 +                              /* out of memory */
 +                              fclose(in);
 +                              errno=ENOMEM;
 +                              return UB_NOMEM;
 +                      }
 +                      lock_basic_lock(&ctx->cfglock);
 +                      if(!cfg_strlist_insert(&ctx->env->cfg->local_data, 
 +                              ins)) {
 +                              lock_basic_unlock(&ctx->cfglock);
 +                              fclose(in);
 +                              free(ins);
 +                              errno=ENOMEM;
 +                              return UB_NOMEM;
 +                      }
 +                      lock_basic_unlock(&ctx->cfglock);
 +              }
 +      }
 +      fclose(in);
 +      return UB_NOERROR;
 +}
 +
 +/** finalize the context, if not already finalized */
 +static int ub_ctx_finalize(struct ub_ctx* ctx)
 +{
 +      int res = 0;
 +      lock_basic_lock(&ctx->cfglock);
 +      if (!ctx->finalized) {
 +              res = context_finalize(ctx);
 +      }
 +      lock_basic_unlock(&ctx->cfglock);
 +      return res;
 +}
 +
 +/* Print local zones and RR data */
 +int ub_ctx_print_local_zones(struct ub_ctx* ctx)
 +{   
 +      int res = ub_ctx_finalize(ctx);
 +      if (res) return res;
 +
 +      local_zones_print(ctx->local_zones);
 +
 +      return UB_NOERROR;
 +}
 +
 +/* Add a new zone */
 +int ub_ctx_zone_add(struct ub_ctx* ctx, const char *zone_name, 
 +      const char *zone_type)
 +{
 +      enum localzone_type t;
 +      struct local_zone* z;
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +
 +      int res = ub_ctx_finalize(ctx);
 +      if (res) return res;
 +
 +      if(!local_zone_str2type(zone_type, &t)) {
 +              return UB_SYNTAX;
 +      }
 +
 +      if(!parse_dname(zone_name, &nm, &nmlen, &nmlabs)) {
 +              return UB_SYNTAX;
 +      }
 +
 +      lock_rw_wrlock(&ctx->local_zones->lock);
 +      if((z=local_zones_find(ctx->local_zones, nm, nmlen, nmlabs, 
 +              LDNS_RR_CLASS_IN))) {
 +              /* already present in tree */
 +              lock_rw_wrlock(&z->lock);
 +              z->type = t; /* update type anyway */
 +              lock_rw_unlock(&z->lock);
 +              lock_rw_unlock(&ctx->local_zones->lock);
 +              free(nm);
 +              return UB_NOERROR;
 +      }
 +      if(!local_zones_add_zone(ctx->local_zones, nm, nmlen, nmlabs, 
 +              LDNS_RR_CLASS_IN, t)) {
 +              lock_rw_unlock(&ctx->local_zones->lock);
 +              return UB_NOMEM;
 +      }
 +      lock_rw_unlock(&ctx->local_zones->lock);
 +      return UB_NOERROR;
 +}
 +
 +/* Remove zone */
 +int ub_ctx_zone_remove(struct ub_ctx* ctx, const char *zone_name)
 +{   
 +      struct local_zone* z;
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +
 +      int res = ub_ctx_finalize(ctx);
 +      if (res) return res;
 +
 +      if(!parse_dname(zone_name, &nm, &nmlen, &nmlabs)) {
 +              return UB_SYNTAX;
 +      }
 +
 +      lock_rw_wrlock(&ctx->local_zones->lock);
 +      if((z=local_zones_find(ctx->local_zones, nm, nmlen, nmlabs, 
 +              LDNS_RR_CLASS_IN))) {
 +              /* present in tree */
 +              local_zones_del_zone(ctx->local_zones, z);
 +      }
 +      lock_rw_unlock(&ctx->local_zones->lock);
 +      free(nm);
 +      return UB_NOERROR;
 +}
 +
 +/* Add new RR data */
 +int ub_ctx_data_add(struct ub_ctx* ctx, const char *data)
 +{
 +      int res = ub_ctx_finalize(ctx);
 +      if (res) return res;
 +
 +      res = local_zones_add_RR(ctx->local_zones, data);
 +      return (!res) ? UB_NOMEM : UB_NOERROR;
 +}
 +
 +/* Remove RR data */
 +int ub_ctx_data_remove(struct ub_ctx* ctx, const char *data)
 +{
 +      uint8_t* nm;
 +      int nmlabs;
 +      size_t nmlen;
 +      int res = ub_ctx_finalize(ctx);
 +      if (res) return res;
 +
 +      if(!parse_dname(data, &nm, &nmlen, &nmlabs)) 
 +              return UB_SYNTAX;
 +
 +      local_zones_del_data(ctx->local_zones, nm, nmlen, nmlabs, 
 +              LDNS_RR_CLASS_IN);
 +
 +      free(nm);
 +      return UB_NOERROR;
 +}
 +
 +const char* ub_version(void)
 +{
 +      return PACKAGE_VERSION;
 +}
 +
 +int 
 +ub_ctx_set_event(struct ub_ctx* ctx, struct event_base* base) {
 +      if (!ctx || !ctx->event_base || !base) {
 +              return UB_INITFAIL;
 +      }
 +      if (ctx->event_base == base) {
 +              /* already set */
 +              return UB_NOERROR;
 +      }
 +      
 +      lock_basic_lock(&ctx->cfglock);
 +      /* destroy the current worker - safe to pass in NULL */
 +      libworker_delete_event(ctx->event_worker);
 +      ctx->event_worker = NULL;
 +      ctx->event_base = base; 
 +      ctx->created_bg = 0;
 +      ctx->dothread = 1;
 +      lock_basic_unlock(&ctx->cfglock);
 +      return UB_NOERROR;
 +}
diff --cc contrib/unbound/libunbound/libworker.c
index c72b586ab70da9c06c38052b6c2a314b21862186,0000000000000000000000000000000000000000..72b615313a4bee94fc449d381a28f3678d90721d
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/libworker.c
--- /dev/null
+++ b/contrib/unbound/libunbound/libworker.c
@@@ -1,1027 -1,0 +1,1027 @@@
- #include "ldns/sbuffer.h"
- #include "ldns/str2wire.h"
 +/*
 + * libunbound/worker.c - worker thread or process that resolves
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the worker process or thread that performs
 + * the DNS resolving and validation. The worker is called by a procedure
 + * and if in the background continues until exit, if in the foreground
 + * returns from the procedure when done.
 + */
 +#include "config.h"
 +#ifdef HAVE_SSL
 +#include <openssl/ssl.h>
 +#endif
 +#include "libunbound/libworker.h"
 +#include "libunbound/context.h"
 +#include "libunbound/unbound.h"
 +#include "libunbound/worker.h"
 +#include "libunbound/unbound-event.h"
 +#include "services/outside_network.h"
 +#include "services/mesh.h"
 +#include "services/localzone.h"
 +#include "services/cache/rrset.h"
 +#include "services/outbound_list.h"
 +#include "util/fptr_wlist.h"
 +#include "util/module.h"
 +#include "util/regional.h"
 +#include "util/random.h"
 +#include "util/config_file.h"
 +#include "util/netevent.h"
 +#include "util/storage/lookup3.h"
 +#include "util/storage/slabhash.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgencode.h"
 +#include "util/tube.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_hints.h"
++#include "sldns/sbuffer.h"
++#include "sldns/str2wire.h"
 +
 +/** handle new query command for bg worker */
 +static void handle_newq(struct libworker* w, uint8_t* buf, uint32_t len);
 +
 +/** delete libworker env */
 +static void
 +libworker_delete_env(struct libworker* w)
 +{
 +      if(w->env) {
 +              outside_network_quit_prepare(w->back);
 +              mesh_delete(w->env->mesh);
 +              context_release_alloc(w->ctx, w->env->alloc, 
 +                      !w->is_bg || w->is_bg_thread);
 +              sldns_buffer_free(w->env->scratch_buffer);
 +              regional_destroy(w->env->scratch);
 +              forwards_delete(w->env->fwds);
 +              hints_delete(w->env->hints);
 +              ub_randfree(w->env->rnd);
 +              free(w->env);
 +      }
 +#ifdef HAVE_SSL
 +      SSL_CTX_free(w->sslctx);
 +#endif
 +      outside_network_delete(w->back);
 +}
 +
 +/** delete libworker struct */
 +static void
 +libworker_delete(struct libworker* w)
 +{
 +      if(!w) return;
 +      libworker_delete_env(w);
 +      comm_base_delete(w->base);
 +      free(w);
 +}
 +
 +void
 +libworker_delete_event(struct libworker* w)
 +{
 +      if(!w) return;
 +      libworker_delete_env(w);
 +      comm_base_delete_no_base(w->base);
 +      free(w);
 +}
 +
 +/** setup fresh libworker struct */
 +static struct libworker*
 +libworker_setup(struct ub_ctx* ctx, int is_bg, struct event_base* eb)
 +{
 +      unsigned int seed;
 +      struct libworker* w = (struct libworker*)calloc(1, sizeof(*w));
 +      struct config_file* cfg = ctx->env->cfg;
 +      int* ports;
 +      int numports;
 +      if(!w) return NULL;
 +      w->is_bg = is_bg;
 +      w->ctx = ctx;
 +      w->env = (struct module_env*)malloc(sizeof(*w->env));
 +      if(!w->env) {
 +              free(w);
 +              return NULL;
 +      }
 +      *w->env = *ctx->env;
 +      w->env->alloc = context_obtain_alloc(ctx, !w->is_bg || w->is_bg_thread);
 +      if(!w->env->alloc) {
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      w->thread_num = w->env->alloc->thread_num;
 +      alloc_set_id_cleanup(w->env->alloc, &libworker_alloc_cleanup, w);
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_lock(&ctx->cfglock);
 +      }
 +      w->env->scratch = regional_create_custom(cfg->msg_buffer_size);
 +      w->env->scratch_buffer = sldns_buffer_new(cfg->msg_buffer_size);
 +      w->env->fwds = forwards_create();
 +      if(w->env->fwds && !forwards_apply_cfg(w->env->fwds, cfg)) { 
 +              forwards_delete(w->env->fwds);
 +              w->env->fwds = NULL;
 +      }
 +      w->env->hints = hints_create();
 +      if(w->env->hints && !hints_apply_cfg(w->env->hints, cfg)) { 
 +              hints_delete(w->env->hints);
 +              w->env->hints = NULL;
 +      }
 +      if(cfg->ssl_upstream) {
 +              w->sslctx = connect_sslctx_create(NULL, NULL, NULL);
 +              if(!w->sslctx) {
 +                      /* to make the setup fail after unlock */
 +                      hints_delete(w->env->hints);
 +                      w->env->hints = NULL;
 +              }
 +      }
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +      if(!w->env->scratch || !w->env->scratch_buffer || !w->env->fwds ||
 +              !w->env->hints) {
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      w->env->worker = (struct worker*)w;
 +      w->env->probe_timer = NULL;
 +      seed = (unsigned int)time(NULL) ^ (unsigned int)getpid() ^
 +              (((unsigned int)w->thread_num)<<17);
 +      seed ^= (unsigned int)w->env->alloc->next_id;
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_lock(&ctx->cfglock);
 +      }
 +      if(!(w->env->rnd = ub_initstate(seed, ctx->seed_rnd))) {
 +              if(!w->is_bg || w->is_bg_thread) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +              }
 +              seed = 0;
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +      if(1) {
 +              /* primitive lockout for threading: if it overwrites another
 +               * thread it is like wiping the cache (which is likely empty
 +               * at the start) */
 +              /* note we are holding the ctx lock in normal threaded
 +               * cases so that is solved properly, it is only for many ctx
 +               * in different threads that this may clash */
 +              static int done_raninit = 0;
 +              if(!done_raninit) {
 +                      done_raninit = 1;
 +                      hash_set_raninit((uint32_t)ub_random(w->env->rnd));
 +              }
 +      }
 +      seed = 0;
 +
 +      if(eb)
 +              w->base = comm_base_create_event(eb);
 +      else    w->base = comm_base_create(0);
 +      if(!w->base) {
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_lock(&ctx->cfglock);
 +      }
 +      numports = cfg_condense_ports(cfg, &ports);
 +      if(numports == 0) {
 +              int locked = !w->is_bg || w->is_bg_thread;
 +              libworker_delete(w);
 +              if(locked) {
 +                      lock_basic_unlock(&ctx->cfglock);
 +              }
 +              return NULL;
 +      }
 +      w->back = outside_network_create(w->base, cfg->msg_buffer_size,
 +              (size_t)cfg->outgoing_num_ports, cfg->out_ifs,
 +              cfg->num_out_ifs, cfg->do_ip4, cfg->do_ip6, 
 +              cfg->do_tcp?cfg->outgoing_num_tcp:0,
 +              w->env->infra_cache, w->env->rnd, cfg->use_caps_bits_for_id,
 +              ports, numports, cfg->unwanted_threshold,
 +              &libworker_alloc_cleanup, w, cfg->do_udp, w->sslctx,
 +              cfg->delay_close, NULL);
 +      if(!w->is_bg || w->is_bg_thread) {
 +              lock_basic_unlock(&ctx->cfglock);
 +      }
 +      free(ports);
 +      if(!w->back) {
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      w->env->mesh = mesh_create(&ctx->mods, w->env);
 +      if(!w->env->mesh) {
 +              libworker_delete(w);
 +              return NULL;
 +      }
 +      w->env->send_query = &libworker_send_query;
 +      w->env->detach_subs = &mesh_detach_subs;
 +      w->env->attach_sub = &mesh_attach_sub;
 +      w->env->kill_sub = &mesh_state_delete;
 +      w->env->detect_cycle = &mesh_detect_cycle;
 +      comm_base_timept(w->base, &w->env->now, &w->env->now_tv);
 +      return w;
 +}
 +
 +struct libworker* libworker_create_event(struct ub_ctx* ctx,
 +      struct event_base* eb)
 +{
 +      return libworker_setup(ctx, 0, eb);
 +}
 +
 +/** handle cancel command for bg worker */
 +static void
 +handle_cancel(struct libworker* w, uint8_t* buf, uint32_t len)
 +{
 +      struct ctx_query* q;
 +      if(w->is_bg_thread) {
 +              lock_basic_lock(&w->ctx->cfglock);
 +              q = context_deserialize_cancel(w->ctx, buf, len);
 +              lock_basic_unlock(&w->ctx->cfglock);
 +      } else {
 +              q = context_deserialize_cancel(w->ctx, buf, len);
 +      }
 +      if(!q) {
 +              /* probably simply lookup failed, i.e. the message had been
 +               * processed and answered before the cancel arrived */
 +              return;
 +      }
 +      q->cancelled = 1;
 +      free(buf);
 +}
 +
 +/** do control command coming into bg server */
 +static void
 +libworker_do_cmd(struct libworker* w, uint8_t* msg, uint32_t len)
 +{
 +      switch(context_serial_getcmd(msg, len)) {
 +              default:
 +              case UB_LIBCMD_ANSWER:
 +                      log_err("unknown command for bg worker %d", 
 +                              (int)context_serial_getcmd(msg, len));
 +                      /* and fall through to quit */
 +              case UB_LIBCMD_QUIT:
 +                      free(msg);
 +                      comm_base_exit(w->base);
 +                      break;
 +              case UB_LIBCMD_NEWQUERY:
 +                      handle_newq(w, msg, len);
 +                      break;
 +              case UB_LIBCMD_CANCEL:
 +                      handle_cancel(w, msg, len);
 +                      break;
 +      }
 +}
 +
 +/** handle control command coming into server */
 +void 
 +libworker_handle_control_cmd(struct tube* ATTR_UNUSED(tube), 
 +      uint8_t* msg, size_t len, int err, void* arg)
 +{
 +      struct libworker* w = (struct libworker*)arg;
 +
 +      if(err != 0) {
 +              free(msg);
 +              /* it is of no use to go on, exit */
 +              comm_base_exit(w->base);
 +              return;
 +      }
 +      libworker_do_cmd(w, msg, len); /* also frees the buf */
 +}
 +
 +/** the background thread func */
 +static void*
 +libworker_dobg(void* arg)
 +{
 +      /* setup */
 +      uint32_t m;
 +      struct libworker* w = (struct libworker*)arg;
 +      struct ub_ctx* ctx;
 +      if(!w) {
 +              log_err("libunbound bg worker init failed, nomem");
 +              return NULL;
 +      }
 +      ctx = w->ctx;
 +      log_thread_set(&w->thread_num);
 +#ifdef THREADS_DISABLED
 +      /* we are forked */
 +      w->is_bg_thread = 0;
 +      /* close non-used parts of the pipes */
 +      tube_close_write(ctx->qq_pipe);
 +      tube_close_read(ctx->rr_pipe);
 +#endif
 +      if(!tube_setup_bg_listen(ctx->qq_pipe, w->base, 
 +              libworker_handle_control_cmd, w)) {
 +              log_err("libunbound bg worker init failed, no bglisten");
 +              return NULL;
 +      }
 +      if(!tube_setup_bg_write(ctx->rr_pipe, w->base)) {
 +              log_err("libunbound bg worker init failed, no bgwrite");
 +              return NULL;
 +      }
 +
 +      /* do the work */
 +      comm_base_dispatch(w->base);
 +
 +      /* cleanup */
 +      m = UB_LIBCMD_QUIT;
 +      tube_remove_bg_listen(w->ctx->qq_pipe);
 +      tube_remove_bg_write(w->ctx->rr_pipe);
 +      libworker_delete(w);
 +      (void)tube_write_msg(ctx->rr_pipe, (uint8_t*)&m, 
 +              (uint32_t)sizeof(m), 0);
 +#ifdef THREADS_DISABLED
 +      /* close pipes from forked process before exit */
 +      tube_close_read(ctx->qq_pipe);
 +      tube_close_write(ctx->rr_pipe);
 +#endif
 +      return NULL;
 +}
 +
 +int libworker_bg(struct ub_ctx* ctx)
 +{
 +      struct libworker* w;
 +      /* fork or threadcreate */
 +      lock_basic_lock(&ctx->cfglock);
 +      if(ctx->dothread) {
 +              lock_basic_unlock(&ctx->cfglock);
 +              w = libworker_setup(ctx, 1, NULL);
 +              if(!w) return UB_NOMEM;
 +              w->is_bg_thread = 1;
 +#ifdef ENABLE_LOCK_CHECKS
 +              w->thread_num = 1; /* for nicer DEBUG checklocks */
 +#endif
 +              ub_thread_create(&ctx->bg_tid, libworker_dobg, w);
 +      } else {
 +              lock_basic_unlock(&ctx->cfglock);
 +#ifndef HAVE_FORK
 +              /* no fork on windows */
 +              return UB_FORKFAIL;
 +#else /* HAVE_FORK */
 +              switch((ctx->bg_pid=fork())) {
 +                      case 0:
 +                              w = libworker_setup(ctx, 1, NULL);
 +                              if(!w) fatal_exit("out of memory");
 +                              /* close non-used parts of the pipes */
 +                              tube_close_write(ctx->qq_pipe);
 +                              tube_close_read(ctx->rr_pipe);
 +                              (void)libworker_dobg(w);
 +                              exit(0);
 +                              break;
 +                      case -1:
 +                              return UB_FORKFAIL;
 +                      default:
 +                              /* close non-used parts, so that the worker
 +                               * bgprocess gets 'pipe closed' when the
 +                               * main process exits */
 +                              tube_close_read(ctx->qq_pipe);
 +                              tube_close_write(ctx->rr_pipe);
 +                              break;
 +              }
 +#endif /* HAVE_FORK */ 
 +      }
 +      return UB_NOERROR;
 +}
 +
 +/** get msg reply struct (in temp region) */
 +static struct reply_info*
 +parse_reply(sldns_buffer* pkt, struct regional* region, struct query_info* qi)
 +{
 +      struct reply_info* rep;
 +      struct msg_parse* msg;
 +      if(!(msg = regional_alloc(region, sizeof(*msg)))) {
 +              return NULL;
 +      }
 +      memset(msg, 0, sizeof(*msg));
 +      sldns_buffer_set_position(pkt, 0);
 +      if(parse_packet(pkt, msg, region) != 0)
 +              return 0;
 +      if(!parse_create_msg(pkt, msg, NULL, qi, &rep, region)) {
 +              return 0;
 +      }
 +      return rep;
 +}
 +
 +/** insert canonname */
 +static int
 +fill_canon(struct ub_result* res, uint8_t* s)
 +{
 +      char buf[255+2];
 +      dname_str(s, buf);
 +      res->canonname = strdup(buf);
 +      return res->canonname != 0;
 +}
 +
 +/** fill data into result */
 +static int
 +fill_res(struct ub_result* res, struct ub_packed_rrset_key* answer,
 +      uint8_t* finalcname, struct query_info* rq, struct reply_info* rep)
 +{
 +      size_t i;
 +      struct packed_rrset_data* data;
 +      res->ttl = 0;
 +      if(!answer) {
 +              if(finalcname) {
 +                      if(!fill_canon(res, finalcname))
 +                              return 0; /* out of memory */
 +              }
 +              if(rep->rrset_count != 0)
 +                      res->ttl = (int)rep->ttl;
 +              res->data = (char**)calloc(1, sizeof(char*));
 +              res->len = (int*)calloc(1, sizeof(int));
 +              return (res->data && res->len);
 +      }
 +      data = (struct packed_rrset_data*)answer->entry.data;
 +      if(query_dname_compare(rq->qname, answer->rk.dname) != 0) {
 +              if(!fill_canon(res, answer->rk.dname))
 +                      return 0; /* out of memory */
 +      } else  res->canonname = NULL;
 +      res->data = (char**)calloc(data->count+1, sizeof(char*));
 +      res->len = (int*)calloc(data->count+1, sizeof(int));
 +      if(!res->data || !res->len)
 +              return 0; /* out of memory */
 +      for(i=0; i<data->count; i++) {
 +              /* remove rdlength from rdata */
 +              res->len[i] = (int)(data->rr_len[i] - 2);
 +              res->data[i] = memdup(data->rr_data[i]+2, (size_t)res->len[i]);
 +              if(!res->data[i])
 +                      return 0; /* out of memory */
 +      }
 +      /* ttl for positive answers, from CNAME and answer RRs */
 +      if(data->count != 0) {
 +              size_t j;
 +              res->ttl = (int)data->ttl;
 +              for(j=0; j<rep->an_numrrsets; j++) {
 +                      struct packed_rrset_data* d =
 +                              (struct packed_rrset_data*)rep->rrsets[j]->
 +                              entry.data;
 +                      if((int)d->ttl < res->ttl)
 +                              res->ttl = (int)d->ttl;
 +              }
 +      }
 +      /* ttl for negative answers */
 +      if(data->count == 0 && rep->rrset_count != 0)
 +              res->ttl = (int)rep->ttl;
 +      res->data[data->count] = NULL;
 +      res->len[data->count] = 0;
 +      return 1;
 +}
 +
 +/** fill result from parsed message, on error fills servfail */
 +void
 +libworker_enter_result(struct ub_result* res, sldns_buffer* buf,
 +      struct regional* temp, enum sec_status msg_security)
 +{
 +      struct query_info rq;
 +      struct reply_info* rep;
 +      res->rcode = LDNS_RCODE_SERVFAIL;
 +      rep = parse_reply(buf, temp, &rq);
 +      if(!rep) {
 +              log_err("cannot parse buf");
 +              return; /* error parsing buf, or out of memory */
 +      }
 +      if(!fill_res(res, reply_find_answer_rrset(&rq, rep), 
 +              reply_find_final_cname_target(&rq, rep), &rq, rep))
 +              return; /* out of memory */
 +      /* rcode, havedata, nxdomain, secure, bogus */
 +      res->rcode = (int)FLAGS_GET_RCODE(rep->flags);
 +      if(res->data && res->data[0])
 +              res->havedata = 1;
 +      if(res->rcode == LDNS_RCODE_NXDOMAIN)
 +              res->nxdomain = 1;
 +      if(msg_security == sec_status_secure)
 +              res->secure = 1;
 +      if(msg_security == sec_status_bogus)
 +              res->bogus = 1;
 +}
 +
 +/** fillup fg results */
 +static void
 +libworker_fillup_fg(struct ctx_query* q, int rcode, sldns_buffer* buf, 
 +      enum sec_status s, char* why_bogus)
 +{
 +      if(why_bogus)
 +              q->res->why_bogus = strdup(why_bogus);
 +      if(rcode != 0) {
 +              q->res->rcode = rcode;
 +              q->msg_security = s;
 +              return;
 +      }
 +
 +      q->res->rcode = LDNS_RCODE_SERVFAIL;
 +      q->msg_security = 0;
 +      q->msg = memdup(sldns_buffer_begin(buf), sldns_buffer_limit(buf));
 +      q->msg_len = sldns_buffer_limit(buf);
 +      if(!q->msg) {
 +              return; /* the error is in the rcode */
 +      }
 +
 +      /* canonname and results */
 +      q->msg_security = s;
 +      libworker_enter_result(q->res, buf, q->w->env->scratch, s);
 +}
 +
 +void
 +libworker_fg_done_cb(void* arg, int rcode, sldns_buffer* buf, enum sec_status s,
 +      char* why_bogus)
 +{
 +      struct ctx_query* q = (struct ctx_query*)arg;
 +      /* fg query is done; exit comm base */
 +      comm_base_exit(q->w->base);
 +
 +      libworker_fillup_fg(q, rcode, buf, s, why_bogus);
 +}
 +
 +/** setup qinfo and edns */
 +static int
 +setup_qinfo_edns(struct libworker* w, struct ctx_query* q, 
 +      struct query_info* qinfo, struct edns_data* edns)
 +{
 +      qinfo->qtype = (uint16_t)q->res->qtype;
 +      qinfo->qclass = (uint16_t)q->res->qclass;
 +      qinfo->qname = sldns_str2wire_dname(q->res->qname, &qinfo->qname_len);
 +      if(!qinfo->qname) {
 +              return 0;
 +      }
 +      edns->edns_present = 1;
 +      edns->ext_rcode = 0;
 +      edns->edns_version = 0;
 +      edns->bits = EDNS_DO;
 +      if(sldns_buffer_capacity(w->back->udp_buff) < 65535)
 +              edns->udp_size = (uint16_t)sldns_buffer_capacity(
 +                      w->back->udp_buff);
 +      else    edns->udp_size = 65535;
 +      return 1;
 +}
 +
 +int libworker_fg(struct ub_ctx* ctx, struct ctx_query* q)
 +{
 +      struct libworker* w = libworker_setup(ctx, 0, NULL);
 +      uint16_t qflags, qid;
 +      struct query_info qinfo;
 +      struct edns_data edns;
 +      if(!w)
 +              return UB_INITFAIL;
 +      if(!setup_qinfo_edns(w, q, &qinfo, &edns)) {
 +              libworker_delete(w);
 +              return UB_SYNTAX;
 +      }
 +      qid = 0;
 +      qflags = BIT_RD;
 +      q->w = w;
 +      /* see if there is a fixed answer */
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 0, qid);
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 2, qflags);
 +      if(local_zones_answer(ctx->local_zones, &qinfo, &edns, 
 +              w->back->udp_buff, w->env->scratch, NULL)) {
 +              regional_free_all(w->env->scratch);
 +              libworker_fillup_fg(q, LDNS_RCODE_NOERROR, 
 +                      w->back->udp_buff, sec_status_insecure, NULL);
 +              libworker_delete(w);
 +              free(qinfo.qname);
 +              return UB_NOERROR;
 +      }
 +      /* process new query */
 +      if(!mesh_new_callback(w->env->mesh, &qinfo, qflags, &edns, 
 +              w->back->udp_buff, qid, libworker_fg_done_cb, q)) {
 +              free(qinfo.qname);
 +              return UB_NOMEM;
 +      }
 +      free(qinfo.qname);
 +
 +      /* wait for reply */
 +      comm_base_dispatch(w->base);
 +
 +      libworker_delete(w);
 +      return UB_NOERROR;
 +}
 +
 +void
 +libworker_event_done_cb(void* arg, int rcode, sldns_buffer* buf,
 +      enum sec_status s, char* why_bogus)
 +{
 +      struct ctx_query* q = (struct ctx_query*)arg;
 +      ub_event_callback_t cb = (ub_event_callback_t)q->cb;
 +      void* cb_arg = q->cb_arg;
 +      int cancelled = q->cancelled;
 +
 +      /* delete it now */
 +      struct ub_ctx* ctx = q->w->ctx;
 +      lock_basic_lock(&ctx->cfglock);
 +      (void)rbtree_delete(&ctx->queries, q->node.key);
 +      ctx->num_async--;
 +      context_query_delete(q);
 +      lock_basic_unlock(&ctx->cfglock);
 +
 +      if(!cancelled) {
 +              /* call callback */
 +              int sec = 0;
 +              if(s == sec_status_bogus)
 +                      sec = 1;
 +              else if(s == sec_status_secure)
 +                      sec = 2;
 +              (*cb)(cb_arg, rcode, (void*)sldns_buffer_begin(buf),
 +                      (int)sldns_buffer_limit(buf), sec, why_bogus);
 +      }
 +}
 +
 +int libworker_attach_mesh(struct ub_ctx* ctx, struct ctx_query* q,
 +      int* async_id)
 +{
 +      struct libworker* w = ctx->event_worker;
 +      uint16_t qflags, qid;
 +      struct query_info qinfo;
 +      struct edns_data edns;
 +      if(!w)
 +              return UB_INITFAIL;
 +      if(!setup_qinfo_edns(w, q, &qinfo, &edns))
 +              return UB_SYNTAX;
 +      qid = 0;
 +      qflags = BIT_RD;
 +      q->w = w;
 +      /* see if there is a fixed answer */
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 0, qid);
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 2, qflags);
 +      if(local_zones_answer(ctx->local_zones, &qinfo, &edns, 
 +              w->back->udp_buff, w->env->scratch, NULL)) {
 +              regional_free_all(w->env->scratch);
 +              free(qinfo.qname);
 +              libworker_event_done_cb(q, LDNS_RCODE_NOERROR,
 +                      w->back->udp_buff, sec_status_insecure, NULL);
 +              return UB_NOERROR;
 +      }
 +      /* process new query */
 +      if(async_id)
 +              *async_id = q->querynum;
 +      if(!mesh_new_callback(w->env->mesh, &qinfo, qflags, &edns, 
 +              w->back->udp_buff, qid, libworker_event_done_cb, q)) {
 +              free(qinfo.qname);
 +              return UB_NOMEM;
 +      }
 +      free(qinfo.qname);
 +      return UB_NOERROR;
 +}
 +
 +/** add result to the bg worker result queue */
 +static void
 +add_bg_result(struct libworker* w, struct ctx_query* q, sldns_buffer* pkt, 
 +      int err, char* reason)
 +{
 +      uint8_t* msg = NULL;
 +      uint32_t len = 0;
 +
 +      /* serialize and delete unneeded q */
 +      if(w->is_bg_thread) {
 +              lock_basic_lock(&w->ctx->cfglock);
 +              if(reason)
 +                      q->res->why_bogus = strdup(reason);
 +              if(pkt) {
 +                      q->msg_len = sldns_buffer_remaining(pkt);
 +                      q->msg = memdup(sldns_buffer_begin(pkt), q->msg_len);
 +                      if(!q->msg)
 +                              msg = context_serialize_answer(q, UB_NOMEM, 
 +                              NULL, &len);
 +                      else    msg = context_serialize_answer(q, err, 
 +                              NULL, &len);
 +              } else msg = context_serialize_answer(q, err, NULL, &len);
 +              lock_basic_unlock(&w->ctx->cfglock);
 +      } else {
 +              if(reason)
 +                      q->res->why_bogus = strdup(reason);
 +              msg = context_serialize_answer(q, err, pkt, &len);
 +              (void)rbtree_delete(&w->ctx->queries, q->node.key);
 +              w->ctx->num_async--;
 +              context_query_delete(q);
 +      }
 +
 +      if(!msg) {
 +              log_err("out of memory for async answer");
 +              return;
 +      }
 +      if(!tube_queue_item(w->ctx->rr_pipe, msg, len)) {
 +              log_err("out of memory for async answer");
 +              return;
 +      }
 +}
 +
 +void
 +libworker_bg_done_cb(void* arg, int rcode, sldns_buffer* buf, enum sec_status s,
 +      char* why_bogus)
 +{
 +      struct ctx_query* q = (struct ctx_query*)arg;
 +
 +      if(q->cancelled) {
 +              if(q->w->is_bg_thread) {
 +                      /* delete it now */
 +                      struct ub_ctx* ctx = q->w->ctx;
 +                      lock_basic_lock(&ctx->cfglock);
 +                      (void)rbtree_delete(&ctx->queries, q->node.key);
 +                      ctx->num_async--;
 +                      context_query_delete(q);
 +                      lock_basic_unlock(&ctx->cfglock);
 +              }
 +              /* cancelled, do not give answer */
 +              return;
 +      }
 +      q->msg_security = s;
 +      if(!buf)
 +              buf = q->w->env->scratch_buffer;
 +      if(rcode != 0) {
 +              error_encode(buf, rcode, NULL, 0, BIT_RD, NULL);
 +      }
 +      add_bg_result(q->w, q, buf, UB_NOERROR, why_bogus);
 +}
 +
 +
 +/** handle new query command for bg worker */
 +static void
 +handle_newq(struct libworker* w, uint8_t* buf, uint32_t len)
 +{
 +      uint16_t qflags, qid;
 +      struct query_info qinfo;
 +      struct edns_data edns;
 +      struct ctx_query* q;
 +      if(w->is_bg_thread) {
 +              lock_basic_lock(&w->ctx->cfglock);
 +              q = context_lookup_new_query(w->ctx, buf, len);
 +              lock_basic_unlock(&w->ctx->cfglock);
 +      } else {
 +              q = context_deserialize_new_query(w->ctx, buf, len);
 +      }
 +      free(buf);
 +      if(!q) {
 +              log_err("failed to deserialize newq");
 +              return;
 +      }
 +      if(!setup_qinfo_edns(w, q, &qinfo, &edns)) {
 +              add_bg_result(w, q, NULL, UB_SYNTAX, NULL);
 +              return;
 +      }
 +      qid = 0;
 +      qflags = BIT_RD;
 +      /* see if there is a fixed answer */
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 0, qid);
 +      sldns_buffer_write_u16_at(w->back->udp_buff, 2, qflags);
 +      if(local_zones_answer(w->ctx->local_zones, &qinfo, &edns, 
 +              w->back->udp_buff, w->env->scratch, NULL)) {
 +              regional_free_all(w->env->scratch);
 +              q->msg_security = sec_status_insecure;
 +              add_bg_result(w, q, w->back->udp_buff, UB_NOERROR, NULL);
 +              free(qinfo.qname);
 +              return;
 +      }
 +      q->w = w;
 +      /* process new query */
 +      if(!mesh_new_callback(w->env->mesh, &qinfo, qflags, &edns, 
 +              w->back->udp_buff, qid, libworker_bg_done_cb, q)) {
 +              add_bg_result(w, q, NULL, UB_NOMEM, NULL);
 +      }
 +      free(qinfo.qname);
 +}
 +
 +void libworker_alloc_cleanup(void* arg)
 +{
 +      struct libworker* w = (struct libworker*)arg;
 +      slabhash_clear(&w->env->rrset_cache->table);
 +        slabhash_clear(w->env->msg_cache);
 +}
 +
 +struct outbound_entry* libworker_send_query(uint8_t* qname, size_t qnamelen,
 +        uint16_t qtype, uint16_t qclass, uint16_t flags, int dnssec,
 +      int want_dnssec, int nocaps, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* zone, size_t zonelen,
 +      struct module_qstate* q)
 +{
 +      struct libworker* w = (struct libworker*)q->env->worker;
 +      struct outbound_entry* e = (struct outbound_entry*)regional_alloc(
 +              q->region, sizeof(*e));
 +      if(!e)
 +              return NULL;
 +      e->qstate = q;
 +      e->qsent = outnet_serviced_query(w->back, qname,
 +              qnamelen, qtype, qclass, flags, dnssec, want_dnssec, nocaps,
 +              q->env->cfg->tcp_upstream, q->env->cfg->ssl_upstream, addr,
 +              addrlen, zone, zonelen, libworker_handle_service_reply, e,
 +              w->back->udp_buff);
 +      if(!e->qsent) {
 +              return NULL;
 +      }
 +      return e;
 +}
 +
 +int 
 +libworker_handle_reply(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* reply_info)
 +{
 +      struct module_qstate* q = (struct module_qstate*)arg;
 +      struct libworker* lw = (struct libworker*)q->env->worker;
 +      struct outbound_entry e;
 +      e.qstate = q;
 +      e.qsent = NULL;
 +
 +      if(error != 0) {
 +              mesh_report_reply(lw->env->mesh, &e, reply_info, error);
 +              return 0;
 +      }
 +      /* sanity check. */
 +      if(!LDNS_QR_WIRE(sldns_buffer_begin(c->buffer))
 +              || LDNS_OPCODE_WIRE(sldns_buffer_begin(c->buffer)) !=
 +                      LDNS_PACKET_QUERY
 +              || LDNS_QDCOUNT(sldns_buffer_begin(c->buffer)) > 1) {
 +              /* error becomes timeout for the module as if this reply
 +               * never arrived. */
 +              mesh_report_reply(lw->env->mesh, &e, reply_info, 
 +                      NETEVENT_TIMEOUT);
 +              return 0;
 +      }
 +      mesh_report_reply(lw->env->mesh, &e, reply_info, NETEVENT_NOERROR);
 +      return 0;
 +}
 +
 +int 
 +libworker_handle_service_reply(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* reply_info)
 +{
 +      struct outbound_entry* e = (struct outbound_entry*)arg;
 +      struct libworker* lw = (struct libworker*)e->qstate->env->worker;
 +
 +      if(error != 0) {
 +              mesh_report_reply(lw->env->mesh, e, reply_info, error);
 +              return 0;
 +      }
 +      /* sanity check. */
 +      if(!LDNS_QR_WIRE(sldns_buffer_begin(c->buffer))
 +              || LDNS_OPCODE_WIRE(sldns_buffer_begin(c->buffer)) !=
 +                      LDNS_PACKET_QUERY
 +              || LDNS_QDCOUNT(sldns_buffer_begin(c->buffer)) > 1) {
 +              /* error becomes timeout for the module as if this reply
 +               * never arrived. */
 +              mesh_report_reply(lw->env->mesh, e, reply_info, 
 +                      NETEVENT_TIMEOUT);
 +              return 0;
 +      }
 +      mesh_report_reply(lw->env->mesh,  e, reply_info, NETEVENT_NOERROR);
 +      return 0;
 +}
 +
 +/* --- fake callbacks for fptr_wlist to work --- */
 +void worker_handle_control_cmd(struct tube* ATTR_UNUSED(tube), 
 +      uint8_t* ATTR_UNUSED(buffer), size_t ATTR_UNUSED(len),
 +      int ATTR_UNUSED(error), void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +int worker_handle_request(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(repinfo))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int worker_handle_reply(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(reply_info))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int worker_handle_service_reply(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(reply_info))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int remote_accept_callback(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(repinfo))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int remote_control_callback(struct comm_point* ATTR_UNUSED(c), 
 +      void* ATTR_UNUSED(arg), int ATTR_UNUSED(error),
 +        struct comm_reply* ATTR_UNUSED(repinfo))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +void worker_sighandler(int ATTR_UNUSED(sig), void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +struct outbound_entry* worker_send_query(uint8_t* ATTR_UNUSED(qname), 
 +      size_t ATTR_UNUSED(qnamelen), uint16_t ATTR_UNUSED(qtype), 
 +      uint16_t ATTR_UNUSED(qclass), uint16_t ATTR_UNUSED(flags), 
 +      int ATTR_UNUSED(dnssec), int ATTR_UNUSED(want_dnssec),
 +      int ATTR_UNUSED(nocaps), struct sockaddr_storage* ATTR_UNUSED(addr), 
 +      socklen_t ATTR_UNUSED(addrlen), uint8_t* ATTR_UNUSED(zone),
 +      size_t ATTR_UNUSED(zonelen), struct module_qstate* ATTR_UNUSED(q))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +void 
 +worker_alloc_cleanup(void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +void worker_stat_timer_cb(void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +void worker_probe_timer_cb(void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +void worker_start_accept(void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +void worker_stop_accept(void* ATTR_UNUSED(arg))
 +{
 +      log_assert(0);
 +}
 +
 +int order_lock_cmp(const void* ATTR_UNUSED(e1), const void* ATTR_UNUSED(e2))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int
 +codeline_cmp(const void* ATTR_UNUSED(a), const void* ATTR_UNUSED(b))
 +{
 +      log_assert(0);
 +      return 0;
 +}
 +
 +int replay_var_compare(const void* ATTR_UNUSED(a), const void* ATTR_UNUSED(b))
 +{
 +        log_assert(0);
 +        return 0;
 +}
 +
 +void remote_get_opt_ssl(char* ATTR_UNUSED(str), void* ATTR_UNUSED(arg))
 +{
 +        log_assert(0);
 +}
 +
 +#ifdef UB_ON_WINDOWS
 +void
 +worker_win_stop_cb(int ATTR_UNUSED(fd), short ATTR_UNUSED(ev), void* 
 +        ATTR_UNUSED(arg)) {
 +        log_assert(0);
 +}
 +
 +void
 +wsvc_cron_cb(void* ATTR_UNUSED(arg))
 +{
 +        log_assert(0);
 +}
 +#endif /* UB_ON_WINDOWS */
diff --cc contrib/unbound/libunbound/python/Makefile
index 86ba1774707abe4b4a4a1ca8da51c41c294b0706,0000000000000000000000000000000000000000..01b057731fe238166a7f1fa5e5c7cbc5ef85ca35
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/Makefile
--- /dev/null
+++ b/contrib/unbound/libunbound/python/Makefile
@@@ -1,75 -1,0 +1,72 @@@
- #../../ldns-src/lib/libldns.so:       ../../ldns-src/Makefile
-       #$(MAKE) -C ../../ldns-src
 +#
 +# Makefile: compilation of pyUnbound and documentation, testing
 +#
 +# Copyright (c) 2009, Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +#                     Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +#
 +# This software is open source.
 +# 
 +# Redistribution and use in source and binary forms, with or without
 +# modification, are permitted provided that the following conditions
 +# are met:
 +# 
 +#    * Redistributions of source code must retain the above copyright notice,
 +#      this list of conditions and the following disclaimer.
 +# 
 +#    * Redistributions in binary form must reproduce the above copyright notice,
 +#      this list of conditions and the following disclaimer in the documentation
 +#      and/or other materials provided with the distribution.
 +# 
 +#    * Neither the name of the organization nor the names of its
 +#      contributors may be used to endorse or promote products derived from this
 +#      software without specific prior written permission.
 +#
 +# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 +# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 +# TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 +# PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 +# LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 +# CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 +# SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 +# INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 +# CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 +# ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 +# POSSIBILITY OF SUCH DAMAGE.
 +
 +help:
 +      @echo "Please use \`make <target>' where <target> is one of"
 +      @echo "  testenv   to make test environment and run bash "
 +      @echo "            usefull in case you don't want to install unbound but want to test examples"
 +      @echo "  doc       to make documentation"
 +      @echo "  clean     clean all"
 +
 +.PHONY: testenv clean doc swig
 +
 +#_unbound.so: ../../Makefile
 +      #$(MAKE) -C ../..
 +
 +#../../.libs/libunbound.so.0: ../../Makefile
 +      #$(MAKE) -C ../..
 +
- testenv: ../../.libs/libunbound.so.2 ../../ldns-src/lib/libldns.so ../../.libs/_unbound.so
 +clean:
 +      rm -rdf examples/unbound
 +      rm -f _unbound.so libunbound_wrap.o
 +      $(MAKE) -C ../.. clean
 +
-       cd examples && mkdir unbound && ln -s ../../unbound.py unbound/__init__.py && ln -s ../../_unbound.so unbound/_unbound.so && ln -s ../../../../.libs/libunbound.so.2 unbound/libunbound.so.2 && ln -s ../../../../ldns-src/lib/libldns.so.1 unbound/libldns.so.1 && ls -la
++testenv: ../../.libs/libunbound.so.2 ../../.libs/_unbound.so
 +      rm -rdf examples/unbound
++      cd examples && mkdir unbound && ln -s ../../unbound.py unbound/__init__.py && ln -s ../../_unbound.so unbound/_unbound.so && ln -s ../../../../.libs/libunbound.so.2 unbound/libunbound.so.2 && ls -la
 +      cd examples && if test -f ../../../.libs/_unbound.so; then cp ../../../.libs/_unbound.so . ; fi
 +      @echo "Run a script by typing ./script_name.py"
 +      cd examples && LD_LIBRARY_PATH=unbound bash
 +      rm -rdf examples/unbound examples/_unbound.so
 +
 +doc: ../../.libs/libunbound.so.0 _unbound.so
 +      $(MAKE) -C docs html
 +
 +#for development only
 +swig: libunbound.i 
 +      swig -python -o libunbound_wrap.c -I../.. libunbound.i
 +      gcc -c libunbound_wrap.c -O9 -fPIC -I../.. -I/usr/include/python2.5 -I. -o libunbound_wrap.o
 +      gcc -shared libunbound_wrap.o -L../../.libs -lunbound -o _unbound.so 
 +
diff --cc contrib/unbound/libunbound/python/examples/async-lookup.py
index cbb8ea02d29aef5c68481fecaa8d5cf874d3c590,0000000000000000000000000000000000000000..936be3218f3e880a40b9ff8cc02572fc2dea5387
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/async-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/async-lookup.py
@@@ -1,56 -1,0 +1,57 @@@
-     print("Call_back:", my_data)
 +#!/usr/bin/python
 +'''
 + async-lookup.py : This example shows how to use asynchronous lookups
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +import time
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +def call_back(my_data,status,result):
-         print("Result:", result.data.address_list)
++    print("Call_back:", sorted(my_data))
 +    if status == 0 and result.havedata:
++        print("Result:", sorted(result.data.address_list))
 +        my_data['done_flag'] = True
 +
 +
 +my_data = {'done_flag':False,'arbitrary':"object"}
 +status, async_id = ctx.resolve_async("www.nic.cz", my_data, call_back, unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +        
 +while (status == 0) and (not my_data['done_flag']):
 +    status = ctx.process()
 +    time.sleep(0.1)
 +
 +if (status != 0):
 +    print("Resolve error:", unbound.ub_strerror(status))
diff --cc contrib/unbound/libunbound/python/examples/dns-lookup.py
index b3f4008fdd915c90f18e2e1c48b8dfebf3545f7e,0000000000000000000000000000000000000000..a175dfb0e0badf96db3965e121cca86ce38ed8c4
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/dns-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/dns-lookup.py
@@@ -1,44 -1,0 +1,45 @@@
-     print("Result:", result.data.address_list)
 +#!/usr/bin/python
 +'''
 + dns-lookup.py : This example shows how to resolve IP address
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +status, result = ctx.resolve("www.nic.cz", unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
++    print("Result:", sorted(result.data.address_list))
 +elif status != 0:
 +    print("Error:", unbound.ub_strerror(status))
diff --cc contrib/unbound/libunbound/python/examples/dnssec-valid.py
index 5c3cad9e9036661a124f7eccb3a629f949b86563,0000000000000000000000000000000000000000..386f4c2770a54fc1a7c148482cd4104b3da1570a
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/dnssec-valid.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/dnssec-valid.py
@@@ -1,59 -1,0 +1,60 @@@
-     print("Result:", result.data.address_list)
 +#!/usr/bin/python
 +'''
 + dnssec-valid.py:  DNSSEC validation
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import os
 +from unbound import ub_ctx,RR_TYPE_A,RR_CLASS_IN
 +
 +ctx = ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +fw = open("dnssec-valid.txt","wb")
 +ctx.debugout(fw)
 +ctx.debuglevel(2)
 +
 +if os.path.isfile("keys"):
 +    ctx.add_ta_file("keys") #read public keys for DNSSEC verificatio
 +
 +status, result = ctx.resolve("www.nic.cz", RR_TYPE_A, RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +
++    print("Result:", sorted(result.data.address_list))
 +
 +    if result.secure:
 +        print("Result is secure")
 +    elif result.bogus:
 +        print("Result is bogus")
 +    else:
 +        print("Result is insecure")
 +
diff --cc contrib/unbound/libunbound/python/examples/dnssec_test.py
index 0d62b9ff2154438daf49a5b6e3e0c31141b40a1a,0000000000000000000000000000000000000000..430e51a8068a7be23684c7554f8cde4e720d7f64
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/dnssec_test.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/dnssec_test.py
@@@ -1,35 -1,0 +1,36 @@@
-     print("RRSIGs from answer:", rrsigs)
 +#!/usr/bin/env python
++from __future__ import print_function
 +from unbound import ub_ctx, RR_TYPE_A, RR_TYPE_RRSIG, RR_TYPE_NSEC, RR_TYPE_NSEC3
 +import ldns
 +
 +def dnssecParse(domain, rrType=RR_TYPE_A):
 +    print("Resolving domain", domain)
 +    s, r = resolver.resolve(domain)
 +    print("status: %s, secure: %s, rcode: %s, havedata: %s, answer_len; %s" % (s, r.secure, r.rcode_str, r.havedata, r.answer_len))
 +    
 +    s, pkt = ldns.ldns_wire2pkt(r.packet)
 +    if s != 0:
 +        raise RuntimeError("Error parsing DNS packet")
 +
 +    rrsigs = pkt.rr_list_by_type(RR_TYPE_RRSIG, ldns.LDNS_SECTION_ANSWER)
-     print("RRSIGs from authority:", rrsigs)
++    print("RRSIGs from answer:", sorted(rrsigs))
 +    
 +    rrsigs = pkt.rr_list_by_type(RR_TYPE_RRSIG, ldns.LDNS_SECTION_AUTHORITY)
-     print("NSECs:", nsecs)
++    print("RRSIGs from authority:", sorted(rrsigs))
 +    
 +    nsecs = pkt.rr_list_by_type(RR_TYPE_NSEC, ldns.LDNS_SECTION_AUTHORITY)
-     print("NSEC3s:", nsec3s)
++    print("NSECs:", sorted(nsecs))
 +    
 +    nsec3s = pkt.rr_list_by_type(RR_TYPE_NSEC3, ldns.LDNS_SECTION_AUTHORITY)
++    print("NSEC3s:", sorted(nsec3s))
 +    
 +    print("---")
 +
 +
 +resolver = ub_ctx()
 +resolver.add_ta(".   IN DS   19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5")
 +
 +dnssecParse("nic.cz")
 +dnssecParse("nonexistent-domain-blablabla.cz")
 +dnssecParse("nonexistent-domain-blablabla.root.cz")
 +
diff --cc contrib/unbound/libunbound/python/examples/example8-1.py
index ca868e510685512af956d3dc640ce3ef11790cfc,0000000000000000000000000000000000000000..723c4060e6d14c963bc6fa5aee7f9201be34f719
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/example8-1.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/example8-1.py
@@@ -1,61 -1,0 +1,62 @@@
-     for k in result.data.mx_list:
 +#!/usr/bin/python
 +# vim:fileencoding=utf-8
 +'''
 + example8-1.py: Example shows how to lookup for MX and NS records
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +status, result = ctx.resolve("nic.cz", unbound.RR_TYPE_MX, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
-     for k in result.data.address_list:
++    for k in sorted(result.data.mx_list):
 +        print("      priority:%d address:%s" % k)
 +
 +status, result = ctx.resolve("nic.cz", unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
-     for k in result.data.domain_list:
++    for k in sorted(result.data.address_list):
 +        print("      address:%s" % k)
 +
 +status, result = ctx.resolve("nic.cz", unbound.RR_TYPE_NS, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
++    for k in sorted(result.data.domain_list):
 +        print("      host: %s" % k)
 +
diff --cc contrib/unbound/libunbound/python/examples/idn-lookup.py
index 2170637d32b0626c1778af2ee0729e85c4f170d9,0000000000000000000000000000000000000000..f28315067d20366b556b4fe466bc19bffeffa8df
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/idn-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/idn-lookup.py
@@@ -1,62 -1,0 +1,63 @@@
-     for k in result.data.address_list:
 +#!/usr/bin/python
 +# vim:fileencoding=utf-8
 +'''
 + idn-lookup.py: IDN (Internationalized Domain Name) lookup support 
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +import locale
 +
 +ctx = unbound.ub_ctx()
 +ctx.set_option("module-config:","iterator") #We don't need validation
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +#The unicode IDN string is automatically converted (if necessary)
 +status, result = ctx.resolve(u"www.háčkyčárky.cz", unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
-     for k in result.data.mx_list_idn:
++    for k in sorted(result.data.address_list):
 +        print("      address:%s" % k)
 +
 +status, result = ctx.resolve(u"háčkyčárky.cz", unbound.RR_TYPE_MX, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
-     for k in result.data.domain_list_idn:
++    for k in sorted(result.data.mx_list_idn):
 +        print("      priority:%d address:%s" % k)
 +
 +status, result = ctx.resolve(unbound.reverse('217.31.204.66')+'.in-addr.arpa', unbound.RR_TYPE_PTR, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result.data:", result.data)
++    for k in sorted(result.data.domain_list_idn):
 +        print("      dname:%s" % k)
diff --cc contrib/unbound/libunbound/python/examples/mx-lookup.py
index f83f690f85ac3906685d609f07d0d22e02a04ddf,0000000000000000000000000000000000000000..e9394b3554b50378864583124d12a4b961c749db
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/mx-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/mx-lookup.py
@@@ -1,53 -1,0 +1,54 @@@
-     for k in result.data.mx_list:
 +#!/usr/bin/python
 +# vim:fileencoding=utf-8
 +'''
 + mx-lookup.py: Lookup for MX records
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +status, result = ctx.resolve("nic.cz", unbound.RR_TYPE_MX, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
-     for k in result.data.address_list:
++    for k in sorted(result.data.mx_list):
 +        print("      priority:%d address:%s" % k)
 +
 +status, result = ctx.resolve("nic.cz", unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
++    for k in sorted(result.data.address_list):
 +        print("      address:%s" % k)
diff --cc contrib/unbound/libunbound/python/examples/ns-lookup.py
index bcd51de6dfd619097d361980115718328c90aea7,0000000000000000000000000000000000000000..49f567283a2586a7468b09dd78d918b0f0397d71
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/ns-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/ns-lookup.py
@@@ -1,47 -1,0 +1,48 @@@
-     for k in result.data.domain_list:
 +#!/usr/bin/python
 +# vim:fileencoding=utf-8
 +'''
 + ns-lookup.py: Example shows how to lookup for NS records 
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +status, result = ctx.resolve("vutbr.cz", unbound.RR_TYPE_NS, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
 +    print("Result:")
 +    print("      raw data:", result.data)
++    for k in sorted(result.data.domain_list):
 +        print("      host: %s" % k)
 +
diff --cc contrib/unbound/libunbound/python/examples/reverse-lookup.py
index 7e06844ec6a971d9cfbf77db21c53e977e54618b,0000000000000000000000000000000000000000..c9a13fea6299b9e4368e61a1dcf58de25efe86ea
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/examples/reverse-lookup.py
--- /dev/null
+++ b/contrib/unbound/libunbound/python/examples/reverse-lookup.py
@@@ -1,43 -1,0 +1,44 @@@
-     print("Result.data:", result.data, result.data.domain_list)
 +#!/usr/bin/python
 +'''
 + reverse-lookup.py: Example shows how to resolve reverse record 
 +
 + Authors: Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 +          Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 +
 + Copyright (c) 2008. All rights reserved.
 +
 + This software is open source.
 + 
 + Redistribution and use in source and binary forms, with or without
 + modification, are permitted provided that the following conditions
 + are met:
 + 
 + Redistributions of source code must retain the above copyright notice,
 + this list of conditions and the following disclaimer.
 + 
 + Redistributions in binary form must reproduce the above copyright notice,
 + this list of conditions and the following disclaimer in the documentation
 + and/or other materials provided with the distribution.
 + 
 + THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + POSSIBILITY OF SUCH DAMAGE.
 +'''
++from __future__ import print_function
 +import unbound
 +
 +ctx = unbound.ub_ctx()
 +ctx.resolvconf("/etc/resolv.conf")
 +
 +status, result = ctx.resolve(unbound.reverse("74.125.43.147") + ".in-addr.arpa.", unbound.RR_TYPE_PTR, unbound.RR_CLASS_IN)
 +if status == 0 and result.havedata:
++    print("Result.data:", result.data, sorted(result.data.domain_list))
 +
diff --cc contrib/unbound/libunbound/python/file_py3.i
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..5d8b5a2716a561048cfcb6ee4a0f03e16405c369
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/libunbound/python/file_py3.i
@@@ -1,0 -1,0 +1,155 @@@
++/*
++ * file_py3.i: Typemaps for FILE* for Python 3
++ *
++ * Copyright (c) 2011, Karel Slany (karel.slany AT nic.cz)
++ * All rights reserved.
++ * 
++ * Redistribution and use in source and binary forms, with or without
++ * modification, are permitted provided that the following conditions are met:
++ * 
++ *     * Redistributions of source code must retain the above copyright notice,
++ *       this list of conditions and the following disclaimer.
++ *     * Redistributions in binary form must reproduce the above copyright
++ *       notice, this list of conditions and the following disclaimer in the
++ *       documentation and/or other materials provided with the distribution.
++ *     * Neither the name of the organization nor the names of its
++ *       contributors may be used to endorse or promote products derived from this
++ *       software without specific prior written permission.
++ * 
++ * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS"
++ * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
++ * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
++ * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE
++ * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
++ * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
++ * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
++ * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
++ * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
++ * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
++ * POSSIBILITY OF SUCH DAMAGE.
++ */
++
++%{
++#include <unistd.h>
++#include <fcntl.h>
++%}
++
++%types(FILE *);
++
++//#define SWIG_FILE3_DEBUG
++
++/* converts basic file descriptor flags onto a string */
++%fragment("fdfl_to_str", "header") {
++const char *
++fdfl_to_str(int fdfl) {
++
++  static const char * const file_mode[] = {"w+", "w", "r"};
++
++  if (fdfl & O_RDWR) {
++    return file_mode[0];
++  } else if (fdfl & O_WRONLY) {
++    return file_mode[1];
++  } else {
++    return file_mode[2];
++  }
++}
++}
++
++%fragment("is_obj_file", "header") {
++int
++is_obj_file(PyObject *obj) {
++  int fd, fdfl;
++  if (!PyLong_Check(obj) &&                                /* is not an integer */
++      PyObject_HasAttrString(obj, "fileno") &&             /* has fileno method */
++      (PyObject_CallMethod(obj, "flush", NULL) != NULL) && /* flush() succeeded */
++      ((fd = PyObject_AsFileDescriptor(obj)) != -1) &&     /* got file descriptor */
++      ((fdfl = fcntl(fd, F_GETFL)) != -1)                  /* got descriptor flags */
++    ) {
++    return 1;
++  }
++  else {
++    return 0;
++  }
++}
++}
++
++%fragment("obj_to_file","header", fragment="fdfl_to_str,is_obj_file") {
++FILE *
++obj_to_file(PyObject *obj) {
++  int fd, fdfl;
++  FILE *fp;
++  if (is_obj_file(obj)) {
++    fd = PyObject_AsFileDescriptor(obj);
++    fdfl = fcntl(fd, F_GETFL);
++    fp = fdopen(dup(fd), fdfl_to_str(fdfl)); /* the FILE* must be flushed
++                                                and closed after being used */
++#ifdef SWIG_FILE3_DEBUG
++    fprintf(stderr, "opening fd %d (fl %d \"%s\") as FILE %p\n",
++            fd, fdfl, fdfl_to_str(fdfl), (void *)fp);
++#endif
++    return fp;
++  }
++  return NULL;
++}
++}
++
++/* returns -1 if error occurred */
++/* caused magic SWIG Syntax errors when was commented out */
++#if 0
++%fragment("dispose_file", "header") {
++int
++dispose_file(FILE **fp) {
++#ifdef SWIG_FILE3_DEBUG
++  fprintf(stderr, "flushing FILE %p\n", (void *)fp);
++#endif
++  if (*fp == NULL) {
++    return 0;
++  }
++  if ((fflush(*fp) == 0) &&  /* flush file */
++      (fclose(*fp) == 0)) {  /* close file */
++    *fp = NULL;
++    return 0;
++  }
++  return -1;
++}
++}
++#endif
++
++%typemap(arginit, noblock = 1) FILE* {
++  $1 = NULL;
++}
++
++/*
++ * added due to ub_ctx_debugout since since it is overloaded:
++ * takes void* and FILE*. In reality only FILE* but the wrapper
++ * and the function is declared in such way.
++ */
++%typemap(typecheck, noblock = 1, fragment = "is_obj_file", precedence = SWIG_TYPECHECK_POINTER) FILE* {
++  $1 = is_obj_file($input);
++}
++
++%typemap(check, noblock = 1) FILE* {
++  if ($1 == NULL) {
++    /* The generated wrapper function raises TypeError on mismatching types. */
++    SWIG_exception_fail(SWIG_TypeError, "in method '" "$symname" "', argument "
++                        "$argnum"" of type '" "$type""'");
++  }
++}
++
++%typemap(in, noblock = 1, fragment = "obj_to_file") FILE* {
++  $1 = obj_to_file($input);
++}
++
++/*
++ * Commented out due the way how ub_ctx_debugout() uses the parameter.
++ * This typemap would cause the FILE* to be closed after return from
++ * the function. This caused Python interpreter to crash, since the
++ * function just stores the FILE* internally in ctx and use it for
++ * logging. So we'll leave the closing of the file on the OS.
++ */
++/*%typemap(freearg, noblock = 1, fragment = "dispose_file") FILE* {
++  if (dispose_file(&$1) == -1) {
++    SWIG_exception_fail(SWIG_IOError, "closing file in method '" "$symname" "', argument "
++                        "$argnum"" of type '" "$type""'");
++  }
++}*/
diff --cc contrib/unbound/libunbound/python/libunbound.i
index 1bef79f2209488b8d82dc6628199d7bd3f38bc89,0000000000000000000000000000000000000000..3c0e45b7db4247245cfe837d3327c77bfdb80cfd
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/python/libunbound.i
--- /dev/null
+++ b/contrib/unbound/libunbound/python/libunbound.i
@@@ -1,955 -1,0 +1,959 @@@
 +/*
 + * libounbound.i: pyUnbound module (libunbound wrapper for Python)
 + * 
 + * Copyright (c) 2009, Zdenek Vasicek (vasicek AT fit.vutbr.cz)
 + *                     Marek Vavrusa  (xvavru00 AT stud.fit.vutbr.cz)
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + *    * Redistributions of source code must retain the above copyright notice,
 + *      this list of conditions and the following disclaimer.
 + * 
 + *    * Redistributions in binary form must reproduce the above copyright notice,
 + *      this list of conditions and the following disclaimer in the documentation
 + *      and/or other materials provided with the distribution.
 + * 
 + *    * Neither the name of the organization nor the names of its
 + *      contributors may be used to endorse or promote products derived from this
 + *      software without specific prior written permission.
 + *
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + * TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + * POSSIBILITY OF SUCH DAMAGE.
 + */
 +%module unbound
 +%{
 +   #include <sys/types.h>
 +   #include <sys/socket.h>
 +   #include <netinet/in.h>
 +   #include <arpa/inet.h>
 +   #include "libunbound/unbound.h"
 +%}
 +
 +%pythoncode %{
 +   import encodings.idna
 +   try:
 +       import builtins
 +   except ImportError:
 +       import __builtin__ as builtins
 +
 +   # Ensure compatibility with older python versions
 +   if 'bytes' not in vars():
 +       bytes = str
 +
 +   def ord(s):
 +       if isinstance(s, int):
 +           return s
 +       return builtins.ord(s)
 +%}
 +
 +//%include "doc.i"
++#if PY_MAJOR_VERSION >= 3
++%include "file_py3.i" // python 3 FILE *
++#else
 +%include "file.i"
++#endif
 +
 +%feature("docstring") strerror "Convert error value to a human readable string."
 +
 +// ================================================================================
 +// ub_resolve - perform resolution and validation
 +// ================================================================================
 +%typemap(in,numinputs=0,noblock=1) (struct ub_result** result)  
 +{ 
 +   struct ub_result* newubr;
 +   $1 = &newubr;
 +} 
 +  
 +/* result generation */
 +%typemap(argout,noblock=1) (struct ub_result** result)
 +{
 +  if(1) { /* new code block for variable on stack */
 +    PyObject* tuple;
 +    tuple = PyTuple_New(2);
 +    PyTuple_SetItem(tuple, 0, $result);
 +    if (result == 0) {
 +       PyTuple_SetItem(tuple, 1, SWIG_NewPointerObj(SWIG_as_voidptr(newubr), SWIGTYPE_p_ub_result, SWIG_POINTER_OWN |  0 ));
 +    } else {
 +       PyTuple_SetItem(tuple, 1, Py_None);
 +    }
 +    $result = tuple;
 +  }
 +}
 +
 +                       
 +// ================================================================================
 +// ub_ctx - validation context
 +// ================================================================================
 +%nodefaultctor ub_ctx; //no default constructor & destructor
 +%nodefaultdtor ub_ctx;
 +
 +%newobject ub_ctx_create;
 +%delobject ub_ctx_delete;
 +%rename(_ub_ctx_delete) ub_ctx_delete;
 +
 +%newobject ub_resolve;
 +
 +%inline %{
 +  void ub_ctx_free_dbg (struct ub_ctx* c) {
 +    printf("******** UB_CTX free 0x%lX ************\n", (long unsigned int)c);
 +    ub_ctx_delete(c);
 +  }
 +
 +  //RR types
 +  enum enum_rr_type
 +  {
 +    /**  a host address */
 +    RR_TYPE_A = 1, 
 +    /**  an authoritative name server */
 +    RR_TYPE_NS = 2, 
 +    /**  a mail destination (Obsolete - use MX) */
 +    RR_TYPE_MD = 3, 
 +    /**  a mail forwarder (Obsolete - use MX) */
 +    RR_TYPE_MF = 4, 
 +    /**  the canonical name for an alias */
 +    RR_TYPE_CNAME = 5, 
 +    /**  marks the start of a zone of authority */
 +    RR_TYPE_SOA = 6, 
 +    /**  a mailbox domain name (EXPERIMENTAL) */
 +    RR_TYPE_MB = 7, 
 +    /**  a mail group member (EXPERIMENTAL) */
 +    RR_TYPE_MG = 8, 
 +    /**  a mail rename domain name (EXPERIMENTAL) */
 +    RR_TYPE_MR = 9, 
 +    /**  a null RR (EXPERIMENTAL) */
 +    RR_TYPE_NULL = 10,
 +    /**  a well known service description */
 +    RR_TYPE_WKS = 11,
 +    /**  a domain name pointer */
 +    RR_TYPE_PTR = 12,
 +    /**  host information */
 +    RR_TYPE_HINFO = 13,
 +    /**  mailbox or mail list information */
 +    RR_TYPE_MINFO = 14,
 +    /**  mail exchange */
 +    RR_TYPE_MX = 15,
 +    /**  text strings */
 +    RR_TYPE_TXT = 16,
 +    /**  RFC1183 */
 +    RR_TYPE_RP = 17,
 +    /**  RFC1183 */
 +    RR_TYPE_AFSDB = 18,
 +    /**  RFC1183 */
 +    RR_TYPE_X25 = 19,
 +    /**  RFC1183 */
 +    RR_TYPE_ISDN = 20,
 +    /**  RFC1183 */
 +    RR_TYPE_RT = 21,
 +    /**  RFC1706 */
 +    RR_TYPE_NSAP = 22,
 +    /**  RFC1348 */
 +    RR_TYPE_NSAP_PTR = 23,
 +    /**  2535typecode */
 +    RR_TYPE_SIG = 24,
 +    /**  2535typecode */
 +    RR_TYPE_KEY = 25,
 +    /**  RFC2163 */
 +    RR_TYPE_PX = 26,
 +    /**  RFC1712 */
 +    RR_TYPE_GPOS = 27,
 +    /**  ipv6 address */
 +    RR_TYPE_AAAA = 28,
 +    /**  LOC record  RFC1876 */
 +    RR_TYPE_LOC = 29,
 +    /**  2535typecode */
 +    RR_TYPE_NXT = 30,
 +    /**  draft-ietf-nimrod-dns-01.txt */
 +    RR_TYPE_EID = 31,
 +    /**  draft-ietf-nimrod-dns-01.txt */
 +    RR_TYPE_NIMLOC = 32,
 +    /**  SRV record RFC2782 */
 +    RR_TYPE_SRV = 33,
 +    /**  http://www.jhsoft.com/rfc/af-saa-0069.000.rtf */
 +    RR_TYPE_ATMA = 34,
 +    /**  RFC2915 */
 +    RR_TYPE_NAPTR = 35,
 +    /**  RFC2230 */
 +    RR_TYPE_KX = 36,
 +    /**  RFC2538 */
 +    RR_TYPE_CERT = 37,
 +    /**  RFC2874 */
 +    RR_TYPE_A6 = 38,
 +    /**  RFC2672 */
 +    RR_TYPE_DNAME = 39,
 +    /**  dnsind-kitchen-sink-02.txt */
 +    RR_TYPE_SINK = 40,
 +    /**  Pseudo OPT record... */
 +    RR_TYPE_OPT = 41,
 +    /**  RFC3123 */
 +    RR_TYPE_APL = 42,
 +    /**  draft-ietf-dnsext-delegation */
 +    RR_TYPE_DS = 43,
 +    /**  SSH Key Fingerprint */
 +    RR_TYPE_SSHFP = 44,
 +    /**  draft-richardson-ipseckey-rr-11.txt */
 +    RR_TYPE_IPSECKEY = 45,
 +    /**  draft-ietf-dnsext-dnssec-25 */
 +    RR_TYPE_RRSIG = 46,
 +    RR_TYPE_NSEC = 47,      
 +    RR_TYPE_DNSKEY = 48,
 +    RR_TYPE_DHCID = 49,
 +
 +    RR_TYPE_NSEC3 = 50,
 +    RR_TYPE_NSEC3PARAMS = 51,
 +
 +    RR_TYPE_UINFO = 100,
 +    RR_TYPE_UID = 101,
 +    RR_TYPE_GID = 102,
 +    RR_TYPE_UNSPEC = 103,
 +
 +    RR_TYPE_TSIG = 250,
 +    RR_TYPE_IXFR = 251,
 +    RR_TYPE_AXFR = 252,
 +    /**  A request for mailbox-related records (MB, MG or MR) */
 +    RR_TYPE_MAILB = 253,
 +    /**  A request for mail agent RRs (Obsolete - see MX) */
 +    RR_TYPE_MAILA = 254,
 +    /**  any type (wildcard) */
 +    RR_TYPE_ANY = 255,
 +
 +    /* RFC 4431, 5074, DNSSEC Lookaside Validation */
 +    RR_TYPE_DLV = 32769,
 +  };
 +
 +  // RR classes
 +  enum enum_rr_class
 +  { 
 +    /** the Internet */
 +    RR_CLASS_IN = 1,
 +    /** Chaos class */
 +    RR_CLASS_CH = 3,
 +    /** Hesiod (Dyer 87) */
 +    RR_CLASS_HS = 4,
 +    /** None class, dynamic update */
 +    RR_CLASS_NONE = 254,
 +    /** Any class */
 +    RR_CLASS_ANY = 255,
 +  };
 +%} 
 +
 +%feature("docstring") ub_ctx "Unbound resolving and validation context. 
 +
 +The validation context is created to hold the resolver status, validation keys and a small cache (containing messages, rrsets, roundtrip times, trusted keys, lameness information).
 +
 +**Usage**
 +
 +>>> import unbound
 +>>> ctx = unbound.ub_ctx()
 +>>> ctx.resolvconf(\"/etc/resolv.conf\")
 +>>> status, result = ctx.resolve(\"www.google.com\", unbound.RR_TYPE_A, unbound.RR_CLASS_IN)
 +>>> if status==0 and result.havedata:
 +>>>    print \"Result:\",result.data.address_list
 +Result: ['74.125.43.147', '74.125.43.99', '74.125.43.103', '74.125.43.104']
 +"
 +
 +%extend ub_ctx
 +{
 + %pythoncode %{
 +        def __init__(self):
 +            """Creates a resolving and validation context.
 +               
 +               An exception is invoked if the process of creation an ub_ctx instance fails.
 +            """
 +            self.this = _unbound.ub_ctx_create()
 +            if not self.this:
 +                raise Exception("Fatal error: unbound context initialization failed")
 +
 +        #__swig_destroy__ = _unbound.ub_ctx_free_dbg
 +        __swig_destroy__ = _unbound._ub_ctx_delete
 +
 +        #UB_CTX_METHODS_#   
 +        def add_ta(self,ta):
 +            """Add a trust anchor to the given context.
 +               
 +               The trust anchor is a string, on one line, that holds a valid DNSKEY or DS RR.
 +               
 +               :param ta:
 +                   string, with zone-format RR on one line. [domainname] [TTL optional] [type] [class optional] [rdata contents]
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_add_ta(self,ta)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def add_ta_file(self,fname):
 +            """Add trust anchors to the given context.
 +               
 +               Pass name of a file with DS and DNSKEY records (like from dig or drill).
 +               
 +               :param fname:
 +                   filename of file with keyfile with trust anchors.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_add_ta_file(self,fname)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def config(self,fname):
 +            """setup configuration for the given context.
 +               
 +               :param fname:
 +                   unbound config file (not all settings applicable). This is a power-users interface that lets you specify all sorts of options. For some specific options, such as adding trust anchors, special routines exist.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_config(self,fname)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def debuglevel(self,d):
 +            """Set debug verbosity for the context Output is directed to stderr.
 +               
 +               :param d:
 +                   debug level, 0 is off, 1 is very minimal, 2 is detailed, and 3 is lots.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_debuglevel(self,d)
 +            #parameters: struct ub_ctx *,int,
 +            #retvals: int
 +
 +        def debugout(self,out):
 +            """Set debug output (and error output) to the specified stream.
 +               
 +               Pass None to disable. Default is stderr.
 +               
 +               :param out:
 +                   File stream to log to.
 +               :returns: (int) 0 if OK, else error.
 +
 +               **Usage:**
 +
 +                  In order to log into file, use
 +
 +                  ::
 +
 +                    ctx = unbound.ub_ctx()
 +                    fw = fopen("debug.log")
 +                    ctx.debuglevel(3)
 +                    ctx.debugout(fw)
 +
 +                  Another option is to print the debug informations to stderr output
 +
 +                  ::
 +
 +                    ctx = unbound.ub_ctx()
 +                    ctx.debuglevel(10)
 +                    ctx.debugout(sys.stderr) 
 +            """
 +            return _unbound.ub_ctx_debugout(self,out)
 +            #parameters: struct ub_ctx *,void *,
 +            #retvals: int
 +
 +        def hosts(self,fname="/etc/hosts"):
 +            """Read list of hosts from the filename given.
 +               
 +               Usually "/etc/hosts". These addresses are not flagged as DNSSEC secure when queried for.
 +               
 +               :param fname:
 +                   file name string. If None "/etc/hosts" is used.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_hosts(self,fname)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def print_local_zones(self):
 +            """Print the local zones and their content (RR data) to the debug output.
 +               
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_print_local_zones(self)
 +            #parameters: struct ub_ctx *,
 +            #retvals: int
 +
 +        def resolvconf(self,fname="/etc/resolv.conf"):
 +            """Read list of nameservers to use from the filename given.
 +               
 +               Usually "/etc/resolv.conf". Uses those nameservers as caching proxies. If they do not support DNSSEC, validation may fail.
 +               
 +               Only nameservers are picked up, the searchdomain, ndots and other settings from resolv.conf(5) are ignored.
 +               
 +               :param fname:
 +                   file name string. If None "/etc/resolv.conf" is used.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_resolvconf(self,fname)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def set_async(self,dothread):
 +            """Set a context behaviour for asynchronous action.
 +               
 +               :param dothread:
 +                   if True, enables threading and a call to :meth:`resolve_async` creates a thread to handle work in the background. 
 +                   If False, a process is forked to handle work in the background. 
 +                   Changes to this setting after :meth:`async` calls have been made have no effect (delete and re-create the context to change).
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_async(self,dothread)
 +            #parameters: struct ub_ctx *,int,
 +            #retvals: int
 +
 +        def set_fwd(self,addr):
 +            """Set machine to forward DNS queries to, the caching resolver to use.
 +               
 +               IP4 or IP6 address. Forwards all DNS requests to that machine, which is expected to run a recursive resolver. If the  is not DNSSEC-capable, validation may fail. Can be called several times, in that case the addresses are used as backup servers.
 +               
 +               To read the list of nameservers from /etc/resolv.conf (from DHCP or so), use the call :meth:`resolvconf`.
 +               
 +               :param addr:
 +                   address, IP4 or IP6 in string format. If the addr is None, forwarding is disabled.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_set_fwd(self,addr)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +
 +        def set_option(self,opt,val):
 +            """Set an option for the context.
 +
 +               Changes to the options after :meth:`resolve`, :meth:`resolve_async`, :meth:`zone_add`, :meth:`zone_remove`, :meth:`data_add` or :meth:`data_remove` have no effect (you have to delete and re-create the context).
 +               
 +               :param opt:
 +                   option name from the unbound.conf config file format. (not all settings applicable). The name includes the trailing ':' for example set_option("logfile:", "mylog.txt"); This is a power-users interface that lets you specify all sorts of options. For some specific options, such as adding trust anchors, special routines exist.
 +               :param val:
 +                   value of the option.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_set_option(self,opt,val)
 +            #parameters: struct ub_ctx *,char *,char *,
 +            #retvals: int
 +
 +        def trustedkeys(self,fname):
 +            """Add trust anchors to the given context.
 +               
 +               Pass the name of a bind-style config file with trusted-keys{}.
 +               
 +               :param fname:
 +                   filename of file with bind-style config entries with trust anchors.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_ctx_trustedkeys(self,fname)
 +            #parameters: struct ub_ctx *,char *,
 +            #retvals: int
 +        #_UB_CTX_METHODS#   
 +        
 +        def zone_print(self):
 +            """Print local zones using debougout"""            
 +            _unbound.ub_ctx_print_local_zones(self)
 +
 +        def zone_add(self,zonename,zonetype):
 +            """Add new local zone
 +
 +               :param zonename: zone domain name (e.g. myzone.)
 +               :param zonetype: type of the zone ("static",...) 
 +               :returns: (int) 0 if OK, else error. 
 +            """ 
 +            return _unbound.ub_ctx_zone_add(self,zonename, zonetype)
 +            #parameters: struct ub_ctx *,char*, char*
 +            #retvals: int
 +
 +        def zone_remove(self,zonename):
 +            """Remove local zone
 +            
 +               If exists, removes local zone with all the RRs.
 +
 +               :param zonename: zone domain name
 +               :returns: (int) 0 if OK, else error. 
 +            """ 
 +            return _unbound.ub_ctx_zone_remove(self,zonename)
 +            #parameters: struct ub_ctx *,char*
 +            #retvals: int
 +
 +        def data_add(self,rrdata):
 +            """Add new local RR data
 +
 +               :param rrdata: string, in zone-format on one line. [domainname] [TTL optional] [type] [class optional] [rdata contents]
 +               :returns: (int) 0 if OK, else error. 
 +
 +               **Usage**
 +                  The local data ...
 +
 +                  ::
 +
 +                    >>> ctx = unbound.ub_ctx()
 +                    >>> ctx.zone_add("mydomain.net.","static")
 +                    0
 +                    >>> status = ctx.data_add("test.mydomain.net. IN A 192.168.1.1")
 +                    0
 +                    >>> status, result = ctx.resolve("test.mydomain.net")
 +                    >>> if status==0 and result.havedata:
 +                    >>>    print \"Result:\",result.data.address_list
 +                    Result: ['192.168.1.1']
 +
 +            """ 
 +            return _unbound.ub_ctx_data_add(self,rrdata)
 +            #parameters: struct ub_ctx *,char*
 +            #retvals: int
 +
 +        def data_remove(self,rrdata):
 +            """Remove local RR data
 +
 +               If exists, remove resource record from local zone
 +
 +               :param rrdata: string, in zone-format on one line. [domainname] [TTL optional] [type] [class optional] [rdata contents]
 +               :returns: (int) 0 if OK, else error. 
 +            """ 
 +            return _unbound.ub_ctx_data_remove(self,rrdata)
 +            #parameters: struct ub_ctx *,char*
 +            #retvals: int
 +
 +        #UB_METHODS_#
 +        def cancel(self,async_id):
 +            """Cancel an async query in progress.
 +               
 +               Its callback will not be called.
 +               
 +               :param async_id:
 +                   which query to cancel.
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_cancel(self,async_id)
 +            #parameters: struct ub_ctx *,int,
 +            #retvals: int
 +
 +        def get_fd(self):
 +            """Get file descriptor.
 +               
 +               Wait for it to become readable, at this point answers are returned from the asynchronous validating resolver. Then call the ub_process to continue processing. This routine works immediately after context creation, the fd does not change.
 +               
 +               :returns: (int) -1 on error, or file descriptor to use select(2) with.
 +            """
 +            return _unbound.ub_fd(self)
 +            #parameters: struct ub_ctx *,
 +            #retvals: int
 +
 +        def poll(self):
 +            """Poll a context to see if it has any new results Do not poll in a loop, instead extract the fd below to poll for readiness, and then check, or wait using the wait routine.
 +               
 +               :returns: (int) 0 if nothing to read, or nonzero if a result is available. If nonzero, call ctx_process() to do callbacks.
 +            """
 +            return _unbound.ub_poll(self)
 +            #parameters: struct ub_ctx *,
 +            #retvals: int
 +
 +        def process(self):
 +            """Call this routine to continue processing results from the validating resolver (when the fd becomes readable).
 +               
 +               Will perform necessary callbacks.
 +               
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_process(self)
 +            #parameters: struct ub_ctx *,
 +            #retvals: int
 +
 +        def resolve(self,name,rrtype=RR_TYPE_A,rrclass=RR_CLASS_IN):
 +            """Perform resolution and validation of the target name. 
 +               
 +               :param name:
 +                   domain name in text format (a string or unicode string). IDN domain name have to be passed as a unicode string.
 +               :param rrtype:
 +                   type of RR in host order (optional argument). Default value is RR_TYPE_A (A class).
 +               :param rrclass:
 +                   class of RR in host order (optional argument). Default value is RR_CLASS_IN (for internet).
 +               :returns: * (int) 0 if OK, else error.
 +                         * (:class:`ub_result`) the result data is returned in a newly allocated result structure. May be None on return, return value is set to an error in that case (out of memory).
 +            """
 +            if isinstance(name, bytes): #probably IDN
 +                return _unbound.ub_resolve(self,name,rrtype,rrclass)
 +            else:
 +                return _unbound.ub_resolve(self,idn2dname(name),rrtype,rrclass)
 +            #parameters: struct ub_ctx *,char *,int,int,
 +            #retvals: int,struct ub_result **
 +
 +        def resolve_async(self,name,mydata,callback,rrtype=RR_TYPE_A,rrclass=RR_CLASS_IN):
 +            """Perform resolution and validation of the target name.
 +               
 +               Asynchronous, after a while, the callback will be called with your data and the result. 
 +               If an error happens during processing, your callback will be called with error set to a nonzero value (and result==None).
 +               
 +               :param name:
 +                   domain name in text format (a string or unicode string). IDN domain name have to be passed as a unicode string.
 +               :param mydata:
 +                   this data is your own data (you can pass arbitrary python object or None) which are passed on to the callback function.
 +               :param callback:
 +                   call-back function which is called on completion of the resolution. 
 +               :param rrtype:
 +                   type of RR in host order (optional argument). Default value is RR_TYPE_A (A class).
 +               :param rrclass:
 +                   class of RR in host order (optional argument). Default value is RR_CLASS_IN (for internet).
 +               :returns: * (int) 0 if OK, else error.
 +                         * (int) async_id, an identifier number is returned for the query as it is in progress. It can be used to cancel the query.
 +
 +               **Call-back function:**
 +                    The call-back function looks as the follows::
 +                    
 +                        def call_back(mydata, status, result):
 +                            pass
 +
 +                    **Parameters:** 
 +                        * `mydata` - mydata object
 +                        * `status` - 0 when a result has been found
 +                        * `result` - the result structure. The result may be None, in that case err is set.
 +
 +            """
 +            if isinstance(name, bytes): #probably IDN
 +                return _unbound._ub_resolve_async(self,name,rrtype,rrclass,mydata,callback)
 +            else:
 +                return _unbound._ub_resolve_async(self,idn2dname(name),rrtype,rrclass,mydata,callback)
 +            #parameters: struct ub_ctx *,char *,int,int,void *,ub_callback_t,
 +            #retvals: int, int
 +
 +        def wait(self):
 +            """Wait for a context to finish with results.
 +               
 +               Calls  after the wait for you. After the wait, there are no more outstanding asynchronous queries.
 +               
 +               :returns: (int) 0 if OK, else error.
 +            """
 +            return _unbound.ub_wait(self)
 +            #parameters: struct ub_ctx *,
 +            #retvals: int
 +
 +        #_UB_METHODS#
 + %}
 +}
 +
 +
 +// ================================================================================
 +// ub_result - validation and resolution results
 +// ================================================================================
 +%nodefaultctor ub_result; //no default constructor & destructor
 +%nodefaultdtor ub_result;
 +
 +%delobject ub_resolve_free;
 +%rename(_ub_resolve_free) ub_resolve_free;
 + 
 +%inline %{
 +  void ub_resolve_free_dbg (struct ub_result* r) {
 +    printf("******** UB_RESOLVE free 0x%lX ************\n", (long unsigned int)r);
 +    ub_resolve_free(r);
 +  }
 +%} 
 +
 +%feature("docstring") ub_result "The validation and resolution results."
 +
 +//ub_result.rcode
 +%inline %{
 +  enum result_enum_rcode {
 +    RCODE_NOERROR = 0,
 +    RCODE_FORMERR = 1,
 +    RCODE_SERVFAIL = 2,
 +    RCODE_NXDOMAIN = 3,
 +    RCODE_NOTIMPL = 4,
 +    RCODE_REFUSED = 5,
 +    RCODE_YXDOMAIN = 6,
 +    RCODE_YXRRSET = 7,
 +    RCODE_NXRRSET = 8,
 +    RCODE_NOTAUTH = 9,
 +    RCODE_NOTZONE = 10
 +  };
 +%}
 +
 +%pythoncode %{
 +   class ub_data:
 +      """Class which makes the resolution results accessible"""
 +      def __init__(self, data):
 +         """Creates ub_data class
 +            :param data: a list of the result data in RAW format
 +         """
 +         if data == None:
 +            raise Exception("ub_data init: No data")
 +         self.data = data
 +
 +      def __str__(self):
 +         """Represents data as string"""
 +         return ';'.join([' '.join(map(lambda x:"%02X" % ord(x),a)) for a in self.data])
 +
 +      @staticmethod
 +      def dname2str(s, ofs=0, maxlen=0):
 +         """Parses DNAME and produces a list of labels
 +        
 +            :param ofs: where the conversion should start to parse data
 +            :param maxlen: maximum length (0 means parse to the end)
 +            :returns: list of labels (string)
 +         """
 +         if not s:
 +            return []
 +
 +         res = []
 +         slen = len(s)
 +         if maxlen > 0:
 +            slen = min(slen, maxlen)
 +
 +         idx = ofs
 +         while (idx < slen):
 +            complen = ord(s[idx])
 +            # In python 3.x `str()` converts the string to unicode which is the expected text string type
 +            res.append(str(s[idx+1:idx+1+complen].decode()))
 +            idx += complen + 1
 +
 +         return res
 +
 +      def as_raw_data(self):
 +         """Returns a list of RAW strings"""
 +         return self.data
 +
 +      raw = property(as_raw_data, doc="Returns RAW data (a list of binary encoded strings). See :meth:`as_raw_data`")
 +
 +      def as_mx_list(self):
 +         """Represents data as a list of MX records (query for RR_TYPE_MX)
 +        
 +            :returns: list of tuples (priority, dname)
 +         """
 +         return [(256*ord(rdf[0])+ord(rdf[1]),'.'.join([a for a in self.dname2str(rdf,2)])) for rdf in self.data]
 +      
 +      mx_list = property(as_mx_list, doc="Returns a list of tuples containing priority and domain names. See :meth:`as_mx_list`")
 +
 +      def as_idn_mx_list(self):
 +         """Represents data as a list of MX records (query for RR_TYPE_MX)
 +        
 +            :returns: list of tuples (priority, unicode dname)
 +         """
 +         return [(256*ord(rdf[0])+ord(rdf[1]),'.'.join([encodings.idna.ToUnicode(a) for a in self.dname2str(rdf,2)])) for rdf in self.data]
 +
 +      mx_list_idn = property(as_idn_mx_list, doc="Returns a list of tuples containing priority and IDN domain names. See :meth:`as_idn_mx_list`")
 +
 +      def as_address_list(self):
 +         """Represents data as a list of IP addresses (query for RR_TYPE_PTR)
 +        
 +            :returns: list of strings
 +         """
 +         return ['.'.join(map(lambda x:str(ord(x)),a)) for a in self.data]
 +
 +      address_list = property(as_address_list, doc="Returns a list of IP addresses. See :meth:`as_address_list`")
 +
 +      def as_domain_list(self):
 +         """Represents data as a list of domain names (query for RR_TYPE_A)
 +
 +            :returns: list of strings
 +         """
 +         return map(lambda x:'.'.join(self.dname2str(x)), self.data)
 +
 +      domain_list = property(as_domain_list, doc="Returns a list of domain names. See :meth:`as_domain_list`")
 +
 +      def as_idn_domain_list(self):
 +         """Represents data as a list of unicode domain names (query for RR_TYPE_A)
 +
 +            :returns: list of strings
 +         """
 +         return map(lambda x: '.'.join([encodings.idna.ToUnicode(a) for a in self.dname2str(x)]), self.data)
 +
 +      domain_list_idn = property(as_idn_domain_list, doc="Returns a list of IDN domain names. See :meth:`as_idn_domain_list`")
 +%}
 +        
 +%extend ub_result
 +{
 +
 +  %rename(_data) data;
 +  
 +  PyObject* _ub_result_data(struct ub_result* result) {
 +    PyObject  *list;
 +     int i,cnt;
 +     (void)self;
 +     if ((result == 0) || (!result->havedata) || (result->data == 0))
 +        return Py_None;
 +
 +     for (cnt=0,i=0;;i++,cnt++) 
 +         if (result->data[i] == 0)
 +            break;
 +     
 +     list = PyList_New(cnt);
 +     for (i=0;i<cnt;i++) 
 +         PyList_SetItem(list, i, PyBytes_FromStringAndSize(result->data[i],result->len[i]));
 +     
 +     return list;
 +  }
 +
 +  PyObject* _packet() {
 +      return PyBytes_FromStringAndSize($self->answer_packet, $self->answer_len);
 +  }
 +  
 + %pythoncode %{
 +   def __init__(self):
 +       raise Exception("This class can't be created directly.")
 +
 +   #__swig_destroy__ = _unbound.ub_resolve_free_dbg
 +   __swig_destroy__ = _unbound._ub_resolve_free
 +
 +   #havedata = property(_unbound.ub_result_havedata_get, _unbound.ub_result_havedata_set, "Havedata property")
 +
 +   rcode2str = {RCODE_NOERROR:'no error', RCODE_FORMERR:'form error', RCODE_SERVFAIL:'serv fail', RCODE_NXDOMAIN:'nx domain', RCODE_NOTIMPL:'not implemented', RCODE_REFUSED:'refused', RCODE_YXDOMAIN:'yxdomain', RCODE_YXRRSET:'yxrrset', RCODE_NXRRSET:'nxrrset', RCODE_NOTAUTH:'not auth', RCODE_NOTZONE:'not zone'}
 +
 +   def _get_rcode_str(self):
 +       """Returns rcode in display representation form
 +
 +          :returns: string
 +       """
 +       return self.rcode2str[self.rcode]
 +
 +   __swig_getmethods__["rcode_str"] = _get_rcode_str
 +   if _newclass:rcode_str = _swig_property(_get_rcode_str)
 +
 +   def _get_raw_data(self):
 +       """Result data, a list of network order DNS rdata items. 
 +
 +          Data are represented as a list of strings. To decode RAW data to the list of IP addresses use :attr:`data` attribute which returns an :class:`ub_data` instance containing conversion function.
 +       """
 +       return self._ub_result_data(self)
 +
 +   __swig_getmethods__["rawdata"] = _get_raw_data
 +   rawdata = property(_get_raw_data, doc="Returns raw data, a list of rdata items. To decode RAW data use the :attr:`data` attribute which returns an instance of :class:`ub_data` containing the conversion functions.")
 +
 +   def _get_data(self):
 +       if not self.havedata: return None
 +       return ub_data(self._ub_result_data(self))
 +  
 +   __swig_getmethods__["data"] = _get_data
 +   __swig_getmethods__["packet"] = _packet
 +   data = property(_get_data, doc="Returns :class:`ub_data` instance containing various decoding functions or None")
 +
 +%}
 +             
 +}
 +
 +%exception ub_resolve
 +%{ 
 +  //printf("resolve_start(%lX)\n",(long unsigned int)arg1);
 +  Py_BEGIN_ALLOW_THREADS 
 +  $function 
 +  Py_END_ALLOW_THREADS 
 +  //printf("resolve_stop()\n");
 +%} 
 +
 +%include "libunbound/unbound.h"
 +
 +%inline %{
 +  //SWIG will see the ub_ctx as a class
 +  struct ub_ctx {
 +  };
 +%}
 +
 +//ub_ctx_debugout void* parameter correction
 +int ub_ctx_debugout(struct ub_ctx* ctx, FILE* out);
 +
 +// ================================================================================
 +// ub_resolve_async - perform asynchronous resolution and validation
 +// ================================================================================
 +
 +%typemap(in,numinputs=0,noblock=1) (int* async_id)  
 +{ 
 +   int asyncid = -1;
 +   $1 = &asyncid;
 +} 
 +
 +%apply PyObject* {void* mydata}
 +       
 +/* result generation */
 +%typemap(argout,noblock=1) (int* async_id)
 +{
 +  if(1) { /* new code block for variable on stack */
 +    PyObject* tuple;
 +    tuple = PyTuple_New(2);
 +    PyTuple_SetItem(tuple, 0, $result);
 +    PyTuple_SetItem(tuple, 1, SWIG_From_int(asyncid));
 +    $result = tuple;
 +  }
 +}
 +
 +// Grab a Python function object as a Python object.
 +%typemap(in) (PyObject *pyfunc) {
 +  if (!PyCallable_Check($input)) 
 +  {
 +     PyErr_SetString(PyExc_TypeError, "Need a callable object!");
 +     return NULL;
 +  }
 +  $1 = $input;
 +}
 +   
 +// Python callback workaround
 +int _ub_resolve_async(struct ub_ctx* ctx, char* name, int rrtype, int rrclass, void* mydata, PyObject *pyfunc, int* async_id);
 +
 +%{
 +   struct cb_data {
 +      PyObject* data;
 +      PyObject* func;
 +   };
 +
 +   static void PythonCallBack(void* iddata, int status, struct ub_result* result)
 +   {
 +      PyObject *arglist;
 +      PyObject *fresult;
 +      struct cb_data* id;
 +      id = (struct cb_data*) iddata;
 +      arglist = Py_BuildValue("(OiO)",id->data,status, SWIG_NewPointerObj(SWIG_as_voidptr(result), SWIGTYPE_p_ub_result, 0 |  0 ));   // Build argument list
 +      fresult = PyEval_CallObject(id->func,arglist);     // Call Python
 +      Py_DECREF(id->func);
 +      Py_DECREF(id->data);
 +      free(id);
 +      ub_resolve_free(result);                  //free ub_result
 +      //ub_resolve_free_dbg(result);                  //free ub_result
 +      Py_DECREF(arglist);                           // Trash arglist
 +      Py_XDECREF(fresult);
 +   }
 +
 +   int _ub_resolve_async(struct ub_ctx* ctx, char* name, int rrtype, int rrclass, PyObject* mydata, PyObject *pyfunc, int* async_id) {
 +      int r;
 +      struct cb_data* id;
 +      id = (struct cb_data*) malloc(sizeof(struct cb_data));
 +      id->data = mydata;
 +      id->func = pyfunc;
 +   
 +      r = ub_resolve_async(ctx,name,rrtype,rrclass, (void *) id, PythonCallBack, async_id);
 +      Py_INCREF(mydata);
 +      Py_INCREF(pyfunc);
 +      return r;
 +   }
 +
 +%}
 +
 +%pythoncode %{
 +    ub_resolve_async = _unbound._ub_resolve_async
 +
 +    def reverse(domain):
 +        """Reverse domain name
 +        
 +           Usable for reverse lookups when the IP address should be reversed
 +        """
 +        return '.'.join([a for a in domain.split(".")][::-1])
 +
 +    def idn2dname(idnname):
 +        """Converts domain name in IDN format to canonic domain name
 +
 +           :param idnname: (unicode string) IDN name
 +           :returns: (string) domain name
 +        """
 +        return '.'.join([encodings.idna.ToASCII(a) for a in idnname.split('.')])
 +
 +    def dname2idn(name):
 +        """Converts canonic domain name in IDN format to unicode string
 +
 +            :param name: (string) domain name
 +            :returns: (unicode string) domain name
 +        """
 +        return '.'.join([encodings.idna.ToUnicode(a) for a in name.split('.')])
 +
 +%}
 +
diff --cc contrib/unbound/libunbound/worker.h
index 824012a01848664ea552715e3fddf59b48b78b61,0000000000000000000000000000000000000000..a531501994af26434eef55c1de40c5cf1ec513ee
mode 100644,000000..100644
--- 1/contrib/unbound/libunbound/worker.h
--- /dev/null
+++ b/contrib/unbound/libunbound/worker.h
@@@ -1,179 -1,0 +1,179 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * libunbound/worker.h - prototypes for worker methods.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED
 + * TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 + * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE
 + * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
 + * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
 + * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS
 + * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
 + * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
 + * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE
 + * POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file declares the methods any worker has to implement.
 + */
 +
 +#ifndef LIBUNBOUND_WORKER_H
 +#define LIBUNBOUND_WORKER_H
 +
++#include "sldns/sbuffer.h"
 +#include "util/data/packed_rrset.h" /* for enum sec_status */
 +struct comm_reply;
 +struct comm_point;
 +struct module_qstate;
 +struct tube;
 +
 +/**
 + * Worker service routine to send serviced queries to authoritative servers.
 + * @param qname: query name. (host order)
 + * @param qnamelen: length in bytes of qname, including trailing 0.
 + * @param qtype: query type. (host order)
 + * @param qclass: query class. (host order)
 + * @param flags: host order flags word, with opcode and CD bit.
 + * @param dnssec: if set, EDNS record will have DO bit set.
 + * @param want_dnssec: signatures needed.
 + * @param nocaps: ignore capsforid(if in config), do not perturb qname.
 + * @param addr: where to.
 + * @param addrlen: length of addr.
 + * @param zone: delegation point name.
 + * @param zonelen: length of zone name wireformat dname.
 + * @param q: wich query state to reactivate upon return.
 + * @return: false on failure (memory or socket related). no query was
 + *      sent.
 + */
 +struct outbound_entry* libworker_send_query(uint8_t* qname, size_t qnamelen,
 +        uint16_t qtype, uint16_t qclass, uint16_t flags, int dnssec,
 +      int want_dnssec, int nocaps, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* zone, size_t zonelen,
 +      struct module_qstate* q);
 +
 +/** process incoming replies from the network */
 +int libworker_handle_reply(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* reply_info);
 +
 +/** process incoming serviced query replies from the network */
 +int libworker_handle_service_reply(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* reply_info);
 +
 +/** handle control command coming into server */
 +void libworker_handle_control_cmd(struct tube* tube, uint8_t* msg, size_t len,
 +      int err, void* arg);
 +
 +/** mesh callback with fg results */
 +void libworker_fg_done_cb(void* arg, int rcode, sldns_buffer* buf, 
 +      enum sec_status s, char* why_bogus);
 +
 +/** mesh callback with bg results */
 +void libworker_bg_done_cb(void* arg, int rcode, sldns_buffer* buf, 
 +      enum sec_status s, char* why_bogus);
 +
 +/** mesh callback with event results */
 +void libworker_event_done_cb(void* arg, int rcode, struct sldns_buffer* buf, 
 +      enum sec_status s, char* why_bogus);
 +
 +/**
 + * Worker signal handler function. User argument is the worker itself.
 + * @param sig: signal number.
 + * @param arg: the worker (main worker) that handles signals.
 + */
 +void worker_sighandler(int sig, void* arg);
 +
 +/**
 + * Worker service routine to send serviced queries to authoritative servers.
 + * @param qname: query name. (host order)
 + * @param qnamelen: length in bytes of qname, including trailing 0.
 + * @param qtype: query type. (host order)
 + * @param qclass: query class. (host order)
 + * @param flags: host order flags word, with opcode and CD bit.
 + * @param dnssec: if set, EDNS record will have DO bit set.
 + * @param want_dnssec: signatures needed.
 + * @param nocaps: ignore capsforid(if in config), do not perturb qname.
 + * @param addr: where to.
 + * @param addrlen: length of addr.
 + * @param zone: wireformat dname of the zone.
 + * @param zonelen: length of zone name.
 + * @param q: wich query state to reactivate upon return.
 + * @return: false on failure (memory or socket related). no query was
 + *      sent.
 + */
 +struct outbound_entry* worker_send_query(uint8_t* qname, size_t qnamelen, 
 +      uint16_t qtype, uint16_t qclass, uint16_t flags, int dnssec, 
 +      int want_dnssec, int nocaps, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* zone, size_t zonelen,
 +      struct module_qstate* q);
 +
 +/** 
 + * process control messages from the main thread. Frees the control 
 + * command message.
 + * @param tube: tube control message came on.
 + * @param msg: message contents.  Is freed.
 + * @param len: length of message.
 + * @param error: if error (NETEVENT_*) happened.
 + * @param arg: user argument
 + */
 +void worker_handle_control_cmd(struct tube* tube, uint8_t* msg, size_t len,
 +      int error, void* arg);
 +
 +/** handles callbacks from listening event interface */
 +int worker_handle_request(struct comm_point* c, void* arg, int error,
 +      struct comm_reply* repinfo);
 +
 +/** process incoming replies from the network */
 +int worker_handle_reply(struct comm_point* c, void* arg, int error, 
 +      struct comm_reply* reply_info);
 +
 +/** process incoming serviced query replies from the network */
 +int worker_handle_service_reply(struct comm_point* c, void* arg, int error, 
 +      struct comm_reply* reply_info);
 +
 +/** cleanup the cache to remove all rrset IDs from it, arg is worker */
 +void worker_alloc_cleanup(void* arg);
 +
 +/** statistics timer callback handler */
 +void worker_stat_timer_cb(void* arg);
 +
 +/** probe timer callback handler */
 +void worker_probe_timer_cb(void* arg);
 +
 +/** start accept callback handler */
 +void worker_start_accept(void* arg);
 +
 +/** stop accept callback handler */
 +void worker_stop_accept(void* arg);
 +
 +/** handle remote control accept callbacks */
 +int remote_accept_callback(struct comm_point*, void*, int, struct comm_reply*);
 +
 +/** handle remote control data callbacks */
 +int remote_control_callback(struct comm_point*, void*, int, struct comm_reply*);
 +
 +/** routine to printout option values over SSL */
 +void  remote_get_opt_ssl(char* line, void* arg);
 +
 +#endif /* LIBUNBOUND_WORKER_H */
diff --cc contrib/unbound/services/cache/dns.c
index 4692744a15ddf5fd13fd1967b96942e4b843d732,0000000000000000000000000000000000000000..ba81afde4fda0701db0b6b579990b04a77b55341
mode 100644,000000..100644
--- 1/contrib/unbound/services/cache/dns.c
--- /dev/null
+++ b/contrib/unbound/services/cache/dns.c
@@@ -1,824 -1,0 +1,897 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * services/cache/dns.c - Cache services for DNS using msg and rrset caches.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the DNS cache.
 + */
 +#include "config.h"
 +#include "iterator/iter_delegpt.h"
 +#include "validator/val_nsec.h"
 +#include "services/cache/dns.h"
 +#include "services/cache/rrset.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/dname.h"
 +#include "util/module.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +#include "util/config_file.h"
-               LDNS_RR_TYPE_DNAME)) && !reply_check_cname_chain(r)) {
++#include "sldns/sbuffer.h"
 +
 +/** store rrsets in the rrset cache. 
 + * @param env: module environment with caches.
 + * @param rep: contains list of rrsets to store.
 + * @param now: current time.
 + * @param leeway: during prefetch how much leeway to update TTLs.
 + *    This makes rrsets (other than type NS) timeout sooner so they get
 + *    updated with a new full TTL.
 + *    Type NS does not get this, because it must not be refreshed from the
 + *    child domain, but keep counting down properly.
 + * @param pside: if from parentside discovered NS, so that its NS is okay
 + *    in a prefetch situation to be updated (without becoming sticky).
 + * @param qrep: update rrsets here if cache is better
 + * @param region: for qrep allocs.
 + */
 +static void
 +store_rrsets(struct module_env* env, struct reply_info* rep, time_t now,
 +      time_t leeway, int pside, struct reply_info* qrep,
 +      struct regional* region)
 +{
 +        size_t i;
 +        /* see if rrset already exists in cache, if not insert it. */
 +        for(i=0; i<rep->rrset_count; i++) {
 +                rep->ref[i].key = rep->rrsets[i];
 +                rep->ref[i].id = rep->rrsets[i]->id;
 +              /* update ref if it was in the cache */ 
 +              switch(rrset_cache_update(env->rrset_cache, &rep->ref[i],
 +                        env->alloc, now + ((ntohs(rep->ref[i].key->rk.type)==
 +                      LDNS_RR_TYPE_NS && !pside)?0:leeway))) {
 +              case 0: /* ref unchanged, item inserted */
 +                      break;
 +              case 2: /* ref updated, cache is superior */
 +                      if(region) {
 +                              struct ub_packed_rrset_key* ck;
 +                              lock_rw_rdlock(&rep->ref[i].key->entry.lock);
 +                              /* if deleted rrset, do not copy it */
 +                              if(rep->ref[i].key->id == 0)
 +                                      ck = NULL;
 +                              else    ck = packed_rrset_copy_region(
 +                                      rep->ref[i].key, region, now);
 +                              lock_rw_unlock(&rep->ref[i].key->entry.lock);
 +                              if(ck) {
 +                                      /* use cached copy if memory allows */
 +                                      qrep->rrsets[i] = ck;
 +                              }
 +                      }
 +                      /* no break: also copy key item */
 +              case 1: /* ref updated, item inserted */
 +                        rep->rrsets[i] = rep->ref[i].key;
 +              }
 +        }
 +}
 +
 +void 
 +dns_cache_store_msg(struct module_env* env, struct query_info* qinfo,
 +      hashvalue_t hash, struct reply_info* rep, time_t leeway, int pside,
 +      struct reply_info* qrep, struct regional* region)
 +{
 +      struct msgreply_entry* e;
 +      time_t ttl = rep->ttl;
 +      size_t i;
 +
 +      /* store RRsets */
 +        for(i=0; i<rep->rrset_count; i++) {
 +              rep->ref[i].key = rep->rrsets[i];
 +              rep->ref[i].id = rep->rrsets[i]->id;
 +      }
 +
 +      /* there was a reply_info_sortref(rep) here but it seems to be
 +       * unnecessary, because the cache gets locked per rrset. */
 +      reply_info_set_ttls(rep, *env->now);
 +      store_rrsets(env, rep, *env->now, leeway, pside, qrep, region);
 +      if(ttl == 0) {
 +              /* we do not store the message, but we did store the RRs,
 +               * which could be useful for delegation information */
 +              verbose(VERB_ALGO, "TTL 0: dropped msg from cache");
 +              free(rep);
 +              return;
 +      }
 +
 +      /* store msg in the cache */
 +      reply_info_sortref(rep);
 +      if(!(e = query_info_entrysetup(qinfo, rep, hash))) {
 +              log_err("store_msg: malloc failed");
 +              return;
 +      }
 +      slabhash_insert(env->msg_cache, hash, &e->entry, rep, env->alloc);
 +}
 +
 +/** find closest NS or DNAME and returns the rrset (locked) */
 +static struct ub_packed_rrset_key*
 +find_closest_of_type(struct module_env* env, uint8_t* qname, size_t qnamelen, 
 +      uint16_t qclass, time_t now, uint16_t searchtype, int stripfront)
 +{
 +      struct ub_packed_rrset_key *rrset;
 +      uint8_t lablen;
 +
 +      if(stripfront) {
 +              /* strip off so that DNAMEs have strict subdomain match */
 +              lablen = *qname;
 +              qname += lablen + 1;
 +              qnamelen -= lablen + 1;
 +      }
 +
 +      /* snip off front part of qname until the type is found */
 +      while(qnamelen > 0) {
 +              if((rrset = rrset_cache_lookup(env->rrset_cache, qname, 
 +                      qnamelen, searchtype, qclass, 0, now, 0)))
 +                      return rrset;
 +
 +              /* snip off front label */
 +              lablen = *qname;
 +              qname += lablen + 1;
 +              qnamelen -= lablen + 1;
 +      }
 +      return NULL;
 +}
 +
 +/** add addr to additional section */
 +static void
 +addr_to_additional(struct ub_packed_rrset_key* rrset, struct regional* region,
 +      struct dns_msg* msg, time_t now)
 +{
 +      if((msg->rep->rrsets[msg->rep->rrset_count] = 
 +              packed_rrset_copy_region(rrset, region, now))) {
 +              msg->rep->ar_numrrsets++;
 +              msg->rep->rrset_count++;
 +      }
 +}
 +
 +/** lookup message in message cache */
 +static struct msgreply_entry* 
 +msg_cache_lookup(struct module_env* env, uint8_t* qname, size_t qnamelen, 
 +      uint16_t qtype, uint16_t qclass, uint16_t flags, time_t now, int wr)
 +{
 +      struct lruhash_entry* e;
 +      struct query_info k;
 +      hashvalue_t h;
 +
 +      k.qname = qname;
 +      k.qname_len = qnamelen;
 +      k.qtype = qtype;
 +      k.qclass = qclass;
 +      h = query_info_hash(&k, flags);
 +      e = slabhash_lookup(env->msg_cache, h, &k, wr);
 +
 +      if(!e) return NULL;
 +      if( now > ((struct reply_info*)e->data)->ttl ) {
 +              lock_rw_unlock(&e->lock);
 +              return NULL;
 +      }
 +      return (struct msgreply_entry*)e->key;
 +}
 +
 +/** find and add A and AAAA records for nameservers in delegpt */
 +static int
 +find_add_addrs(struct module_env* env, uint16_t qclass, 
 +      struct regional* region, struct delegpt* dp, time_t now, 
 +      struct dns_msg** msg)
 +{
 +      struct delegpt_ns* ns;
 +      struct msgreply_entry* neg;
 +      struct ub_packed_rrset_key* akey;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_A, qclass, 0, now, 0);
 +              if(akey) {
 +                      if(!delegpt_add_rrset_A(dp, region, akey, 0)) {
 +                              lock_rw_unlock(&akey->entry.lock);
 +                              return 0;
 +                      }
 +                      if(msg)
 +                              addr_to_additional(akey, region, *msg, now);
 +                      lock_rw_unlock(&akey->entry.lock);
 +              } else {
 +                      /* BIT_CD on false because delegpt lookup does
 +                       * not use dns64 translation */
 +                      neg = msg_cache_lookup(env, ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_A, qclass, 0, now, 0);
 +                      if(neg) {
 +                              delegpt_add_neg_msg(dp, neg);
 +                              lock_rw_unlock(&neg->entry.lock);
 +                      }
 +              }
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_AAAA, qclass, 0, now, 0);
 +              if(akey) {
 +                      if(!delegpt_add_rrset_AAAA(dp, region, akey, 0)) {
 +                              lock_rw_unlock(&akey->entry.lock);
 +                              return 0;
 +                      }
 +                      if(msg)
 +                              addr_to_additional(akey, region, *msg, now);
 +                      lock_rw_unlock(&akey->entry.lock);
 +              } else {
 +                      /* BIT_CD on false because delegpt lookup does
 +                       * not use dns64 translation */
 +                      neg = msg_cache_lookup(env, ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_AAAA, qclass, 0, now, 0);
 +                      if(neg) {
 +                              delegpt_add_neg_msg(dp, neg);
 +                              lock_rw_unlock(&neg->entry.lock);
 +                      }
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** find and add A and AAAA records for missing nameservers in delegpt */
 +int
 +cache_fill_missing(struct module_env* env, uint16_t qclass, 
 +      struct regional* region, struct delegpt* dp)
 +{
 +      struct delegpt_ns* ns;
 +      struct msgreply_entry* neg;
 +      struct ub_packed_rrset_key* akey;
 +      time_t now = *env->now;
 +      for(ns = dp->nslist; ns; ns = ns->next) {
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_A, qclass, 0, now, 0);
 +              if(akey) {
 +                      if(!delegpt_add_rrset_A(dp, region, akey, ns->lame)) {
 +                              lock_rw_unlock(&akey->entry.lock);
 +                              return 0;
 +                      }
 +                      log_nametypeclass(VERB_ALGO, "found in cache",
 +                              ns->name, LDNS_RR_TYPE_A, qclass);
 +                      lock_rw_unlock(&akey->entry.lock);
 +              } else {
 +                      /* BIT_CD on false because delegpt lookup does
 +                       * not use dns64 translation */
 +                      neg = msg_cache_lookup(env, ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_A, qclass, 0, now, 0);
 +                      if(neg) {
 +                              delegpt_add_neg_msg(dp, neg);
 +                              lock_rw_unlock(&neg->entry.lock);
 +                      }
 +              }
 +              akey = rrset_cache_lookup(env->rrset_cache, ns->name, 
 +                      ns->namelen, LDNS_RR_TYPE_AAAA, qclass, 0, now, 0);
 +              if(akey) {
 +                      if(!delegpt_add_rrset_AAAA(dp, region, akey, ns->lame)) {
 +                              lock_rw_unlock(&akey->entry.lock);
 +                              return 0;
 +                      }
 +                      log_nametypeclass(VERB_ALGO, "found in cache",
 +                              ns->name, LDNS_RR_TYPE_AAAA, qclass);
 +                      lock_rw_unlock(&akey->entry.lock);
 +              } else {
 +                      /* BIT_CD on false because delegpt lookup does
 +                       * not use dns64 translation */
 +                      neg = msg_cache_lookup(env, ns->name, ns->namelen,
 +                              LDNS_RR_TYPE_AAAA, qclass, 0, now, 0);
 +                      if(neg) {
 +                              delegpt_add_neg_msg(dp, neg);
 +                              lock_rw_unlock(&neg->entry.lock);
 +                      }
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** find and add DS or NSEC to delegation msg */
 +static void
 +find_add_ds(struct module_env* env, struct regional* region, 
 +      struct dns_msg* msg, struct delegpt* dp, time_t now)
 +{
 +      /* Lookup the DS or NSEC at the delegation point. */
 +      struct ub_packed_rrset_key* rrset = rrset_cache_lookup(
 +              env->rrset_cache, dp->name, dp->namelen, LDNS_RR_TYPE_DS, 
 +              msg->qinfo.qclass, 0, now, 0);
 +      if(!rrset) {
 +              /* NOTE: this won't work for alternate NSEC schemes 
 +               *      (opt-in, NSEC3) */
 +              rrset = rrset_cache_lookup(env->rrset_cache, dp->name, 
 +                      dp->namelen, LDNS_RR_TYPE_NSEC, msg->qinfo.qclass, 
 +                      0, now, 0);
 +              /* Note: the PACKED_RRSET_NSEC_AT_APEX flag is not used.
 +               * since this is a referral, we need the NSEC at the parent
 +               * side of the zone cut, not the NSEC at apex side. */
 +              if(rrset && nsec_has_type(rrset, LDNS_RR_TYPE_DS)) {
 +                      lock_rw_unlock(&rrset->entry.lock);
 +                      rrset = NULL; /* discard wrong NSEC */
 +              }
 +      }
 +      if(rrset) {
 +              /* add it to auth section. This is the second rrset. */
 +              if((msg->rep->rrsets[msg->rep->rrset_count] = 
 +                      packed_rrset_copy_region(rrset, region, now))) {
 +                      msg->rep->ns_numrrsets++;
 +                      msg->rep->rrset_count++;
 +              }
 +              lock_rw_unlock(&rrset->entry.lock);
 +      }
 +}
 +
 +struct dns_msg*
 +dns_msg_create(uint8_t* qname, size_t qnamelen, uint16_t qtype, 
 +      uint16_t qclass, struct regional* region, size_t capacity)
 +{
 +      struct dns_msg* msg = (struct dns_msg*)regional_alloc(region,
 +              sizeof(struct dns_msg));
 +      if(!msg)
 +              return NULL;
 +      msg->qinfo.qname = regional_alloc_init(region, qname, qnamelen);
 +      if(!msg->qinfo.qname)
 +              return NULL;
 +      msg->qinfo.qname_len = qnamelen;
 +      msg->qinfo.qtype = qtype;
 +      msg->qinfo.qclass = qclass;
 +      /* non-packed reply_info, because it needs to grow the array */
 +      msg->rep = (struct reply_info*)regional_alloc_zero(region, 
 +              sizeof(struct reply_info)-sizeof(struct rrset_ref));
 +      if(!msg->rep)
 +              return NULL;
++      if(capacity > RR_COUNT_MAX)
++              return NULL; /* integer overflow protection */
 +      msg->rep->flags = BIT_QR; /* with QR, no AA */
 +      msg->rep->qdcount = 1;
 +      msg->rep->rrsets = (struct ub_packed_rrset_key**)
 +              regional_alloc(region, 
 +              capacity*sizeof(struct ub_packed_rrset_key*));
 +      if(!msg->rep->rrsets)
 +              return NULL;
 +      return msg;
 +}
 +
 +int
 +dns_msg_authadd(struct dns_msg* msg, struct regional* region, 
 +      struct ub_packed_rrset_key* rrset, time_t now)
 +{
 +      if(!(msg->rep->rrsets[msg->rep->rrset_count++] = 
 +              packed_rrset_copy_region(rrset, region, now)))
 +              return 0;
 +      msg->rep->ns_numrrsets++;
 +      return 1;
 +}
 +
++/** add rrset to answer section */
++static int
++dns_msg_ansadd(struct dns_msg* msg, struct regional* region, 
++      struct ub_packed_rrset_key* rrset, time_t now)
++{
++      if(!(msg->rep->rrsets[msg->rep->rrset_count++] = 
++              packed_rrset_copy_region(rrset, region, now)))
++              return 0;
++      msg->rep->an_numrrsets++;
++      return 1;
++}
++
 +struct delegpt* 
 +dns_cache_find_delegation(struct module_env* env, uint8_t* qname, 
 +      size_t qnamelen, uint16_t qtype, uint16_t qclass, 
 +      struct regional* region, struct dns_msg** msg, time_t now)
 +{
 +      /* try to find closest NS rrset */
 +      struct ub_packed_rrset_key* nskey;
 +      struct packed_rrset_data* nsdata;
 +      struct delegpt* dp;
 +
 +      nskey = find_closest_of_type(env, qname, qnamelen, qclass, now,
 +              LDNS_RR_TYPE_NS, 0);
 +      if(!nskey) /* hope the caller has hints to prime or something */
 +              return NULL;
 +      nsdata = (struct packed_rrset_data*)nskey->entry.data;
 +      /* got the NS key, create delegation point */
 +      dp = delegpt_create(region);
 +      if(!dp || !delegpt_set_name(dp, region, nskey->rk.dname)) {
 +              lock_rw_unlock(&nskey->entry.lock);
 +              log_err("find_delegation: out of memory");
 +              return NULL;
 +      }
 +      /* create referral message */
 +      if(msg) {
 +              /* allocate the array to as much as we could need:
 +               *      NS rrset + DS/NSEC rrset +
 +               *      A rrset for every NS RR
 +               *      AAAA rrset for every NS RR
 +               */
 +              *msg = dns_msg_create(qname, qnamelen, qtype, qclass, region, 
 +                      2 + nsdata->count*2);
 +              if(!*msg || !dns_msg_authadd(*msg, region, nskey, now)) {
 +                      lock_rw_unlock(&nskey->entry.lock);
 +                      log_err("find_delegation: out of memory");
 +                      return NULL;
 +              }
 +      }
 +      if(!delegpt_rrset_add_ns(dp, region, nskey, 0))
 +              log_err("find_delegation: addns out of memory");
 +      lock_rw_unlock(&nskey->entry.lock); /* first unlock before next lookup*/
 +      /* find and add DS/NSEC (if any) */
 +      if(msg)
 +              find_add_ds(env, region, *msg, dp, now);
 +      /* find and add A entries */
 +      if(!find_add_addrs(env, qclass, region, dp, now, msg))
 +              log_err("find_delegation: addrs out of memory");
 +      return dp;
 +}
 +
 +/** allocate dns_msg from query_info and reply_info */
 +static struct dns_msg*
 +gen_dns_msg(struct regional* region, struct query_info* q, size_t num)
 +{
 +      struct dns_msg* msg = (struct dns_msg*)regional_alloc(region, 
 +              sizeof(struct dns_msg));
 +      if(!msg)
 +              return NULL;
 +      memcpy(&msg->qinfo, q, sizeof(struct query_info));
 +      msg->qinfo.qname = regional_alloc_init(region, q->qname, q->qname_len);
 +      if(!msg->qinfo.qname)
 +              return NULL;
 +      /* allocate replyinfo struct and rrset key array separately */
 +      msg->rep = (struct reply_info*)regional_alloc(region,
 +              sizeof(struct reply_info) - sizeof(struct rrset_ref));
 +      if(!msg->rep)
 +              return NULL;
++      if(num > RR_COUNT_MAX)
++              return NULL; /* integer overflow protection */
 +      msg->rep->rrsets = (struct ub_packed_rrset_key**)
 +              regional_alloc(region,
 +              num * sizeof(struct ub_packed_rrset_key*));
 +      if(!msg->rep->rrsets)
 +              return NULL;
 +      return msg;
 +}
 +
 +/** generate dns_msg from cached message */
 +static struct dns_msg*
 +tomsg(struct module_env* env, struct query_info* q, struct reply_info* r, 
 +      struct regional* region, time_t now, struct regional* scratch)
 +{
 +      struct dns_msg* msg;
 +      size_t i;
 +      if(now > r->ttl)
 +              return NULL;
 +      msg = gen_dns_msg(region, q, r->rrset_count);
 +      if(!msg)
 +              return NULL;
 +      msg->rep->flags = r->flags;
 +      msg->rep->qdcount = r->qdcount;
 +      msg->rep->ttl = r->ttl - now;
 +      if(r->prefetch_ttl > now)
 +              msg->rep->prefetch_ttl = r->prefetch_ttl - now;
 +      else    msg->rep->prefetch_ttl = PREFETCH_TTL_CALC(msg->rep->ttl);
 +      msg->rep->security = r->security;
 +      msg->rep->an_numrrsets = r->an_numrrsets;
 +      msg->rep->ns_numrrsets = r->ns_numrrsets;
 +      msg->rep->ar_numrrsets = r->ar_numrrsets;
 +      msg->rep->rrset_count = r->rrset_count;
 +        msg->rep->authoritative = r->authoritative;
 +      if(!rrset_array_lock(r->ref, r->rrset_count, now))
 +              return NULL;
 +      if(r->an_numrrsets > 0 && (r->rrsets[0]->rk.type == htons(
 +              LDNS_RR_TYPE_CNAME) || r->rrsets[0]->rk.type == htons(
++              LDNS_RR_TYPE_DNAME)) && !reply_check_cname_chain(q, r)) {
 +              /* cname chain is now invalid, reconstruct msg */
 +              rrset_array_unlock(r->ref, r->rrset_count);
 +              return NULL;
 +      }
 +      if(r->security == sec_status_secure && !reply_all_rrsets_secure(r)) {
 +              /* message rrsets have changed status, revalidate */
 +              rrset_array_unlock(r->ref, r->rrset_count);
 +              return NULL;
 +      }
 +      for(i=0; i<msg->rep->rrset_count; i++) {
 +              msg->rep->rrsets[i] = packed_rrset_copy_region(r->rrsets[i], 
 +                      region, now);
 +              if(!msg->rep->rrsets[i]) {
 +                      rrset_array_unlock(r->ref, r->rrset_count);
 +                      return NULL;
 +              }
 +      }
 +      rrset_array_unlock_touch(env->rrset_cache, scratch, r->ref, 
 +              r->rrset_count);
 +      return msg;
 +}
 +
 +/** synthesize RRset-only response from cached RRset item */
 +static struct dns_msg*
 +rrset_msg(struct ub_packed_rrset_key* rrset, struct regional* region, 
 +      time_t now, struct query_info* q)
 +{
 +      struct dns_msg* msg;
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      if(now > d->ttl)
 +              return NULL;
 +      msg = gen_dns_msg(region, q, 1); /* only the CNAME (or other) RRset */
 +      if(!msg)
 +              return NULL;
 +      msg->rep->flags = BIT_QR; /* reply, no AA, no error */
 +        msg->rep->authoritative = 0; /* reply stored in cache can't be authoritative */
 +      msg->rep->qdcount = 1;
 +      msg->rep->ttl = d->ttl - now;
 +      msg->rep->prefetch_ttl = PREFETCH_TTL_CALC(msg->rep->ttl);
 +      msg->rep->security = sec_status_unchecked;
 +      msg->rep->an_numrrsets = 1;
 +      msg->rep->ns_numrrsets = 0;
 +      msg->rep->ar_numrrsets = 0;
 +      msg->rep->rrset_count = 1;
 +      msg->rep->rrsets[0] = packed_rrset_copy_region(rrset, region, now);
 +      if(!msg->rep->rrsets[0]) /* copy CNAME */
 +              return NULL;
 +      return msg;
 +}
 +
 +/** synthesize DNAME+CNAME response from cached DNAME item */
 +static struct dns_msg*
 +synth_dname_msg(struct ub_packed_rrset_key* rrset, struct regional* region, 
 +      time_t now, struct query_info* q)
 +{
 +      struct dns_msg* msg;
 +      struct ub_packed_rrset_key* ck;
 +      struct packed_rrset_data* newd, *d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      uint8_t* newname, *dtarg = NULL;
 +      size_t newlen, dtarglen;
 +      if(now > d->ttl)
 +              return NULL;
 +      /* only allow validated (with DNSSEC) DNAMEs used from cache 
 +       * for insecure DNAMEs, query again. */
 +      if(d->security != sec_status_secure)
 +              return NULL;
 +      msg = gen_dns_msg(region, q, 2); /* DNAME + CNAME RRset */
 +      if(!msg)
 +              return NULL;
 +      msg->rep->flags = BIT_QR; /* reply, no AA, no error */
 +        msg->rep->authoritative = 0; /* reply stored in cache can't be authoritative */
 +      msg->rep->qdcount = 1;
 +      msg->rep->ttl = d->ttl - now;
 +      msg->rep->prefetch_ttl = PREFETCH_TTL_CALC(msg->rep->ttl);
 +      msg->rep->security = sec_status_unchecked;
 +      msg->rep->an_numrrsets = 1;
 +      msg->rep->ns_numrrsets = 0;
 +      msg->rep->ar_numrrsets = 0;
 +      msg->rep->rrset_count = 1;
 +      msg->rep->rrsets[0] = packed_rrset_copy_region(rrset, region, now);
 +      if(!msg->rep->rrsets[0]) /* copy DNAME */
 +              return NULL;
 +      /* synth CNAME rrset */
 +      get_cname_target(rrset, &dtarg, &dtarglen);
 +      if(!dtarg)
 +              return NULL;
 +      newlen = q->qname_len + dtarglen - rrset->rk.dname_len;
 +      if(newlen > LDNS_MAX_DOMAINLEN) {
 +              msg->rep->flags |= LDNS_RCODE_YXDOMAIN;
 +              return msg;
 +      }
 +      newname = (uint8_t*)regional_alloc(region, newlen);
 +      if(!newname)
 +              return NULL;
 +      /* new name is concatenation of qname front (without DNAME owner)
 +       * and DNAME target name */
 +      memcpy(newname, q->qname, q->qname_len-rrset->rk.dname_len);
 +      memmove(newname+(q->qname_len-rrset->rk.dname_len), dtarg, dtarglen);
 +      /* create rest of CNAME rrset */
 +      ck = (struct ub_packed_rrset_key*)regional_alloc(region, 
 +              sizeof(struct ub_packed_rrset_key));
 +      if(!ck)
 +              return NULL;
 +      memset(&ck->entry, 0, sizeof(ck->entry));
 +      msg->rep->rrsets[1] = ck;
 +      ck->entry.key = ck;
 +      ck->rk.type = htons(LDNS_RR_TYPE_CNAME);
 +      ck->rk.rrset_class = rrset->rk.rrset_class;
 +      ck->rk.flags = 0;
 +      ck->rk.dname = regional_alloc_init(region, q->qname, q->qname_len);
 +      if(!ck->rk.dname)
 +              return NULL;
 +      ck->rk.dname_len = q->qname_len;
 +      ck->entry.hash = rrset_key_hash(&ck->rk);
 +      newd = (struct packed_rrset_data*)regional_alloc_zero(region,
 +              sizeof(struct packed_rrset_data) + sizeof(size_t) + 
 +              sizeof(uint8_t*) + sizeof(time_t) + sizeof(uint16_t) 
 +              + newlen);
 +      if(!newd)
 +              return NULL;
 +      ck->entry.data = newd;
 +      newd->ttl = 0; /* 0 for synthesized CNAME TTL */
 +      newd->count = 1;
 +      newd->rrsig_count = 0;
 +      newd->trust = rrset_trust_ans_noAA;
 +      newd->rr_len = (size_t*)((uint8_t*)newd + 
 +              sizeof(struct packed_rrset_data));
 +      newd->rr_len[0] = newlen + sizeof(uint16_t);
 +      packed_rrset_ptr_fixup(newd);
 +      newd->rr_ttl[0] = newd->ttl;
 +      msg->rep->ttl = newd->ttl;
 +      msg->rep->prefetch_ttl = PREFETCH_TTL_CALC(newd->ttl);
 +      sldns_write_uint16(newd->rr_data[0], newlen);
 +      memmove(newd->rr_data[0] + sizeof(uint16_t), newname, newlen);
 +      msg->rep->an_numrrsets ++;
 +      msg->rep->rrset_count ++;
 +      return msg;
 +}
 +
++/** Fill TYPE_ANY response with some data from cache */
++static struct dns_msg*
++fill_any(struct module_env* env,
++      uint8_t* qname, size_t qnamelen, uint16_t qtype, uint16_t qclass,
++      struct regional* region)
++{
++      time_t now = *env->now;
++      struct dns_msg* msg = NULL;
++      uint16_t lookup[] = {LDNS_RR_TYPE_A, LDNS_RR_TYPE_AAAA,
++              LDNS_RR_TYPE_MX, LDNS_RR_TYPE_SOA, LDNS_RR_TYPE_NS, 0};
++      int i, num=5; /* number of RR types to look up */
++      log_assert(lookup[num] == 0);
++
++      for(i=0; i<num; i++) {
++              /* look up this RR for inclusion in type ANY response */
++              struct ub_packed_rrset_key* rrset = rrset_cache_lookup(
++                      env->rrset_cache, qname, qnamelen, lookup[i],
++                      qclass, 0, now, 0);
++              struct packed_rrset_data *d;
++              if(!rrset)
++                      continue;
++
++              /* only if rrset from answer section */
++              d = (struct packed_rrset_data*)rrset->entry.data;
++              if(d->trust == rrset_trust_add_noAA ||
++                      d->trust == rrset_trust_auth_noAA ||
++                      d->trust == rrset_trust_add_AA ||
++                      d->trust == rrset_trust_auth_AA) {
++                      lock_rw_unlock(&rrset->entry.lock);
++                      continue;
++              }
++
++              /* create msg if none */
++              if(!msg) {
++                      msg = dns_msg_create(qname, qnamelen, qtype, qclass,
++                              region, (size_t)(num-i));
++                      if(!msg) {
++                              lock_rw_unlock(&rrset->entry.lock);
++                              return NULL;
++                      }
++              }
++
++              /* add RRset to response */
++              if(!dns_msg_ansadd(msg, region, rrset, now)) {
++                      lock_rw_unlock(&rrset->entry.lock);
++                      return NULL;
++              }
++              lock_rw_unlock(&rrset->entry.lock);
++      }
++      return msg;
++}
++
 +struct dns_msg* 
 +dns_cache_lookup(struct module_env* env,
 +      uint8_t* qname, size_t qnamelen, uint16_t qtype, uint16_t qclass,
 +      uint16_t flags, struct regional* region, struct regional* scratch)
 +{
 +      struct lruhash_entry* e;
 +      struct query_info k;
 +      hashvalue_t h;
 +      time_t now = *env->now;
 +      struct ub_packed_rrset_key* rrset;
 +
 +      /* lookup first, this has both NXdomains and ANSWER responses */
 +      k.qname = qname;
 +      k.qname_len = qnamelen;
 +      k.qtype = qtype;
 +      k.qclass = qclass;
 +      h = query_info_hash(&k, flags);
 +      e = slabhash_lookup(env->msg_cache, h, &k, 0);
 +      if(e) {
 +              struct msgreply_entry* key = (struct msgreply_entry*)e->key;
 +              struct reply_info* data = (struct reply_info*)e->data;
 +              struct dns_msg* msg = tomsg(env, &key->key, data, region, now, 
 +                      scratch);
 +              if(msg) {
 +                      lock_rw_unlock(&e->lock);
 +                      return msg;
 +              }
 +              /* could be msg==NULL; due to TTL or not all rrsets available */
 +              lock_rw_unlock(&e->lock);
 +      }
 +
 +      /* see if a DNAME exists. Checked for first, to enforce that DNAMEs
 +       * are more important, the CNAME is resynthesized and thus 
 +       * consistent with the DNAME */
 +      if( (rrset=find_closest_of_type(env, qname, qnamelen, qclass, now,
 +              LDNS_RR_TYPE_DNAME, 1))) {
 +              /* synthesize a DNAME+CNAME message based on this */
 +              struct dns_msg* msg = synth_dname_msg(rrset, region, now, &k);
 +              if(msg) {
 +                      lock_rw_unlock(&rrset->entry.lock);
 +                      return msg;
 +              }
 +              lock_rw_unlock(&rrset->entry.lock);
 +      }
 +
 +      /* see if we have CNAME for this domain,
 +       * but not for DS records (which are part of the parent) */
 +      if( qtype != LDNS_RR_TYPE_DS &&
 +         (rrset=rrset_cache_lookup(env->rrset_cache, qname, qnamelen, 
 +              LDNS_RR_TYPE_CNAME, qclass, 0, now, 0))) {
 +              struct dns_msg* msg = rrset_msg(rrset, region, now, &k);
 +              if(msg) {
 +                      lock_rw_unlock(&rrset->entry.lock);
 +                      return msg;
 +              }
 +              lock_rw_unlock(&rrset->entry.lock);
 +      }
 +
 +      /* construct DS, DNSKEY, DLV messages from rrset cache. */
 +      if((qtype == LDNS_RR_TYPE_DS || qtype == LDNS_RR_TYPE_DNSKEY ||
 +              qtype == LDNS_RR_TYPE_DLV) &&
 +              (rrset=rrset_cache_lookup(env->rrset_cache, qname, qnamelen, 
 +              qtype, qclass, 0, now, 0))) {
 +              /* if the rrset is from the additional section, and the
 +               * signatures have fallen off, then do not synthesize a msg
 +               * instead, allow a full query for signed results to happen.
 +               * Forego all rrset data from additional section, because
 +               * some signatures may not be present and cause validation
 +               * failure.
 +               */
 +              struct packed_rrset_data *d = (struct packed_rrset_data*)
 +                      rrset->entry.data;
 +              if(d->trust != rrset_trust_add_noAA && 
 +                      d->trust != rrset_trust_add_AA && 
 +                      (qtype == LDNS_RR_TYPE_DS || 
 +                              (d->trust != rrset_trust_auth_noAA 
 +                              && d->trust != rrset_trust_auth_AA) )) {
 +                      struct dns_msg* msg = rrset_msg(rrset, region, now, &k);
 +                      if(msg) {
 +                              lock_rw_unlock(&rrset->entry.lock);
 +                              return msg;
 +                      }
 +              }
 +              lock_rw_unlock(&rrset->entry.lock);
 +      }
 +
 +      /* stop downwards cache search on NXDOMAIN.
 +       * Empty nonterminals are NOERROR, so an NXDOMAIN for foo
 +       * means bla.foo also does not exist.  The DNSSEC proofs are
 +       * the same.  We search upwards for NXDOMAINs. */
 +      if(env->cfg->harden_below_nxdomain)
 +          while(!dname_is_root(k.qname)) {
 +              dname_remove_label(&k.qname, &k.qname_len);
 +              h = query_info_hash(&k, flags);
 +              e = slabhash_lookup(env->msg_cache, h, &k, 0);
 +              if(e) {
 +                      struct reply_info* data = (struct reply_info*)e->data;
 +                      struct dns_msg* msg;
 +                      if(FLAGS_GET_RCODE(data->flags) == LDNS_RCODE_NXDOMAIN
 +                        && data->security == sec_status_secure
 +                        && (msg=tomsg(env, &k, data, region, now, scratch))){
 +                              lock_rw_unlock(&e->lock);
 +                              msg->qinfo.qname=qname;
 +                              msg->qinfo.qname_len=qnamelen;
 +                              /* check that DNSSEC really works out */
 +                              msg->rep->security = sec_status_unchecked;
 +                              return msg;
 +                      }
 +                      lock_rw_unlock(&e->lock);
 +              }
 +      }
 +
++      /* fill common RR types for ANY response to avoid requery */
++      if(qtype == LDNS_RR_TYPE_ANY) {
++              return fill_any(env, qname, qnamelen, qtype, qclass, region);
++      }
++
 +      return NULL;
 +}
 +
 +int 
 +dns_cache_store(struct module_env* env, struct query_info* msgqinf,
 +        struct reply_info* msgrep, int is_referral, time_t leeway, int pside,
 +      struct regional* region, uint16_t flags)
 +{
 +      struct reply_info* rep = NULL;
 +      /* alloc, malloc properly (not in region, like msg is) */
 +      rep = reply_info_copy(msgrep, env->alloc, NULL);
 +      if(!rep)
 +              return 0;
 +      /* ttl must be relative ;i.e. 0..86400 not  time(0)+86400. 
 +       * the env->now is added to message and RRsets in this routine. */
 +      /* the leeway is used to invalidate other rrsets earlier */
 +
 +      if(is_referral) {
 +              /* store rrsets */
 +              struct rrset_ref ref;
 +              size_t i;
 +              for(i=0; i<rep->rrset_count; i++) {
 +                      packed_rrset_ttl_add((struct packed_rrset_data*)
 +                              rep->rrsets[i]->entry.data, *env->now);
 +                      ref.key = rep->rrsets[i];
 +                      ref.id = rep->rrsets[i]->id;
 +                      /*ignore ret: it was in the cache, ref updated */
 +                      /* no leeway for typeNS */
 +                      (void)rrset_cache_update(env->rrset_cache, &ref, 
 +                              env->alloc, *env->now + 
 +                              ((ntohs(ref.key->rk.type)==LDNS_RR_TYPE_NS
 +                               && !pside) ? 0:leeway));
 +              }
 +              free(rep);
 +              return 1;
 +      } else {
 +              /* store msg, and rrsets */
 +              struct query_info qinf;
 +              hashvalue_t h;
 +
 +              qinf = *msgqinf;
 +              qinf.qname = memdup(msgqinf->qname, msgqinf->qname_len);
 +              if(!qinf.qname) {
 +                      reply_info_parsedelete(rep, env->alloc);
 +                      return 0;
 +              }
 +              /* fixup flags to be sensible for a reply based on the cache */
 +              /* this module means that RA is available. It is an answer QR. 
 +               * Not AA from cache. Not CD in cache (depends on client bit). */
 +              rep->flags |= (BIT_RA | BIT_QR);
 +              rep->flags &= ~(BIT_AA | BIT_CD);
 +              h = query_info_hash(&qinf, flags);
 +              dns_cache_store_msg(env, &qinf, h, rep, leeway, pside, msgrep,
 +                      region);
 +              /* qname is used inside query_info_entrysetup, and set to 
 +               * NULL. If it has not been used, free it. free(0) is safe. */
 +              free(qinf.qname);
 +      }
 +      return 1;
 +}
 +
 +int 
 +dns_cache_prefetch_adjust(struct module_env* env, struct query_info* qinfo,
 +        time_t adjust, uint16_t flags)
 +{
 +      struct msgreply_entry* msg;
 +      msg = msg_cache_lookup(env, qinfo->qname, qinfo->qname_len,
 +              qinfo->qtype, qinfo->qclass, flags, *env->now, 1);
 +      if(msg) {
 +              struct reply_info* rep = (struct reply_info*)msg->entry.data;
 +              if(rep) {
 +                      rep->prefetch_ttl += adjust;
 +                      lock_rw_unlock(&msg->entry.lock);
 +                      return 1;
 +              }
 +              lock_rw_unlock(&msg->entry.lock);
 +      }
 +      return 0;
 +}
diff --cc contrib/unbound/services/cache/infra.c
index 07f2103d756bac79d43875576c4463de51e3765e,0000000000000000000000000000000000000000..c0049d8b6a8b56798ea9a8bde7dd1db653bb07b6
mode 100644,000000..100644
--- 1/contrib/unbound/services/cache/infra.c
--- /dev/null
+++ b/contrib/unbound/services/cache/infra.c
@@@ -1,569 -1,0 +1,880 @@@
- #include "ldns/rrdef.h"
 +/*
 + * services/cache/infra.c - infrastructure cache, server rtt and capabilities
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the infrastructure cache.
 + */
 +#include "config.h"
-       return sizeof(*infra) + slabhash_get_mem(infra->hosts);
++#include "sldns/rrdef.h"
++#include "sldns/str2wire.h"
 +#include "services/cache/infra.h"
 +#include "util/storage/slabhash.h"
 +#include "util/storage/lookup3.h"
 +#include "util/data/dname.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/config_file.h"
 +#include "iterator/iterator.h"
 +
 +/** Timeout when only a single probe query per IP is allowed. */
 +#define PROBE_MAXRTO 12000 /* in msec */
 +
 +/** number of timeouts for a type when the domain can be blocked ;
 + * even if another type has completely rtt maxed it, the different type
 + * can do this number of packets (until those all timeout too) */
 +#define TIMEOUT_COUNT_MAX 3
 +
++/** ratelimit value for delegation point */
++int infra_dp_ratelimit = 0;
++
 +size_t 
 +infra_sizefunc(void* k, void* ATTR_UNUSED(d))
 +{
 +      struct infra_key* key = (struct infra_key*)k;
 +      return sizeof(*key) + sizeof(struct infra_data) + key->namelen
 +              + lock_get_mem(&key->entry.lock);
 +}
 +
 +int 
 +infra_compfunc(void* key1, void* key2)
 +{
 +      struct infra_key* k1 = (struct infra_key*)key1;
 +      struct infra_key* k2 = (struct infra_key*)key2;
 +      int r = sockaddr_cmp(&k1->addr, k1->addrlen, &k2->addr, k2->addrlen);
 +      if(r != 0)
 +              return r;
 +      if(k1->namelen != k2->namelen) {
 +              if(k1->namelen < k2->namelen)
 +                      return -1;
 +              return 1;
 +      }
 +      return query_dname_compare(k1->zonename, k2->zonename);
 +}
 +
 +void 
 +infra_delkeyfunc(void* k, void* ATTR_UNUSED(arg))
 +{
 +      struct infra_key* key = (struct infra_key*)k;
 +      if(!key)
 +              return;
 +      lock_rw_destroy(&key->entry.lock);
 +      free(key->zonename);
 +      free(key);
 +}
 +
 +void 
 +infra_deldatafunc(void* d, void* ATTR_UNUSED(arg))
 +{
 +      struct infra_data* data = (struct infra_data*)d;
 +      free(data);
 +}
 +
++size_t 
++rate_sizefunc(void* k, void* ATTR_UNUSED(d))
++{
++      struct rate_key* key = (struct rate_key*)k;
++      return sizeof(*key) + sizeof(struct rate_data) + key->namelen
++              + lock_get_mem(&key->entry.lock);
++}
++
++int 
++rate_compfunc(void* key1, void* key2)
++{
++      struct rate_key* k1 = (struct rate_key*)key1;
++      struct rate_key* k2 = (struct rate_key*)key2;
++      if(k1->namelen != k2->namelen) {
++              if(k1->namelen < k2->namelen)
++                      return -1;
++              return 1;
++      }
++      return query_dname_compare(k1->name, k2->name);
++}
++
++void 
++rate_delkeyfunc(void* k, void* ATTR_UNUSED(arg))
++{
++      struct rate_key* key = (struct rate_key*)k;
++      if(!key)
++              return;
++      lock_rw_destroy(&key->entry.lock);
++      free(key->name);
++      free(key);
++}
++
++void 
++rate_deldatafunc(void* d, void* ATTR_UNUSED(arg))
++{
++      struct rate_data* data = (struct rate_data*)d;
++      free(data);
++}
++
++/** find or create element in domainlimit tree */
++static struct domain_limit_data* domain_limit_findcreate(
++      struct infra_cache* infra, char* name)
++{
++      uint8_t* nm;
++      int labs;
++      size_t nmlen;
++      struct domain_limit_data* d;
++
++      /* parse name */
++      nm = sldns_str2wire_dname(name, &nmlen);
++      if(!nm) {
++              log_err("could not parse %s", name);
++              return NULL;
++      }
++      labs = dname_count_labels(nm);
++
++      /* can we find it? */
++      d = (struct domain_limit_data*)name_tree_find(&infra->domain_limits,
++              nm, nmlen, labs, LDNS_RR_CLASS_IN);
++      if(d) {
++              free(nm);
++              return d;
++      }
++      
++      /* create it */
++      d = (struct domain_limit_data*)calloc(1, sizeof(*d));
++      if(!d) {
++              free(nm);
++              return NULL;
++      }
++      d->node.node.key = &d->node;
++      d->node.name = nm;
++      d->node.len = nmlen;
++      d->node.labs = labs;
++      d->node.dclass = LDNS_RR_CLASS_IN;
++      d->lim = -1;
++      d->below = -1;
++      if(!name_tree_insert(&infra->domain_limits, &d->node, nm, nmlen,
++              labs, LDNS_RR_CLASS_IN)) {
++              log_err("duplicate element in domainlimit tree");
++              free(nm);
++              free(d);
++              return NULL;
++      }
++      return d;
++}
++
++/** insert rate limit configuration into lookup tree */
++static int infra_ratelimit_cfg_insert(struct infra_cache* infra,
++      struct config_file* cfg)
++{
++      struct config_str2list* p;
++      struct domain_limit_data* d;
++      for(p = cfg->ratelimit_for_domain; p; p = p->next) {
++              d = domain_limit_findcreate(infra, p->str);
++              if(!d)
++                      return 0;
++              d->lim = atoi(p->str2);
++      }
++      for(p = cfg->ratelimit_below_domain; p; p = p->next) {
++              d = domain_limit_findcreate(infra, p->str);
++              if(!d)
++                      return 0;
++              d->below = atoi(p->str2);
++      }
++      return 1;
++}
++
 +struct infra_cache* 
 +infra_create(struct config_file* cfg)
 +{
 +      struct infra_cache* infra = (struct infra_cache*)calloc(1, 
 +              sizeof(struct infra_cache));
 +      size_t maxmem = cfg->infra_cache_numhosts * (sizeof(struct infra_key)+
 +              sizeof(struct infra_data)+INFRA_BYTES_NAME);
 +      infra->hosts = slabhash_create(cfg->infra_cache_slabs,
 +              INFRA_HOST_STARTSIZE, maxmem, &infra_sizefunc, &infra_compfunc,
 +              &infra_delkeyfunc, &infra_deldatafunc, NULL);
 +      if(!infra->hosts) {
 +              free(infra);
 +              return NULL;
 +      }
 +      infra->host_ttl = cfg->host_ttl;
++      name_tree_init(&infra->domain_limits);
++      infra_dp_ratelimit = cfg->ratelimit;
++      if(cfg->ratelimit != 0) {
++              infra->domain_rates = slabhash_create(cfg->ratelimit_slabs,
++                      INFRA_HOST_STARTSIZE, cfg->ratelimit_size,
++                      &rate_sizefunc, &rate_compfunc, &rate_delkeyfunc,
++                      &rate_deldatafunc, NULL);
++              if(!infra->domain_rates) {
++                      infra_delete(infra);
++                      return NULL;
++              }
++              /* insert config data into ratelimits */
++              if(!infra_ratelimit_cfg_insert(infra, cfg)) {
++                      infra_delete(infra);
++                      return NULL;
++              }
++              name_tree_init_parents(&infra->domain_limits);
++      }
 +      return infra;
 +}
 +
++/** delete domain_limit entries */
++static void domain_limit_free(rbnode_t* n, void* ATTR_UNUSED(arg))
++{
++      if(n) {
++              free(((struct domain_limit_data*)n)->node.name);
++              free(n);
++      }
++}
++
 +void 
 +infra_delete(struct infra_cache* infra)
 +{
 +      if(!infra)
 +              return;
 +      slabhash_delete(infra->hosts);
++      slabhash_delete(infra->domain_rates);
++      traverse_postorder(&infra->domain_limits, domain_limit_free, NULL);
 +      free(infra);
 +}
 +
 +struct infra_cache* 
 +infra_adjust(struct infra_cache* infra, struct config_file* cfg)
 +{
 +      size_t maxmem;
 +      if(!infra)
 +              return infra_create(cfg);
 +      infra->host_ttl = cfg->host_ttl;
 +      maxmem = cfg->infra_cache_numhosts * (sizeof(struct infra_key)+
 +              sizeof(struct infra_data)+INFRA_BYTES_NAME);
 +      if(maxmem != slabhash_get_size(infra->hosts) ||
 +              cfg->infra_cache_slabs != infra->hosts->size) {
 +              infra_delete(infra);
 +              infra = infra_create(cfg);
 +      }
 +      return infra;
 +}
 +
 +/** calculate the hash value for a host key */
 +static hashvalue_t
 +hash_addr(struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      hashvalue_t h = 0xab;
 +      /* select the pieces to hash, some OS have changing data inside */
 +      if(addr_is_ip6(addr, addrlen)) {
 +              struct sockaddr_in6* in6 = (struct sockaddr_in6*)addr;
 +              h = hashlittle(&in6->sin6_family, sizeof(in6->sin6_family), h);
 +              h = hashlittle(&in6->sin6_port, sizeof(in6->sin6_port), h);
 +              h = hashlittle(&in6->sin6_addr, INET6_SIZE, h);
 +      } else {
 +              struct sockaddr_in* in = (struct sockaddr_in*)addr;
 +              h = hashlittle(&in->sin_family, sizeof(in->sin_family), h);
 +              h = hashlittle(&in->sin_port, sizeof(in->sin_port), h);
 +              h = hashlittle(&in->sin_addr, INET_SIZE, h);
 +      }
 +      return h;
 +}
 +
 +/** calculate infra hash for a key */
 +static hashvalue_t
 +hash_infra(struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* name)
 +{
 +      return dname_query_hash(name, hash_addr(addr, addrlen));
 +}
 +
 +/** lookup version that does not check host ttl (you check it) */
 +struct lruhash_entry* 
 +infra_lookup_nottl(struct infra_cache* infra, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* name, size_t namelen, int wr)
 +{
 +      struct infra_key k;
 +      k.addrlen = addrlen;
 +      memcpy(&k.addr, addr, addrlen);
 +      k.namelen = namelen;
 +      k.zonename = name;
 +      k.entry.hash = hash_infra(addr, addrlen, name);
 +      k.entry.key = (void*)&k;
 +      k.entry.data = NULL;
 +      return slabhash_lookup(infra->hosts, k.entry.hash, &k, wr);
 +}
 +
 +/** init the data elements */
 +static void
 +data_entry_init(struct infra_cache* infra, struct lruhash_entry* e, 
 +      time_t timenow)
 +{
 +      struct infra_data* data = (struct infra_data*)e->data;
 +      data->ttl = timenow + infra->host_ttl;
 +      rtt_init(&data->rtt);
 +      data->edns_version = 0;
 +      data->edns_lame_known = 0;
 +      data->probedelay = 0;
 +      data->isdnsseclame = 0;
 +      data->rec_lame = 0;
 +      data->lame_type_A = 0;
 +      data->lame_other = 0;
 +      data->timeout_A = 0;
 +      data->timeout_AAAA = 0;
 +      data->timeout_other = 0;
 +}
 +
 +/** 
 + * Create and init a new entry for a host 
 + * @param infra: infra structure with config parameters.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: name of zone
 + * @param namelen: length of name.
 + * @param tm: time now.
 + * @return: the new entry or NULL on malloc failure.
 + */
 +static struct lruhash_entry*
 +new_entry(struct infra_cache* infra, struct sockaddr_storage* addr, 
 +      socklen_t addrlen, uint8_t* name, size_t namelen, time_t tm)
 +{
 +      struct infra_data* data;
 +      struct infra_key* key = (struct infra_key*)malloc(sizeof(*key));
 +      if(!key)
 +              return NULL;
 +      data = (struct infra_data*)malloc(sizeof(struct infra_data));
 +      if(!data) {
 +              free(key);
 +              return NULL;
 +      }
 +      key->zonename = memdup(name, namelen);
 +      if(!key->zonename) {
 +              free(key);
 +              free(data);
 +              return NULL;
 +      }
 +      key->namelen = namelen;
 +      lock_rw_init(&key->entry.lock);
 +      key->entry.hash = hash_infra(addr, addrlen, name);
 +      key->entry.key = (void*)key;
 +      key->entry.data = (void*)data;
 +      key->addrlen = addrlen;
 +      memcpy(&key->addr, addr, addrlen);
 +      data_entry_init(infra, &key->entry, tm);
 +      return &key->entry;
 +}
 +
 +int 
 +infra_host(struct infra_cache* infra, struct sockaddr_storage* addr,
 +        socklen_t addrlen, uint8_t* nm, size_t nmlen, time_t timenow,
 +      int* edns_vs, uint8_t* edns_lame_known, int* to)
 +{
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              nm, nmlen, 0);
 +      struct infra_data* data;
 +      int wr = 0;
 +      if(e && ((struct infra_data*)e->data)->ttl < timenow) {
 +              /* it expired, try to reuse existing entry */
 +              int old = ((struct infra_data*)e->data)->rtt.rto;
 +              uint8_t tA = ((struct infra_data*)e->data)->timeout_A;
 +              uint8_t tAAAA = ((struct infra_data*)e->data)->timeout_AAAA;
 +              uint8_t tother = ((struct infra_data*)e->data)->timeout_other;
 +              lock_rw_unlock(&e->lock);
 +              e = infra_lookup_nottl(infra, addr, addrlen, nm, nmlen, 1);
 +              if(e) {
 +                      /* if its still there we have a writelock, init */
 +                      /* re-initialise */
 +                      /* do not touch lameness, it may be valid still */
 +                      data_entry_init(infra, e, timenow);
 +                      wr = 1;
 +                      /* TOP_TIMEOUT remains on reuse */
 +                      if(old >= USEFUL_SERVER_TOP_TIMEOUT) {
 +                              ((struct infra_data*)e->data)->rtt.rto
 +                                      = USEFUL_SERVER_TOP_TIMEOUT;
 +                              ((struct infra_data*)e->data)->timeout_A = tA;
 +                              ((struct infra_data*)e->data)->timeout_AAAA = tAAAA;
 +                              ((struct infra_data*)e->data)->timeout_other = tother;
 +                      }
 +              }
 +      }
 +      if(!e) {
 +              /* insert new entry */
 +              if(!(e = new_entry(infra, addr, addrlen, nm, nmlen, timenow)))
 +                      return 0;
 +              data = (struct infra_data*)e->data;
 +              *edns_vs = data->edns_version;
 +              *edns_lame_known = data->edns_lame_known;
 +              *to = rtt_timeout(&data->rtt);
 +              slabhash_insert(infra->hosts, e->hash, e, data, NULL);
 +              return 1;
 +      }
 +      /* use existing entry */
 +      data = (struct infra_data*)e->data;
 +      *edns_vs = data->edns_version;
 +      *edns_lame_known = data->edns_lame_known;
 +      *to = rtt_timeout(&data->rtt);
 +      if(*to >= PROBE_MAXRTO && rtt_notimeout(&data->rtt)*4 <= *to) {
 +              /* delay other queries, this is the probe query */
 +              if(!wr) {
 +                      lock_rw_unlock(&e->lock);
 +                      e = infra_lookup_nottl(infra, addr,addrlen,nm,nmlen, 1);
 +                      if(!e) { /* flushed from cache real fast, no use to
 +                              allocate just for the probedelay */
 +                              return 1;
 +                      }
 +                      data = (struct infra_data*)e->data;
 +              }
 +              /* add 999 to round up the timeout value from msec to sec,
 +               * then add a whole second so it is certain that this probe
 +               * has timed out before the next is allowed */
 +              data->probedelay = timenow + ((*to)+1999)/1000;
 +      }
 +      lock_rw_unlock(&e->lock);
 +      return 1;
 +}
 +
 +int 
 +infra_set_lame(struct infra_cache* infra, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* nm, size_t nmlen, time_t timenow,
 +      int dnsseclame, int reclame, uint16_t qtype)
 +{
 +      struct infra_data* data;
 +      struct lruhash_entry* e;
 +      int needtoinsert = 0;
 +      e = infra_lookup_nottl(infra, addr, addrlen, nm, nmlen, 1);
 +      if(!e) {
 +              /* insert it */
 +              if(!(e = new_entry(infra, addr, addrlen, nm, nmlen, timenow))) {
 +                      log_err("set_lame: malloc failure");
 +                      return 0;
 +              }
 +              needtoinsert = 1;
 +      } else if( ((struct infra_data*)e->data)->ttl < timenow) {
 +              /* expired, reuse existing entry */
 +              data_entry_init(infra, e, timenow);
 +      }
 +      /* got an entry, now set the zone lame */
 +      data = (struct infra_data*)e->data;
 +      /* merge data (if any) */
 +      if(dnsseclame)
 +              data->isdnsseclame = 1;
 +      if(reclame)
 +              data->rec_lame = 1;
 +      if(!dnsseclame && !reclame && qtype == LDNS_RR_TYPE_A)
 +              data->lame_type_A = 1;
 +      if(!dnsseclame  && !reclame && qtype != LDNS_RR_TYPE_A)
 +              data->lame_other = 1;
 +      /* done */
 +      if(needtoinsert)
 +              slabhash_insert(infra->hosts, e->hash, e, e->data, NULL);
 +      else    { lock_rw_unlock(&e->lock); }
 +      return 1;
 +}
 +
 +void 
 +infra_update_tcp_works(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* nm,
 +      size_t nmlen)
 +{
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              nm, nmlen, 1);
 +      struct infra_data* data;
 +      if(!e)
 +              return; /* doesn't exist */
 +      data = (struct infra_data*)e->data;
 +      if(data->rtt.rto >= RTT_MAX_TIMEOUT)
 +              /* do not disqualify this server altogether, it is better
 +               * than nothing */
 +              data->rtt.rto = RTT_MAX_TIMEOUT-1000;
 +      lock_rw_unlock(&e->lock);
 +}
 +
 +int 
 +infra_rtt_update(struct infra_cache* infra, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* nm, size_t nmlen, int qtype,
 +      int roundtrip, int orig_rtt, time_t timenow)
 +{
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              nm, nmlen, 1);
 +      struct infra_data* data;
 +      int needtoinsert = 0;
 +      int rto = 1;
 +      if(!e) {
 +              if(!(e = new_entry(infra, addr, addrlen, nm, nmlen, timenow)))
 +                      return 0;
 +              needtoinsert = 1;
 +      } else if(((struct infra_data*)e->data)->ttl < timenow) {
 +              data_entry_init(infra, e, timenow);
 +      }
 +      /* have an entry, update the rtt */
 +      data = (struct infra_data*)e->data;
 +      if(roundtrip == -1) {
 +              rtt_lost(&data->rtt, orig_rtt);
 +              if(qtype == LDNS_RR_TYPE_A) {
 +                      if(data->timeout_A < TIMEOUT_COUNT_MAX)
 +                              data->timeout_A++;
 +              } else if(qtype == LDNS_RR_TYPE_AAAA) {
 +                      if(data->timeout_AAAA < TIMEOUT_COUNT_MAX)
 +                              data->timeout_AAAA++;
 +              } else {
 +                      if(data->timeout_other < TIMEOUT_COUNT_MAX)
 +                              data->timeout_other++;
 +              }
 +      } else {
 +              /* if we got a reply, but the old timeout was above server
 +               * selection height, delete the timeout so the server is
 +               * fully available again */
 +              if(rtt_unclamped(&data->rtt) >= USEFUL_SERVER_TOP_TIMEOUT)
 +                      rtt_init(&data->rtt);
 +              rtt_update(&data->rtt, roundtrip);
 +              data->probedelay = 0;
 +              if(qtype == LDNS_RR_TYPE_A)
 +                      data->timeout_A = 0;
 +              else if(qtype == LDNS_RR_TYPE_AAAA)
 +                      data->timeout_AAAA = 0;
 +              else    data->timeout_other = 0;
 +      }
 +      if(data->rtt.rto > 0)
 +              rto = data->rtt.rto;
 +
 +      if(needtoinsert)
 +              slabhash_insert(infra->hosts, e->hash, e, e->data, NULL);
 +      else    { lock_rw_unlock(&e->lock); }
 +      return rto;
 +}
 +
 +long long infra_get_host_rto(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* nm,
 +      size_t nmlen, struct rtt_info* rtt, int* delay, time_t timenow,
 +      int* tA, int* tAAAA, int* tother)
 +{
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              nm, nmlen, 0);
 +      struct infra_data* data;
 +      long long ttl = -2;
 +      if(!e) return -1;
 +      data = (struct infra_data*)e->data;
 +      if(data->ttl >= timenow) {
 +              ttl = (long long)(data->ttl - timenow);
 +              memmove(rtt, &data->rtt, sizeof(*rtt));
 +              if(timenow < data->probedelay)
 +                      *delay = (int)(data->probedelay - timenow);
 +              else    *delay = 0;
 +      }
 +      *tA = (int)data->timeout_A;
 +      *tAAAA = (int)data->timeout_AAAA;
 +      *tother = (int)data->timeout_other;
 +      lock_rw_unlock(&e->lock);
 +      return ttl;
 +}
 +
 +int 
 +infra_edns_update(struct infra_cache* infra, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* nm, size_t nmlen, int edns_version,
 +      time_t timenow)
 +{
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              nm, nmlen, 1);
 +      struct infra_data* data;
 +      int needtoinsert = 0;
 +      if(!e) {
 +              if(!(e = new_entry(infra, addr, addrlen, nm, nmlen, timenow)))
 +                      return 0;
 +              needtoinsert = 1;
 +      } else if(((struct infra_data*)e->data)->ttl < timenow) {
 +              data_entry_init(infra, e, timenow);
 +      }
 +      /* have an entry, update the rtt, and the ttl */
 +      data = (struct infra_data*)e->data;
 +      /* do not update if noEDNS and stored is yesEDNS */
 +      if(!(edns_version == -1 && (data->edns_version != -1 &&
 +              data->edns_lame_known))) {
 +              data->edns_version = edns_version;
 +              data->edns_lame_known = 1;
 +      }
 +
 +      if(needtoinsert)
 +              slabhash_insert(infra->hosts, e->hash, e, e->data, NULL);
 +      else    { lock_rw_unlock(&e->lock); }
 +      return 1;
 +}
 +
 +int
 +infra_get_lame_rtt(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen,
 +        uint8_t* name, size_t namelen, uint16_t qtype, 
 +      int* lame, int* dnsseclame, int* reclame, int* rtt, time_t timenow)
 +{
 +      struct infra_data* host;
 +      struct lruhash_entry* e = infra_lookup_nottl(infra, addr, addrlen,
 +              name, namelen, 0);
 +      if(!e) 
 +              return 0;
 +      host = (struct infra_data*)e->data;
 +      *rtt = rtt_unclamped(&host->rtt);
 +      if(host->rtt.rto >= PROBE_MAXRTO && timenow < host->probedelay
 +              && rtt_notimeout(&host->rtt)*4 <= host->rtt.rto) {
 +              /* single probe for this domain, and we are not probing */
 +              /* unless the query type allows a probe to happen */
 +              if(qtype == LDNS_RR_TYPE_A) {
 +                      if(host->timeout_A >= TIMEOUT_COUNT_MAX)
 +                              *rtt = USEFUL_SERVER_TOP_TIMEOUT;
 +                      else    *rtt = USEFUL_SERVER_TOP_TIMEOUT-1000;
 +              } else if(qtype == LDNS_RR_TYPE_AAAA) {
 +                      if(host->timeout_AAAA >= TIMEOUT_COUNT_MAX)
 +                              *rtt = USEFUL_SERVER_TOP_TIMEOUT;
 +                      else    *rtt = USEFUL_SERVER_TOP_TIMEOUT-1000;
 +              } else {
 +                      if(host->timeout_other >= TIMEOUT_COUNT_MAX)
 +                              *rtt = USEFUL_SERVER_TOP_TIMEOUT;
 +                      else    *rtt = USEFUL_SERVER_TOP_TIMEOUT-1000;
 +              }
 +      }
 +      if(timenow > host->ttl) {
 +              /* expired entry */
 +              /* see if this can be a re-probe of an unresponsive server */
 +              /* minus 1000 because that is outside of the RTTBAND, so
 +               * blacklisted servers stay blacklisted if this is chosen */
 +              if(host->rtt.rto >= USEFUL_SERVER_TOP_TIMEOUT) {
 +                      lock_rw_unlock(&e->lock);
 +                      *rtt = USEFUL_SERVER_TOP_TIMEOUT-1000;
 +                      *lame = 0;
 +                      *dnsseclame = 0;
 +                      *reclame = 0;
 +                      return 1;
 +              }
 +              lock_rw_unlock(&e->lock);
 +              return 0;
 +      }
 +      /* check lameness first */
 +      if(host->lame_type_A && qtype == LDNS_RR_TYPE_A) {
 +              lock_rw_unlock(&e->lock);
 +              *lame = 1;
 +              *dnsseclame = 0;
 +              *reclame = 0;
 +              return 1;
 +      } else if(host->lame_other && qtype != LDNS_RR_TYPE_A) {
 +              lock_rw_unlock(&e->lock);
 +              *lame = 1;
 +              *dnsseclame = 0;
 +              *reclame = 0;
 +              return 1;
 +      } else if(host->isdnsseclame) {
 +              lock_rw_unlock(&e->lock);
 +              *lame = 0;
 +              *dnsseclame = 1;
 +              *reclame = 0;
 +              return 1;
 +      } else if(host->rec_lame) {
 +              lock_rw_unlock(&e->lock);
 +              *lame = 0;
 +              *dnsseclame = 0;
 +              *reclame = 1;
 +              return 1;
 +      }
 +      /* no lameness for this type of query */
 +      lock_rw_unlock(&e->lock);
 +      *lame = 0;
 +      *dnsseclame = 0;
 +      *reclame = 0;
 +      return 1;
 +}
 +
++int infra_find_ratelimit(struct infra_cache* infra, uint8_t* name,
++      size_t namelen)
++{
++      int labs = dname_count_labels(name);
++      struct domain_limit_data* d = (struct domain_limit_data*)
++              name_tree_lookup(&infra->domain_limits, name, namelen, labs,
++              LDNS_RR_CLASS_IN);
++      if(!d) return infra_dp_ratelimit;
++
++      if(d->node.labs == labs && d->lim != -1)
++              return d->lim; /* exact match */
++
++      /* find 'below match' */
++      if(d->node.labs == labs)
++              d = (struct domain_limit_data*)d->node.parent;
++      while(d) {
++              if(d->below != -1)
++                      return d->below;
++              d = (struct domain_limit_data*)d->node.parent;
++      }
++      return infra_dp_ratelimit;
++}
++
++/** find data item in array, for write access, caller unlocks */
++static struct lruhash_entry* infra_find_ratedata(struct infra_cache* infra,
++      uint8_t* name, size_t namelen, int wr)
++{
++      struct rate_key key;
++      hashvalue_t h = dname_query_hash(name, 0xab);
++      memset(&key, 0, sizeof(key));
++      key.name = name;
++      key.namelen = namelen;
++      key.entry.hash = h;
++      return slabhash_lookup(infra->domain_rates, h, &key, wr);
++}
++
++/** create rate data item for name, number 1 in now */
++static void infra_create_ratedata(struct infra_cache* infra,
++      uint8_t* name, size_t namelen, time_t timenow)
++{
++      hashvalue_t h = dname_query_hash(name, 0xab);
++      struct rate_key* k = (struct rate_key*)calloc(1, sizeof(*k));
++      struct rate_data* d = (struct rate_data*)calloc(1, sizeof(*d));
++      if(!k || !d) {
++              free(k);
++              free(d);
++              return; /* alloc failure */
++      }
++      k->namelen = namelen;
++      k->name = memdup(name, namelen);
++      if(!k->name) {
++              free(k);
++              free(d);
++              return; /* alloc failure */
++      }
++      lock_rw_init(&k->entry.lock);
++      k->entry.hash = h;
++      k->entry.key = k;
++      k->entry.data = d;
++      d->qps[0] = 1;
++      d->timestamp[0] = timenow;
++      slabhash_insert(infra->domain_rates, h, &k->entry, d, NULL);
++}
++
++/** find the second and return its rate counter, if none, remove oldest */
++static int* infra_rate_find_second(void* data, time_t t)
++{
++      struct rate_data* d = (struct rate_data*)data;
++      int i, oldest;
++      for(i=0; i<RATE_WINDOW; i++) {
++              if(d->timestamp[i] == t)
++                      return &(d->qps[i]);
++      }
++      /* remove oldest timestamp, and insert it at t with 0 qps */
++      oldest = 0;
++      for(i=0; i<RATE_WINDOW; i++) {
++              if(d->timestamp[i] < d->timestamp[oldest])
++                      oldest = i;
++      }
++      d->timestamp[oldest] = t;
++      d->qps[oldest] = 0;
++      return &(d->qps[oldest]);
++}
++
++int infra_rate_max(void* data, time_t now)
++{
++      struct rate_data* d = (struct rate_data*)data;
++      int i, max = 0;
++      for(i=0; i<RATE_WINDOW; i++) {
++              if(now-d->timestamp[i] <= RATE_WINDOW) {
++                      if(d->qps[i] > max)
++                              max = d->qps[i];
++              }
++      }
++      return max;
++}
++
++int infra_ratelimit_inc(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow)
++{
++      int lim, max;
++      struct lruhash_entry* entry;
++
++      if(!infra_dp_ratelimit)
++              return 1; /* not enabled */
++
++      /* find ratelimit */
++      lim = infra_find_ratelimit(infra, name, namelen);
++      
++      /* find or insert ratedata */
++      entry = infra_find_ratedata(infra, name, namelen, 1);
++      if(entry) {
++              int premax = infra_rate_max(entry->data, timenow);
++              int* cur = infra_rate_find_second(entry->data, timenow);
++              (*cur)++;
++              max = infra_rate_max(entry->data, timenow);
++              lock_rw_unlock(&entry->lock);
++
++              if(premax < lim && max >= lim) {
++                      char buf[257];
++                      dname_str(name, buf);
++                      verbose(VERB_OPS, "ratelimit exceeded %s %d", buf, lim);
++              }
++              return (max < lim);
++      }
++
++      /* create */
++      infra_create_ratedata(infra, name, namelen, timenow);
++      return (1 < lim);
++}
++
++void infra_ratelimit_dec(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow)
++{
++      struct lruhash_entry* entry;
++      int* cur;
++      if(!infra_dp_ratelimit)
++              return; /* not enabled */
++      entry = infra_find_ratedata(infra, name, namelen, 1);
++      if(!entry) return; /* not cached */
++      cur = infra_rate_find_second(entry->data, timenow);
++      if((*cur) > 0)
++              (*cur)--;
++      lock_rw_unlock(&entry->lock);
++}
++
++int infra_ratelimit_exceeded(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow)
++{
++      struct lruhash_entry* entry;
++      int lim, max;
++      if(!infra_dp_ratelimit)
++              return 0; /* not enabled */
++
++      /* find ratelimit */
++      lim = infra_find_ratelimit(infra, name, namelen);
++
++      /* find current rate */
++      entry = infra_find_ratedata(infra, name, namelen, 0);
++      if(!entry)
++              return 0; /* not cached */
++      max = infra_rate_max(entry->data, timenow);
++      lock_rw_unlock(&entry->lock);
++
++      return (max >= lim);
++}
++
 +size_t 
 +infra_get_mem(struct infra_cache* infra)
 +{
++      size_t s = sizeof(*infra) + slabhash_get_mem(infra->hosts);
++      if(infra->domain_rates) s += slabhash_get_mem(infra->domain_rates);
++      /* ignore domain_limits because walk through tree is big */
++      return s;
 +}
diff --cc contrib/unbound/services/cache/infra.h
index fc54f7f0df0025b7af73fa7c37bf2f8513fee311,0000000000000000000000000000000000000000..fc7abb7c4dd164c6ed9e9a55479ef7da5f3a4ba9
mode 100644,000000..100644
--- 1/contrib/unbound/services/cache/infra.h
--- /dev/null
+++ b/contrib/unbound/services/cache/infra.h
@@@ -1,309 -1,0 +1,416 @@@
 +/*
 + * services/cache/infra.h - infrastructure cache, server rtt and capabilities
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the infrastructure cache.
 + */
 +
 +#ifndef SERVICES_CACHE_INFRA_H
 +#define SERVICES_CACHE_INFRA_H
 +#include "util/storage/lruhash.h"
++#include "util/storage/dnstree.h"
 +#include "util/rtt.h"
 +struct slabhash;
 +struct config_file;
 +
 +/**
 + * Host information kept for every server, per zone.
 + */
 +struct infra_key {
 +      /** the host address. */
 +      struct sockaddr_storage addr;
 +      /** length of addr. */
 +      socklen_t addrlen;
 +      /** zone name in wireformat */
 +      uint8_t* zonename;
 +      /** length of zonename */
 +      size_t namelen;
 +      /** hash table entry, data of type infra_data. */
 +      struct lruhash_entry entry;
 +};
 +
 +/**
 + * Host information encompasses host capabilities and retransmission timeouts.
 + * And lameness information (notAuthoritative, noEDNS, Recursive)
 + */
 +struct infra_data {
 +      /** TTL value for this entry. absolute time. */
 +      time_t ttl;
 +
 +      /** time in seconds (absolute) when probing re-commences, 0 disabled */
 +      time_t probedelay;
 +      /** round trip times for timeout calculation */
 +      struct rtt_info rtt;
 +
 +      /** edns version that the host supports, -1 means no EDNS */
 +      int edns_version;
 +      /** if the EDNS lameness is already known or not.
 +       * EDNS lame is when EDNS queries or replies are dropped, 
 +       * and cause a timeout */
 +      uint8_t edns_lame_known;
 +
 +      /** is the host lame (does not serve the zone authoritatively),
 +       * or is the host dnssec lame (does not serve DNSSEC data) */
 +      uint8_t isdnsseclame;
 +      /** is the host recursion lame (not AA, but RA) */
 +      uint8_t rec_lame;
 +      /** the host is lame (not authoritative) for A records */
 +      uint8_t lame_type_A;
 +      /** the host is lame (not authoritative) for other query types */
 +      uint8_t lame_other;
 +
 +      /** timeouts counter for type A */
 +      uint8_t timeout_A;
 +      /** timeouts counter for type AAAA */
 +      uint8_t timeout_AAAA;
 +      /** timeouts counter for others */
 +      uint8_t timeout_other;
 +};
 +
 +/**
 + * Infra cache 
 + */
 +struct infra_cache {
 +      /** The hash table with hosts */
 +      struct slabhash* hosts;
 +      /** TTL value for host information, in seconds */
 +      int host_ttl;
++      /** hash table with query rates per name: rate_key, rate_data */
++      struct slabhash* domain_rates;
++      /** ratelimit settings for domains, struct domain_limit_data */
++      rbtree_t domain_limits;
++};
++
++/** ratelimit, unless overridden by domain_limits, 0 is off */
++extern int infra_dp_ratelimit;
++
++/**
++ * ratelimit settings for domains
++ */
++struct domain_limit_data {
++      /** key for rbtree, must be first in struct, name of domain */
++      struct name_tree_node node;
++      /** ratelimit for exact match with this name, -1 if not set */
++      int lim;
++      /** ratelimit for names below this name, -1 if not set */
++      int below;
++};
++
++/**
++ * key for ratelimit lookups, a domain name
++ */
++struct rate_key {
++      /** lruhash key entry */
++      struct lruhash_entry entry;
++      /** domain name in uncompressed wireformat */
++      uint8_t* name;
++      /** length of name */
++      size_t namelen;
++};
++
++/** number of seconds to track qps rate */
++#define RATE_WINDOW 2
++
++/**
++ * Data for ratelimits per domain name
++ * It is incremented when a non-cache-lookup happens for that domain name.
++ * The name is the delegation point we have for the name.
++ * If a new delegation point is found (a referral reply), the previous
++ * delegation point is decremented, and the new one is charged with the query.
++ */
++struct rate_data {
++      /** queries counted, for that second. 0 if not in use. */
++      int qps[RATE_WINDOW];
++      /** what the timestamp is of the qps array members, counter is
++       * valid for that timestamp.  Usually now and now-1. */
++      time_t timestamp[RATE_WINDOW];
 +};
 +
 +/** infra host cache default hash lookup size */
 +#define INFRA_HOST_STARTSIZE 32
 +/** bytes per zonename reserved in the hostcache, dnamelen(zonename.com.) */
 +#define INFRA_BYTES_NAME 14
 +
 +/**
 + * Create infra cache.
 + * @param cfg: config parameters or NULL for defaults.
 + * @return: new infra cache, or NULL.
 + */
 +struct infra_cache* infra_create(struct config_file* cfg);
 +
 +/**
 + * Delete infra cache.
 + * @param infra: infrastructure cache to delete.
 + */
 +void infra_delete(struct infra_cache* infra);
 +
 +/**
 + * Adjust infra cache to use updated configuration settings.
 + * This may clean the cache. Operates a bit like realloc.
 + * There may be no threading or use by other threads.
 + * @param infra: existing cache. If NULL a new infra cache is returned.
 + * @param cfg: config options.
 + * @return the new infra cache pointer or NULL on error.
 + */
 +struct infra_cache* infra_adjust(struct infra_cache* infra, 
 +      struct config_file* cfg);
 +
 +/**
 + * Plain find infra data function (used by the the other functions)
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: domain name of zone.
 + * @param namelen: length of domain name.
 + * @param wr: if true, writelock, else readlock.
 + * @return the entry, could be expired (this is not checked) or NULL.
 + */
 +struct lruhash_entry* infra_lookup_nottl(struct infra_cache* infra,
 +      struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* name,
 +      size_t namelen, int wr);
 +
 +/**
 + * Find host information to send a packet. Creates new entry if not found.
 + * Lameness is empty. EDNS is 0 (try with first), and rtt is returned for 
 + * the first message to it.
 + * Use this to send a packet only, because it also locks out others when
 + * probing is restricted.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: domain name of zone.
 + * @param namelen: length of domain name.
 + * @param timenow: what time it is now.
 + * @param edns_vs: edns version it supports, is returned.
 + * @param edns_lame_known: if EDNS lame (EDNS is dropped in transit) has
 + *    already been probed, is returned.
 + * @param to: timeout to use, is returned.
 + * @return: 0 on error.
 + */
 +int infra_host(struct infra_cache* infra, struct sockaddr_storage* addr, 
 +      socklen_t addrlen, uint8_t* name, size_t namelen,
 +      time_t timenow, int* edns_vs, uint8_t* edns_lame_known, int* to);
 +
 +/**
 + * Set a host to be lame for the given zone.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: domain name of zone apex.
 + * @param namelen: length of domain name.
 + * @param timenow: what time it is now.
 + * @param dnsseclame: if true the host is set dnssec lame.
 + *    if false, the host is marked lame (not serving the zone).
 + * @param reclame: if true host is a recursor not AA server.
 + *      if false, dnsseclame or marked lame.
 + * @param qtype: the query type for which it is lame.
 + * @return: 0 on error.
 + */
 +int infra_set_lame(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen,
 +      uint8_t* name, size_t namelen, time_t timenow, int dnsseclame,
 +      int reclame, uint16_t qtype);
 +
 +/**
 + * Update rtt information for the host.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: zone name
 + * @param namelen: zone name length
 + * @param qtype: query type.
 + * @param roundtrip: estimate of roundtrip time in milliseconds or -1 for 
 + *    timeout.
 + * @param orig_rtt: original rtt for the query that timed out (roundtrip==-1).
 + *    ignored if roundtrip != -1.
 + * @param timenow: what time it is now.
 + * @return: 0 on error. new rto otherwise.
 + */
 +int infra_rtt_update(struct infra_cache* infra, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* name, size_t namelen, int qtype,
 +      int roundtrip, int orig_rtt, time_t timenow);
 +
 +/**
 + * Update information for the host, store that a TCP transaction works.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: name of zone
 + * @param namelen: length of name
 + */
 +void infra_update_tcp_works(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen,
 +      uint8_t* name, size_t namelen);
 +
 +/**
 + * Update edns information for the host.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: name of zone
 + * @param namelen: length of name
 + * @param edns_version: the version that it publishes.
 + *    If it is known to support EDNS then no-EDNS is not stored over it.
 + * @param timenow: what time it is now.
 + * @return: 0 on error.
 + */
 +int infra_edns_update(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen,
 +      uint8_t* name, size_t namelen, int edns_version, time_t timenow);
 +
 +/**
 + * Get Lameness information and average RTT if host is in the cache.
 + * This information is to be used for server selection.
 + * @param infra: infrastructure cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: zone name.
 + * @param namelen: zone name length.
 + * @param qtype: the query to be made.
 + * @param lame: if function returns true, this returns lameness of the zone.
 + * @param dnsseclame: if function returns true, this returns if the zone
 + *    is dnssec-lame.
 + * @param reclame: if function returns true, this is if it is recursion lame.
 + * @param rtt: if function returns true, this returns avg rtt of the server.
 + *    The rtt value is unclamped and reflects recent timeouts.
 + * @param timenow: what time it is now.
 + * @return if found in cache, or false if not (or TTL bad).
 + */
 +int infra_get_lame_rtt(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen, 
 +      uint8_t* name, size_t namelen, uint16_t qtype, 
 +      int* lame, int* dnsseclame, int* reclame, int* rtt, time_t timenow);
 +
 +/**
 + * Get additional (debug) info on timing.
 + * @param infra: infra cache.
 + * @param addr: host address.
 + * @param addrlen: length of addr.
 + * @param name: zone name
 + * @param namelen: zone name length
 + * @param rtt: the rtt_info is copied into here (caller alloced return struct).
 + * @param delay: probe delay (if any).
 + * @param timenow: what time it is now.
 + * @param tA: timeout counter on type A.
 + * @param tAAAA: timeout counter on type AAAA.
 + * @param tother: timeout counter on type other.
 + * @return TTL the infra host element is valid for. If -1: not found in cache.
 + *    TTL -2: found but expired.
 + */
 +long long infra_get_host_rto(struct infra_cache* infra,
 +        struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* name,
 +      size_t namelen, struct rtt_info* rtt, int* delay, time_t timenow,
 +      int* tA, int* tAAAA, int* tother);
 +
++/**
++ * Increment the query rate counter for a delegation point.
++ * @param infra: infra cache.
++ * @param name: zone name
++ * @param namelen: zone name length
++ * @param timenow: what time it is now.
++ * @return 1 if it could be incremented. 0 if the increment overshot the
++ * ratelimit or if in the previous second the ratelimit was exceeded.
++ * Failures like alloc failures are not returned (probably as 1).
++ */
++int infra_ratelimit_inc(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow);
++
++/**
++ * Decrement the query rate counter for a delegation point.
++ * Because the reply received for the delegation point was pleasant,
++ * we do not charge this delegation point with it (i.e. it was a referral).
++ * Should call it with same second as when inc() was called.
++ * @param infra: infra cache.
++ * @param name: zone name
++ * @param namelen: zone name length
++ * @param timenow: what time it is now.
++ */
++void infra_ratelimit_dec(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow);
++
++/**
++ * See if the query rate counter for a delegation point is exceeded.
++ * So, no queries are going to be allowed.
++ * @param infra: infra cache.
++ * @param name: zone name
++ * @param namelen: zone name length
++ * @param timenow: what time it is now.
++ * @return true if exceeded.
++ */
++int infra_ratelimit_exceeded(struct infra_cache* infra, uint8_t* name,
++      size_t namelen, time_t timenow);
++
++/** find the maximum rate stored, not too old. 0 if no information. */
++int infra_rate_max(void* data, time_t now);
++
++/** find the ratelimit in qps for a domain */
++int infra_find_ratelimit(struct infra_cache* infra, uint8_t* name,
++      size_t namelen);
++
 +/**
 + * Get memory used by the infra cache.
 + * @param infra: infrastructure cache.
 + * @return memory in use in bytes.
 + */
 +size_t infra_get_mem(struct infra_cache* infra);
 +
 +/** calculate size for the hashtable, does not count size of lameness,
 + * so the hashtable is a fixed number of items */
 +size_t infra_sizefunc(void* k, void* d);
 +
 +/** compare two addresses, returns -1, 0, or +1 */
 +int infra_compfunc(void* key1, void* key2);
 +
 +/** delete key, and destroy the lock */
 +void infra_delkeyfunc(void* k, void* arg);
 +
 +/** delete data and destroy the lameness hashtable */
 +void infra_deldatafunc(void* d, void* arg);
 +
++/** calculate size for the hashtable */
++size_t rate_sizefunc(void* k, void* d);
++
++/** compare two names, returns -1, 0, or +1 */
++int rate_compfunc(void* key1, void* key2);
++
++/** delete key, and destroy the lock */
++void rate_delkeyfunc(void* k, void* arg);
++
++/** delete data */
++void rate_deldatafunc(void* d, void* arg);
++
 +#endif /* SERVICES_CACHE_INFRA_H */
diff --cc contrib/unbound/services/cache/rrset.c
index 5f52dbce194826ace70658602e913dee4a55a302,0000000000000000000000000000000000000000..2c855295387136636c2641f11634a364b83980a3
mode 100644,000000..100644
--- 1/contrib/unbound/services/cache/rrset.c
--- /dev/null
+++ b/contrib/unbound/services/cache/rrset.c
@@@ -1,417 -1,0 +1,418 @@@
- #include "ldns/rrdef.h"
 +/*
 + * services/cache/rrset.c - Resource record set cache.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the rrset cache.
 + */
 +#include "config.h"
 +#include "services/cache/rrset.h"
-       if(!(h = (hashvalue_t*)regional_alloc(scratch, 
-               sizeof(hashvalue_t)*count)))
++#include "sldns/rrdef.h"
 +#include "util/storage/slabhash.h"
 +#include "util/config_file.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/msgreply.h"
 +#include "util/regional.h"
 +#include "util/alloc.h"
 +
 +void
 +rrset_markdel(void* key)
 +{
 +      struct ub_packed_rrset_key* r = (struct ub_packed_rrset_key*)key;
 +      r->id = 0;
 +}
 +
 +struct rrset_cache* rrset_cache_create(struct config_file* cfg, 
 +      struct alloc_cache* alloc)
 +{
 +      size_t slabs = (cfg?cfg->rrset_cache_slabs:HASH_DEFAULT_SLABS);
 +      size_t startarray = HASH_DEFAULT_STARTARRAY;
 +      size_t maxmem = (cfg?cfg->rrset_cache_size:HASH_DEFAULT_MAXMEM);
 +
 +      struct rrset_cache *r = (struct rrset_cache*)slabhash_create(slabs,
 +              startarray, maxmem, ub_rrset_sizefunc, ub_rrset_compare,
 +              ub_rrset_key_delete, rrset_data_delete, alloc);
 +      slabhash_setmarkdel(&r->table, &rrset_markdel);
 +      return r;
 +}
 +
 +void rrset_cache_delete(struct rrset_cache* r)
 +{
 +      if(!r) 
 +              return;
 +      slabhash_delete(&r->table);
 +      /* slabhash delete also does free(r), since table is first in struct*/
 +}
 +
 +struct rrset_cache* rrset_cache_adjust(struct rrset_cache *r, 
 +      struct config_file* cfg, struct alloc_cache* alloc)
 +{
 +      if(!r || !cfg || cfg->rrset_cache_slabs != r->table.size ||
 +              cfg->rrset_cache_size != slabhash_get_size(&r->table))
 +      {
 +              rrset_cache_delete(r);
 +              r = rrset_cache_create(cfg, alloc);
 +      }
 +      return r;
 +}
 +
 +void 
 +rrset_cache_touch(struct rrset_cache* r, struct ub_packed_rrset_key* key,
 +        hashvalue_t hash, rrset_id_t id)
 +{
 +      struct lruhash* table = slabhash_gettable(&r->table, hash);
 +      /* 
 +       * This leads to locking problems, deadlocks, if the caller is 
 +       * holding any other rrset lock.
 +       * Because a lookup through the hashtable does:
 +       *      tablelock -> entrylock  (for that entry caller holds)
 +       * And this would do
 +       *      entrylock(already held) -> tablelock
 +       * And if two threads do this, it results in deadlock.
 +       * So, the caller must not hold entrylock.
 +       */
 +      lock_quick_lock(&table->lock);
 +      /* we have locked the hash table, the item can still be deleted.
 +       * because it could already have been reclaimed, but not yet set id=0.
 +       * This is because some lruhash routines have lazy deletion.
 +       * so, we must acquire a lock on the item to verify the id != 0.
 +       * also, with hash not changed, we are using the right slab.
 +       */
 +      lock_rw_rdlock(&key->entry.lock);
 +      if(key->id == id && key->entry.hash == hash) {
 +              lru_touch(table, &key->entry);
 +      }
 +      lock_rw_unlock(&key->entry.lock);
 +      lock_quick_unlock(&table->lock);
 +}
 +
 +/** see if rrset needs to be updated in the cache */
 +static int
 +need_to_update_rrset(void* nd, void* cd, time_t timenow, int equal, int ns)
 +{
 +      struct packed_rrset_data* newd = (struct packed_rrset_data*)nd;
 +      struct packed_rrset_data* cached = (struct packed_rrset_data*)cd;
 +      /*      o store if rrset has been validated 
 +       *              everything better than bogus data 
 +       *              secure is preferred */
 +      if( newd->security == sec_status_secure &&
 +              cached->security != sec_status_secure)
 +              return 1;
 +      if( cached->security == sec_status_bogus && 
 +              newd->security != sec_status_bogus && !equal)
 +              return 1;
 +        /*      o if current RRset is more trustworthy - insert it */
 +        if( newd->trust > cached->trust ) {
 +              /* if the cached rrset is bogus, and this one equal,
 +               * do not update the TTL - let it expire. */
 +              if(equal && cached->ttl >= timenow && 
 +                      cached->security == sec_status_bogus)
 +                      return 0;
 +                return 1;
 +      }
 +      /*      o item in cache has expired */
 +      if( cached->ttl < timenow )
 +              return 1;
 +      /*  o same trust, but different in data - insert it */
 +      if( newd->trust == cached->trust && !equal ) {
 +              /* if this is type NS, do not 'stick' to owner that changes
 +               * the NS RRset, but use the old TTL for the new data, and
 +               * update to fetch the latest data. ttl is not expired, because
 +               * that check was before this one. */
 +              if(ns) {
 +                      size_t i;
 +                      newd->ttl = cached->ttl;
 +                      for(i=0; i<(newd->count+newd->rrsig_count); i++)
 +                              if(newd->rr_ttl[i] > newd->ttl)
 +                                      newd->rr_ttl[i] = newd->ttl;
 +              }
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +/** Update RRSet special key ID */
 +static void
 +rrset_update_id(struct rrset_ref* ref, struct alloc_cache* alloc)
 +{
 +      /* this may clear the cache and invalidate lock below */
 +      uint64_t newid = alloc_get_id(alloc);
 +      /* obtain writelock */
 +      lock_rw_wrlock(&ref->key->entry.lock);
 +      /* check if it was deleted in the meantime, if so, skip update */
 +      if(ref->key->id == ref->id) {
 +              ref->key->id = newid;
 +              ref->id = newid;
 +      }
 +      lock_rw_unlock(&ref->key->entry.lock);
 +}
 +
 +int 
 +rrset_cache_update(struct rrset_cache* r, struct rrset_ref* ref,
 +      struct alloc_cache* alloc, time_t timenow)
 +{
 +      struct lruhash_entry* e;
 +      struct ub_packed_rrset_key* k = ref->key;
 +      hashvalue_t h = k->entry.hash;
 +      uint16_t rrset_type = ntohs(k->rk.type);
 +      int equal = 0;
 +      log_assert(ref->id != 0 && k->id != 0);
 +      /* looks up item with a readlock - no editing! */
 +      if((e=slabhash_lookup(&r->table, h, k, 0)) != 0) {
 +              /* return id and key as they will be used in the cache
 +               * since the lruhash_insert, if item already exists, deallocs
 +               * the passed key in favor of the already stored key.
 +               * because of the small gap (see below) this key ptr and id
 +               * may prove later to be already deleted, which is no problem
 +               * as it only makes a cache miss. 
 +               */
 +              ref->key = (struct ub_packed_rrset_key*)e->key;
 +              ref->id = ref->key->id;
 +              equal = rrsetdata_equal((struct packed_rrset_data*)k->entry.
 +                      data, (struct packed_rrset_data*)e->data);
 +              if(!need_to_update_rrset(k->entry.data, e->data, timenow,
 +                      equal, (rrset_type==LDNS_RR_TYPE_NS))) {
 +                      /* cache is superior, return that value */
 +                      lock_rw_unlock(&e->lock);
 +                      ub_packed_rrset_parsedelete(k, alloc);
 +                      if(equal) return 2;
 +                      return 1;
 +              }
 +              lock_rw_unlock(&e->lock);
 +              /* Go on and insert the passed item.
 +               * small gap here, where entry is not locked.
 +               * possibly entry is updated with something else.
 +               * we then overwrite that with our data.
 +               * this is just too bad, its cache anyway. */
 +              /* use insert to update entry to manage lruhash
 +               * cache size values nicely. */
 +      }
 +      log_assert(ref->key->id != 0);
 +      slabhash_insert(&r->table, h, &k->entry, k->entry.data, alloc);
 +      if(e) {
 +              /* For NSEC, NSEC3, DNAME, when rdata is updated, update 
 +               * the ID number so that proofs in message cache are 
 +               * invalidated */
 +              if((rrset_type == LDNS_RR_TYPE_NSEC 
 +                      || rrset_type == LDNS_RR_TYPE_NSEC3
 +                      || rrset_type == LDNS_RR_TYPE_DNAME) && !equal) {
 +                      rrset_update_id(ref, alloc);
 +              }
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +struct ub_packed_rrset_key* 
 +rrset_cache_lookup(struct rrset_cache* r, uint8_t* qname, size_t qnamelen, 
 +      uint16_t qtype, uint16_t qclass, uint32_t flags, time_t timenow,
 +      int wr)
 +{
 +      struct lruhash_entry* e;
 +      struct ub_packed_rrset_key key;
 +      
 +      key.entry.key = &key;
 +      key.entry.data = NULL;
 +      key.rk.dname = qname;
 +      key.rk.dname_len = qnamelen;
 +      key.rk.type = htons(qtype);
 +      key.rk.rrset_class = htons(qclass);
 +      key.rk.flags = flags;
 +
 +      key.entry.hash = rrset_key_hash(&key.rk);
 +
 +      if((e = slabhash_lookup(&r->table, key.entry.hash, &key, wr))) {
 +              /* check TTL */
 +              struct packed_rrset_data* data = 
 +                      (struct packed_rrset_data*)e->data;
 +              if(timenow > data->ttl) {
 +                      lock_rw_unlock(&e->lock);
 +                      return NULL;
 +              }
 +              /* we're done */
 +              return (struct ub_packed_rrset_key*)e->key;
 +      }
 +      return NULL;
 +}
 +
 +int 
 +rrset_array_lock(struct rrset_ref* ref, size_t count, time_t timenow)
 +{
 +      size_t i;
 +      for(i=0; i<count; i++) {
 +              if(i>0 && ref[i].key == ref[i-1].key)
 +                      continue; /* only lock items once */
 +              lock_rw_rdlock(&ref[i].key->entry.lock);
 +              if(ref[i].id != ref[i].key->id || timenow >
 +                      ((struct packed_rrset_data*)(ref[i].key->entry.data))
 +                      ->ttl) {
 +                      /* failure! rollback our readlocks */
 +                      rrset_array_unlock(ref, i+1);
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +void 
 +rrset_array_unlock(struct rrset_ref* ref, size_t count)
 +{
 +      size_t i;
 +      for(i=0; i<count; i++) {
 +              if(i>0 && ref[i].key == ref[i-1].key)
 +                      continue; /* only unlock items once */
 +              lock_rw_unlock(&ref[i].key->entry.lock);
 +      }
 +}
 +
 +void 
 +rrset_array_unlock_touch(struct rrset_cache* r, struct regional* scratch,
 +      struct rrset_ref* ref, size_t count)
 +{
 +      hashvalue_t* h;
 +      size_t i;
-       else    /* store hash values */
++      if(count > RR_COUNT_MAX || !(h = (hashvalue_t*)regional_alloc(scratch, 
++              sizeof(hashvalue_t)*count))) {
 +              log_warn("rrset LRU: memory allocation failed");
++              h = NULL;
++      } else  /* store hash values */
 +              for(i=0; i<count; i++)
 +                      h[i] = ref[i].key->entry.hash;
 +      /* unlock */
 +      for(i=0; i<count; i++) {
 +              if(i>0 && ref[i].key == ref[i-1].key)
 +                      continue; /* only unlock items once */
 +              lock_rw_unlock(&ref[i].key->entry.lock);
 +      }
 +      if(h) {
 +              /* LRU touch, with no rrset locks held */
 +              for(i=0; i<count; i++) {
 +                      if(i>0 && ref[i].key == ref[i-1].key)
 +                              continue; /* only touch items once */
 +                      rrset_cache_touch(r, ref[i].key, h[i], ref[i].id);
 +              }
 +      }
 +}
 +
 +void 
 +rrset_update_sec_status(struct rrset_cache* r, 
 +      struct ub_packed_rrset_key* rrset, time_t now)
 +{
 +      struct packed_rrset_data* updata = 
 +              (struct packed_rrset_data*)rrset->entry.data;
 +      struct lruhash_entry* e;
 +      struct packed_rrset_data* cachedata;
 +
 +      /* hash it again to make sure it has a hash */
 +      rrset->entry.hash = rrset_key_hash(&rrset->rk);
 +
 +      e = slabhash_lookup(&r->table, rrset->entry.hash, rrset, 1);
 +      if(!e)
 +              return; /* not in the cache anymore */
 +      cachedata = (struct packed_rrset_data*)e->data;
 +      if(!rrsetdata_equal(updata, cachedata)) {
 +              lock_rw_unlock(&e->lock);
 +              return; /* rrset has changed in the meantime */
 +      }
 +      /* update the cached rrset */
 +      if(updata->security > cachedata->security) {
 +              size_t i;
 +              if(updata->trust > cachedata->trust)
 +                      cachedata->trust = updata->trust;
 +              cachedata->security = updata->security;
 +              /* for NS records only shorter TTLs, other types: update it */
 +              if(ntohs(rrset->rk.type) != LDNS_RR_TYPE_NS ||
 +                      updata->ttl+now < cachedata->ttl ||
 +                      cachedata->ttl < now ||
 +                      updata->security == sec_status_bogus) {
 +                      cachedata->ttl = updata->ttl + now;
 +                      for(i=0; i<cachedata->count+cachedata->rrsig_count; i++)
 +                              cachedata->rr_ttl[i] = updata->rr_ttl[i]+now;
 +              }
 +      }
 +      lock_rw_unlock(&e->lock);
 +}
 +
 +void 
 +rrset_check_sec_status(struct rrset_cache* r, 
 +      struct ub_packed_rrset_key* rrset, time_t now)
 +{
 +      struct packed_rrset_data* updata = 
 +              (struct packed_rrset_data*)rrset->entry.data;
 +      struct lruhash_entry* e;
 +      struct packed_rrset_data* cachedata;
 +
 +      /* hash it again to make sure it has a hash */
 +      rrset->entry.hash = rrset_key_hash(&rrset->rk);
 +
 +      e = slabhash_lookup(&r->table, rrset->entry.hash, rrset, 0);
 +      if(!e)
 +              return; /* not in the cache anymore */
 +      cachedata = (struct packed_rrset_data*)e->data;
 +      if(now > cachedata->ttl || !rrsetdata_equal(updata, cachedata)) {
 +              lock_rw_unlock(&e->lock);
 +              return; /* expired, or rrset has changed in the meantime */
 +      }
 +      if(cachedata->security > updata->security) {
 +              updata->security = cachedata->security;
 +              if(cachedata->security == sec_status_bogus) {
 +                      size_t i;
 +                      updata->ttl = cachedata->ttl - now;
 +                      for(i=0; i<cachedata->count+cachedata->rrsig_count; i++)
 +                              if(cachedata->rr_ttl[i] < now)
 +                                      updata->rr_ttl[i] = 0;
 +                              else updata->rr_ttl[i] = 
 +                                      cachedata->rr_ttl[i]-now;
 +              }
 +              if(cachedata->trust > updata->trust)
 +                      updata->trust = cachedata->trust;
 +      }
 +      lock_rw_unlock(&e->lock);
 +}
 +
 +void rrset_cache_remove(struct rrset_cache* r, uint8_t* nm, size_t nmlen,
 +      uint16_t type, uint16_t dclass, uint32_t flags)
 +{
 +      struct ub_packed_rrset_key key;
 +      key.entry.key = &key;
 +      key.rk.dname = nm;
 +      key.rk.dname_len = nmlen;
 +      key.rk.rrset_class = htons(dclass);
 +      key.rk.type = htons(type);
 +      key.rk.flags = flags;
 +      key.entry.hash = rrset_key_hash(&key.rk);
 +      slabhash_remove(&r->table, key.entry.hash, &key);
 +}
diff --cc contrib/unbound/services/listen_dnsport.c
index 3e5bf40044485fad76347ca091f7f9b7ad77d4da,0000000000000000000000000000000000000000..276c0fb32ecd10d8d7d0bff8a0ddb932806d1e97
mode 100644,000000..100644
--- 1/contrib/unbound/services/listen_dnsport.c
--- /dev/null
+++ b/contrib/unbound/services/listen_dnsport.c
@@@ -1,1141 -1,0 +1,1169 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * services/listen_dnsport.c - listen on port 53 for incoming DNS queries.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file has functions to get queries from clients.
 + */
 +#include "config.h"
 +#ifdef HAVE_SYS_TYPES_H
 +#  include <sys/types.h>
 +#endif
 +#include <sys/time.h>
 +#include "services/listen_dnsport.h"
 +#include "services/outside_network.h"
 +#include "util/netevent.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
-       int rcv, int snd, int listen, int* reuseport)
++#include "sldns/sbuffer.h"
 +
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +#include <fcntl.h>
 +
 +#ifdef HAVE_SYS_UN_H
 +#include <sys/un.h>
 +#endif
 +
 +/** number of queued TCP connections for listen() */
 +#define TCP_BACKLOG 256 
 +
 +/**
 + * Debug print of the getaddrinfo returned address.
 + * @param addr: the address returned.
 + */
 +static void
 +verbose_print_addr(struct addrinfo *addr)
 +{
 +      if(verbosity >= VERB_ALGO) {
 +              char buf[100];
 +              void* sinaddr = &((struct sockaddr_in*)addr->ai_addr)->sin_addr;
 +#ifdef INET6
 +              if(addr->ai_family == AF_INET6)
 +                      sinaddr = &((struct sockaddr_in6*)addr->ai_addr)->
 +                              sin6_addr;
 +#endif /* INET6 */
 +              if(inet_ntop(addr->ai_family, sinaddr, buf,
 +                      (socklen_t)sizeof(buf)) == 0) {
 +                      (void)strlcpy(buf, "(null)", sizeof(buf));
 +              }
 +              buf[sizeof(buf)-1] = 0;
 +              verbose(VERB_ALGO, "creating %s%s socket %s %d", 
 +                      addr->ai_socktype==SOCK_DGRAM?"udp":
 +                      addr->ai_socktype==SOCK_STREAM?"tcp":"otherproto",
 +                      addr->ai_family==AF_INET?"4":
 +                      addr->ai_family==AF_INET6?"6":
 +                      "_otherfam", buf, 
 +                      ntohs(((struct sockaddr_in*)addr->ai_addr)->sin_port));
 +      }
 +}
 +
 +int
 +create_udp_sock(int family, int socktype, struct sockaddr* addr,
 +        socklen_t addrlen, int v6only, int* inuse, int* noproto,
- #if defined(SO_REUSEADDR) || defined(SO_REUSEPORT) || defined(IPV6_USE_MIN_MTU)
++      int rcv, int snd, int listen, int* reuseport, int transparent)
 +{
 +      int s;
-       int* reuseport)
++#if defined(SO_REUSEADDR) || defined(SO_REUSEPORT) || defined(IPV6_USE_MIN_MTU)  || defined(IP_TRANSPARENT)
 +      int on=1;
 +#endif
 +#ifdef IPV6_MTU
 +      int mtu = IPV6_MIN_MTU;
 +#endif
 +#if !defined(SO_RCVBUFFORCE) && !defined(SO_RCVBUF)
 +      (void)rcv;
 +#endif
 +#if !defined(SO_SNDBUFFORCE) && !defined(SO_SNDBUF)
 +      (void)snd;
 +#endif
 +#ifndef IPV6_V6ONLY
 +      (void)v6only;
++#endif
++#ifndef IP_TRANSPARENT
++      (void)transparent;
 +#endif
 +      if((s = socket(family, socktype, 0)) == -1) {
 +              *inuse = 0;
 +#ifndef USE_WINSOCK
 +              if(errno == EAFNOSUPPORT || errno == EPROTONOSUPPORT) {
 +                      *noproto = 1;
 +                      return -1;
 +              }
 +              log_err("can't create socket: %s", strerror(errno));
 +#else
 +              if(WSAGetLastError() == WSAEAFNOSUPPORT || 
 +                      WSAGetLastError() == WSAEPROTONOSUPPORT) {
 +                      *noproto = 1;
 +                      return -1;
 +              }
 +              log_err("can't create socket: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +#endif
 +              *noproto = 0;
 +              return -1;
 +      }
 +      if(listen) {
 +#ifdef SO_REUSEADDR
 +              if(setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (void*)&on, 
 +                      (socklen_t)sizeof(on)) < 0) {
 +#ifndef USE_WINSOCK
 +                      log_err("setsockopt(.. SO_REUSEADDR ..) failed: %s",
 +                              strerror(errno));
 +                      if(errno != ENOSYS) {
 +                              close(s);
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +#else
 +                      log_err("setsockopt(.. SO_REUSEADDR ..) failed: %s",
 +                              wsa_strerror(WSAGetLastError()));
 +                      closesocket(s);
 +                      *noproto = 0;
 +                      *inuse = 0;
 +                      return -1;
 +#endif
 +              }
 +#endif /* SO_REUSEADDR */
 +#ifdef SO_REUSEPORT
 +              /* try to set SO_REUSEPORT so that incoming
 +               * queries are distributed evenly among the receiving threads.
 +               * Each thread must have its own socket bound to the same port,
 +               * with SO_REUSEPORT set on each socket.
 +               */
 +              if (reuseport && *reuseport &&
 +                  setsockopt(s, SOL_SOCKET, SO_REUSEPORT, (void*)&on,
 +                      (socklen_t)sizeof(on)) < 0) {
 +#ifdef ENOPROTOOPT
 +                      if(errno != ENOPROTOOPT || verbosity >= 3)
 +                              log_warn("setsockopt(.. SO_REUSEPORT ..) failed: %s",
 +                                      strerror(errno));
 +#endif
 +                      /* this option is not essential, we can continue */
 +                      *reuseport = 0;
 +              }
 +#else
 +              (void)reuseport;
 +#endif /* defined(SO_REUSEPORT) */
++#ifdef IP_TRANSPARENT
++              if (transparent &&
++                  setsockopt(s, IPPROTO_IP, IP_TRANSPARENT, (void*)&on,
++                  (socklen_t)sizeof(on)) < 0) {
++                      log_warn("setsockopt(.. IP_TRANSPARENT ..) failed: %s",
++                      strerror(errno));
++              }
++#endif /* IP_TRANSPARENT */
 +      }
 +      if(rcv) {
 +#ifdef SO_RCVBUF
 +              int got;
 +              socklen_t slen = (socklen_t)sizeof(got);
 +#  ifdef SO_RCVBUFFORCE
 +              /* Linux specific: try to use root permission to override
 +               * system limits on rcvbuf. The limit is stored in 
 +               * /proc/sys/net/core/rmem_max or sysctl net.core.rmem_max */
 +              if(setsockopt(s, SOL_SOCKET, SO_RCVBUFFORCE, (void*)&rcv, 
 +                      (socklen_t)sizeof(rcv)) < 0) {
 +                      if(errno != EPERM) {
 +#    ifndef USE_WINSOCK
 +                              log_err("setsockopt(..., SO_RCVBUFFORCE, "
 +                                      "...) failed: %s", strerror(errno));
 +                              close(s);
 +#    else
 +                              log_err("setsockopt(..., SO_RCVBUFFORCE, "
 +                                      "...) failed: %s", 
 +                                      wsa_strerror(WSAGetLastError()));
 +                              closesocket(s);
 +#    endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +#  endif /* SO_RCVBUFFORCE */
 +                      if(setsockopt(s, SOL_SOCKET, SO_RCVBUF, (void*)&rcv, 
 +                              (socklen_t)sizeof(rcv)) < 0) {
 +#  ifndef USE_WINSOCK
 +                              log_err("setsockopt(..., SO_RCVBUF, "
 +                                      "...) failed: %s", strerror(errno));
 +                              close(s);
 +#  else
 +                              log_err("setsockopt(..., SO_RCVBUF, "
 +                                      "...) failed: %s", 
 +                                      wsa_strerror(WSAGetLastError()));
 +                              closesocket(s);
 +#  endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +                      /* check if we got the right thing or if system
 +                       * reduced to some system max.  Warn if so */
 +                      if(getsockopt(s, SOL_SOCKET, SO_RCVBUF, (void*)&got, 
 +                              &slen) >= 0 && got < rcv/2) {
 +                              log_warn("so-rcvbuf %u was not granted. "
 +                                      "Got %u. To fix: start with "
 +                                      "root permissions(linux) or sysctl "
 +                                      "bigger net.core.rmem_max(linux) or "
 +                                      "kern.ipc.maxsockbuf(bsd) values.",
 +                                      (unsigned)rcv, (unsigned)got);
 +                      }
 +#  ifdef SO_RCVBUFFORCE
 +              }
 +#  endif
 +#endif /* SO_RCVBUF */
 +      }
 +      /* first do RCVBUF as the receive buffer is more important */
 +      if(snd) {
 +#ifdef SO_SNDBUF
 +              int got;
 +              socklen_t slen = (socklen_t)sizeof(got);
 +#  ifdef SO_SNDBUFFORCE
 +              /* Linux specific: try to use root permission to override
 +               * system limits on sndbuf. The limit is stored in 
 +               * /proc/sys/net/core/wmem_max or sysctl net.core.wmem_max */
 +              if(setsockopt(s, SOL_SOCKET, SO_SNDBUFFORCE, (void*)&snd, 
 +                      (socklen_t)sizeof(snd)) < 0) {
 +                      if(errno != EPERM) {
 +#    ifndef USE_WINSOCK
 +                              log_err("setsockopt(..., SO_SNDBUFFORCE, "
 +                                      "...) failed: %s", strerror(errno));
 +                              close(s);
 +#    else
 +                              log_err("setsockopt(..., SO_SNDBUFFORCE, "
 +                                      "...) failed: %s", 
 +                                      wsa_strerror(WSAGetLastError()));
 +                              closesocket(s);
 +#    endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +#  endif /* SO_SNDBUFFORCE */
 +                      if(setsockopt(s, SOL_SOCKET, SO_SNDBUF, (void*)&snd, 
 +                              (socklen_t)sizeof(snd)) < 0) {
 +#  ifndef USE_WINSOCK
 +                              log_err("setsockopt(..., SO_SNDBUF, "
 +                                      "...) failed: %s", strerror(errno));
 +                              close(s);
 +#  else
 +                              log_err("setsockopt(..., SO_SNDBUF, "
 +                                      "...) failed: %s", 
 +                                      wsa_strerror(WSAGetLastError()));
 +                              closesocket(s);
 +#  endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +                      /* check if we got the right thing or if system
 +                       * reduced to some system max.  Warn if so */
 +                      if(getsockopt(s, SOL_SOCKET, SO_SNDBUF, (void*)&got, 
 +                              &slen) >= 0 && got < snd/2) {
 +                              log_warn("so-sndbuf %u was not granted. "
 +                                      "Got %u. To fix: start with "
 +                                      "root permissions(linux) or sysctl "
 +                                      "bigger net.core.wmem_max(linux) or "
 +                                      "kern.ipc.maxsockbuf(bsd) values.",
 +                                      (unsigned)snd, (unsigned)got);
 +                      }
 +#  ifdef SO_SNDBUFFORCE
 +              }
 +#  endif
 +#endif /* SO_SNDBUF */
 +      }
 +      if(family == AF_INET6) {
 +# if defined(IPV6_V6ONLY)
 +              if(v6only) {
 +                      int val=(v6only==2)?0:1;
 +                      if (setsockopt(s, IPPROTO_IPV6, IPV6_V6ONLY, 
 +                              (void*)&val, (socklen_t)sizeof(val)) < 0) {
 +#ifndef USE_WINSOCK
 +                              log_err("setsockopt(..., IPV6_V6ONLY"
 +                                      ", ...) failed: %s", strerror(errno));
 +                              close(s);
 +#else
 +                              log_err("setsockopt(..., IPV6_V6ONLY"
 +                                      ", ...) failed: %s", 
 +                                      wsa_strerror(WSAGetLastError()));
 +                              closesocket(s);
 +#endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +              }
 +# endif
 +# if defined(IPV6_USE_MIN_MTU)
 +              /*
 +               * There is no fragmentation of IPv6 datagrams
 +               * during forwarding in the network. Therefore
 +               * we do not send UDP datagrams larger than
 +               * the minimum IPv6 MTU of 1280 octets. The
 +               * EDNS0 message length can be larger if the
 +               * network stack supports IPV6_USE_MIN_MTU.
 +               */
 +              if (setsockopt(s, IPPROTO_IPV6, IPV6_USE_MIN_MTU,
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +#  ifndef USE_WINSOCK
 +                      log_err("setsockopt(..., IPV6_USE_MIN_MTU, "
 +                              "...) failed: %s", strerror(errno));
 +                      close(s);
 +#  else
 +                      log_err("setsockopt(..., IPV6_USE_MIN_MTU, "
 +                              "...) failed: %s", 
 +                              wsa_strerror(WSAGetLastError()));
 +                      closesocket(s);
 +#  endif
 +                      *noproto = 0;
 +                      *inuse = 0;
 +                      return -1;
 +              }
 +# elif defined(IPV6_MTU)
 +              /*
 +               * On Linux, to send no larger than 1280, the PMTUD is
 +               * disabled by default for datagrams anyway, so we set
 +               * the MTU to use.
 +               */
 +              if (setsockopt(s, IPPROTO_IPV6, IPV6_MTU,
 +                      (void*)&mtu, (socklen_t)sizeof(mtu)) < 0) {
 +#  ifndef USE_WINSOCK
 +                      log_err("setsockopt(..., IPV6_MTU, ...) failed: %s", 
 +                              strerror(errno));
 +                      close(s);
 +#  else
 +                      log_err("setsockopt(..., IPV6_MTU, ...) failed: %s", 
 +                              wsa_strerror(WSAGetLastError()));
 +                      closesocket(s);
 +#  endif
 +                      *noproto = 0;
 +                      *inuse = 0;
 +                      return -1;
 +              }
 +# endif /* IPv6 MTU */
 +      } else if(family == AF_INET) {
 +#  if defined(IP_MTU_DISCOVER) && defined(IP_PMTUDISC_DONT)
 +/* linux 3.15 has IP_PMTUDISC_OMIT, Hannes Frederic Sowa made it so that
 + * PMTU information is not accepted, but fragmentation is allowed
 + * if and only if the packet size exceeds the outgoing interface MTU
 + * (and also uses the interface mtu to determine the size of the packets).
 + * So there won't be any EMSGSIZE error.  Against DNS fragmentation attacks.
 + * FreeBSD already has same semantics without setting the option. */
 +              int omit_set = 0;
 +              int action;
 +#   if defined(IP_PMTUDISC_OMIT)
 +              action = IP_PMTUDISC_OMIT;
 +              if (setsockopt(s, IPPROTO_IP, IP_MTU_DISCOVER, 
 +                      &action, (socklen_t)sizeof(action)) < 0) {
 +
 +                      if (errno != EINVAL) {
 +                              log_err("setsockopt(..., IP_MTU_DISCOVER, IP_PMTUDISC_OMIT...) failed: %s",
 +                                      strerror(errno));
 +
 +#    ifndef USE_WINSOCK
 +                              close(s);
 +#    else
 +                              closesocket(s);
 +#    endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +              }
 +              else
 +              {
 +                  omit_set = 1;
 +              }
 +#   endif
 +              if (omit_set == 0) {
 +                      action = IP_PMTUDISC_DONT;
 +                      if (setsockopt(s, IPPROTO_IP, IP_MTU_DISCOVER,
 +                              &action, (socklen_t)sizeof(action)) < 0) {
 +                              log_err("setsockopt(..., IP_MTU_DISCOVER, IP_PMTUDISC_DONT...) failed: %s",
 +                                      strerror(errno));
 +#    ifndef USE_WINSOCK
 +                              close(s);
 +#    else
 +                              closesocket(s);
 +#    endif
 +                              *noproto = 0;
 +                              *inuse = 0;
 +                              return -1;
 +                      }
 +              }
 +#  elif defined(IP_DONTFRAG)
 +              int off = 0;
 +              if (setsockopt(s, IPPROTO_IP, IP_DONTFRAG, 
 +                      &off, (socklen_t)sizeof(off)) < 0) {
 +                      log_err("setsockopt(..., IP_DONTFRAG, ...) failed: %s",
 +                              strerror(errno));
 +#    ifndef USE_WINSOCK
 +                      close(s);
 +#    else
 +                      closesocket(s);
 +#    endif
 +                      *noproto = 0;
 +                      *inuse = 0;
 +                      return -1;
 +              }
 +#  endif /* IPv4 MTU */
 +      }
 +      if(bind(s, (struct sockaddr*)addr, addrlen) != 0) {
 +              *noproto = 0;
 +              *inuse = 0;
 +#ifndef USE_WINSOCK
 +#ifdef EADDRINUSE
 +              *inuse = (errno == EADDRINUSE);
 +              /* detect freebsd jail with no ipv6 permission */
 +              if(family==AF_INET6 && errno==EINVAL)
 +                      *noproto = 1;
 +              else if(errno != EADDRINUSE) {
 +                      log_err_addr("can't bind socket", strerror(errno),
 +                              (struct sockaddr_storage*)addr, addrlen);
 +              }
 +#endif /* EADDRINUSE */
 +              close(s);
 +#else /* USE_WINSOCK */
 +              if(WSAGetLastError() != WSAEADDRINUSE &&
 +                      WSAGetLastError() != WSAEADDRNOTAVAIL) {
 +                      log_err_addr("can't bind socket", 
 +                              wsa_strerror(WSAGetLastError()),
 +                              (struct sockaddr_storage*)addr, addrlen);
 +              }
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +      if(!fd_set_nonblock(s)) {
 +              *noproto = 0;
 +              *inuse = 0;
 +#ifndef USE_WINSOCK
 +              close(s);
 +#else
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +      return s;
 +}
 +
 +int
 +create_tcp_accept_sock(struct addrinfo *addr, int v6only, int* noproto,
- #if defined(SO_REUSEADDR) || defined(SO_REUSEPORT) || defined(IPV6_V6ONLY)
++      int* reuseport, int transparent)
 +{
 +      int s;
- #endif /* SO_REUSEADDR || IPV6_V6ONLY */
++#if defined(SO_REUSEADDR) || defined(SO_REUSEPORT) || defined(IPV6_V6ONLY) || defined(IP_TRANSPARENT)
 +      int on = 1;
-       int* reuseport)
++#endif
++#ifndef IP_TRANSPARENT
++      (void)transparent;
++#endif
 +      verbose_print_addr(addr);
 +      *noproto = 0;
 +      if((s = socket(addr->ai_family, addr->ai_socktype, 0)) == -1) {
 +#ifndef USE_WINSOCK
 +              if(errno == EAFNOSUPPORT || errno == EPROTONOSUPPORT) {
 +                      *noproto = 1;
 +                      return -1;
 +              }
 +              log_err("can't create socket: %s", strerror(errno));
 +#else
 +              if(WSAGetLastError() == WSAEAFNOSUPPORT ||
 +                      WSAGetLastError() == WSAEPROTONOSUPPORT) {
 +                      *noproto = 1;
 +                      return -1;
 +              }
 +              log_err("can't create socket: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +#endif
 +              return -1;
 +      }
 +#ifdef SO_REUSEADDR
 +      if(setsockopt(s, SOL_SOCKET, SO_REUSEADDR, (void*)&on, 
 +              (socklen_t)sizeof(on)) < 0) {
 +#ifndef USE_WINSOCK
 +              log_err("setsockopt(.. SO_REUSEADDR ..) failed: %s",
 +                      strerror(errno));
 +              close(s);
 +#else
 +              log_err("setsockopt(.. SO_REUSEADDR ..) failed: %s",
 +                      wsa_strerror(WSAGetLastError()));
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +#endif /* SO_REUSEADDR */
 +#ifdef SO_REUSEPORT
 +      /* try to set SO_REUSEPORT so that incoming
 +       * connections are distributed evenly among the receiving threads.
 +       * Each thread must have its own socket bound to the same port,
 +       * with SO_REUSEPORT set on each socket.
 +       */
 +      if (reuseport && *reuseport &&
 +              setsockopt(s, SOL_SOCKET, SO_REUSEPORT, (void*)&on,
 +              (socklen_t)sizeof(on)) < 0) {
 +#ifdef ENOPROTOOPT
 +              if(errno != ENOPROTOOPT || verbosity >= 3)
 +                      log_warn("setsockopt(.. SO_REUSEPORT ..) failed: %s",
 +                              strerror(errno));
 +#endif
 +              /* this option is not essential, we can continue */
 +              *reuseport = 0;
 +      }
 +#else
 +      (void)reuseport;
 +#endif /* defined(SO_REUSEPORT) */
 +#if defined(IPV6_V6ONLY)
 +      if(addr->ai_family == AF_INET6 && v6only) {
 +              if(setsockopt(s, IPPROTO_IPV6, IPV6_V6ONLY, 
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +#ifndef USE_WINSOCK
 +                      log_err("setsockopt(..., IPV6_V6ONLY, ...) failed: %s",
 +                              strerror(errno));
 +                      close(s);
 +#else
 +                      log_err("setsockopt(..., IPV6_V6ONLY, ...) failed: %s",
 +                              wsa_strerror(WSAGetLastError()));
 +                      closesocket(s);
 +#endif
 +                      return -1;
 +              }
 +      }
 +#else
 +      (void)v6only;
 +#endif /* IPV6_V6ONLY */
++#ifdef IP_TRANSPARENT
++      if (transparent &&
++          setsockopt(s, IPPROTO_IP, IP_TRANSPARENT, (void*)&on,
++          (socklen_t)sizeof(on)) < 0) {
++              log_warn("setsockopt(.. IP_TRANSPARENT ..) failed: %s",
++                      strerror(errno));
++      }
++#endif /* IP_TRANSPARENT */
 +      if(bind(s, addr->ai_addr, addr->ai_addrlen) != 0) {
 +#ifndef USE_WINSOCK
 +              /* detect freebsd jail with no ipv6 permission */
 +              if(addr->ai_family==AF_INET6 && errno==EINVAL)
 +                      *noproto = 1;
 +              else {
 +                      log_err_addr("can't bind socket", strerror(errno),
 +                              (struct sockaddr_storage*)addr->ai_addr,
 +                              addr->ai_addrlen);
 +              }
 +              close(s);
 +#else
 +              log_err_addr("can't bind socket", 
 +                      wsa_strerror(WSAGetLastError()),
 +                      (struct sockaddr_storage*)addr->ai_addr,
 +                      addr->ai_addrlen);
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +      if(!fd_set_nonblock(s)) {
 +#ifndef USE_WINSOCK
 +              close(s);
 +#else
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +      if(listen(s, TCP_BACKLOG) == -1) {
 +#ifndef USE_WINSOCK
 +              log_err("can't listen: %s", strerror(errno));
 +              close(s);
 +#else
 +              log_err("can't listen: %s", wsa_strerror(WSAGetLastError()));
 +              closesocket(s);
 +#endif
 +              return -1;
 +      }
 +      return s;
 +}
 +
 +int
 +create_local_accept_sock(const char *path, int* noproto)
 +{
 +#ifdef HAVE_SYS_UN_H
 +      int s;
 +      struct sockaddr_un usock;
 +
 +      verbose(VERB_ALGO, "creating unix socket %s", path);
 +#ifdef HAVE_STRUCT_SOCKADDR_UN_SUN_LEN
 +      /* this member exists on BSDs, not Linux */
 +      usock.sun_len = (socklen_t)sizeof(usock);
 +#endif
 +      usock.sun_family = AF_LOCAL;
 +      /* length is 92-108, 104 on FreeBSD */
 +      (void)strlcpy(usock.sun_path, path, sizeof(usock.sun_path));
 +
 +      if ((s = socket(AF_LOCAL, SOCK_STREAM, 0)) == -1) {
 +              log_err("Cannot create local socket %s (%s)",
 +                      path, strerror(errno));
 +              return -1;
 +      }
 +
 +      if (unlink(path) && errno != ENOENT) {
 +              /* The socket already exists and cannot be removed */
 +              log_err("Cannot remove old local socket %s (%s)",
 +                      path, strerror(errno));
 +              return -1;
 +      }
 +
 +      if (bind(s, (struct sockaddr *)&usock,
 +              (socklen_t)sizeof(struct sockaddr_un)) == -1) {
 +              log_err("Cannot bind local socket %s (%s)",
 +                      path, strerror(errno));
 +              return -1;
 +      }
 +
 +      if (!fd_set_nonblock(s)) {
 +              log_err("Cannot set non-blocking mode");
 +              return -1;
 +      }
 +
 +      if (listen(s, TCP_BACKLOG) == -1) {
 +              log_err("can't listen: %s", strerror(errno));
 +              return -1;
 +      }
 +
 +      (void)noproto; /*unused*/
 +      return s;
 +#else
 +      (void)path;
 +      log_err("Local sockets are not supported");
 +      *noproto = 1;
 +      return -1;
 +#endif
 +}
 +
 +
 +/**
 + * Create socket from getaddrinfo results
 + */
 +static int
 +make_sock(int stype, const char* ifname, const char* port, 
 +      struct addrinfo *hints, int v6only, int* noip6, size_t rcv, size_t snd,
-                       reuseport);
++      int* reuseport, int transparent)
 +{
 +      struct addrinfo *res = NULL;
 +      int r, s, inuse, noproto;
 +      hints->ai_socktype = stype;
 +      *noip6 = 0;
 +      if((r=getaddrinfo(ifname, port, hints, &res)) != 0 || !res) {
 +#ifdef USE_WINSOCK
 +              if(r == EAI_NONAME && hints->ai_family == AF_INET6){
 +                      *noip6 = 1; /* 'Host not found' for IP6 on winXP */
 +                      return -1;
 +              }
 +#endif
 +              log_err("node %s:%s getaddrinfo: %s %s", 
 +                      ifname?ifname:"default", port, gai_strerror(r),
 +#ifdef EAI_SYSTEM
 +                      r==EAI_SYSTEM?(char*)strerror(errno):""
 +#else
 +                      ""
 +#endif
 +              );
 +              return -1;
 +      }
 +      if(stype == SOCK_DGRAM) {
 +              verbose_print_addr(res);
 +              s = create_udp_sock(res->ai_family, res->ai_socktype,
 +                      (struct sockaddr*)res->ai_addr, res->ai_addrlen,
 +                      v6only, &inuse, &noproto, (int)rcv, (int)snd, 1,
-               s = create_tcp_accept_sock(res, v6only, &noproto, reuseport);
++                      reuseport, transparent);
 +              if(s == -1 && inuse) {
 +                      log_err("bind: address already in use");
 +              } else if(s == -1 && noproto && hints->ai_family == AF_INET6){
 +                      *noip6 = 1;
 +              }
 +      } else  {
-       int* reuseport)
++              s = create_tcp_accept_sock(res, v6only, &noproto, reuseport,
++                      transparent);
 +              if(s == -1 && noproto && hints->ai_family == AF_INET6){
 +                      *noip6 = 1;
 +              }
 +      }
 +      freeaddrinfo(res);
 +      return s;
 +}
 +
 +/** make socket and first see if ifname contains port override info */
 +static int
 +make_sock_port(int stype, const char* ifname, const char* port, 
 +      struct addrinfo *hints, int v6only, int* noip6, size_t rcv, size_t snd,
-                       rcv, snd, reuseport);
++      int* reuseport, int transparent)
 +{
 +      char* s = strchr(ifname, '@');
 +      if(s) {
 +              /* override port with ifspec@port */
 +              char p[16];
 +              char newif[128];
 +              if((size_t)(s-ifname) >= sizeof(newif)) {
 +                      log_err("ifname too long: %s", ifname);
 +                      *noip6 = 0;
 +                      return -1;
 +              }
 +              if(strlen(s+1) >= sizeof(p)) {
 +                      log_err("portnumber too long: %s", ifname);
 +                      *noip6 = 0;
 +                      return -1;
 +              }
 +              (void)strlcpy(newif, ifname, sizeof(newif));
 +              newif[s-ifname] = 0;
 +              (void)strlcpy(p, s+1, sizeof(p));
 +              p[strlen(s+1)]=0;
 +              return make_sock(stype, newif, p, hints, v6only, noip6,
-               reuseport);
++                      rcv, snd, reuseport, transparent);
 +      }
 +      return make_sock(stype, ifname, port, hints, v6only, noip6, rcv, snd,
-       size_t rcv, size_t snd, int ssl_port, int* reuseport)
++              reuseport, transparent);
 +}
 +
 +/**
 + * Add port to open ports list.
 + * @param list: list head. changed.
 + * @param s: fd.
 + * @param ftype: if fd is UDP.
 + * @return false on failure. list in unchanged then.
 + */
 +static int
 +port_insert(struct listen_port** list, int s, enum listen_type ftype)
 +{
 +      struct listen_port* item = (struct listen_port*)malloc(
 +              sizeof(struct listen_port));
 +      if(!item)
 +              return 0;
 +      item->next = *list;
 +      item->fd = s;
 +      item->ftype = ftype;
 +      *list = item;
 +      return 1;
 +}
 +
 +/** set fd to receive source address packet info */
 +static int
 +set_recvpktinfo(int s, int family) 
 +{
 +#if defined(IPV6_RECVPKTINFO) || defined(IPV6_PKTINFO) || (defined(IP_RECVDSTADDR) && defined(IP_SENDSRCADDR)) || defined(IP_PKTINFO)
 +      int on = 1;
 +#else
 +      (void)s;
 +#endif
 +      if(family == AF_INET6) {
 +#           ifdef IPV6_RECVPKTINFO
 +              if(setsockopt(s, IPPROTO_IPV6, IPV6_RECVPKTINFO,
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +                      log_err("setsockopt(..., IPV6_RECVPKTINFO, ...) failed: %s",
 +                              strerror(errno));
 +                      return 0;
 +              }
 +#           elif defined(IPV6_PKTINFO)
 +              if(setsockopt(s, IPPROTO_IPV6, IPV6_PKTINFO,
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +                      log_err("setsockopt(..., IPV6_PKTINFO, ...) failed: %s",
 +                              strerror(errno));
 +                      return 0;
 +              }
 +#           else
 +              log_err("no IPV6_RECVPKTINFO and no IPV6_PKTINFO option, please "
 +                      "disable interface-automatic in config");
 +              return 0;
 +#           endif /* defined IPV6_RECVPKTINFO */
 +
 +      } else if(family == AF_INET) {
 +#           ifdef IP_PKTINFO
 +              if(setsockopt(s, IPPROTO_IP, IP_PKTINFO,
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +                      log_err("setsockopt(..., IP_PKTINFO, ...) failed: %s",
 +                              strerror(errno));
 +                      return 0;
 +              }
 +#           elif defined(IP_RECVDSTADDR) && defined(IP_SENDSRCADDR)
 +              if(setsockopt(s, IPPROTO_IP, IP_RECVDSTADDR,
 +                      (void*)&on, (socklen_t)sizeof(on)) < 0) {
 +                      log_err("setsockopt(..., IP_RECVDSTADDR, ...) failed: %s",
 +                              strerror(errno));
 +                      return 0;
 +              }
 +#           else
 +              log_err("no IP_SENDSRCADDR or IP_PKTINFO option, please disable "
 +                      "interface-automatic in config");
 +              return 0;
 +#           endif /* IP_PKTINFO */
 +
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Helper for ports_open. Creates one interface (or NULL for default).
 + * @param ifname: The interface ip address.
 + * @param do_auto: use automatic interface detection.
 + *    If enabled, then ifname must be the wildcard name.
 + * @param do_udp: if udp should be used.
 + * @param do_tcp: if udp should be used.
 + * @param hints: for getaddrinfo. family and flags have to be set by caller.
 + * @param port: Port number to use (as string).
 + * @param list: list of open ports, appended to, changed to point to list head.
 + * @param rcv: receive buffer size for UDP
 + * @param snd: send buffer size for UDP
 + * @param ssl_port: ssl service port number
 + * @param reuseport: try to set SO_REUSEPORT if nonNULL and true.
 + *    set to false on exit if reuseport failed due to no kernel support.
++ * @param transparent: set IP_TRANSPARENT socket option.
 + * @return: returns false on error.
 + */
 +static int
 +ports_create_if(const char* ifname, int do_auto, int do_udp, int do_tcp, 
 +      struct addrinfo *hints, const char* port, struct listen_port** list,
-                       &noip6, rcv, snd, reuseport)) == -1) {
++      size_t rcv, size_t snd, int ssl_port, int* reuseport, int transparent)
 +{
 +      int s, noip6=0;
 +      if(!do_udp && !do_tcp)
 +              return 0;
 +      if(do_auto) {
 +              if((s = make_sock_port(SOCK_DGRAM, ifname, port, hints, 1, 
-                       &noip6, rcv, snd, reuseport)) == -1) {
++                      &noip6, rcv, snd, reuseport, transparent)) == -1) {
 +                      if(noip6) {
 +                              log_warn("IPv6 protocol not available");
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +              /* getting source addr packet info is highly non-portable */
 +              if(!set_recvpktinfo(s, hints->ai_family)) {
 +#ifndef USE_WINSOCK
 +                      close(s);
 +#else
 +                      closesocket(s);
 +#endif
 +                      return 0;
 +              }
 +              if(!port_insert(list, s, listen_type_udpancil)) {
 +#ifndef USE_WINSOCK
 +                      close(s);
 +#else
 +                      closesocket(s);
 +#endif
 +                      return 0;
 +              }
 +      } else if(do_udp) {
 +              /* regular udp socket */
 +              if((s = make_sock_port(SOCK_DGRAM, ifname, port, hints, 1, 
-                       &noip6, 0, 0, reuseport)) == -1) {
++                      &noip6, rcv, snd, reuseport, transparent)) == -1) {
 +                      if(noip6) {
 +                              log_warn("IPv6 protocol not available");
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +              if(!port_insert(list, s, listen_type_udp)) {
 +#ifndef USE_WINSOCK
 +                      close(s);
 +#else
 +                      closesocket(s);
 +#endif
 +                      return 0;
 +              }
 +      }
 +      if(do_tcp) {
 +              int is_ssl = ((strchr(ifname, '@') && 
 +                      atoi(strchr(ifname, '@')+1) == ssl_port) ||
 +                      (!strchr(ifname, '@') && atoi(port) == ssl_port));
 +              if((s = make_sock_port(SOCK_STREAM, ifname, port, hints, 1, 
-                               cfg->ssl_port, reuseport)) {
++                      &noip6, 0, 0, reuseport, transparent)) == -1) {
 +                      if(noip6) {
 +                              /*log_warn("IPv6 protocol not available");*/
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +              if(is_ssl)
 +                      verbose(VERB_ALGO, "setup TCP for SSL service");
 +              if(!port_insert(list, s, is_ssl?listen_type_ssl:
 +                      listen_type_tcp)) {
 +#ifndef USE_WINSOCK
 +                      close(s);
 +#else
 +                      closesocket(s);
 +#endif
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +/** 
 + * Add items to commpoint list in front.
 + * @param c: commpoint to add.
 + * @param front: listen struct.
 + * @return: false on failure.
 + */
 +static int
 +listen_cp_insert(struct comm_point* c, struct listen_dnsport* front)
 +{
 +      struct listen_list* item = (struct listen_list*)malloc(
 +              sizeof(struct listen_list));
 +      if(!item)
 +              return 0;
 +      item->com = c;
 +      item->next = front->cps;
 +      front->cps = item;
 +      return 1;
 +}
 +
 +struct listen_dnsport* 
 +listen_create(struct comm_base* base, struct listen_port* ports,
 +      size_t bufsize, int tcp_accept_count, void* sslctx,
 +      struct dt_env* dtenv, comm_point_callback_t* cb, void *cb_arg)
 +{
 +      struct listen_dnsport* front = (struct listen_dnsport*)
 +              malloc(sizeof(struct listen_dnsport));
 +      if(!front)
 +              return NULL;
 +      front->cps = NULL;
 +      front->udp_buff = sldns_buffer_new(bufsize);
 +      if(!front->udp_buff) {
 +              free(front);
 +              return NULL;
 +      }
 +
 +      /* create comm points as needed */
 +      while(ports) {
 +              struct comm_point* cp = NULL;
 +              if(ports->ftype == listen_type_udp) 
 +                      cp = comm_point_create_udp(base, ports->fd, 
 +                              front->udp_buff, cb, cb_arg);
 +              else if(ports->ftype == listen_type_tcp)
 +                      cp = comm_point_create_tcp(base, ports->fd, 
 +                              tcp_accept_count, bufsize, cb, cb_arg);
 +              else if(ports->ftype == listen_type_ssl) {
 +                      cp = comm_point_create_tcp(base, ports->fd, 
 +                              tcp_accept_count, bufsize, cb, cb_arg);
 +                      cp->ssl = sslctx;
 +              } else if(ports->ftype == listen_type_udpancil) 
 +                      cp = comm_point_create_udp_ancil(base, ports->fd, 
 +                              front->udp_buff, cb, cb_arg);
 +              if(!cp) {
 +                      log_err("can't create commpoint");      
 +                      listen_delete(front);
 +                      return NULL;
 +              }
 +              cp->dtenv = dtenv;
 +              cp->do_not_close = 1;
 +              if(!listen_cp_insert(cp, front)) {
 +                      log_err("malloc failed");
 +                      comm_point_delete(cp);
 +                      listen_delete(front);
 +                      return NULL;
 +              }
 +              ports = ports->next;
 +      }
 +      if(!front->cps) {
 +              log_err("Could not open sockets to accept queries.");
 +              listen_delete(front);
 +              return NULL;
 +      }
 +
 +      return front;
 +}
 +
 +void
 +listen_list_delete(struct listen_list* list)
 +{
 +      struct listen_list *p = list, *pn;
 +      while(p) {
 +              pn = p->next;
 +              comm_point_delete(p->com);
 +              free(p);
 +              p = pn;
 +      }
 +}
 +
 +void 
 +listen_delete(struct listen_dnsport* front)
 +{
 +      if(!front) 
 +              return;
 +      listen_list_delete(front->cps);
 +      sldns_buffer_free(front->udp_buff);
 +      free(front);
 +}
 +
 +struct listen_port* 
 +listening_ports_open(struct config_file* cfg, int* reuseport)
 +{
 +      struct listen_port* list = NULL;
 +      struct addrinfo hints;
 +      int i, do_ip4, do_ip6;
 +      int do_tcp, do_auto;
 +      char portbuf[32];
 +      snprintf(portbuf, sizeof(portbuf), "%d", cfg->port);
 +      do_ip4 = cfg->do_ip4;
 +      do_ip6 = cfg->do_ip6;
 +      do_tcp = cfg->do_tcp;
 +      do_auto = cfg->if_automatic && cfg->do_udp;
 +      if(cfg->incoming_num_tcp == 0)
 +              do_tcp = 0;
 +
 +      /* getaddrinfo */
 +      memset(&hints, 0, sizeof(hints));
 +      hints.ai_flags = AI_PASSIVE;
 +      /* no name lookups on our listening ports */
 +      if(cfg->num_ifs > 0)
 +              hints.ai_flags |= AI_NUMERICHOST;
 +      hints.ai_family = AF_UNSPEC;
 +#ifndef INET6
 +      do_ip6 = 0;
 +#endif
 +      if(!do_ip4 && !do_ip6) {
 +              return NULL;
 +      }
 +      /* create ip4 and ip6 ports so that return addresses are nice. */
 +      if(do_auto || cfg->num_ifs == 0) {
 +              if(do_ip6) {
 +                      hints.ai_family = AF_INET6;
 +                      if(!ports_create_if(do_auto?"::0":"::1", 
 +                              do_auto, cfg->do_udp, do_tcp, 
 +                              &hints, portbuf, &list,
 +                              cfg->so_rcvbuf, cfg->so_sndbuf,
-                               cfg->ssl_port, reuseport)) {
++                              cfg->ssl_port, reuseport,
++                              cfg->ip_transparent)) {
 +                              listening_ports_free(list);
 +                              return NULL;
 +                      }
 +              }
 +              if(do_ip4) {
 +                      hints.ai_family = AF_INET;
 +                      if(!ports_create_if(do_auto?"0.0.0.0":"127.0.0.1", 
 +                              do_auto, cfg->do_udp, do_tcp, 
 +                              &hints, portbuf, &list,
 +                              cfg->so_rcvbuf, cfg->so_sndbuf,
-                               cfg->ssl_port, reuseport)) {
++                              cfg->ssl_port, reuseport,
++                              cfg->ip_transparent)) {
 +                              listening_ports_free(list);
 +                              return NULL;
 +                      }
 +              }
 +      } else for(i = 0; i<cfg->num_ifs; i++) {
 +              if(str_is_ip6(cfg->ifs[i])) {
 +                      if(!do_ip6)
 +                              continue;
 +                      hints.ai_family = AF_INET6;
 +                      if(!ports_create_if(cfg->ifs[i], 0, cfg->do_udp, 
 +                              do_tcp, &hints, portbuf, &list, 
 +                              cfg->so_rcvbuf, cfg->so_sndbuf,
-                               cfg->ssl_port, reuseport)) {
++                              cfg->ssl_port, reuseport,
++                              cfg->ip_transparent)) {
 +                              listening_ports_free(list);
 +                              return NULL;
 +                      }
 +              } else {
 +                      if(!do_ip4)
 +                              continue;
 +                      hints.ai_family = AF_INET;
 +                      if(!ports_create_if(cfg->ifs[i], 0, cfg->do_udp, 
 +                              do_tcp, &hints, portbuf, &list, 
 +                              cfg->so_rcvbuf, cfg->so_sndbuf,
++                              cfg->ssl_port, reuseport,
++                              cfg->ip_transparent)) {
 +                              listening_ports_free(list);
 +                              return NULL;
 +                      }
 +              }
 +      }
 +      return list;
 +}
 +
 +void listening_ports_free(struct listen_port* list)
 +{
 +      struct listen_port* nx;
 +      while(list) {
 +              nx = list->next;
 +              if(list->fd != -1) {
 +#ifndef USE_WINSOCK
 +                      close(list->fd);
 +#else
 +                      closesocket(list->fd);
 +#endif
 +              }
 +              free(list);
 +              list = nx;
 +      }
 +}
 +
 +size_t listen_get_mem(struct listen_dnsport* listen)
 +{
 +      size_t s = sizeof(*listen) + sizeof(*listen->base) + 
 +              sizeof(*listen->udp_buff) + 
 +              sldns_buffer_capacity(listen->udp_buff);
 +      struct listen_list* p;
 +      for(p = listen->cps; p; p = p->next) {
 +              s += sizeof(*p);
 +              s += comm_point_get_mem(p->com);
 +      }
 +      return s;
 +}
 +
 +void listen_stop_accept(struct listen_dnsport* listen)
 +{
 +      /* do not stop the ones that have no tcp_free list
 +       * (they have already stopped listening) */
 +      struct listen_list* p;
 +      for(p=listen->cps; p; p=p->next) {
 +              if(p->com->type == comm_tcp_accept &&
 +                      p->com->tcp_free != NULL) {
 +                      comm_point_stop_listening(p->com);
 +              }
 +      }
 +}
 +
 +void listen_start_accept(struct listen_dnsport* listen)
 +{
 +      /* do not start the ones that have no tcp_free list, it is no
 +       * use to listen to them because they have no free tcp handlers */
 +      struct listen_list* p;
 +      for(p=listen->cps; p; p=p->next) {
 +              if(p->com->type == comm_tcp_accept &&
 +                      p->com->tcp_free != NULL) {
 +                      comm_point_start_listening(p->com, -1, -1);
 +              }
 +      }
 +}
 +
diff --cc contrib/unbound/services/listen_dnsport.h
index e9883a8f4f972b9cc80af852a3f69cae1130d061,0000000000000000000000000000000000000000..676f0c638ca4858da91a9623ccc806f719646cfb
mode 100644,000000..100644
--- 1/contrib/unbound/services/listen_dnsport.h
--- /dev/null
+++ b/contrib/unbound/services/listen_dnsport.h
@@@ -1,219 -1,0 +1,221 @@@
-       int snd, int listen, int* reuseport);
 +/*
 + * services/listen_dnsport.h - listen on port 53 for incoming DNS queries.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file has functions to get queries from clients.
 + */
 +
 +#ifndef LISTEN_DNSPORT_H
 +#define LISTEN_DNSPORT_H
 +
 +#include "util/netevent.h"
 +struct listen_list;
 +struct config_file;
 +struct addrinfo;
 +struct sldns_buffer;
 +
 +/**
 + * Listening for queries structure.
 + * Contains list of query-listen sockets.
 + */
 +struct listen_dnsport {
 +      /** Base for select calls */
 +      struct comm_base* base;
 +
 +      /** buffer shared by UDP connections, since there is only one
 +          datagram at any time. */
 +      struct sldns_buffer* udp_buff;
 +
 +      /** list of comm points used to get incoming events */
 +      struct listen_list* cps;
 +};
 +
 +/**
 + * Single linked list to store event points.
 + */
 +struct listen_list {
 +      /** next in list */
 +      struct listen_list* next;
 +      /** event info */
 +      struct comm_point* com;
 +};
 +
 +/**
 + * type of ports
 + */
 +enum listen_type {
 +      /** udp type */
 +      listen_type_udp,
 +      /** tcp type */
 +      listen_type_tcp,
 +      /** udp ipv6 (v4mapped) for use with ancillary data */
 +      listen_type_udpancil,
 +      /** ssl over tcp type */
 +      listen_type_ssl
 +};
 +
 +/**
 + * Single linked list to store shared ports that have been 
 + * opened for use by all threads.
 + */
 +struct listen_port {
 +      /** next in list */
 +      struct listen_port* next;
 +      /** file descriptor, open and ready for use */
 +      int fd;
 +      /** type of file descriptor, udp or tcp */
 +      enum listen_type ftype;
 +};
 +
 +/**
 + * Create shared listening ports
 + * Getaddrinfo, create socket, bind and listen to zero or more 
 + * interfaces for IP4 and/or IP6, for UDP and/or TCP.
 + * On the given port number. It creates the sockets.
 + * @param cfg: settings on what ports to open.
 + * @param reuseport: set to true if you want reuseport, or NULL to not have it,
 + *   set to false on exit if reuseport failed to apply (because of no
 + *   kernel support).
 + * @return: linked list of ports or NULL on error.
 + */
 +struct listen_port* listening_ports_open(struct config_file* cfg,
 +      int* reuseport);
 +
 +/**
 + * Close and delete the (list of) listening ports.
 + */
 +void listening_ports_free(struct listen_port* list);
 +
 +/**
 + * Create commpoints with for this thread for the shared ports.
 + * @param base: the comm_base that provides event functionality.
 + *    for default all ifs.
 + * @param ports: the list of shared ports.
 + * @param bufsize: size of datagram buffer.
 + * @param tcp_accept_count: max number of simultaneous TCP connections 
 + *    from clients.
 + * @param sslctx: nonNULL if ssl context.
 + * @param dtenv: nonNULL if dnstap enabled.
 + * @param cb: callback function when a request arrives. It is passed
 + *      the packet and user argument. Return true to send a reply.
 + * @param cb_arg: user data argument for callback function.
 + * @return: the malloced listening structure, ready for use. NULL on error.
 + */
 +struct listen_dnsport* listen_create(struct comm_base* base,
 +      struct listen_port* ports, size_t bufsize, int tcp_accept_count,
 +      void* sslctx, struct dt_env *dtenv, comm_point_callback_t* cb,
 +      void* cb_arg);
 +
 +/**
 + * delete the listening structure
 + * @param listen: listening structure.
 + */
 +void listen_delete(struct listen_dnsport* listen);
 +
 +/**
 + * delete listen_list of commpoints. Calls commpointdelete() on items.
 + * This may close the fds or not depending on flags.
 + * @param list: to delete.
 + */
 +void listen_list_delete(struct listen_list* list);
 +
 +/**
 + * get memory size used by the listening structs
 + * @param listen: listening structure.
 + * @return: size in bytes.
 + */
 +size_t listen_get_mem(struct listen_dnsport* listen);
 +
 +/**
 + * stop accept handlers for TCP (until enabled again)
 + * @param listen: listening structure.
 + */
 +void listen_stop_accept(struct listen_dnsport* listen);
 +
 +/**
 + * start accept handlers for TCP (was stopped before)
 + * @param listen: listening structure.
 + */
 +void listen_start_accept(struct listen_dnsport* listen);
 +
 +/**
 + * Create and bind nonblocking UDP socket
 + * @param family: for socket call.
 + * @param socktype: for socket call.
 + * @param addr: for bind call.
 + * @param addrlen: for bind call.
 + * @param v6only: if enabled, IP6 sockets get IP6ONLY option set.
 + *    if enabled with value 2 IP6ONLY option is disabled.
 + * @param inuse: on error, this is set true if the port was in use.
 + * @param noproto: on error, this is set true if cause is that the
 +      IPv6 proto (family) is not available.
 + * @param rcv: set size on rcvbuf with socket option, if 0 it is not set.
 + * @param snd: set size on sndbuf with socket option, if 0 it is not set.
 + * @param listen: if true, this is a listening UDP port, eg port 53, and 
 + *    set SO_REUSEADDR on it.
 + * @param reuseport: if nonNULL and true, try to set SO_REUSEPORT on
 + *    listening UDP port.  Set to false on return if it failed to do so.
++ * @param transparent: set IP_TRANSPARENT socket option.
 + * @return: the socket. -1 on error.
 + */
 +int create_udp_sock(int family, int socktype, struct sockaddr* addr, 
 +      socklen_t addrlen, int v6only, int* inuse, int* noproto, int rcv,
-       int* reuseport);
++      int snd, int listen, int* reuseport, int transparent);
 +
 +/**
 + * Create and bind TCP listening socket
 + * @param addr: address info ready to make socket.
 + * @param v6only: enable ip6 only flag on ip6 sockets.
 + * @param noproto: if error caused by lack of protocol support.
 + * @param reuseport: if nonNULL and true, try to set SO_REUSEPORT on
 + *    listening UDP port.  Set to false on return if it failed to do so.
++ * @param transparent: set IP_TRANSPARENT socket option.
 + * @return: the socket. -1 on error.
 + */
 +int create_tcp_accept_sock(struct addrinfo *addr, int v6only, int* noproto,
++      int* reuseport, int transparent);
 +
 +/**
 + * Create and bind local listening socket
 + * @param path: path to the socket.
 + * @param noproto: on error, this is set true if cause is that local sockets
 + *    are not supported.
 + * @return: the socket. -1 on error.
 + */
 +int create_local_accept_sock(const char* path, int* noproto);
 +
 +#endif /* LISTEN_DNSPORT_H */
diff --cc contrib/unbound/services/localzone.c
index 57510bd27364e2c4b91a4a5694fa1a15aaab0c95,0000000000000000000000000000000000000000..c50ad0f1586f92ca0cafacd624953efe4c830fd6
mode 100644,000000..100644
--- 1/contrib/unbound/services/localzone.c
--- /dev/null
+++ b/contrib/unbound/services/localzone.c
@@@ -1,1427 -1,0 +1,1435 @@@
- #include "ldns/str2wire.h"
- #include "ldns/sbuffer.h"
 +/*
 + * services/localzone.c - local zones authority service.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to enable local zone authority service.
 + */
 +#include "config.h"
 +#include "services/localzone.h"
-       if(z->type == local_zone_deny) {
++#include "sldns/str2wire.h"
++#include "sldns/sbuffer.h"
 +#include "util/regional.h"
 +#include "util/config_file.h"
 +#include "util/data/dname.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/msgencode.h"
 +#include "util/net_help.h"
 +#include "util/netevent.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgparse.h"
 +
 +struct local_zones* 
 +local_zones_create(void)
 +{
 +      struct local_zones* zones = (struct local_zones*)calloc(1, 
 +              sizeof(*zones));
 +      if(!zones)
 +              return NULL;
 +      rbtree_init(&zones->ztree, &local_zone_cmp);
 +      lock_rw_init(&zones->lock);
 +      lock_protect(&zones->lock, &zones->ztree, sizeof(zones->ztree));
 +      /* also lock protects the rbnode's in struct local_zone */
 +      return zones;
 +}
 +
 +/** helper traverse to delete zones */
 +static void 
 +lzdel(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct local_zone* z = (struct local_zone*)n->key;
 +      local_zone_delete(z);
 +}
 +
 +void 
 +local_zones_delete(struct local_zones* zones)
 +{
 +      if(!zones)
 +              return;
 +      lock_rw_destroy(&zones->lock);
 +      /* walk through zones and delete them all */
 +      traverse_postorder(&zones->ztree, lzdel, NULL);
 +      free(zones);
 +}
 +
 +void 
 +local_zone_delete(struct local_zone* z)
 +{
 +      if(!z)
 +              return;
 +      lock_rw_destroy(&z->lock);
 +      regional_destroy(z->region);
 +      free(z->name);
 +      free(z);
 +}
 +
 +int 
 +local_zone_cmp(const void* z1, const void* z2)
 +{
 +      /* first sort on class, so that hierarchy can be maintained within
 +       * a class */
 +      struct local_zone* a = (struct local_zone*)z1;
 +      struct local_zone* b = (struct local_zone*)z2;
 +      int m;
 +      if(a->dclass != b->dclass) {
 +              if(a->dclass < b->dclass)
 +                      return -1;
 +              return 1;
 +      }
 +      return dname_lab_cmp(a->name, a->namelabs, b->name, b->namelabs, &m);
 +}
 +
 +int 
 +local_data_cmp(const void* d1, const void* d2)
 +{
 +      struct local_data* a = (struct local_data*)d1;
 +      struct local_data* b = (struct local_data*)d2;
 +      int m;
 +      return dname_canon_lab_cmp(a->name, a->namelabs, b->name, 
 +              b->namelabs, &m);
 +}
 +
 +/* form wireformat from text format domain name */
 +int
 +parse_dname(const char* str, uint8_t** res, size_t* len, int* labs)
 +{
 +      *res = sldns_str2wire_dname(str, len);
 +      *labs = 0;
 +      if(!*res) {
 +              log_err("cannot parse name %s", str);
 +              return 0;
 +      }
 +      *labs = dname_count_size_labels(*res, len);
 +      return 1;
 +}
 +
 +/** create a new localzone */
 +static struct local_zone*
 +local_zone_create(uint8_t* nm, size_t len, int labs, 
 +      enum localzone_type t, uint16_t dclass)
 +{
 +      struct local_zone* z = (struct local_zone*)calloc(1, sizeof(*z));
 +      if(!z) {
 +              return NULL;
 +      }
 +      z->node.key = z;
 +      z->dclass = dclass;
 +      z->type = t;
 +      z->name = nm;
 +      z->namelen = len;
 +      z->namelabs = labs;
 +      lock_rw_init(&z->lock);
 +      z->region = regional_create();
 +      if(!z->region) {
 +              free(z);
 +              return NULL;
 +      }
 +      rbtree_init(&z->data, &local_data_cmp);
 +      lock_protect(&z->lock, &z->parent, sizeof(*z)-sizeof(rbnode_t));
 +      /* also the zones->lock protects node, parent, name*, class */
 +      return z;
 +}
 +
 +/** enter a new zone with allocated dname returns with WRlock */
 +static struct local_zone*
 +lz_enter_zone_dname(struct local_zones* zones, uint8_t* nm, size_t len, 
 +      int labs, enum localzone_type t, uint16_t c)
 +{
 +      struct local_zone* z = local_zone_create(nm, len, labs, t, c);
 +      if(!z) {
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +
 +      /* add to rbtree */
 +      lock_rw_wrlock(&zones->lock);
 +      lock_rw_wrlock(&z->lock);
 +      if(!rbtree_insert(&zones->ztree, &z->node)) {
 +              log_warn("duplicate local-zone");
 +              lock_rw_unlock(&z->lock);
 +              local_zone_delete(z);
 +              lock_rw_unlock(&zones->lock);
 +              return NULL;
 +      }
 +      lock_rw_unlock(&zones->lock);
 +      return z;
 +}
 +
 +/** enter a new zone */
 +static struct local_zone*
 +lz_enter_zone(struct local_zones* zones, const char* name, const char* type,
 +      uint16_t dclass)
 +{
 +      struct local_zone* z;
 +      enum localzone_type t;
 +      uint8_t* nm;
 +      size_t len;
 +      int labs;
 +      if(!parse_dname(name, &nm, &len, &labs)) {
 +              log_err("bad zone name %s %s", name, type);
 +              return NULL;
 +      }
 +      if(!local_zone_str2type(type, &t)) {
 +              log_err("bad lz_enter_zone type %s %s", name, type);
 +              free(nm);
 +              return NULL;
 +      }
 +      if(!(z=lz_enter_zone_dname(zones, nm, len, labs, t, dclass))) {
 +              log_err("could not enter zone %s %s", name, type);
 +              return NULL;
 +      }
 +      return z;
 +}
 +
 +/** return name and class and rdata of rr; parses string */
 +static int
 +get_rr_content(const char* str, uint8_t** nm, uint16_t* type,
 +      uint16_t* dclass, time_t* ttl, uint8_t* rr, size_t len,
 +      uint8_t** rdata, size_t* rdata_len)
 +{
 +      size_t dname_len = 0;
 +      int e = sldns_str2wire_rr_buf(str, rr, &len, &dname_len, 3600,
 +              NULL, 0, NULL, 0);
 +      if(e) {
 +              log_err("error parsing local-data at %d: '%s': %s",
 +                      LDNS_WIREPARSE_OFFSET(e), str,
 +                      sldns_get_errorstr_parse(e));
 +              return 0;
 +      }
 +      *nm = memdup(rr, dname_len);
 +      if(!*nm) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      *dclass = sldns_wirerr_get_class(rr, len, dname_len);
 +      *type = sldns_wirerr_get_type(rr, len, dname_len);
 +      *ttl = (time_t)sldns_wirerr_get_ttl(rr, len, dname_len);
 +      *rdata = sldns_wirerr_get_rdatawl(rr, len, dname_len);
 +      *rdata_len = sldns_wirerr_get_rdatalen(rr, len, dname_len)+2;
 +      return 1;
 +}
 +
 +/** return name and class of rr; parses string */
 +static int
 +get_rr_nameclass(const char* str, uint8_t** nm, uint16_t* dclass)
 +{
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      size_t len = sizeof(rr), dname_len = 0;
 +      int s = sldns_str2wire_rr_buf(str, rr, &len, &dname_len, 3600,
 +              NULL, 0, NULL, 0);
 +      if(s != 0) {
 +              log_err("error parsing local-data at %d '%s': %s",
 +                      LDNS_WIREPARSE_OFFSET(s), str,
 +                      sldns_get_errorstr_parse(s));
 +              return 0;
 +      }
 +      *nm = memdup(rr, dname_len);
 +      *dclass = sldns_wirerr_get_class(rr, len, dname_len);
 +      if(!*nm) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Find an rrset in local data structure.
 + * @param data: local data domain name structure.
 + * @param type: type to look for (host order).
 + * @return rrset pointer or NULL if not found.
 + */
 +static struct local_rrset*
 +local_data_find_type(struct local_data* data, uint16_t type)
 +{
 +      struct local_rrset* p;
 +      type = htons(type);
 +      for(p = data->rrsets; p; p = p->next) {
 +              if(p->rrset->rk.type == type)
 +                      return p;
 +      }
 +      return NULL;
 +}
 +
 +/** check for RR duplicates */
 +static int
 +rr_is_duplicate(struct packed_rrset_data* pd, uint8_t* rdata, size_t rdata_len)
 +{
 +      size_t i;
 +      for(i=0; i<pd->count; i++) {
 +              if(pd->rr_len[i] == rdata_len &&
 +                      memcmp(pd->rr_data[i], rdata, rdata_len) == 0)
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** new local_rrset */
 +static struct local_rrset*
 +new_local_rrset(struct regional* region, struct local_data* node,
 +      uint16_t rrtype, uint16_t rrclass)
 +{
 +      struct packed_rrset_data* pd;
 +      struct local_rrset* rrset = (struct local_rrset*)
 +              regional_alloc_zero(region, sizeof(*rrset));
 +      if(!rrset) {
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      rrset->next = node->rrsets;
 +      node->rrsets = rrset;
 +      rrset->rrset = (struct ub_packed_rrset_key*)
 +              regional_alloc_zero(region, sizeof(*rrset->rrset));
 +      if(!rrset->rrset) {
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      rrset->rrset->entry.key = rrset->rrset;
 +      pd = (struct packed_rrset_data*)regional_alloc_zero(region,
 +              sizeof(*pd));
 +      if(!pd) {
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      pd->trust = rrset_trust_prim_noglue;
 +      pd->security = sec_status_insecure;
 +      rrset->rrset->entry.data = pd;
 +      rrset->rrset->rk.dname = node->name;
 +      rrset->rrset->rk.dname_len = node->namelen;
 +      rrset->rrset->rk.type = htons(rrtype);
 +      rrset->rrset->rk.rrset_class = htons(rrclass);
 +      return rrset;
 +}
 +
 +/** insert RR into RRset data structure; Wastes a couple of bytes */
 +static int
 +insert_rr(struct regional* region, struct packed_rrset_data* pd,
 +      uint8_t* rdata, size_t rdata_len, time_t ttl)
 +{
 +      size_t* oldlen = pd->rr_len;
 +      time_t* oldttl = pd->rr_ttl;
 +      uint8_t** olddata = pd->rr_data;
 +
 +      /* add RR to rrset */
 +      pd->count++;
 +      pd->rr_len = regional_alloc(region, sizeof(*pd->rr_len)*pd->count);
 +      pd->rr_ttl = regional_alloc(region, sizeof(*pd->rr_ttl)*pd->count);
 +      pd->rr_data = regional_alloc(region, sizeof(*pd->rr_data)*pd->count);
 +      if(!pd->rr_len || !pd->rr_ttl || !pd->rr_data) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      if(pd->count > 1) {
 +              memcpy(pd->rr_len+1, oldlen, 
 +                      sizeof(*pd->rr_len)*(pd->count-1));
 +              memcpy(pd->rr_ttl+1, oldttl, 
 +                      sizeof(*pd->rr_ttl)*(pd->count-1));
 +              memcpy(pd->rr_data+1, olddata, 
 +                      sizeof(*pd->rr_data)*(pd->count-1));
 +      }
 +      pd->rr_len[0] = rdata_len;
 +      pd->rr_ttl[0] = ttl;
 +      pd->rr_data[0] = regional_alloc_init(region, rdata, rdata_len);
 +      if(!pd->rr_data[0]) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** find a data node by exact name */
 +static struct local_data* 
 +lz_find_node(struct local_zone* z, uint8_t* nm, size_t nmlen, int nmlabs)
 +{
 +      struct local_data key;
 +      key.node.key = &key;
 +      key.name = nm;
 +      key.namelen = nmlen;
 +      key.namelabs = nmlabs;
 +      return (struct local_data*)rbtree_search(&z->data, &key.node);
 +}
 +
 +/** find a node, create it if not and all its empty nonterminal parents */
 +static int
 +lz_find_create_node(struct local_zone* z, uint8_t* nm, size_t nmlen, 
 +      int nmlabs, struct local_data** res)
 +{
 +      struct local_data* ld = lz_find_node(z, nm, nmlen, nmlabs);
 +      if(!ld) {
 +              /* create a domain name to store rr. */
 +              ld = (struct local_data*)regional_alloc_zero(z->region,
 +                      sizeof(*ld));
 +              if(!ld) {
 +                      log_err("out of memory adding local data");
 +                      return 0;
 +              }
 +              ld->node.key = ld;
 +              ld->name = regional_alloc_init(z->region, nm, nmlen);
 +              if(!ld->name) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              ld->namelen = nmlen;
 +              ld->namelabs = nmlabs;
 +              if(!rbtree_insert(&z->data, &ld->node)) {
 +                      log_assert(0); /* duplicate name */
 +              }
 +              /* see if empty nonterminals need to be created */
 +              if(nmlabs > z->namelabs) {
 +                      dname_remove_label(&nm, &nmlen);
 +                      if(!lz_find_create_node(z, nm, nmlen, nmlabs-1, res))
 +                              return 0;
 +              }
 +      }
 +      *res = ld;
 +      return 1;
 +}
 +
 +/** enter data RR into auth zone */
 +static int
 +lz_enter_rr_into_zone(struct local_zone* z, const char* rrstr)
 +{
 +      uint8_t* nm;
 +      size_t nmlen;
 +      int nmlabs;
 +      struct local_data* node;
 +      struct local_rrset* rrset;
 +      struct packed_rrset_data* pd;
 +      uint16_t rrtype = 0, rrclass = 0;
 +      time_t ttl = 0;
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      uint8_t* rdata;
 +      size_t rdata_len;
 +      if(!get_rr_content(rrstr, &nm, &rrtype, &rrclass, &ttl, rr, sizeof(rr),
 +              &rdata, &rdata_len)) {
 +              log_err("bad local-data: %s", rrstr);
 +              return 0;
 +      }
 +      log_assert(z->dclass == rrclass);
 +      if(z->type == local_zone_redirect &&
 +              query_dname_compare(z->name, nm) != 0) {
 +              log_err("local-data in redirect zone must reside at top of zone"
 +                      ", not at %s", rrstr);
 +              free(nm);
 +              return 0;
 +      }
 +      nmlabs = dname_count_size_labels(nm, &nmlen);
 +      if(!lz_find_create_node(z, nm, nmlen, nmlabs, &node)) {
 +              free(nm);
 +              return 0;
 +      }
 +      log_assert(node);
 +      free(nm);
 +
 +      rrset = local_data_find_type(node, rrtype);
 +      if(!rrset) {
 +              rrset = new_local_rrset(z->region, node, rrtype, rrclass);
 +              if(!rrset)
 +                      return 0;
 +              if(query_dname_compare(node->name, z->name) == 0) {
 +                      if(rrtype == LDNS_RR_TYPE_NSEC)
 +                        rrset->rrset->rk.flags = PACKED_RRSET_NSEC_AT_APEX;
 +                      if(rrtype == LDNS_RR_TYPE_SOA)
 +                              z->soa = rrset->rrset;
 +              }
 +      } 
 +      pd = (struct packed_rrset_data*)rrset->rrset->entry.data;
 +      log_assert(rrset && pd);
 +
 +      /* check for duplicate RR */
 +      if(rr_is_duplicate(pd, rdata, rdata_len)) {
 +              verbose(VERB_ALGO, "ignoring duplicate RR: %s", rrstr);
 +              return 1;
 +      } 
 +      return insert_rr(z->region, pd, rdata, rdata_len, ttl);
 +}
 +
 +/** enter a data RR into auth data; a zone for it must exist */
 +static int
 +lz_enter_rr_str(struct local_zones* zones, const char* rr)
 +{
 +      uint8_t* rr_name;
 +      uint16_t rr_class;
 +      size_t len;
 +      int labs;
 +      struct local_zone* z;
 +      int r;
 +      if(!get_rr_nameclass(rr, &rr_name, &rr_class)) {
 +              log_err("bad rr %s", rr);
 +              return 0;
 +      }
 +      labs = dname_count_size_labels(rr_name, &len);
 +      lock_rw_rdlock(&zones->lock);
 +      z = local_zones_lookup(zones, rr_name, len, labs, rr_class);
 +      if(!z) {
 +              lock_rw_unlock(&zones->lock);
 +              fatal_exit("internal error: no zone for rr %s", rr);
 +      }
 +      lock_rw_wrlock(&z->lock);
 +      lock_rw_unlock(&zones->lock);
 +      free(rr_name);
 +      r = lz_enter_rr_into_zone(z, rr);
 +      lock_rw_unlock(&z->lock);
 +      return r;
 +}
 +
 +/** parse local-zone: statements */
 +static int
 +lz_enter_zones(struct local_zones* zones, struct config_file* cfg)
 +{
 +      struct config_str2list* p;
 +      struct local_zone* z;
 +      for(p = cfg->local_zones; p; p = p->next) {
 +              if(!(z=lz_enter_zone(zones, p->str, p->str2, 
 +                      LDNS_RR_CLASS_IN)))
 +                      return 0;
 +              lock_rw_unlock(&z->lock);
 +      }
 +      return 1;
 +}
 +
 +/** lookup a zone in rbtree; exact match only; SLOW due to parse */
 +static int
 +lz_exists(struct local_zones* zones, const char* name)
 +{
 +      struct local_zone z;
 +      z.node.key = &z;
 +      z.dclass = LDNS_RR_CLASS_IN;
 +      if(!parse_dname(name, &z.name, &z.namelen, &z.namelabs)) {
 +              log_err("bad name %s", name);
 +              return 0;
 +      }
 +      lock_rw_rdlock(&zones->lock);
 +      if(rbtree_search(&zones->ztree, &z.node)) {
 +              lock_rw_unlock(&zones->lock);
 +              free(z.name);
 +              return 1;
 +      }
 +      lock_rw_unlock(&zones->lock);
 +      free(z.name);
 +      return 0;
 +}
 +
 +/** lookup a zone in cfg->nodefault list */
 +static int
 +lz_nodefault(struct config_file* cfg, const char* name)
 +{
 +      struct config_strlist* p;
 +      size_t len = strlen(name);
 +      if(len == 0) return 0;
 +      if(name[len-1] == '.') len--;
 +
 +      for(p = cfg->local_zones_nodefault; p; p = p->next) {
 +              /* compare zone name, lowercase, compare without ending . */
 +              if(strncasecmp(p->str, name, len) == 0 && 
 +                      (strlen(p->str) == len || (strlen(p->str)==len+1 &&
 +                      p->str[len] == '.')))
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** enter AS112 default zone */
 +static int
 +add_as112_default(struct local_zones* zones, struct config_file* cfg,
 +        const char* name)
 +{
 +      struct local_zone* z;
 +      char str[1024]; /* known long enough */
 +      if(lz_exists(zones, name) || lz_nodefault(cfg, name))
 +              return 1; /* do not enter default content */
 +      if(!(z=lz_enter_zone(zones, name, "static", LDNS_RR_CLASS_IN)))
 +              return 0;
 +      snprintf(str, sizeof(str), "%s 10800 IN SOA localhost. "
 +              "nobody.invalid. 1 3600 1200 604800 10800", name);
 +      if(!lz_enter_rr_into_zone(z, str)) {
 +              lock_rw_unlock(&z->lock);
 +              return 0;
 +      }
 +      snprintf(str, sizeof(str), "%s 10800 IN NS localhost. ", name);
 +      if(!lz_enter_rr_into_zone(z, str)) {
 +              lock_rw_unlock(&z->lock);
 +              return 0;
 +      }
 +      lock_rw_unlock(&z->lock);
 +      return 1;
 +}
 +
 +/** enter default zones */
 +static int
 +lz_enter_defaults(struct local_zones* zones, struct config_file* cfg)
 +{
 +      struct local_zone* z;
 +
 +      /* this list of zones is from RFC 6303 */
 +
 +      /* block localhost level zones, first, later the LAN zones */
 +
 +      /* localhost. zone */
 +      if(!lz_exists(zones, "localhost.") &&
 +              !lz_nodefault(cfg, "localhost.")) {
 +              if(!(z=lz_enter_zone(zones, "localhost.", "static", 
 +                      LDNS_RR_CLASS_IN)) ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "localhost. 10800 IN NS localhost.") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "localhost. 10800 IN SOA localhost. nobody.invalid. "
 +                      "1 3600 1200 604800 10800") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "localhost. 10800 IN A 127.0.0.1") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "localhost. 10800 IN AAAA ::1")) {
 +                      log_err("out of memory adding default zone");
 +                      if(z) { lock_rw_unlock(&z->lock); }
 +                      return 0;
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +      /* reverse ip4 zone */
 +      if(!lz_exists(zones, "127.in-addr.arpa.") &&
 +              !lz_nodefault(cfg, "127.in-addr.arpa.")) {
 +              if(!(z=lz_enter_zone(zones, "127.in-addr.arpa.", "static", 
 +                      LDNS_RR_CLASS_IN)) ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "127.in-addr.arpa. 10800 IN NS localhost.") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "127.in-addr.arpa. 10800 IN SOA localhost. "
 +                      "nobody.invalid. 1 3600 1200 604800 10800") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "1.0.0.127.in-addr.arpa. 10800 IN PTR localhost.")) {
 +                      log_err("out of memory adding default zone");
 +                      if(z) { lock_rw_unlock(&z->lock); }
 +                      return 0;
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +      /* reverse ip6 zone */
 +      if(!lz_exists(zones, "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.") &&
 +              !lz_nodefault(cfg, "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.")) {
 +              if(!(z=lz_enter_zone(zones, "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.", "static", 
 +                      LDNS_RR_CLASS_IN)) ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN NS localhost.") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN SOA localhost. "
 +                      "nobody.invalid. 1 3600 1200 604800 10800") ||
 +                 !lz_enter_rr_into_zone(z,
 +                      "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. 10800 IN PTR localhost.")) {
 +                      log_err("out of memory adding default zone");
 +                      if(z) { lock_rw_unlock(&z->lock); }
 +                      return 0;
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +
 +      /* if unblock lan-zones, then do not add the zones below.
 +       * we do add the zones above, about 127.0.0.1, because localhost is
 +       * not on the lan. */
 +      if(cfg->unblock_lan_zones)
 +              return 1;
 +
 +      /* block LAN level zones */
 +      if (    !add_as112_default(zones, cfg, "10.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "16.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "17.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "18.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "19.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "20.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "21.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "22.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "23.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "24.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "25.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "26.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "27.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "28.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "29.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "30.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "31.172.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "168.192.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "0.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "64.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "65.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "66.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "67.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "68.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "69.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "70.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "71.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "72.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "73.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "74.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "75.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "76.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "77.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "78.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "79.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "80.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "81.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "82.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "83.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "84.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "85.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "86.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "87.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "88.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "89.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "90.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "91.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "92.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "93.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "94.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "95.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "96.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "97.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "98.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "99.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "100.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "101.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "102.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "103.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "104.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "105.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "106.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "107.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "108.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "109.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "110.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "111.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "112.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "113.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "114.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "115.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "116.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "117.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "118.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "119.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "120.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "121.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "122.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "123.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "124.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "125.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "126.100.in-addr.arpa.") ||
 +                      !add_as112_default(zones, cfg, "127.100.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "254.169.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "2.0.192.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "100.51.198.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "113.0.203.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "255.255.255.255.in-addr.arpa.") ||
 +              !add_as112_default(zones, cfg, "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "d.f.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "8.e.f.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "9.e.f.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "a.e.f.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "b.e.f.ip6.arpa.") ||
 +              !add_as112_default(zones, cfg, "8.b.d.0.1.0.0.2.ip6.arpa.")) {
 +              log_err("out of memory adding default zone");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** setup parent pointers, so that a lookup can be done for closest match */
 +static void
 +init_parents(struct local_zones* zones)
 +{
 +        struct local_zone* node, *prev = NULL, *p;
 +        int m;
 +      lock_rw_wrlock(&zones->lock);
 +        RBTREE_FOR(node, struct local_zone*, &zones->ztree) {
 +              lock_rw_wrlock(&node->lock);
 +                node->parent = NULL;
 +                if(!prev || prev->dclass != node->dclass) {
 +                        prev = node;
 +                      lock_rw_unlock(&node->lock);
 +                        continue;
 +                }
 +                (void)dname_lab_cmp(prev->name, prev->namelabs, node->name,
 +                        node->namelabs, &m); /* we know prev is smaller */
 +                /* sort order like: . com. bla.com. zwb.com. net. */
 +                /* find the previous, or parent-parent-parent */
 +                for(p = prev; p; p = p->parent)
 +                        /* looking for name with few labels, a parent */
 +                        if(p->namelabs <= m) {
 +                                /* ==: since prev matched m, this is closest*/
 +                                /* <: prev matches more, but is not a parent,
 +                                 * this one is a (grand)parent */
 +                                node->parent = p;
 +                                break;
 +                        }
 +                prev = node;
 +              lock_rw_unlock(&node->lock);
 +        }
 +      lock_rw_unlock(&zones->lock);
 +}
 +
 +/** enter implicit transparent zone for local-data: without local-zone: */
 +static int
 +lz_setup_implicit(struct local_zones* zones, struct config_file* cfg)
 +{
 +      /* walk over all items that have no parent zone and find
 +       * the name that covers them all (could be the root) and
 +       * add that as a transparent zone */
 +      struct config_strlist* p;
 +      int have_name = 0;
 +      int have_other_classes = 0;
 +      uint16_t dclass = 0;
 +      uint8_t* nm = 0;
 +      size_t nmlen = 0;
 +      int nmlabs = 0;
 +      int match = 0; /* number of labels match count */
 +
 +      init_parents(zones); /* to enable local_zones_lookup() */
 +      for(p = cfg->local_data; p; p = p->next) {
 +              uint8_t* rr_name;
 +              uint16_t rr_class;
 +              size_t len;
 +              int labs;
 +              if(!get_rr_nameclass(p->str, &rr_name, &rr_class)) {
 +                      log_err("Bad local-data RR %s", p->str);
 +                      return 0;
 +              }
 +              labs = dname_count_size_labels(rr_name, &len);
 +              lock_rw_rdlock(&zones->lock);
 +              if(!local_zones_lookup(zones, rr_name, len, labs, rr_class)) {
 +                      if(!have_name) {
 +                              dclass = rr_class;
 +                              nm = rr_name;
 +                              nmlen = len;
 +                              nmlabs = labs;
 +                              match = labs;
 +                              have_name = 1;
 +                      } else {
 +                              int m;
 +                              if(rr_class != dclass) {
 +                                      /* process other classes later */
 +                                      free(rr_name);
 +                                      have_other_classes = 1;
 +                                      lock_rw_unlock(&zones->lock);
 +                                      continue;
 +                              }
 +                              /* find smallest shared topdomain */
 +                              (void)dname_lab_cmp(nm, nmlabs, 
 +                                      rr_name, labs, &m);
 +                              free(rr_name);
 +                              if(m < match)
 +                                      match = m;
 +                      }
 +              } else free(rr_name);
 +              lock_rw_unlock(&zones->lock);
 +      }
 +      if(have_name) {
 +              uint8_t* n2;
 +              struct local_zone* z;
 +              /* allocate zone of smallest shared topdomain to contain em */
 +              n2 = nm;
 +              dname_remove_labels(&n2, &nmlen, nmlabs - match);
 +              n2 = memdup(n2, nmlen);
 +              free(nm);
 +              if(!n2) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              log_nametypeclass(VERB_ALGO, "implicit transparent local-zone", 
 +                      n2, 0, dclass);
 +              if(!(z=lz_enter_zone_dname(zones, n2, nmlen, match, 
 +                      local_zone_transparent, dclass))) {
 +                      return 0;
 +              }
 +              lock_rw_unlock(&z->lock);
 +      }
 +      if(have_other_classes) { 
 +              /* restart to setup other class */
 +              return lz_setup_implicit(zones, cfg);
 +      }
 +      return 1;
 +}
 +
 +/** enter auth data */
 +static int
 +lz_enter_data(struct local_zones* zones, struct config_file* cfg)
 +{
 +      struct config_strlist* p;
 +      for(p = cfg->local_data; p; p = p->next) {
 +              if(!lz_enter_rr_str(zones, p->str))
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** free memory from config */
 +static void
 +lz_freeup_cfg(struct config_file* cfg)
 +{
 +      config_deldblstrlist(cfg->local_zones);
 +      cfg->local_zones = NULL;
 +      config_delstrlist(cfg->local_zones_nodefault);
 +      cfg->local_zones_nodefault = NULL;
 +      config_delstrlist(cfg->local_data);
 +      cfg->local_data = NULL;
 +}
 +
 +int 
 +local_zones_apply_cfg(struct local_zones* zones, struct config_file* cfg)
 +{
 +      /* create zones from zone statements. */
 +      if(!lz_enter_zones(zones, cfg)) {
 +              return 0;
 +      }
 +      /* apply default zones+content (unless disabled, or overridden) */
 +      if(!lz_enter_defaults(zones, cfg)) {
 +              return 0;
 +      }
 +      /* create implicit transparent zone from data. */
 +      if(!lz_setup_implicit(zones, cfg)) {
 +              return 0;
 +      }
 +
 +      /* setup parent ptrs for lookup during data entry */
 +      init_parents(zones);
 +      /* insert local data */
 +      if(!lz_enter_data(zones, cfg)) {
 +              return 0;
 +      }
 +      /* freeup memory from cfg struct. */
 +      lz_freeup_cfg(cfg);
 +      return 1;
 +}
 +
 +struct local_zone* 
 +local_zones_lookup(struct local_zones* zones,
 +        uint8_t* name, size_t len, int labs, uint16_t dclass)
 +{
 +      rbnode_t* res = NULL;
 +      struct local_zone *result;
 +      struct local_zone key;
 +      key.node.key = &key;
 +      key.dclass = dclass;
 +      key.name = name;
 +      key.namelen = len;
 +      key.namelabs = labs;
 +      if(rbtree_find_less_equal(&zones->ztree, &key, &res)) {
 +              /* exact */
 +              return (struct local_zone*)res;
 +      } else {
 +              /* smaller element (or no element) */
 +                int m;
 +                result = (struct local_zone*)res;
 +                if(!result || result->dclass != dclass)
 +                        return NULL;
 +                /* count number of labels matched */
 +                (void)dname_lab_cmp(result->name, result->namelabs, key.name,
 +                        key.namelabs, &m);
 +                while(result) { /* go up until qname is subdomain of zone */
 +                        if(result->namelabs <= m)
 +                                break;
 +                        result = result->parent;
 +                }
 +              return result;
 +      }
 +}
 +
 +struct local_zone* 
 +local_zones_find(struct local_zones* zones,
 +        uint8_t* name, size_t len, int labs, uint16_t dclass)
 +{
 +      struct local_zone key;
 +      key.node.key = &key;
 +      key.dclass = dclass;
 +      key.name = name;
 +      key.namelen = len;
 +      key.namelabs = labs;
 +      /* exact */
 +      return (struct local_zone*)rbtree_search(&zones->ztree, &key);
 +}
 +
 +/** print all RRsets in local zone */
 +static void 
 +local_zone_out(struct local_zone* z)
 +{
 +      struct local_data* d;
 +      struct local_rrset* p;
 +      RBTREE_FOR(d, struct local_data*, &z->data) {
 +              for(p = d->rrsets; p; p = p->next) {
 +                      log_nametypeclass(0, "rrset", d->name, 
 +                              ntohs(p->rrset->rk.type),
 +                              ntohs(p->rrset->rk.rrset_class));
 +              }
 +      }
 +}
 +
 +void local_zones_print(struct local_zones* zones)
 +{
 +      struct local_zone* z;
 +      lock_rw_rdlock(&zones->lock);
 +      log_info("number of auth zones %u", (unsigned)zones->ztree.count);
 +      RBTREE_FOR(z, struct local_zone*, &zones->ztree) {
 +              lock_rw_rdlock(&z->lock);
 +              switch(z->type) {
 +              case local_zone_deny:
 +                      log_nametypeclass(0, "deny zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_refuse:
 +                      log_nametypeclass(0, "refuse zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_redirect:
 +                      log_nametypeclass(0, "redirect zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_transparent:
 +                      log_nametypeclass(0, "transparent zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_typetransparent:
 +                      log_nametypeclass(0, "typetransparent zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_static:
 +                      log_nametypeclass(0, "static zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              case local_zone_inform:
 +                      log_nametypeclass(0, "inform zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
++              case local_zone_inform_deny:
++                      log_nametypeclass(0, "inform_deny zone", 
++                              z->name, 0, z->dclass);
++                      break;
 +              default:
 +                      log_nametypeclass(0, "badtyped zone", 
 +                              z->name, 0, z->dclass);
 +                      break;
 +              }
 +              local_zone_out(z);
 +              lock_rw_unlock(&z->lock);
 +      }
 +      lock_rw_unlock(&zones->lock);
 +}
 +
 +/** encode answer consisting of 1 rrset */
 +static int
 +local_encode(struct query_info* qinfo, struct edns_data* edns, 
 +      sldns_buffer* buf, struct regional* temp, 
 +      struct ub_packed_rrset_key* rrset, int ansec, int rcode)
 +{
 +      struct reply_info rep;
 +      uint16_t udpsize;
 +      /* make answer with time=0 for fixed TTL values */
 +      memset(&rep, 0, sizeof(rep));
 +      rep.flags = (uint16_t)((BIT_QR | BIT_AA | BIT_RA) | rcode);
 +      rep.qdcount = 1;
 +      if(ansec)
 +              rep.an_numrrsets = 1;
 +      else    rep.ns_numrrsets = 1;
 +      rep.rrset_count = 1;
 +      rep.rrsets = &rrset;
 +      udpsize = edns->udp_size;
 +      edns->edns_version = EDNS_ADVERTISED_VERSION;
 +      edns->udp_size = EDNS_ADVERTISED_SIZE;
 +      edns->ext_rcode = 0;
 +      edns->bits &= EDNS_DO;
 +      if(!reply_info_answer_encode(qinfo, &rep, 
 +              *(uint16_t*)sldns_buffer_begin(buf),
 +              sldns_buffer_read_u16_at(buf, 2),
 +              buf, 0, 0, temp, udpsize, edns, 
 +              (int)(edns->bits&EDNS_DO), 0))
 +              error_encode(buf, (LDNS_RCODE_SERVFAIL|BIT_AA), qinfo,
 +                      *(uint16_t*)sldns_buffer_begin(buf),
 +                     sldns_buffer_read_u16_at(buf, 2), edns);
 +      return 1;
 +}
 +
 +/** answer local data match */
 +static int
 +local_data_answer(struct local_zone* z, struct query_info* qinfo,
 +      struct edns_data* edns, sldns_buffer* buf, struct regional* temp,
 +      int labs, struct local_data** ldp)
 +{
 +      struct local_data key;
 +      struct local_data* ld;
 +      struct local_rrset* lr;
 +      key.node.key = &key;
 +      key.name = qinfo->qname;
 +      key.namelen = qinfo->qname_len;
 +      key.namelabs = labs;
 +      if(z->type == local_zone_redirect) {
 +              key.name = z->name;
 +              key.namelen = z->namelen;
 +              key.namelabs = z->namelabs;
 +      }
 +      ld = (struct local_data*)rbtree_search(&z->data, &key.node);
 +      *ldp = ld;
 +      if(!ld) {
 +              return 0;
 +      }
 +      lr = local_data_find_type(ld, qinfo->qtype);
 +      if(!lr)
 +              return 0;
 +      if(z->type == local_zone_redirect) {
 +              /* convert rrset name to query name; like a wildcard */
 +              struct ub_packed_rrset_key r = *lr->rrset;
 +              r.rk.dname = qinfo->qname;
 +              r.rk.dname_len = qinfo->qname_len;
 +              return local_encode(qinfo, edns, buf, temp, &r, 1, 
 +                      LDNS_RCODE_NOERROR);
 +      }
 +      return local_encode(qinfo, edns, buf, temp, lr->rrset, 1, 
 +              LDNS_RCODE_NOERROR);
 +}
 +
 +/** 
 + * answer in case where no exact match is found 
 + * @param z: zone for query
 + * @param qinfo: query
 + * @param edns: edns from query
 + * @param buf: buffer for answer.
 + * @param temp: temp region for encoding
 + * @param ld: local data, if NULL, no such name exists in localdata.
 + * @return 1 if a reply is to be sent, 0 if not.
 + */
 +static int
 +lz_zone_answer(struct local_zone* z, struct query_info* qinfo,
 +      struct edns_data* edns, sldns_buffer* buf, struct regional* temp,
 +      struct local_data* ld)
 +{
-       if(z->type == local_zone_inform && repinfo)
++      if(z->type == local_zone_deny || z->type == local_zone_inform_deny) {
 +              /** no reply at all, signal caller by clearing buffer. */
 +              sldns_buffer_clear(buf);
 +              sldns_buffer_flip(buf);
 +              return 1;
 +      } else if(z->type == local_zone_refuse) {
 +              error_encode(buf, (LDNS_RCODE_REFUSED|BIT_AA), qinfo,
 +                      *(uint16_t*)sldns_buffer_begin(buf),
 +                     sldns_buffer_read_u16_at(buf, 2), edns);
 +              return 1;
 +      } else if(z->type == local_zone_static ||
 +              z->type == local_zone_redirect) {
 +              /* for static, reply nodata or nxdomain
 +               * for redirect, reply nodata */
 +              /* no additional section processing,
 +               * cname, dname or wildcard processing,
 +               * or using closest match for NSEC.
 +               * or using closest match for returning delegation downwards
 +               */
 +              int rcode = ld?LDNS_RCODE_NOERROR:LDNS_RCODE_NXDOMAIN;
 +              if(z->soa)
 +                      return local_encode(qinfo, edns, buf, temp, 
 +                              z->soa, 0, rcode);
 +              error_encode(buf, (rcode|BIT_AA), qinfo, 
 +                      *(uint16_t*)sldns_buffer_begin(buf), 
 +                      sldns_buffer_read_u16_at(buf, 2), edns);
 +              return 1;
 +      } else if(z->type == local_zone_typetransparent) {
 +              /* no NODATA or NXDOMAINS for this zone type */
 +              return 0;
 +      }
 +      /* else z->type == local_zone_transparent */
 +
 +      /* if the zone is transparent and the name exists, but the type
 +       * does not, then we should make this noerror/nodata */
 +      if(ld && ld->rrsets) {
 +              int rcode = LDNS_RCODE_NOERROR;
 +              if(z->soa)
 +                      return local_encode(qinfo, edns, buf, temp, 
 +                              z->soa, 0, rcode);
 +              error_encode(buf, (rcode|BIT_AA), qinfo, 
 +                      *(uint16_t*)sldns_buffer_begin(buf), 
 +                      sldns_buffer_read_u16_at(buf, 2), edns);
 +              return 1;
 +      }
 +
 +      /* stop here, and resolve further on */
 +      return 0;
 +}
 +
 +/** print log information for an inform zone query */
 +static void
 +lz_inform_print(struct local_zone* z, struct query_info* qinfo,
 +      struct comm_reply* repinfo)
 +{
 +      char ip[128], txt[512];
 +      char zname[LDNS_MAX_DOMAINLEN+1];
 +      uint16_t port = ntohs(((struct sockaddr_in*)&repinfo->addr)->sin_port);
 +      dname_str(z->name, zname);
 +      addr_to_str(&repinfo->addr, repinfo->addrlen, ip, sizeof(ip));
 +      snprintf(txt, sizeof(txt), "%s inform %s@%u", zname, ip,
 +              (unsigned)port);
 +      log_nametypeclass(0, txt, qinfo->qname, qinfo->qtype, qinfo->qclass);
 +}
 +
 +int 
 +local_zones_answer(struct local_zones* zones, struct query_info* qinfo,
 +      struct edns_data* edns, sldns_buffer* buf, struct regional* temp,
 +      struct comm_reply* repinfo)
 +{
 +      /* see if query is covered by a zone,
 +       *      if so:  - try to match (exact) local data 
 +       *              - look at zone type for negative response. */
 +      int labs = dname_count_labels(qinfo->qname);
 +      struct local_data* ld;
 +      struct local_zone* z;
 +      int r;
 +      lock_rw_rdlock(&zones->lock);
 +      z = local_zones_lookup(zones, qinfo->qname,
 +              qinfo->qname_len, labs, qinfo->qclass);
 +      if(!z) {
 +              lock_rw_unlock(&zones->lock);
 +              return 0;
 +      }
 +      lock_rw_rdlock(&z->lock);
 +      lock_rw_unlock(&zones->lock);
 +
++      if((z->type == local_zone_inform || z->type == local_zone_inform_deny)
++              && repinfo)
 +              lz_inform_print(z, qinfo, repinfo);
 +
 +      if(local_data_answer(z, qinfo, edns, buf, temp, labs, &ld)) {
 +              lock_rw_unlock(&z->lock);
 +              return 1;
 +      }
 +      r = lz_zone_answer(z, qinfo, edns, buf, temp, ld);
 +      lock_rw_unlock(&z->lock);
 +      return r;
 +}
 +
 +const char* local_zone_type2str(enum localzone_type t)
 +{
 +      switch(t) {
 +              case local_zone_deny: return "deny";
 +              case local_zone_refuse: return "refuse";
 +              case local_zone_redirect: return "redirect";
 +              case local_zone_transparent: return "transparent";
 +              case local_zone_typetransparent: return "typetransparent";
 +              case local_zone_static: return "static";
 +              case local_zone_nodefault: return "nodefault";
 +              case local_zone_inform: return "inform";
++              case local_zone_inform_deny: return "inform_deny";
 +      }
 +      return "badtyped"; 
 +}
 +
 +int local_zone_str2type(const char* type, enum localzone_type* t)
 +{
 +      if(strcmp(type, "deny") == 0)
 +              *t = local_zone_deny;
 +      else if(strcmp(type, "refuse") == 0)
 +              *t = local_zone_refuse;
 +      else if(strcmp(type, "static") == 0)
 +              *t = local_zone_static;
 +      else if(strcmp(type, "transparent") == 0)
 +              *t = local_zone_transparent;
 +      else if(strcmp(type, "typetransparent") == 0)
 +              *t = local_zone_typetransparent;
 +      else if(strcmp(type, "redirect") == 0)
 +              *t = local_zone_redirect;
 +      else if(strcmp(type, "inform") == 0)
 +              *t = local_zone_inform;
++      else if(strcmp(type, "inform_deny") == 0)
++              *t = local_zone_inform_deny;
 +      else return 0;
 +      return 1;
 +}
 +
 +/** iterate over the kiddies of the given name and set their parent ptr */
 +static void
 +set_kiddo_parents(struct local_zone* z, struct local_zone* match, 
 +      struct local_zone* newp)
 +{
 +      /* both zones and z are locked already */
 +      /* in the sorted rbtree, the kiddies of z are located after z */
 +      /* z must be present in the tree */
 +      struct local_zone* p = z;
 +      p = (struct local_zone*)rbtree_next(&p->node);
 +      while(p!=(struct local_zone*)RBTREE_NULL &&
 +              p->dclass == z->dclass && dname_strict_subdomain(p->name,
 +              p->namelabs, z->name, z->namelabs)) {
 +              /* update parent ptr */
 +              /* only when matches with existing parent pointer, so that
 +               * deeper child structures are not touched, i.e.
 +               * update of x, and a.x, b.x, f.b.x, g.b.x, c.x, y
 +               * gets to update a.x, b.x and c.x */
 +              lock_rw_wrlock(&p->lock);
 +              if(p->parent == match)
 +                      p->parent = newp;
 +              lock_rw_unlock(&p->lock);
 +              p = (struct local_zone*)rbtree_next(&p->node);
 +      }
 +}
 +
 +struct local_zone* local_zones_add_zone(struct local_zones* zones,
 +      uint8_t* name, size_t len, int labs, uint16_t dclass,
 +      enum localzone_type tp)
 +{
 +      /* create */
 +      struct local_zone* z = local_zone_create(name, len, labs, tp, dclass);
 +      if(!z) return NULL;
 +      lock_rw_wrlock(&z->lock);
 +
 +      /* find the closest parent */
 +      z->parent = local_zones_find(zones, name, len, labs, dclass);
 +
 +      /* insert into the tree */
 +      if(!rbtree_insert(&zones->ztree, &z->node)) {
 +              /* duplicate entry! */
 +              lock_rw_unlock(&z->lock);
 +              local_zone_delete(z);
 +              log_err("internal: duplicate entry in local_zones_add_zone");
 +              return NULL;
 +      }
 +
 +      /* set parent pointers right */
 +      set_kiddo_parents(z, z->parent, z);
 +
 +      lock_rw_unlock(&z->lock);
 +      return z;
 +}
 +
 +void local_zones_del_zone(struct local_zones* zones, struct local_zone* z)
 +{
 +      /* fix up parents in tree */
 +      lock_rw_wrlock(&z->lock);
 +      set_kiddo_parents(z, z, z->parent);
 +
 +      /* remove from tree */
 +      (void)rbtree_delete(&zones->ztree, z);
 +
 +      /* delete the zone */
 +      lock_rw_unlock(&z->lock);
 +      local_zone_delete(z);
 +}
 +
 +int
 +local_zones_add_RR(struct local_zones* zones, const char* rr)
 +{
 +      uint8_t* rr_name;
 +      uint16_t rr_class;
 +      size_t len;
 +      int labs;
 +      struct local_zone* z;
 +      int r;
 +      if(!get_rr_nameclass(rr, &rr_name, &rr_class)) {
 +              return 0;
 +      }
 +      labs = dname_count_size_labels(rr_name, &len);
 +      /* could first try readlock then get writelock if zone does not exist,
 +       * but we do not add enough RRs (from multiple threads) to optimize */
 +      lock_rw_wrlock(&zones->lock);
 +      z = local_zones_lookup(zones, rr_name, len, labs, rr_class);
 +      if(!z) {
 +              z = local_zones_add_zone(zones, rr_name, len, labs, rr_class,
 +                      local_zone_transparent);
 +              if(!z) {
 +                      lock_rw_unlock(&zones->lock);
 +                      return 0;
 +              }
 +      } else {
 +              free(rr_name);
 +      }
 +      lock_rw_wrlock(&z->lock);
 +      lock_rw_unlock(&zones->lock);
 +      r = lz_enter_rr_into_zone(z, rr);
 +      lock_rw_unlock(&z->lock);
 +      return r;
 +}
 +
 +/** returns true if the node is terminal so no deeper domain names exist */
 +static int
 +is_terminal(struct local_data* d)
 +{
 +      /* for empty nonterminals, the deeper domain names are sorted
 +       * right after them, so simply check the next name in the tree 
 +       */
 +      struct local_data* n = (struct local_data*)rbtree_next(&d->node);
 +      if(n == (struct local_data*)RBTREE_NULL)
 +              return 1; /* last in tree, no deeper node */
 +      if(dname_strict_subdomain(n->name, n->namelabs, d->name, d->namelabs))
 +              return 0; /* there is a deeper node */
 +      return 1;
 +}
 +
 +/** delete empty terminals from tree when final data is deleted */
 +static void 
 +del_empty_term(struct local_zone* z, struct local_data* d, 
 +      uint8_t* name, size_t len, int labs)
 +{
 +      while(d && d->rrsets == NULL && is_terminal(d)) {
 +              /* is this empty nonterminal? delete */
 +              /* note, no memory recycling in zone region */
 +              (void)rbtree_delete(&z->data, d);
 +
 +              /* go up and to the next label */
 +              if(dname_is_root(name))
 +                      return;
 +              dname_remove_label(&name, &len);
 +              labs--;
 +              d = lz_find_node(z, name, len, labs);
 +      }
 +}
 +
 +void local_zones_del_data(struct local_zones* zones, 
 +      uint8_t* name, size_t len, int labs, uint16_t dclass)
 +{
 +      /* find zone */
 +      struct local_zone* z;
 +      struct local_data* d;
 +      lock_rw_rdlock(&zones->lock);
 +      z = local_zones_lookup(zones, name, len, labs, dclass);
 +      if(!z) {
 +              /* no such zone, we're done */
 +              lock_rw_unlock(&zones->lock);
 +              return;
 +      }
 +      lock_rw_wrlock(&z->lock);
 +      lock_rw_unlock(&zones->lock);
 +
 +      /* find the domain */
 +      d = lz_find_node(z, name, len, labs);
 +      if(d) {
 +              /* no memory recycling for zone deletions ... */
 +              d->rrsets = NULL;
 +              /* did we delete the soa record ? */
 +              if(query_dname_compare(d->name, z->name) == 0)
 +                      z->soa = NULL;
 +
 +              /* cleanup the empty nonterminals for this name */
 +              del_empty_term(z, d, name, len, labs);
 +      }
 +
 +      lock_rw_unlock(&z->lock);
 +}
diff --cc contrib/unbound/services/localzone.h
index 29ba8663fd048448d359061473dbaaae127d9c20,0000000000000000000000000000000000000000..3d62a69d191dc146bd5d22054f7b9dc1c5cdf006
mode 100644,000000..100644
--- 1/contrib/unbound/services/localzone.h
--- /dev/null
+++ b/contrib/unbound/services/localzone.h
@@@ -1,322 -1,0 +1,324 @@@
-       local_zone_inform
 +/*
 + * services/localzone.h - local zones authority service.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to enable local zone authority service.
 + */
 +
 +#ifndef SERVICES_LOCALZONE_H
 +#define SERVICES_LOCALZONE_H
 +#include "util/rbtree.h"
 +#include "util/locks.h"
 +struct ub_packed_rrset_key;
 +struct regional;
 +struct config_file;
 +struct edns_data;
 +struct query_info;
 +struct sldns_buffer;
 +struct comm_reply;
 +
 +/**
 + * Local zone type
 + * This type determines processing for queries that did not match
 + * local-data directly.
 + */
 +enum localzone_type {
 +      /** drop query */
 +      local_zone_deny = 0,
 +      /** answer with error */
 +      local_zone_refuse,
 +      /** answer nxdomain or nodata */
 +      local_zone_static,
 +      /** resolve normally */
 +      local_zone_transparent,
 +      /** do not block types at localdata names */
 +      local_zone_typetransparent,
 +      /** answer with data at zone apex */
 +      local_zone_redirect,
 +      /** remove default AS112 blocking contents for zone
 +       * nodefault is used in config not during service. */
 +      local_zone_nodefault,
 +      /** log client address, but no block (transparent) */
++      local_zone_inform,
++      /** log client address, and block (drop) */
++      local_zone_inform_deny
 +};
 +
 +/**
 + * Authoritative local zones storage, shared.
 + */
 +struct local_zones {
 +      /** lock on the localzone tree */
 +      lock_rw_t lock;
 +      /** rbtree of struct local_zone */
 +      rbtree_t ztree;
 +};
 +
 +/**
 + * Local zone. A locally served authoritative zone.
 + */
 +struct local_zone {
 +      /** rbtree node, key is name and class */
 +      rbnode_t node;
 +      /** parent zone, if any. */
 +      struct local_zone* parent;
 +
 +      /** zone name, in uncompressed wireformat */
 +      uint8_t* name;
 +      /** length of zone name */
 +      size_t namelen;
 +      /** number of labels in zone name */
 +      int namelabs;
 +      /** the class of this zone. 
 +       * uses 'dclass' to not conflict with c++ keyword class. */
 +      uint16_t dclass;
 +
 +      /** lock on the data in the structure
 +       * For the node, parent, name, namelen, namelabs, dclass, you
 +       * need to also hold the zones_tree lock to change them (or to
 +       * delete this zone) */
 +      lock_rw_t lock;
 +
 +      /** how to process zone */
 +      enum localzone_type type;
 +
 +      /** in this region the zone's data is allocated.
 +       * the struct local_zone itself is malloced. */
 +      struct regional* region;
 +      /** local data for this zone
 +       * rbtree of struct local_data */
 +      rbtree_t data;
 +      /** if data contains zone apex SOA data, this is a ptr to it. */
 +      struct ub_packed_rrset_key* soa;
 +};
 +
 +/**
 + * Local data. One domain name, and the RRs to go with it.
 + */
 +struct local_data {
 +      /** rbtree node, key is name only */
 +      rbnode_t node;
 +      /** domain name */
 +      uint8_t* name;
 +      /** length of name */
 +      size_t namelen;
 +      /** number of labels in name */
 +      int namelabs;
 +      /** the data rrsets, with different types, linked list.
 +       * If this list is NULL, the node is an empty non-terminal. */
 +      struct local_rrset* rrsets;
 +};
 +
 +/**
 + * A local data RRset
 + */
 +struct local_rrset {
 +      /** next in list */
 +      struct local_rrset* next;
 +      /** RRset data item */
 +      struct ub_packed_rrset_key* rrset;
 +};
 +
 +/**
 + * Create local zones storage
 + * @return new struct or NULL on error.
 + */
 +struct local_zones* local_zones_create(void);
 +
 +/**
 + * Delete local zones storage
 + * @param zones: to delete.
 + */
 +void local_zones_delete(struct local_zones* zones);
 +
 +/**
 + * Apply config settings; setup the local authoritative data. 
 + * Takes care of locking.
 + * @param zones: is set up.
 + * @param cfg: config data.
 + * @return false on error.
 + */
 +int local_zones_apply_cfg(struct local_zones* zones, struct config_file* cfg);
 +
 +/**
 + * Compare two local_zone entries in rbtree. Sort hierarchical but not
 + * canonical
 + * @param z1: zone 1
 + * @param z2: zone 2
 + * @return: -1, 0, +1 comparison value.
 + */
 +int local_zone_cmp(const void* z1, const void* z2);
 +
 +/**
 + * Compare two local_data entries in rbtree. Sort canonical.
 + * @param d1: data 1
 + * @param d2: data 2
 + * @return: -1, 0, +1 comparison value.
 + */
 +int local_data_cmp(const void* d1, const void* d2);
 +
 +/**
 + * Delete one zone
 + * @param z: to delete.
 + */
 +void local_zone_delete(struct local_zone* z);
 +
 +/**
 + * Lookup zone that contains the given name, class.
 + * User must lock the tree or result zone.
 + * @param zones: the zones tree
 + * @param name: dname to lookup
 + * @param len: length of name.
 + * @param labs: labelcount of name.
 + * @param dclass: class to lookup.
 + * @return closest local_zone or NULL if no covering zone is found.
 + */
 +struct local_zone* local_zones_lookup(struct local_zones* zones, 
 +      uint8_t* name, size_t len, int labs, uint16_t dclass);
 +
 +/**
 + * Debug helper. Print all zones 
 + * Takes care of locking.
 + * @param zones: the zones tree
 + */
 +void local_zones_print(struct local_zones* zones);
 +
 +/**
 + * Answer authoritatively for local zones.
 + * Takes care of locking.
 + * @param zones: the stored zones (shared, read only).
 + * @param qinfo: query info (parsed).
 + * @param edns: edns info (parsed).
 + * @param buf: buffer with query ID and flags, also for reply.
 + * @param temp: temporary storage region.
 + * @param repinfo: source address for checks. may be NULL.
 + * @return true if answer is in buffer. false if query is not answered 
 + * by authority data. If the reply should be dropped altogether, the return 
 + * value is true, but the buffer is cleared (empty).
 + */
 +int local_zones_answer(struct local_zones* zones, struct query_info* qinfo,
 +      struct edns_data* edns, struct sldns_buffer* buf, struct regional* temp,
 +      struct comm_reply* repinfo);
 +
 +/**
 + * Parse the string into localzone type.
 + *
 + * @param str: string to parse
 + * @param t: local zone type returned here.
 + * @return 0 on parse error.
 + */
 +int local_zone_str2type(const char* str, enum localzone_type* t);
 +
 +/**
 + * Print localzone type to a string.  Pointer to a constant string.
 + *
 + * @param t: local zone type.
 + * @return constant string that describes type.
 + */
 +const char* local_zone_type2str(enum localzone_type t);
 +
 +/**
 + * Find zone that with exactly given name, class.
 + * User must lock the tree or result zone.
 + * @param zones: the zones tree
 + * @param name: dname to lookup
 + * @param len: length of name.
 + * @param labs: labelcount of name.
 + * @param dclass: class to lookup.
 + * @return the exact local_zone or NULL.
 + */
 +struct local_zone* local_zones_find(struct local_zones* zones, 
 +      uint8_t* name, size_t len, int labs, uint16_t dclass);
 +
 +/**
 + * Add a new zone. Caller must hold the zones lock.
 + * Adjusts the other zones as well (parent pointers) after insertion.
 + * The zone must NOT exist (returns NULL and logs error).
 + * @param zones: the zones tree
 + * @param name: dname to add
 + * @param len: length of name.
 + * @param labs: labelcount of name.
 + * @param dclass: class to add.
 + * @param tp: type.
 + * @return local_zone or NULL on error, caller must printout memory error.
 + */
 +struct local_zone* local_zones_add_zone(struct local_zones* zones, 
 +      uint8_t* name, size_t len, int labs, uint16_t dclass, 
 +      enum localzone_type tp);
 +
 +/**
 + * Delete a zone. Caller must hold the zones lock.
 + * Adjusts the other zones as well (parent pointers) after insertion.
 + * @param zones: the zones tree
 + * @param zone: the zone to delete from tree. Also deletes zone from memory.
 + */
 +void local_zones_del_zone(struct local_zones* zones, struct local_zone* zone);
 +
 +/**
 + * Add RR data into the localzone data.
 + * Looks up the zone, if no covering zone, a transparent zone with the
 + * name of the RR is created.
 + * @param zones: the zones tree. Not locked by caller.
 + * @param rr: string with on RR.
 + * @return false on failure.
 + */
 +int local_zones_add_RR(struct local_zones* zones, const char* rr);
 +
 +/**
 + * Remove data from domain name in the tree.
 + * All types are removed. No effect if zone or name does not exist.
 + * @param zones: zones tree.
 + * @param name: dname to remove
 + * @param len: length of name.
 + * @param labs: labelcount of name.
 + * @param dclass: class to remove.
 + */
 +void local_zones_del_data(struct local_zones* zones, 
 +      uint8_t* name, size_t len, int labs, uint16_t dclass);
 +
 +
 +/** 
 + * Form wireformat from text format domain name. 
 + * @param str: the domain name in text "www.example.com"
 + * @param res: resulting wireformat is stored here with malloc.
 + * @param len: length of resulting wireformat.
 + * @param labs: number of labels in resulting wireformat.
 + * @return false on error, syntax or memory. Also logged.
 + */
 +int parse_dname(const char* str, uint8_t** res, size_t* len, int* labs);
 +
 +#endif /* SERVICES_LOCALZONE_H */
diff --cc contrib/unbound/services/mesh.c
index a69aced223e34373e1dce9d9760df7e4415698bc,0000000000000000000000000000000000000000..8076874ae75207c7caab11621d97c71d851b104c
mode 100644,000000..100644
--- 1/contrib/unbound/services/mesh.c
--- /dev/null
+++ b/contrib/unbound/services/mesh.c
@@@ -1,1216 -1,0 +1,1216 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * services/mesh.c - deal with mesh of query states and handle events for that.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions to assist in dealing with a mesh of
 + * query states. This mesh is supposed to be thread-specific.
 + * It consists of query states (per qname, qtype, qclass) and connections
 + * between query states and the super and subquery states, and replies to
 + * send back to clients.
 + */
 +#include "config.h"
 +#include "services/mesh.h"
 +#include "services/outbound_list.h"
 +#include "services/cache/dns.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/module.h"
 +#include "util/regional.h"
 +#include "util/data/msgencode.h"
 +#include "util/timehist.h"
 +#include "util/fptr_wlist.h"
 +#include "util/alloc.h"
 +#include "util/config_file.h"
++#include "sldns/sbuffer.h"
 +
 +/** subtract timers and the values do not overflow or become negative */
 +static void
 +timeval_subtract(struct timeval* d, const struct timeval* end, const struct timeval* start)
 +{
 +#ifndef S_SPLINT_S
 +      time_t end_usec = end->tv_usec;
 +      d->tv_sec = end->tv_sec - start->tv_sec;
 +      if(end_usec < start->tv_usec) {
 +              end_usec += 1000000;
 +              d->tv_sec--;
 +      }
 +      d->tv_usec = end_usec - start->tv_usec;
 +#endif
 +}
 +
 +/** add timers and the values do not overflow or become negative */
 +static void
 +timeval_add(struct timeval* d, const struct timeval* add)
 +{
 +#ifndef S_SPLINT_S
 +      d->tv_sec += add->tv_sec;
 +      d->tv_usec += add->tv_usec;
 +      if(d->tv_usec > 1000000 ) {
 +              d->tv_usec -= 1000000;
 +              d->tv_sec++;
 +      }
 +#endif
 +}
 +
 +/** divide sum of timers to get average */
 +static void
 +timeval_divide(struct timeval* avg, const struct timeval* sum, size_t d)
 +{
 +#ifndef S_SPLINT_S
 +      size_t leftover;
 +      if(d == 0) {
 +              avg->tv_sec = 0;
 +              avg->tv_usec = 0;
 +              return;
 +      }
 +      avg->tv_sec = sum->tv_sec / d;
 +      avg->tv_usec = sum->tv_usec / d;
 +      /* handle fraction from seconds divide */
 +      leftover = sum->tv_sec - avg->tv_sec*d;
 +      avg->tv_usec += (leftover*1000000)/d;
 +#endif
 +}
 +
 +/** histogram compare of time values */
 +static int
 +timeval_smaller(const struct timeval* x, const struct timeval* y)
 +{
 +#ifndef S_SPLINT_S
 +      if(x->tv_sec < y->tv_sec)
 +              return 1;
 +      else if(x->tv_sec == y->tv_sec) {
 +              if(x->tv_usec <= y->tv_usec)
 +                      return 1;
 +              else    return 0;
 +      }
 +      else    return 0;
 +#endif
 +}
 +
 +int
 +mesh_state_compare(const void* ap, const void* bp)
 +{
 +      struct mesh_state* a = (struct mesh_state*)ap;
 +      struct mesh_state* b = (struct mesh_state*)bp;
 +
 +      if(a->s.is_priming && !b->s.is_priming)
 +              return -1;
 +      if(!a->s.is_priming && b->s.is_priming)
 +              return 1;
 +
 +      if(a->s.is_valrec && !b->s.is_valrec)
 +              return -1;
 +      if(!a->s.is_valrec && b->s.is_valrec)
 +              return 1;
 +
 +      if((a->s.query_flags&BIT_RD) && !(b->s.query_flags&BIT_RD))
 +              return -1;
 +      if(!(a->s.query_flags&BIT_RD) && (b->s.query_flags&BIT_RD))
 +              return 1;
 +
 +      if((a->s.query_flags&BIT_CD) && !(b->s.query_flags&BIT_CD))
 +              return -1;
 +      if(!(a->s.query_flags&BIT_CD) && (b->s.query_flags&BIT_CD))
 +              return 1;
 +
 +      return query_info_compare(&a->s.qinfo, &b->s.qinfo);
 +}
 +
 +int
 +mesh_state_ref_compare(const void* ap, const void* bp)
 +{
 +      struct mesh_state_ref* a = (struct mesh_state_ref*)ap;
 +      struct mesh_state_ref* b = (struct mesh_state_ref*)bp;
 +      return mesh_state_compare(a->s, b->s);
 +}
 +
 +struct mesh_area* 
 +mesh_create(struct module_stack* stack, struct module_env* env)
 +{
 +      struct mesh_area* mesh = calloc(1, sizeof(struct mesh_area));
 +      if(!mesh) {
 +              log_err("mesh area alloc: out of memory");
 +              return NULL;
 +      }
 +      mesh->histogram = timehist_setup();
 +      mesh->qbuf_bak = sldns_buffer_new(env->cfg->msg_buffer_size);
 +      if(!mesh->histogram || !mesh->qbuf_bak) {
 +              free(mesh);
 +              log_err("mesh area alloc: out of memory");
 +              return NULL;
 +      }
 +      mesh->mods = *stack;
 +      mesh->env = env;
 +      rbtree_init(&mesh->run, &mesh_state_compare);
 +      rbtree_init(&mesh->all, &mesh_state_compare);
 +      mesh->num_reply_addrs = 0;
 +      mesh->num_reply_states = 0;
 +      mesh->num_detached_states = 0;
 +      mesh->num_forever_states = 0;
 +      mesh->stats_jostled = 0;
 +      mesh->stats_dropped = 0;
 +      mesh->max_reply_states = env->cfg->num_queries_per_thread;
 +      mesh->max_forever_states = (mesh->max_reply_states+1)/2;
 +#ifndef S_SPLINT_S
 +      mesh->jostle_max.tv_sec = (time_t)(env->cfg->jostle_time / 1000);
 +      mesh->jostle_max.tv_usec = (time_t)((env->cfg->jostle_time % 1000)
 +              *1000);
 +#endif
 +      return mesh;
 +}
 +
 +/** help mesh delete delete mesh states */
 +static void
 +mesh_delete_helper(rbnode_t* n)
 +{
 +      struct mesh_state* mstate = (struct mesh_state*)n->key;
 +      /* perform a full delete, not only 'cleanup' routine,
 +       * because other callbacks expect a clean state in the mesh.
 +       * For 're-entrant' calls */
 +      mesh_state_delete(&mstate->s);
 +      /* but because these delete the items from the tree, postorder
 +       * traversal and rbtree rebalancing do not work together */
 +}
 +
 +void 
 +mesh_delete(struct mesh_area* mesh)
 +{
 +      if(!mesh)
 +              return;
 +      /* free all query states */
 +      while(mesh->all.count)
 +              mesh_delete_helper(mesh->all.root);
 +      timehist_delete(mesh->histogram);
 +      sldns_buffer_free(mesh->qbuf_bak);
 +      free(mesh);
 +}
 +
 +void
 +mesh_delete_all(struct mesh_area* mesh)
 +{
 +      /* free all query states */
 +      while(mesh->all.count)
 +              mesh_delete_helper(mesh->all.root);
 +      mesh->stats_dropped += mesh->num_reply_addrs;
 +      /* clear mesh area references */
 +      rbtree_init(&mesh->run, &mesh_state_compare);
 +      rbtree_init(&mesh->all, &mesh_state_compare);
 +      mesh->num_reply_addrs = 0;
 +      mesh->num_reply_states = 0;
 +      mesh->num_detached_states = 0;
 +      mesh->num_forever_states = 0;
 +      mesh->forever_first = NULL;
 +      mesh->forever_last = NULL;
 +      mesh->jostle_first = NULL;
 +      mesh->jostle_last = NULL;
 +}
 +
 +int mesh_make_new_space(struct mesh_area* mesh, sldns_buffer* qbuf)
 +{
 +      struct mesh_state* m = mesh->jostle_first;
 +      /* free space is available */
 +      if(mesh->num_reply_states < mesh->max_reply_states)
 +              return 1;
 +      /* try to kick out a jostle-list item */
 +      if(m && m->reply_list && m->list_select == mesh_jostle_list) {
 +              /* how old is it? */
 +              struct timeval age;
 +              timeval_subtract(&age, mesh->env->now_tv, 
 +                      &m->reply_list->start_time);
 +              if(timeval_smaller(&mesh->jostle_max, &age)) {
 +                      /* its a goner */
 +                      log_nametypeclass(VERB_ALGO, "query jostled out to "
 +                              "make space for a new one",
 +                              m->s.qinfo.qname, m->s.qinfo.qtype,
 +                              m->s.qinfo.qclass);
 +                      /* backup the query */
 +                      if(qbuf) sldns_buffer_copy(mesh->qbuf_bak, qbuf);
 +                      /* notify supers */
 +                      if(m->super_set.count > 0) {
 +                              verbose(VERB_ALGO, "notify supers of failure");
 +                              m->s.return_msg = NULL;
 +                              m->s.return_rcode = LDNS_RCODE_SERVFAIL;
 +                              mesh_walk_supers(mesh, m);
 +                      }
 +                      mesh->stats_jostled ++;
 +                      mesh_state_delete(&m->s);
 +                      /* restore the query - note that the qinfo ptr to
 +                       * the querybuffer is then correct again. */
 +                      if(qbuf) sldns_buffer_copy(qbuf, mesh->qbuf_bak);
 +                      return 1;
 +              }
 +      }
 +      /* no space for new item */
 +      return 0;
 +}
 +
 +void mesh_new_client(struct mesh_area* mesh, struct query_info* qinfo,
 +        uint16_t qflags, struct edns_data* edns, struct comm_reply* rep,
 +        uint16_t qid)
 +{
 +      struct mesh_state* s = mesh_area_find(mesh, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +      int was_detached = 0;
 +      int was_noreply = 0;
 +      int added = 0;
 +      /* does this create a new reply state? */
 +      if(!s || s->list_select == mesh_no_list) {
 +              if(!mesh_make_new_space(mesh, rep->c->buffer)) {
 +                      verbose(VERB_ALGO, "Too many queries. dropping "
 +                              "incoming query.");
 +                      comm_point_drop_reply(rep);
 +                      mesh->stats_dropped ++;
 +                      return;
 +              }
 +              /* for this new reply state, the reply address is free,
 +               * so the limit of reply addresses does not stop reply states*/
 +      } else {
 +              /* protect our memory usage from storing reply addresses */
 +              if(mesh->num_reply_addrs > mesh->max_reply_states*16) {
 +                      verbose(VERB_ALGO, "Too many requests queued. "
 +                              "dropping incoming query.");
 +                      mesh->stats_dropped++;
 +                      comm_point_drop_reply(rep);
 +                      return;
 +              }
 +      }
 +      /* see if it already exists, if not, create one */
 +      if(!s) {
 +#ifdef UNBOUND_DEBUG
 +              struct rbnode_t* n;
 +#endif
 +              s = mesh_state_create(mesh->env, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +              if(!s) {
 +                      log_err("mesh_state_create: out of memory; SERVFAIL");
 +                      error_encode(rep->c->buffer, LDNS_RCODE_SERVFAIL,
 +                              qinfo, qid, qflags, edns);
 +                      comm_point_send_reply(rep);
 +                      return;
 +              }
 +#ifdef UNBOUND_DEBUG
 +              n =
 +#else
 +              (void)
 +#endif
 +              rbtree_insert(&mesh->all, &s->node);
 +              log_assert(n != NULL);
 +              /* set detached (it is now) */
 +              mesh->num_detached_states++;
 +              added = 1;
 +      }
 +      if(!s->reply_list && !s->cb_list && s->super_set.count == 0)
 +              was_detached = 1;
 +      if(!s->reply_list && !s->cb_list)
 +              was_noreply = 1;
 +      /* add reply to s */
 +      if(!mesh_state_add_reply(s, edns, rep, qid, qflags, qinfo->qname)) {
 +                      log_err("mesh_new_client: out of memory; SERVFAIL");
 +                      error_encode(rep->c->buffer, LDNS_RCODE_SERVFAIL,
 +                              qinfo, qid, qflags, edns);
 +                      comm_point_send_reply(rep);
 +                      if(added)
 +                              mesh_state_delete(&s->s);
 +                      return;
 +      }
 +      /* update statistics */
 +      if(was_detached) {
 +              log_assert(mesh->num_detached_states > 0);
 +              mesh->num_detached_states--;
 +      }
 +      if(was_noreply) {
 +              mesh->num_reply_states ++;
 +      }
 +      mesh->num_reply_addrs++;
 +      if(s->list_select == mesh_no_list) {
 +              /* move to either the forever or the jostle_list */
 +              if(mesh->num_forever_states < mesh->max_forever_states) {
 +                      mesh->num_forever_states ++;
 +                      mesh_list_insert(s, &mesh->forever_first, 
 +                              &mesh->forever_last);
 +                      s->list_select = mesh_forever_list;
 +              } else {
 +                      mesh_list_insert(s, &mesh->jostle_first, 
 +                              &mesh->jostle_last);
 +                      s->list_select = mesh_jostle_list;
 +              }
 +      }
 +      if(added)
 +              mesh_run(mesh, s, module_event_new, NULL);
 +}
 +
 +int 
 +mesh_new_callback(struct mesh_area* mesh, struct query_info* qinfo,
 +      uint16_t qflags, struct edns_data* edns, sldns_buffer* buf, 
 +      uint16_t qid, mesh_cb_func_t cb, void* cb_arg)
 +{
 +      struct mesh_state* s = mesh_area_find(mesh, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +      int was_detached = 0;
 +      int was_noreply = 0;
 +      int added = 0;
 +      /* there are no limits on the number of callbacks */
 +
 +      /* see if it already exists, if not, create one */
 +      if(!s) {
 +#ifdef UNBOUND_DEBUG
 +              struct rbnode_t* n;
 +#endif
 +              s = mesh_state_create(mesh->env, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +              if(!s) {
 +                      return 0;
 +              }
 +#ifdef UNBOUND_DEBUG
 +              n =
 +#else
 +              (void)
 +#endif
 +              rbtree_insert(&mesh->all, &s->node);
 +              log_assert(n != NULL);
 +              /* set detached (it is now) */
 +              mesh->num_detached_states++;
 +              added = 1;
 +      }
 +      if(!s->reply_list && !s->cb_list && s->super_set.count == 0)
 +              was_detached = 1;
 +      if(!s->reply_list && !s->cb_list)
 +              was_noreply = 1;
 +      /* add reply to s */
 +      if(!mesh_state_add_cb(s, edns, buf, cb, cb_arg, qid, qflags)) {
 +                      if(added)
 +                              mesh_state_delete(&s->s);
 +                      return 0;
 +      }
 +      /* update statistics */
 +      if(was_detached) {
 +              log_assert(mesh->num_detached_states > 0);
 +              mesh->num_detached_states--;
 +      }
 +      if(was_noreply) {
 +              mesh->num_reply_states ++;
 +      }
 +      mesh->num_reply_addrs++;
 +      if(added)
 +              mesh_run(mesh, s, module_event_new, NULL);
 +      return 1;
 +}
 +
 +void mesh_new_prefetch(struct mesh_area* mesh, struct query_info* qinfo,
 +        uint16_t qflags, time_t leeway)
 +{
 +      struct mesh_state* s = mesh_area_find(mesh, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +#ifdef UNBOUND_DEBUG
 +      struct rbnode_t* n;
 +#endif
 +      /* already exists, and for a different purpose perhaps.
 +       * if mesh_no_list, keep it that way. */
 +      if(s) {
 +              /* make it ignore the cache from now on */
 +              if(!s->s.blacklist)
 +                      sock_list_insert(&s->s.blacklist, NULL, 0, s->s.region);
 +              if(s->s.prefetch_leeway < leeway)
 +                      s->s.prefetch_leeway = leeway;
 +              return;
 +      }
 +      if(!mesh_make_new_space(mesh, NULL)) {
 +              verbose(VERB_ALGO, "Too many queries. dropped prefetch.");
 +              mesh->stats_dropped ++;
 +              return;
 +      }
 +      s = mesh_state_create(mesh->env, qinfo, qflags&(BIT_RD|BIT_CD), 0, 0);
 +      if(!s) {
 +              log_err("prefetch mesh_state_create: out of memory");
 +              return;
 +      }
 +#ifdef UNBOUND_DEBUG
 +      n =
 +#else
 +      (void)
 +#endif
 +      rbtree_insert(&mesh->all, &s->node);
 +      log_assert(n != NULL);
 +      /* set detached (it is now) */
 +      mesh->num_detached_states++;
 +      /* make it ignore the cache */
 +      sock_list_insert(&s->s.blacklist, NULL, 0, s->s.region);
 +      s->s.prefetch_leeway = leeway;
 +
 +      if(s->list_select == mesh_no_list) {
 +              /* move to either the forever or the jostle_list */
 +              if(mesh->num_forever_states < mesh->max_forever_states) {
 +                      mesh->num_forever_states ++;
 +                      mesh_list_insert(s, &mesh->forever_first, 
 +                              &mesh->forever_last);
 +                      s->list_select = mesh_forever_list;
 +              } else {
 +                      mesh_list_insert(s, &mesh->jostle_first, 
 +                              &mesh->jostle_last);
 +                      s->list_select = mesh_jostle_list;
 +              }
 +      }
 +      mesh_run(mesh, s, module_event_new, NULL);
 +}
 +
 +void mesh_report_reply(struct mesh_area* mesh, struct outbound_entry* e,
 +        struct comm_reply* reply, int what)
 +{
 +      enum module_ev event = module_event_reply;
 +      e->qstate->reply = reply;
 +      if(what != NETEVENT_NOERROR) {
 +              event = module_event_noreply;
 +              if(what == NETEVENT_CAPSFAIL)
 +                      event = module_event_capsfail;
 +      }
 +      mesh_run(mesh, e->qstate->mesh_info, event, e);
 +}
 +
 +struct mesh_state* 
 +mesh_state_create(struct module_env* env, struct query_info* qinfo, 
 +      uint16_t qflags, int prime, int valrec)
 +{
 +      struct regional* region = alloc_reg_obtain(env->alloc);
 +      struct mesh_state* mstate;
 +      int i;
 +      if(!region)
 +              return NULL;
 +      mstate = (struct mesh_state*)regional_alloc(region, 
 +              sizeof(struct mesh_state));
 +      if(!mstate) {
 +              alloc_reg_release(env->alloc, region);
 +              return NULL;
 +      }
 +      memset(mstate, 0, sizeof(*mstate));
 +      mstate->node = *RBTREE_NULL;
 +      mstate->run_node = *RBTREE_NULL;
 +      mstate->node.key = mstate;
 +      mstate->run_node.key = mstate;
 +      mstate->reply_list = NULL;
 +      mstate->list_select = mesh_no_list;
 +      mstate->replies_sent = 0;
 +      rbtree_init(&mstate->super_set, &mesh_state_ref_compare);
 +      rbtree_init(&mstate->sub_set, &mesh_state_ref_compare);
 +      mstate->num_activated = 0;
 +      /* init module qstate */
 +      mstate->s.qinfo.qtype = qinfo->qtype;
 +      mstate->s.qinfo.qclass = qinfo->qclass;
 +      mstate->s.qinfo.qname_len = qinfo->qname_len;
 +      mstate->s.qinfo.qname = regional_alloc_init(region, qinfo->qname,
 +              qinfo->qname_len);
 +      if(!mstate->s.qinfo.qname) {
 +              alloc_reg_release(env->alloc, region);
 +              return NULL;
 +      }
 +      /* remove all weird bits from qflags */
 +      mstate->s.query_flags = (qflags & (BIT_RD|BIT_CD));
 +      mstate->s.is_priming = prime;
 +      mstate->s.is_valrec = valrec;
 +      mstate->s.reply = NULL;
 +      mstate->s.region = region;
 +      mstate->s.curmod = 0;
 +      mstate->s.return_msg = 0;
 +      mstate->s.return_rcode = LDNS_RCODE_NOERROR;
 +      mstate->s.env = env;
 +      mstate->s.mesh_info = mstate;
 +      mstate->s.prefetch_leeway = 0;
 +      /* init modules */
 +      for(i=0; i<env->mesh->mods.num; i++) {
 +              mstate->s.minfo[i] = NULL;
 +              mstate->s.ext_state[i] = module_state_initial;
 +      }
 +      return mstate;
 +}
 +
 +void 
 +mesh_state_cleanup(struct mesh_state* mstate)
 +{
 +      struct mesh_area* mesh;
 +      int i;
 +      if(!mstate)
 +              return;
 +      mesh = mstate->s.env->mesh;
 +      /* drop unsent replies */
 +      if(!mstate->replies_sent) {
 +              struct mesh_reply* rep;
 +              struct mesh_cb* cb;
 +              for(rep=mstate->reply_list; rep; rep=rep->next) {
 +                      comm_point_drop_reply(&rep->query_reply);
 +                      mesh->num_reply_addrs--;
 +              }
 +              for(cb=mstate->cb_list; cb; cb=cb->next) {
 +                      fptr_ok(fptr_whitelist_mesh_cb(cb->cb));
 +                      (*cb->cb)(cb->cb_arg, LDNS_RCODE_SERVFAIL, NULL,
 +                              sec_status_unchecked, NULL);
 +                      mesh->num_reply_addrs--;
 +              }
 +      }
 +
 +      /* de-init modules */
 +      for(i=0; i<mesh->mods.num; i++) {
 +              fptr_ok(fptr_whitelist_mod_clear(mesh->mods.mod[i]->clear));
 +              (*mesh->mods.mod[i]->clear)(&mstate->s, i);
 +              mstate->s.minfo[i] = NULL;
 +              mstate->s.ext_state[i] = module_finished;
 +      }
 +      alloc_reg_release(mstate->s.env->alloc, mstate->s.region);
 +}
 +
 +void 
 +mesh_state_delete(struct module_qstate* qstate)
 +{
 +      struct mesh_area* mesh;
 +      struct mesh_state_ref* super, ref;
 +      struct mesh_state* mstate;
 +      if(!qstate)
 +              return;
 +      mstate = qstate->mesh_info;
 +      mesh = mstate->s.env->mesh;
 +      mesh_detach_subs(&mstate->s);
 +      if(mstate->list_select == mesh_forever_list) {
 +              mesh->num_forever_states --;
 +              mesh_list_remove(mstate, &mesh->forever_first, 
 +                      &mesh->forever_last);
 +      } else if(mstate->list_select == mesh_jostle_list) {
 +              mesh_list_remove(mstate, &mesh->jostle_first, 
 +                      &mesh->jostle_last);
 +      }
 +      if(!mstate->reply_list && !mstate->cb_list
 +              && mstate->super_set.count == 0) {
 +              log_assert(mesh->num_detached_states > 0);
 +              mesh->num_detached_states--;
 +      }
 +      if(mstate->reply_list || mstate->cb_list) {
 +              log_assert(mesh->num_reply_states > 0);
 +              mesh->num_reply_states--;
 +      }
 +      ref.node.key = &ref;
 +      ref.s = mstate;
 +      RBTREE_FOR(super, struct mesh_state_ref*, &mstate->super_set) {
 +              (void)rbtree_delete(&super->s->sub_set, &ref);
 +      }
 +      (void)rbtree_delete(&mesh->run, mstate);
 +      (void)rbtree_delete(&mesh->all, mstate);
 +      mesh_state_cleanup(mstate);
 +}
 +
 +/** helper recursive rbtree find routine */
 +static int
 +find_in_subsub(struct mesh_state* m, struct mesh_state* tofind, size_t *c)
 +{
 +      struct mesh_state_ref* r;
 +      if((*c)++ > MESH_MAX_SUBSUB)
 +              return 1;
 +      RBTREE_FOR(r, struct mesh_state_ref*, &m->sub_set) {
 +              if(r->s == tofind || find_in_subsub(r->s, tofind, c))
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** find cycle for already looked up mesh_state */
 +static int 
 +mesh_detect_cycle_found(struct module_qstate* qstate, struct mesh_state* dep_m)
 +{
 +      struct mesh_state* cyc_m = qstate->mesh_info;
 +      size_t counter = 0;
 +      if(!dep_m)
 +              return 0;
 +      if(dep_m == cyc_m || find_in_subsub(dep_m, cyc_m, &counter)) {
 +              if(counter > MESH_MAX_SUBSUB)
 +                      return 2;
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +void mesh_detach_subs(struct module_qstate* qstate)
 +{
 +      struct mesh_area* mesh = qstate->env->mesh;
 +      struct mesh_state_ref* ref, lookup;
 +#ifdef UNBOUND_DEBUG
 +      struct rbnode_t* n;
 +#endif
 +      lookup.node.key = &lookup;
 +      lookup.s = qstate->mesh_info;
 +      RBTREE_FOR(ref, struct mesh_state_ref*, &qstate->mesh_info->sub_set) {
 +#ifdef UNBOUND_DEBUG
 +              n =
 +#else
 +              (void)
 +#endif
 +              rbtree_delete(&ref->s->super_set, &lookup);
 +              log_assert(n != NULL); /* must have been present */
 +              if(!ref->s->reply_list && !ref->s->cb_list
 +                      && ref->s->super_set.count == 0) {
 +                      mesh->num_detached_states++;
 +                      log_assert(mesh->num_detached_states + 
 +                              mesh->num_reply_states <= mesh->all.count);
 +              }
 +      }
 +      rbtree_init(&qstate->mesh_info->sub_set, &mesh_state_ref_compare);
 +}
 +
 +int mesh_attach_sub(struct module_qstate* qstate, struct query_info* qinfo,
 +        uint16_t qflags, int prime, int valrec, struct module_qstate** newq)
 +{
 +      /* find it, if not, create it */
 +      struct mesh_area* mesh = qstate->env->mesh;
 +      struct mesh_state* sub = mesh_area_find(mesh, qinfo, qflags, prime,
 +              valrec);
 +      int was_detached;
 +      if(mesh_detect_cycle_found(qstate, sub)) {
 +              verbose(VERB_ALGO, "attach failed, cycle detected");
 +              return 0;
 +      }
 +      if(!sub) {
 +#ifdef UNBOUND_DEBUG
 +              struct rbnode_t* n;
 +#endif
 +              /* create a new one */
 +              sub = mesh_state_create(qstate->env, qinfo, qflags, prime,
 +                      valrec);
 +              if(!sub) {
 +                      log_err("mesh_attach_sub: out of memory");
 +                      return 0;
 +              }
 +#ifdef UNBOUND_DEBUG
 +              n =
 +#else
 +              (void)
 +#endif
 +              rbtree_insert(&mesh->all, &sub->node);
 +              log_assert(n != NULL);
 +              /* set detached (it is now) */
 +              mesh->num_detached_states++;
 +              /* set new query state to run */
 +#ifdef UNBOUND_DEBUG
 +              n =
 +#else
 +              (void)
 +#endif
 +              rbtree_insert(&mesh->run, &sub->run_node);
 +              log_assert(n != NULL);
 +              *newq = &sub->s;
 +      } else
 +              *newq = NULL;
 +      was_detached = (sub->super_set.count == 0);
 +      if(!mesh_state_attachment(qstate->mesh_info, sub))
 +              return 0;
 +      /* if it was a duplicate  attachment, the count was not zero before */
 +      if(!sub->reply_list && !sub->cb_list && was_detached && 
 +              sub->super_set.count == 1) {
 +              /* it used to be detached, before this one got added */
 +              log_assert(mesh->num_detached_states > 0);
 +              mesh->num_detached_states--;
 +      }
 +      /* *newq will be run when inited after the current module stops */
 +      return 1;
 +}
 +
 +int mesh_state_attachment(struct mesh_state* super, struct mesh_state* sub)
 +{
 +#ifdef UNBOUND_DEBUG
 +      struct rbnode_t* n;
 +#endif
 +      struct mesh_state_ref* subref; /* points to sub, inserted in super */
 +      struct mesh_state_ref* superref; /* points to super, inserted in sub */
 +      if( !(subref = regional_alloc(super->s.region,
 +              sizeof(struct mesh_state_ref))) ||
 +              !(superref = regional_alloc(sub->s.region,
 +              sizeof(struct mesh_state_ref))) ) {
 +              log_err("mesh_state_attachment: out of memory");
 +              return 0;
 +      }
 +      superref->node.key = superref;
 +      superref->s = super;
 +      subref->node.key = subref;
 +      subref->s = sub;
 +      if(!rbtree_insert(&sub->super_set, &superref->node)) {
 +              /* this should not happen, iterator and validator do not
 +               * attach subqueries that are identical. */
 +              /* already attached, we are done, nothing todo.
 +               * since superref and subref already allocated in region,
 +               * we cannot free them */
 +              return 1;
 +      }
 +#ifdef UNBOUND_DEBUG
 +      n =
 +#else
 +      (void)
 +#endif
 +      rbtree_insert(&super->sub_set, &subref->node);
 +      log_assert(n != NULL); /* we checked above if statement, the reverse
 +        administration should not fail now, unless they are out of sync */
 +      return 1;
 +}
 +
 +/**
 + * callback results to mesh cb entry
 + * @param m: mesh state to send it for.
 + * @param rcode: if not 0, error code.
 + * @param rep: reply to send (or NULL if rcode is set).
 + * @param r: callback entry
 + */
 +static void
 +mesh_do_callback(struct mesh_state* m, int rcode, struct reply_info* rep,
 +      struct mesh_cb* r)
 +{
 +      int secure;
 +      char* reason = NULL;
 +      /* bogus messages are not made into servfail, sec_status passed 
 +       * to the callback function */
 +      if(rep && rep->security == sec_status_secure)
 +              secure = 1;
 +      else    secure = 0;
 +      if(!rep && rcode == LDNS_RCODE_NOERROR)
 +              rcode = LDNS_RCODE_SERVFAIL;
 +      if(!rcode && rep->security == sec_status_bogus) {
 +              if(!(reason = errinf_to_str(&m->s)))
 +                      rcode = LDNS_RCODE_SERVFAIL;
 +      }
 +      /* send the reply */
 +      if(rcode) {
 +              fptr_ok(fptr_whitelist_mesh_cb(r->cb));
 +              (*r->cb)(r->cb_arg, rcode, r->buf, sec_status_unchecked, NULL);
 +      } else {
 +              size_t udp_size = r->edns.udp_size;
 +              sldns_buffer_clear(r->buf);
 +              r->edns.edns_version = EDNS_ADVERTISED_VERSION;
 +              r->edns.udp_size = EDNS_ADVERTISED_SIZE;
 +              r->edns.ext_rcode = 0;
 +              r->edns.bits &= EDNS_DO;
 +              if(!reply_info_answer_encode(&m->s.qinfo, rep, r->qid, 
 +                      r->qflags, r->buf, 0, 1, 
 +                      m->s.env->scratch, udp_size, &r->edns, 
 +                      (int)(r->edns.bits & EDNS_DO), secure)) 
 +              {
 +                      fptr_ok(fptr_whitelist_mesh_cb(r->cb));
 +                      (*r->cb)(r->cb_arg, LDNS_RCODE_SERVFAIL, r->buf,
 +                              sec_status_unchecked, NULL);
 +              } else {
 +                      fptr_ok(fptr_whitelist_mesh_cb(r->cb));
 +                      (*r->cb)(r->cb_arg, LDNS_RCODE_NOERROR, r->buf,
 +                              rep->security, reason);
 +              }
 +      }
 +      free(reason);
 +      m->s.env->mesh->num_reply_addrs--;
 +}
 +
 +/**
 + * Send reply to mesh reply entry
 + * @param m: mesh state to send it for.
 + * @param rcode: if not 0, error code.
 + * @param rep: reply to send (or NULL if rcode is set).
 + * @param r: reply entry
 + * @param prev: previous reply, already has its answer encoded in buffer.
 + */
 +static void
 +mesh_send_reply(struct mesh_state* m, int rcode, struct reply_info* rep,
 +      struct mesh_reply* r, struct mesh_reply* prev)
 +{
 +      struct timeval end_time;
 +      struct timeval duration;
 +      int secure;
 +      /* examine security status */
 +      if(m->s.env->need_to_validate && (!(r->qflags&BIT_CD) ||
 +              m->s.env->cfg->ignore_cd) && rep && 
 +              rep->security <= sec_status_bogus) {
 +              rcode = LDNS_RCODE_SERVFAIL;
 +              if(m->s.env->cfg->stat_extended) 
 +                      m->s.env->mesh->ans_bogus++;
 +      }
 +      if(rep && rep->security == sec_status_secure)
 +              secure = 1;
 +      else    secure = 0;
 +      if(!rep && rcode == LDNS_RCODE_NOERROR)
 +              rcode = LDNS_RCODE_SERVFAIL;
 +      /* send the reply */
 +      if(prev && prev->qflags == r->qflags && 
 +              prev->edns.edns_present == r->edns.edns_present && 
 +              prev->edns.bits == r->edns.bits && 
 +              prev->edns.udp_size == r->edns.udp_size) {
 +              /* if the previous reply is identical to this one, fix ID */
 +              if(prev->query_reply.c->buffer != r->query_reply.c->buffer)
 +                      sldns_buffer_copy(r->query_reply.c->buffer, 
 +                              prev->query_reply.c->buffer);
 +              sldns_buffer_write_at(r->query_reply.c->buffer, 0, 
 +                      &r->qid, sizeof(uint16_t));
 +              sldns_buffer_write_at(r->query_reply.c->buffer, 12, 
 +                      r->qname, m->s.qinfo.qname_len);
 +              comm_point_send_reply(&r->query_reply);
 +      } else if(rcode) {
 +              m->s.qinfo.qname = r->qname;
 +              error_encode(r->query_reply.c->buffer, rcode, &m->s.qinfo,
 +                      r->qid, r->qflags, &r->edns);
 +              comm_point_send_reply(&r->query_reply);
 +      } else {
 +              size_t udp_size = r->edns.udp_size;
 +              r->edns.edns_version = EDNS_ADVERTISED_VERSION;
 +              r->edns.udp_size = EDNS_ADVERTISED_SIZE;
 +              r->edns.ext_rcode = 0;
 +              r->edns.bits &= EDNS_DO;
 +              m->s.qinfo.qname = r->qname;
 +              if(!reply_info_answer_encode(&m->s.qinfo, rep, r->qid, 
 +                      r->qflags, r->query_reply.c->buffer, 0, 1, 
 +                      m->s.env->scratch, udp_size, &r->edns, 
 +                      (int)(r->edns.bits & EDNS_DO), secure)) 
 +              {
 +                      error_encode(r->query_reply.c->buffer, 
 +                              LDNS_RCODE_SERVFAIL, &m->s.qinfo, r->qid, 
 +                              r->qflags, &r->edns);
 +              }
 +              comm_point_send_reply(&r->query_reply);
 +      }
 +      /* account */
 +      m->s.env->mesh->num_reply_addrs--;
 +      end_time = *m->s.env->now_tv;
 +      timeval_subtract(&duration, &end_time, &r->start_time);
 +      verbose(VERB_ALGO, "query took " ARG_LL "d.%6.6d sec",
 +              (long long)duration.tv_sec, (int)duration.tv_usec);
 +      m->s.env->mesh->replies_sent++;
 +      timeval_add(&m->s.env->mesh->replies_sum_wait, &duration);
 +      timehist_insert(m->s.env->mesh->histogram, &duration);
 +      if(m->s.env->cfg->stat_extended) {
 +              uint16_t rc = FLAGS_GET_RCODE(sldns_buffer_read_u16_at(r->
 +                      query_reply.c->buffer, 2));
 +              if(secure) m->s.env->mesh->ans_secure++;
 +              m->s.env->mesh->ans_rcode[ rc ] ++;
 +              if(rc == 0 && LDNS_ANCOUNT(sldns_buffer_begin(r->
 +                      query_reply.c->buffer)) == 0)
 +                      m->s.env->mesh->ans_nodata++;
 +      }
 +}
 +
 +void mesh_query_done(struct mesh_state* mstate)
 +{
 +      struct mesh_reply* r;
 +      struct mesh_reply* prev = NULL;
 +      struct mesh_cb* c;
 +      struct reply_info* rep = (mstate->s.return_msg?
 +              mstate->s.return_msg->rep:NULL);
 +      for(r = mstate->reply_list; r; r = r->next) {
 +              mesh_send_reply(mstate, mstate->s.return_rcode, rep, r, prev);
 +              prev = r;
 +      }
 +      mstate->replies_sent = 1;
 +      for(c = mstate->cb_list; c; c = c->next) {
 +              mesh_do_callback(mstate, mstate->s.return_rcode, rep, c);
 +      }
 +}
 +
 +void mesh_walk_supers(struct mesh_area* mesh, struct mesh_state* mstate)
 +{
 +      struct mesh_state_ref* ref;
 +      RBTREE_FOR(ref, struct mesh_state_ref*, &mstate->super_set)
 +      {
 +              /* make super runnable */
 +              (void)rbtree_insert(&mesh->run, &ref->s->run_node);
 +              /* callback the function to inform super of result */
 +              fptr_ok(fptr_whitelist_mod_inform_super(
 +                      mesh->mods.mod[ref->s->s.curmod]->inform_super));
 +              (*mesh->mods.mod[ref->s->s.curmod]->inform_super)(&mstate->s, 
 +                      ref->s->s.curmod, &ref->s->s);
 +      }
 +}
 +
 +struct mesh_state* mesh_area_find(struct mesh_area* mesh,
 +      struct query_info* qinfo, uint16_t qflags, int prime, int valrec)
 +{
 +      struct mesh_state key;
 +      struct mesh_state* result;
 +
 +      key.node.key = &key;
 +      key.s.is_priming = prime;
 +      key.s.is_valrec = valrec;
 +      key.s.qinfo = *qinfo;
 +      key.s.query_flags = qflags;
 +      
 +      result = (struct mesh_state*)rbtree_search(&mesh->all, &key);
 +      return result;
 +}
 +
 +int mesh_state_add_cb(struct mesh_state* s, struct edns_data* edns,
 +        sldns_buffer* buf, mesh_cb_func_t cb, void* cb_arg,
 +      uint16_t qid, uint16_t qflags)
 +{
 +      struct mesh_cb* r = regional_alloc(s->s.region, 
 +              sizeof(struct mesh_cb));
 +      if(!r)
 +              return 0;
 +      r->buf = buf;
 +      log_assert(fptr_whitelist_mesh_cb(cb)); /* early failure ifmissing*/
 +      r->cb = cb;
 +      r->cb_arg = cb_arg;
 +      r->edns = *edns;
 +      r->qid = qid;
 +      r->qflags = qflags;
 +      r->next = s->cb_list;
 +      s->cb_list = r;
 +      return 1;
 +
 +}
 +
 +int mesh_state_add_reply(struct mesh_state* s, struct edns_data* edns,
 +        struct comm_reply* rep, uint16_t qid, uint16_t qflags, uint8_t* qname)
 +{
 +      struct mesh_reply* r = regional_alloc(s->s.region, 
 +              sizeof(struct mesh_reply));
 +      if(!r)
 +              return 0;
 +      r->query_reply = *rep;
 +      r->edns = *edns;
 +      r->qid = qid;
 +      r->qflags = qflags;
 +      r->start_time = *s->s.env->now_tv;
 +      r->next = s->reply_list;
 +      r->qname = regional_alloc_init(s->s.region, qname, 
 +              s->s.qinfo.qname_len);
 +      if(!r->qname)
 +              return 0;
 +      s->reply_list = r;
 +      return 1;
 +
 +}
 +
 +/**
 + * Continue processing the mesh state at another module.
 + * Handles module to modules tranfer of control.
 + * Handles module finished.
 + * @param mesh: the mesh area.
 + * @param mstate: currently active mesh state.
 + *    Deleted if finished, calls _done and _supers to 
 + *    send replies to clients and inform other mesh states.
 + *    This in turn may create additional runnable mesh states.
 + * @param s: state at which the current module exited.
 + * @param ev: the event sent to the module.
 + *    returned is the event to send to the next module.
 + * @return true if continue processing at the new module.
 + *    false if not continued processing is needed.
 + */
 +static int
 +mesh_continue(struct mesh_area* mesh, struct mesh_state* mstate,
 +      enum module_ext_state s, enum module_ev* ev)
 +{
 +      mstate->num_activated++;
 +      if(mstate->num_activated > MESH_MAX_ACTIVATION) {
 +              /* module is looping. Stop it. */
 +              log_err("internal error: looping module stopped");
 +              log_query_info(VERB_QUERY, "pass error for qstate",
 +                      &mstate->s.qinfo);
 +              s = module_error;
 +      }
 +      if(s == module_wait_module || s == module_restart_next) {
 +              /* start next module */
 +              mstate->s.curmod++;
 +              if(mesh->mods.num == mstate->s.curmod) {
 +                      log_err("Cannot pass to next module; at last module");
 +                      log_query_info(VERB_QUERY, "pass error for qstate",
 +                              &mstate->s.qinfo);
 +                      mstate->s.curmod--;
 +                      return mesh_continue(mesh, mstate, module_error, ev);
 +              }
 +              if(s == module_restart_next) {
 +                      fptr_ok(fptr_whitelist_mod_clear(
 +                              mesh->mods.mod[mstate->s.curmod]->clear));
 +                      (*mesh->mods.mod[mstate->s.curmod]->clear)
 +                              (&mstate->s, mstate->s.curmod);
 +                      mstate->s.minfo[mstate->s.curmod] = NULL;
 +              }
 +              *ev = module_event_pass;
 +              return 1;
 +      }
 +      if(s == module_error && mstate->s.return_rcode == LDNS_RCODE_NOERROR) {
 +              /* error is bad, handle pass back up below */
 +              mstate->s.return_rcode = LDNS_RCODE_SERVFAIL;
 +      }
 +      if(s == module_error || s == module_finished) {
 +              if(mstate->s.curmod == 0) {
 +                      mesh_query_done(mstate);
 +                      mesh_walk_supers(mesh, mstate);
 +                      mesh_state_delete(&mstate->s);
 +                      return 0;
 +              }
 +              /* pass along the locus of control */
 +              mstate->s.curmod --;
 +              *ev = module_event_moddone;
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +void mesh_run(struct mesh_area* mesh, struct mesh_state* mstate,
 +      enum module_ev ev, struct outbound_entry* e)
 +{
 +      enum module_ext_state s;
 +      verbose(VERB_ALGO, "mesh_run: start");
 +      while(mstate) {
 +              /* run the module */
 +              fptr_ok(fptr_whitelist_mod_operate(
 +                      mesh->mods.mod[mstate->s.curmod]->operate));
 +              (*mesh->mods.mod[mstate->s.curmod]->operate)
 +                      (&mstate->s, ev, mstate->s.curmod, e);
 +
 +              /* examine results */
 +              mstate->s.reply = NULL;
 +              regional_free_all(mstate->s.env->scratch);
 +              s = mstate->s.ext_state[mstate->s.curmod];
 +              verbose(VERB_ALGO, "mesh_run: %s module exit state is %s", 
 +                      mesh->mods.mod[mstate->s.curmod]->name, strextstate(s));
 +              e = NULL;
 +              if(mesh_continue(mesh, mstate, s, &ev))
 +                      continue;
 +
 +              /* run more modules */
 +              ev = module_event_pass;
 +              if(mesh->run.count > 0) {
 +                      /* pop random element off the runnable tree */
 +                      mstate = (struct mesh_state*)mesh->run.root->key;
 +                      (void)rbtree_delete(&mesh->run, mstate);
 +              } else mstate = NULL;
 +      }
 +      if(verbosity >= VERB_ALGO) {
 +              mesh_stats(mesh, "mesh_run: end");
 +              mesh_log_list(mesh);
 +      }
 +}
 +
 +void 
 +mesh_log_list(struct mesh_area* mesh)
 +{
 +      char buf[30];
 +      struct mesh_state* m;
 +      int num = 0;
 +      RBTREE_FOR(m, struct mesh_state*, &mesh->all) {
 +              snprintf(buf, sizeof(buf), "%d%s%s%s%s%s%s mod%d %s%s", 
 +                      num++, (m->s.is_priming)?"p":"",  /* prime */
 +                      (m->s.is_valrec)?"v":"",  /* prime */
 +                      (m->s.query_flags&BIT_RD)?"RD":"",
 +                      (m->s.query_flags&BIT_CD)?"CD":"",
 +                      (m->super_set.count==0)?"d":"", /* detached */
 +                      (m->sub_set.count!=0)?"c":"",  /* children */
 +                      m->s.curmod, (m->reply_list)?"rep":"", /*hasreply*/
 +                      (m->cb_list)?"cb":"" /* callbacks */
 +                      ); 
 +              log_query_info(VERB_ALGO, buf, &m->s.qinfo);
 +      }
 +}
 +
 +void 
 +mesh_stats(struct mesh_area* mesh, const char* str)
 +{
 +      verbose(VERB_DETAIL, "%s %u recursion states (%u with reply, "
 +              "%u detached), %u waiting replies, %u recursion replies "
 +              "sent, %d replies dropped, %d states jostled out", 
 +              str, (unsigned)mesh->all.count, 
 +              (unsigned)mesh->num_reply_states,
 +              (unsigned)mesh->num_detached_states,
 +              (unsigned)mesh->num_reply_addrs,
 +              (unsigned)mesh->replies_sent,
 +              (unsigned)mesh->stats_dropped,
 +              (unsigned)mesh->stats_jostled);
 +      if(mesh->replies_sent > 0) {
 +              struct timeval avg;
 +              timeval_divide(&avg, &mesh->replies_sum_wait, 
 +                      mesh->replies_sent);
 +              log_info("average recursion processing time "
 +                      ARG_LL "d.%6.6d sec",
 +                      (long long)avg.tv_sec, (int)avg.tv_usec);
 +              log_info("histogram of recursion processing times");
 +              timehist_log(mesh->histogram, "recursions");
 +      }
 +}
 +
 +void 
 +mesh_stats_clear(struct mesh_area* mesh)
 +{
 +      if(!mesh)
 +              return;
 +      mesh->replies_sent = 0;
 +      mesh->replies_sum_wait.tv_sec = 0;
 +      mesh->replies_sum_wait.tv_usec = 0;
 +      mesh->stats_jostled = 0;
 +      mesh->stats_dropped = 0;
 +      timehist_clear(mesh->histogram);
 +      mesh->ans_secure = 0;
 +      mesh->ans_bogus = 0;
 +      memset(&mesh->ans_rcode[0], 0, sizeof(size_t)*16);
 +      mesh->ans_nodata = 0;
 +}
 +
 +size_t 
 +mesh_get_mem(struct mesh_area* mesh)
 +{
 +      struct mesh_state* m;
 +      size_t s = sizeof(*mesh) + sizeof(struct timehist) +
 +              sizeof(struct th_buck)*mesh->histogram->num +
 +              sizeof(sldns_buffer) + sldns_buffer_capacity(mesh->qbuf_bak);
 +      RBTREE_FOR(m, struct mesh_state*, &mesh->all) {
 +              /* all, including m itself allocated in qstate region */
 +              s += regional_get_mem(m->s.region);
 +      }
 +      return s;
 +}
 +
 +int 
 +mesh_detect_cycle(struct module_qstate* qstate, struct query_info* qinfo,
 +      uint16_t flags, int prime, int valrec)
 +{
 +      struct mesh_area* mesh = qstate->env->mesh;
 +      struct mesh_state* dep_m = mesh_area_find(mesh, qinfo, flags, prime,
 +              valrec);
 +      return mesh_detect_cycle_found(qstate, dep_m);
 +}
 +
 +void mesh_list_insert(struct mesh_state* m, struct mesh_state** fp,
 +        struct mesh_state** lp)
 +{
 +      /* insert as last element */
 +      m->prev = *lp;
 +      m->next = NULL;
 +      if(*lp)
 +              (*lp)->next = m;
 +      else    *fp = m;
 +      *lp = m;
 +}
 +
 +void mesh_list_remove(struct mesh_state* m, struct mesh_state** fp,
 +        struct mesh_state** lp)
 +{
 +      if(m->next)
 +              m->next->prev = m->prev;
 +      else    *lp = m->prev;
 +      if(m->prev)
 +              m->prev->next = m->next;
 +      else    *fp = m->next;
 +}
diff --cc contrib/unbound/services/outside_network.c
index 5bb52ff9fe444cbc33f1b421150745b2906a036d,0000000000000000000000000000000000000000..f105bc0d48b0bf610dfec29ed98324698000e36f
mode 100644,000000..100644
--- 1/contrib/unbound/services/outside_network.c
--- /dev/null
+++ b/contrib/unbound/services/outside_network.c
@@@ -1,2052 -1,0 +1,2053 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * services/outside_network.c - implement sending of queries and wait answer.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file has functions to send queries to authoritative servers and
 + * wait for the pending answer events.
 + */
 +#include "config.h"
 +#include <ctype.h>
 +#ifdef HAVE_SYS_TYPES_H
 +#  include <sys/types.h>
 +#endif
 +#include <sys/time.h>
 +#include "services/outside_network.h"
 +#include "services/listen_dnsport.h"
 +#include "services/cache/infra.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgencode.h"
 +#include "util/data/dname.h"
 +#include "util/netevent.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/random.h"
 +#include "util/fptr_wlist.h"
-                       0, 0, 0, NULL);
++#include "sldns/sbuffer.h"
 +#include "dnstap/dnstap.h"
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include <openssl/ssl.h>
 +#endif
 +
 +#ifdef HAVE_NETDB_H
 +#include <netdb.h>
 +#endif
 +#include <fcntl.h>
 +
 +/** number of times to retry making a random ID that is unique. */
 +#define MAX_ID_RETRY 1000
 +/** number of times to retry finding interface, port that can be opened. */
 +#define MAX_PORT_RETRY 10000
 +/** number of retries on outgoing UDP queries */
 +#define OUTBOUND_UDP_RETRY 1
 +
 +/** initiate TCP transaction for serviced query */
 +static void serviced_tcp_initiate(struct serviced_query* sq, sldns_buffer* buff);
 +/** with a fd available, randomize and send UDP */
 +static int randomize_and_send_udp(struct pending* pend, sldns_buffer* packet,
 +      int timeout);
 +
 +/** remove waiting tcp from the outnet waiting list */
 +static void waiting_list_remove(struct outside_network* outnet,
 +      struct waiting_tcp* w);
 +
 +int 
 +pending_cmp(const void* key1, const void* key2)
 +{
 +      struct pending *p1 = (struct pending*)key1;
 +      struct pending *p2 = (struct pending*)key2;
 +      if(p1->id < p2->id)
 +              return -1;
 +      if(p1->id > p2->id)
 +              return 1;
 +      log_assert(p1->id == p2->id);
 +      return sockaddr_cmp(&p1->addr, p1->addrlen, &p2->addr, p2->addrlen);
 +}
 +
 +int 
 +serviced_cmp(const void* key1, const void* key2)
 +{
 +      struct serviced_query* q1 = (struct serviced_query*)key1;
 +      struct serviced_query* q2 = (struct serviced_query*)key2;
 +      int r;
 +      if(q1->qbuflen < q2->qbuflen)
 +              return -1;
 +      if(q1->qbuflen > q2->qbuflen)
 +              return 1;
 +      log_assert(q1->qbuflen == q2->qbuflen);
 +      log_assert(q1->qbuflen >= 15 /* 10 header, root, type, class */);
 +      /* alternate casing of qname is still the same query */
 +      if((r = memcmp(q1->qbuf, q2->qbuf, 10)) != 0)
 +              return r;
 +      if((r = memcmp(q1->qbuf+q1->qbuflen-4, q2->qbuf+q2->qbuflen-4, 4)) != 0)
 +              return r;
 +      if(q1->dnssec != q2->dnssec) {
 +              if(q1->dnssec < q2->dnssec)
 +                      return -1;
 +              return 1;
 +      }
 +      if((r = query_dname_compare(q1->qbuf+10, q2->qbuf+10)) != 0)
 +              return r;
 +      return sockaddr_cmp(&q1->addr, q1->addrlen, &q2->addr, q2->addrlen);
 +}
 +
 +/** delete waiting_tcp entry. Does not unlink from waiting list. 
 + * @param w: to delete.
 + */
 +static void
 +waiting_tcp_delete(struct waiting_tcp* w)
 +{
 +      if(!w) return;
 +      if(w->timer)
 +              comm_timer_delete(w->timer);
 +      free(w);
 +}
 +
 +/** 
 + * Pick random outgoing-interface of that family, and bind it.
 + * port set to 0 so OS picks a port number for us.
 + * if it is the ANY address, do not bind.
 + * @param w: tcp structure with destination address.
 + * @param s: socket fd.
 + * @return false on error, socket closed.
 + */
 +static int
 +pick_outgoing_tcp(struct waiting_tcp* w, int s)
 +{
 +      struct port_if* pi = NULL;
 +      int num;
 +#ifdef INET6
 +      if(addr_is_ip6(&w->addr, w->addrlen))
 +              num = w->outnet->num_ip6;
 +      else
 +#endif
 +              num = w->outnet->num_ip4;
 +      if(num == 0) {
 +              log_err("no TCP outgoing interfaces of family");
 +              log_addr(VERB_OPS, "for addr", &w->addr, w->addrlen);
 +#ifndef USE_WINSOCK
 +              close(s);
 +#else
 +              closesocket(s);
 +#endif
 +              return 0;
 +      }
 +#ifdef INET6
 +      if(addr_is_ip6(&w->addr, w->addrlen))
 +              pi = &w->outnet->ip6_ifs[ub_random_max(w->outnet->rnd, num)];
 +      else
 +#endif
 +              pi = &w->outnet->ip4_ifs[ub_random_max(w->outnet->rnd, num)];
 +      log_assert(pi);
 +      if(addr_is_any(&pi->addr, pi->addrlen)) {
 +              /* binding to the ANY interface is for listening sockets */
 +              return 1;
 +      }
 +      /* set port to 0 */
 +      if(addr_is_ip6(&pi->addr, pi->addrlen))
 +              ((struct sockaddr_in6*)&pi->addr)->sin6_port = 0;
 +      else    ((struct sockaddr_in*)&pi->addr)->sin_port = 0;
 +      if(bind(s, (struct sockaddr*)&pi->addr, pi->addrlen) != 0) {
 +#ifndef USE_WINSOCK
 +              log_err("outgoing tcp: bind: %s", strerror(errno));
 +              close(s);
 +#else
 +              log_err("outgoing tcp: bind: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +              closesocket(s);
 +#endif
 +              return 0;
 +      }
 +      log_addr(VERB_ALGO, "tcp bound to src", &pi->addr, pi->addrlen);
 +      return 1;
 +}
 +
 +/** use next free buffer to service a tcp query */
 +static int
 +outnet_tcp_take_into_use(struct waiting_tcp* w, uint8_t* pkt, size_t pkt_len)
 +{
 +      struct pending_tcp* pend = w->outnet->tcp_free;
 +      int s;
 +      log_assert(pend);
 +      log_assert(pkt);
 +      log_assert(w->addrlen > 0);
 +      /* open socket */
 +#ifdef INET6
 +      if(addr_is_ip6(&w->addr, w->addrlen))
 +              s = socket(PF_INET6, SOCK_STREAM, IPPROTO_TCP);
 +      else
 +#endif
 +              s = socket(PF_INET, SOCK_STREAM, IPPROTO_TCP);
 +      if(s == -1) {
 +#ifndef USE_WINSOCK
 +              log_err_addr("outgoing tcp: socket", strerror(errno),
 +                      &w->addr, w->addrlen);
 +#else
 +              log_err_addr("outgoing tcp: socket", 
 +                      wsa_strerror(WSAGetLastError()), &w->addr, w->addrlen);
 +#endif
 +              return 0;
 +      }
 +      if(!pick_outgoing_tcp(w, s))
 +              return 0;
 +
 +      fd_set_nonblock(s);
 +      if(connect(s, (struct sockaddr*)&w->addr, w->addrlen) == -1) {
 +#ifndef USE_WINSOCK
 +#ifdef EINPROGRESS
 +              if(errno != EINPROGRESS) {
 +#else
 +              if(1) {
 +#endif
 +                      if(tcp_connect_errno_needs_log(
 +                              (struct sockaddr*)&w->addr, w->addrlen))
 +                              log_err_addr("outgoing tcp: connect",
 +                                      strerror(errno), &w->addr, w->addrlen);
 +                      close(s);
 +#else /* USE_WINSOCK */
 +              if(WSAGetLastError() != WSAEINPROGRESS &&
 +                      WSAGetLastError() != WSAEWOULDBLOCK) {
 +                      closesocket(s);
 +#endif
 +                      return 0;
 +              }
 +      }
 +      if(w->outnet->sslctx && w->ssl_upstream) {
 +              pend->c->ssl = outgoing_ssl_fd(w->outnet->sslctx, s);
 +              if(!pend->c->ssl) {
 +                      pend->c->fd = s;
 +                      comm_point_close(pend->c);
 +                      return 0;
 +              }
 +#ifdef USE_WINSOCK
 +              comm_point_tcp_win_bio_cb(pend->c, pend->c->ssl);
 +#endif
 +              pend->c->ssl_shake_state = comm_ssl_shake_write;
 +      }
 +      w->pkt = NULL;
 +      w->next_waiting = (void*)pend;
 +      pend->id = LDNS_ID_WIRE(pkt);
 +      w->outnet->num_tcp_outgoing++;
 +      w->outnet->tcp_free = pend->next_free;
 +      pend->next_free = NULL;
 +      pend->query = w;
 +      pend->c->repinfo.addrlen = w->addrlen;
 +      memcpy(&pend->c->repinfo.addr, &w->addr, w->addrlen);
 +      sldns_buffer_clear(pend->c->buffer);
 +      sldns_buffer_write(pend->c->buffer, pkt, pkt_len);
 +      sldns_buffer_flip(pend->c->buffer);
 +      pend->c->tcp_is_reading = 0;
 +      pend->c->tcp_byte_count = 0;
 +      comm_point_start_listening(pend->c, s, -1);
 +      return 1;
 +}
 +
 +/** see if buffers can be used to service TCP queries */
 +static void
 +use_free_buffer(struct outside_network* outnet)
 +{
 +      struct waiting_tcp* w;
 +      while(outnet->tcp_free && outnet->tcp_wait_first 
 +              && !outnet->want_to_quit) {
 +              w = outnet->tcp_wait_first;
 +              outnet->tcp_wait_first = w->next_waiting;
 +              if(outnet->tcp_wait_last == w)
 +                      outnet->tcp_wait_last = NULL;
 +              if(!outnet_tcp_take_into_use(w, w->pkt, w->pkt_len)) {
 +                      comm_point_callback_t* cb = w->cb;
 +                      void* cb_arg = w->cb_arg;
 +                      waiting_tcp_delete(w);
 +                      fptr_ok(fptr_whitelist_pending_tcp(cb));
 +                      (void)(*cb)(NULL, cb_arg, NETEVENT_CLOSED, NULL);
 +              }
 +      }
 +}
 +
 +/** decomission a tcp buffer, closes commpoint and frees waiting_tcp entry */
 +static void
 +decomission_pending_tcp(struct outside_network* outnet, 
 +      struct pending_tcp* pend)
 +{
 +      if(pend->c->ssl) {
 +#ifdef HAVE_SSL
 +              SSL_shutdown(pend->c->ssl);
 +              SSL_free(pend->c->ssl);
 +              pend->c->ssl = NULL;
 +#endif
 +      }
 +      comm_point_close(pend->c);
 +      pend->next_free = outnet->tcp_free;
 +      outnet->tcp_free = pend;
 +      waiting_tcp_delete(pend->query);
 +      pend->query = NULL;
 +      use_free_buffer(outnet);
 +}
 +
 +int 
 +outnet_tcp_cb(struct comm_point* c, void* arg, int error,
 +      struct comm_reply *reply_info)
 +{
 +      struct pending_tcp* pend = (struct pending_tcp*)arg;
 +      struct outside_network* outnet = pend->query->outnet;
 +      verbose(VERB_ALGO, "outnettcp cb");
 +      if(error != NETEVENT_NOERROR) {
 +              verbose(VERB_QUERY, "outnettcp got tcp error %d", error);
 +              /* pass error below and exit */
 +      } else {
 +              /* check ID */
 +              if(sldns_buffer_limit(c->buffer) < sizeof(uint16_t) ||
 +                      LDNS_ID_WIRE(sldns_buffer_begin(c->buffer))!=pend->id) {
 +                      log_addr(VERB_QUERY, 
 +                              "outnettcp: bad ID in reply, from:",
 +                              &pend->query->addr, pend->query->addrlen);
 +                      error = NETEVENT_CLOSED;
 +              }
 +      }
 +      fptr_ok(fptr_whitelist_pending_tcp(pend->query->cb));
 +      (void)(*pend->query->cb)(c, pend->query->cb_arg, error, reply_info);
 +      decomission_pending_tcp(outnet, pend);
 +      return 0;
 +}
 +
 +/** lower use count on pc, see if it can be closed */
 +static void
 +portcomm_loweruse(struct outside_network* outnet, struct port_comm* pc)
 +{
 +      struct port_if* pif;
 +      pc->num_outstanding--;
 +      if(pc->num_outstanding > 0) {
 +              return;
 +      }
 +      /* close it and replace in unused list */
 +      verbose(VERB_ALGO, "close of port %d", pc->number);
 +      comm_point_close(pc->cp);
 +      pif = pc->pif;
 +      log_assert(pif->inuse > 0);
 +      pif->avail_ports[pif->avail_total - pif->inuse] = pc->number;
 +      pif->inuse--;
 +      pif->out[pc->index] = pif->out[pif->inuse];
 +      pif->out[pc->index]->index = pc->index;
 +      pc->next = outnet->unused_fds;
 +      outnet->unused_fds = pc;
 +}
 +
 +/** try to send waiting UDP queries */
 +static void
 +outnet_send_wait_udp(struct outside_network* outnet)
 +{
 +      struct pending* pend;
 +      /* process waiting queries */
 +      while(outnet->udp_wait_first && outnet->unused_fds 
 +              && !outnet->want_to_quit) {
 +              pend = outnet->udp_wait_first;
 +              outnet->udp_wait_first = pend->next_waiting;
 +              if(!pend->next_waiting) outnet->udp_wait_last = NULL;
 +              sldns_buffer_clear(outnet->udp_buff);
 +              sldns_buffer_write(outnet->udp_buff, pend->pkt, pend->pkt_len);
 +              sldns_buffer_flip(outnet->udp_buff);
 +              free(pend->pkt); /* freeing now makes get_mem correct */
 +              pend->pkt = NULL; 
 +              pend->pkt_len = 0;
 +              if(!randomize_and_send_udp(pend, outnet->udp_buff,
 +                      pend->timeout)) {
 +                      /* callback error on pending */
 +                      if(pend->cb) {
 +                              fptr_ok(fptr_whitelist_pending_udp(pend->cb));
 +                              (void)(*pend->cb)(outnet->unused_fds->cp, pend->cb_arg, 
 +                                      NETEVENT_CLOSED, NULL);
 +                      }
 +                      pending_delete(outnet, pend);
 +              }
 +      }
 +}
 +
 +int 
 +outnet_udp_cb(struct comm_point* c, void* arg, int error,
 +      struct comm_reply *reply_info)
 +{
 +      struct outside_network* outnet = (struct outside_network*)arg;
 +      struct pending key;
 +      struct pending* p;
 +      verbose(VERB_ALGO, "answer cb");
 +
 +      if(error != NETEVENT_NOERROR) {
 +              verbose(VERB_QUERY, "outnetudp got udp error %d", error);
 +              return 0;
 +      }
 +      if(sldns_buffer_limit(c->buffer) < LDNS_HEADER_SIZE) {
 +              verbose(VERB_QUERY, "outnetudp udp too short");
 +              return 0;
 +      }
 +      log_assert(reply_info);
 +
 +      /* setup lookup key */
 +      key.id = (unsigned)LDNS_ID_WIRE(sldns_buffer_begin(c->buffer));
 +      memcpy(&key.addr, &reply_info->addr, reply_info->addrlen);
 +      key.addrlen = reply_info->addrlen;
 +      verbose(VERB_ALGO, "Incoming reply id = %4.4x", key.id);
 +      log_addr(VERB_ALGO, "Incoming reply addr =", 
 +              &reply_info->addr, reply_info->addrlen);
 +
 +      /* find it, see if this thing is a valid query response */
 +      verbose(VERB_ALGO, "lookup size is %d entries", (int)outnet->pending->count);
 +      p = (struct pending*)rbtree_search(outnet->pending, &key);
 +      if(!p) {
 +              verbose(VERB_QUERY, "received unwanted or unsolicited udp reply dropped.");
 +              log_buf(VERB_ALGO, "dropped message", c->buffer);
 +              outnet->unwanted_replies++;
 +              if(outnet->unwanted_threshold && ++outnet->unwanted_total 
 +                      >= outnet->unwanted_threshold) {
 +                      log_warn("unwanted reply total reached threshold (%u)"
 +                              " you may be under attack."
 +                              " defensive action: clearing the cache",
 +                              (unsigned)outnet->unwanted_threshold);
 +                      fptr_ok(fptr_whitelist_alloc_cleanup(
 +                              outnet->unwanted_action));
 +                      (*outnet->unwanted_action)(outnet->unwanted_param);
 +                      outnet->unwanted_total = 0;
 +              }
 +              return 0;
 +      }
 +
 +      verbose(VERB_ALGO, "received udp reply.");
 +      log_buf(VERB_ALGO, "udp message", c->buffer);
 +      if(p->pc->cp != c) {
 +              verbose(VERB_QUERY, "received reply id,addr on wrong port. "
 +                      "dropped.");
 +              outnet->unwanted_replies++;
 +              if(outnet->unwanted_threshold && ++outnet->unwanted_total 
 +                      >= outnet->unwanted_threshold) {
 +                      log_warn("unwanted reply total reached threshold (%u)"
 +                              " you may be under attack."
 +                              " defensive action: clearing the cache",
 +                              (unsigned)outnet->unwanted_threshold);
 +                      fptr_ok(fptr_whitelist_alloc_cleanup(
 +                              outnet->unwanted_action));
 +                      (*outnet->unwanted_action)(outnet->unwanted_param);
 +                      outnet->unwanted_total = 0;
 +              }
 +              return 0;
 +      }
 +      comm_timer_disable(p->timer);
 +      verbose(VERB_ALGO, "outnet handle udp reply");
 +      /* delete from tree first in case callback creates a retry */
 +      (void)rbtree_delete(outnet->pending, p->node.key);
 +      if(p->cb) {
 +              fptr_ok(fptr_whitelist_pending_udp(p->cb));
 +              (void)(*p->cb)(p->pc->cp, p->cb_arg, NETEVENT_NOERROR, reply_info);
 +      }
 +      portcomm_loweruse(outnet, p->pc);
 +      pending_delete(NULL, p);
 +      outnet_send_wait_udp(outnet);
 +      return 0;
 +}
 +
 +/** calculate number of ip4 and ip6 interfaces*/
 +static void 
 +calc_num46(char** ifs, int num_ifs, int do_ip4, int do_ip6, 
 +      int* num_ip4, int* num_ip6)
 +{
 +      int i;
 +      *num_ip4 = 0;
 +      *num_ip6 = 0;
 +      if(num_ifs <= 0) {
 +              if(do_ip4)
 +                      *num_ip4 = 1;
 +              if(do_ip6)
 +                      *num_ip6 = 1;
 +              return;
 +      }
 +      for(i=0; i<num_ifs; i++)
 +      {
 +              if(str_is_ip6(ifs[i])) {
 +                      if(do_ip6)
 +                              (*num_ip6)++;
 +              } else {
 +                      if(do_ip4)
 +                              (*num_ip4)++;
 +              }
 +      }
 +
 +}
 +
 +void
 +pending_udp_timer_delay_cb(void* arg)
 +{
 +      struct pending* p = (struct pending*)arg;
 +      struct outside_network* outnet = p->outnet;
 +      verbose(VERB_ALGO, "timeout udp with delay");
 +      portcomm_loweruse(outnet, p->pc);
 +      pending_delete(outnet, p);
 +      outnet_send_wait_udp(outnet);
 +}
 +
 +void 
 +pending_udp_timer_cb(void *arg)
 +{
 +      struct pending* p = (struct pending*)arg;
 +      struct outside_network* outnet = p->outnet;
 +      /* it timed out */
 +      verbose(VERB_ALGO, "timeout udp");
 +      if(p->cb) {
 +              fptr_ok(fptr_whitelist_pending_udp(p->cb));
 +              (void)(*p->cb)(p->pc->cp, p->cb_arg, NETEVENT_TIMEOUT, NULL);
 +      }
 +      /* if delayclose, keep port open for a longer time.
 +       * But if the udpwaitlist exists, then we are struggling to
 +       * keep up with demand for sockets, so do not wait, but service
 +       * the customer (customer service more important than portICMPs) */
 +      if(outnet->delayclose && !outnet->udp_wait_first) {
 +              p->cb = NULL;
 +              p->timer->callback = &pending_udp_timer_delay_cb;
 +              comm_timer_set(p->timer, &outnet->delay_tv);
 +              return;
 +      }
 +      portcomm_loweruse(outnet, p->pc);
 +      pending_delete(outnet, p);
 +      outnet_send_wait_udp(outnet);
 +}
 +
 +/** create pending_tcp buffers */
 +static int
 +create_pending_tcp(struct outside_network* outnet, size_t bufsize)
 +{
 +      size_t i;
 +      if(outnet->num_tcp == 0)
 +              return 1; /* no tcp needed, nothing to do */
 +      if(!(outnet->tcp_conns = (struct pending_tcp **)calloc(
 +                      outnet->num_tcp, sizeof(struct pending_tcp*))))
 +              return 0;
 +      for(i=0; i<outnet->num_tcp; i++) {
 +              if(!(outnet->tcp_conns[i] = (struct pending_tcp*)calloc(1, 
 +                      sizeof(struct pending_tcp))))
 +                      return 0;
 +              outnet->tcp_conns[i]->next_free = outnet->tcp_free;
 +              outnet->tcp_free = outnet->tcp_conns[i];
 +              outnet->tcp_conns[i]->c = comm_point_create_tcp_out(
 +                      outnet->base, bufsize, outnet_tcp_cb, 
 +                      outnet->tcp_conns[i]);
 +              if(!outnet->tcp_conns[i]->c)
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** setup an outgoing interface, ready address */
 +static int setup_if(struct port_if* pif, const char* addrstr, 
 +      int* avail, int numavail, size_t numfd)
 +{
 +      pif->avail_total = numavail;
 +      pif->avail_ports = (int*)memdup(avail, (size_t)numavail*sizeof(int));
 +      if(!pif->avail_ports)
 +              return 0;
 +      if(!ipstrtoaddr(addrstr, UNBOUND_DNS_PORT, &pif->addr, &pif->addrlen))
 +              return 0;
 +      pif->maxout = (int)numfd;
 +      pif->inuse = 0;
 +      pif->out = (struct port_comm**)calloc(numfd, 
 +              sizeof(struct port_comm*));
 +      if(!pif->out)
 +              return 0;
 +      return 1;
 +}
 +
 +struct outside_network* 
 +outside_network_create(struct comm_base *base, size_t bufsize, 
 +      size_t num_ports, char** ifs, int num_ifs, int do_ip4, 
 +      int do_ip6, size_t num_tcp, struct infra_cache* infra,
 +      struct ub_randstate* rnd, int use_caps_for_id, int* availports, 
 +      int numavailports, size_t unwanted_threshold,
 +      void (*unwanted_action)(void*), void* unwanted_param, int do_udp,
 +      void* sslctx, int delayclose, struct dt_env* dtenv)
 +{
 +      struct outside_network* outnet = (struct outside_network*)
 +              calloc(1, sizeof(struct outside_network));
 +      size_t k;
 +      if(!outnet) {
 +              log_err("malloc failed");
 +              return NULL;
 +      }
 +      comm_base_timept(base, &outnet->now_secs, &outnet->now_tv);
 +      outnet->base = base;
 +      outnet->num_tcp = num_tcp;
 +      outnet->num_tcp_outgoing = 0;
 +      outnet->infra = infra;
 +      outnet->rnd = rnd;
 +      outnet->sslctx = sslctx;
 +#ifdef USE_DNSTAP
 +      outnet->dtenv = dtenv;
 +#else
 +      (void)dtenv;
 +#endif
 +      outnet->svcd_overhead = 0;
 +      outnet->want_to_quit = 0;
 +      outnet->unwanted_threshold = unwanted_threshold;
 +      outnet->unwanted_action = unwanted_action;
 +      outnet->unwanted_param = unwanted_param;
 +      outnet->use_caps_for_id = use_caps_for_id;
 +      outnet->do_udp = do_udp;
 +#ifndef S_SPLINT_S
 +      if(delayclose) {
 +              outnet->delayclose = 1;
 +              outnet->delay_tv.tv_sec = delayclose/1000;
 +              outnet->delay_tv.tv_usec = (delayclose%1000)*1000;
 +      }
 +#endif
 +      if(numavailports == 0) {
 +              log_err("no outgoing ports available");
 +              outside_network_delete(outnet);
 +              return NULL;
 +      }
 +#ifndef INET6
 +      do_ip6 = 0;
 +#endif
 +      calc_num46(ifs, num_ifs, do_ip4, do_ip6, 
 +              &outnet->num_ip4, &outnet->num_ip6);
 +      if(outnet->num_ip4 != 0) {
 +              if(!(outnet->ip4_ifs = (struct port_if*)calloc(
 +                      (size_t)outnet->num_ip4, sizeof(struct port_if)))) {
 +                      log_err("malloc failed");
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +      }
 +      if(outnet->num_ip6 != 0) {
 +              if(!(outnet->ip6_ifs = (struct port_if*)calloc(
 +                      (size_t)outnet->num_ip6, sizeof(struct port_if)))) {
 +                      log_err("malloc failed");
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +      }
 +      if(     !(outnet->udp_buff = sldns_buffer_new(bufsize)) ||
 +              !(outnet->pending = rbtree_create(pending_cmp)) ||
 +              !(outnet->serviced = rbtree_create(serviced_cmp)) ||
 +              !create_pending_tcp(outnet, bufsize)) {
 +              log_err("malloc failed");
 +              outside_network_delete(outnet);
 +              return NULL;
 +      }
 +
 +      /* allocate commpoints */
 +      for(k=0; k<num_ports; k++) {
 +              struct port_comm* pc;
 +              pc = (struct port_comm*)calloc(1, sizeof(*pc));
 +              if(!pc) {
 +                      log_err("malloc failed");
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +              pc->cp = comm_point_create_udp(outnet->base, -1, 
 +                      outnet->udp_buff, outnet_udp_cb, outnet);
 +              if(!pc->cp) {
 +                      log_err("malloc failed");
 +                      free(pc);
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +              pc->next = outnet->unused_fds;
 +              outnet->unused_fds = pc;
 +      }
 +
 +      /* allocate interfaces */
 +      if(num_ifs == 0) {
 +              if(do_ip4 && !setup_if(&outnet->ip4_ifs[0], "0.0.0.0", 
 +                      availports, numavailports, num_ports)) {
 +                      log_err("malloc failed");
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +              if(do_ip6 && !setup_if(&outnet->ip6_ifs[0], "::", 
 +                      availports, numavailports, num_ports)) {
 +                      log_err("malloc failed");
 +                      outside_network_delete(outnet);
 +                      return NULL;
 +              }
 +      } else {
 +              size_t done_4 = 0, done_6 = 0;
 +              int i;
 +              for(i=0; i<num_ifs; i++) {
 +                      if(str_is_ip6(ifs[i]) && do_ip6) {
 +                              if(!setup_if(&outnet->ip6_ifs[done_6], ifs[i],
 +                                      availports, numavailports, num_ports)){
 +                                      log_err("malloc failed");
 +                                      outside_network_delete(outnet);
 +                                      return NULL;
 +                              }
 +                              done_6++;
 +                      }
 +                      if(!str_is_ip6(ifs[i]) && do_ip4) {
 +                              if(!setup_if(&outnet->ip4_ifs[done_4], ifs[i],
 +                                      availports, numavailports, num_ports)){
 +                                      log_err("malloc failed");
 +                                      outside_network_delete(outnet);
 +                                      return NULL;
 +                              }
 +                              done_4++;
 +                      }
 +              }
 +      }
 +      return outnet;
 +}
 +
 +/** helper pending delete */
 +static void
 +pending_node_del(rbnode_t* node, void* arg)
 +{
 +      struct pending* pend = (struct pending*)node;
 +      struct outside_network* outnet = (struct outside_network*)arg;
 +      pending_delete(outnet, pend);
 +}
 +
 +/** helper serviced delete */
 +static void
 +serviced_node_del(rbnode_t* node, void* ATTR_UNUSED(arg))
 +{
 +      struct serviced_query* sq = (struct serviced_query*)node;
 +      struct service_callback* p = sq->cblist, *np;
 +      free(sq->qbuf);
 +      free(sq->zone);
 +      while(p) {
 +              np = p->next;
 +              free(p);
 +              p = np;
 +      }
 +      free(sq);
 +}
 +
 +void 
 +outside_network_quit_prepare(struct outside_network* outnet)
 +{
 +      if(!outnet)
 +              return;
 +      /* prevent queued items from being sent */
 +      outnet->want_to_quit = 1; 
 +}
 +
 +void 
 +outside_network_delete(struct outside_network* outnet)
 +{
 +      if(!outnet)
 +              return;
 +      outnet->want_to_quit = 1;
 +      /* check every element, since we can be called on malloc error */
 +      if(outnet->pending) {
 +              /* free pending elements, but do no unlink from tree. */
 +              traverse_postorder(outnet->pending, pending_node_del, NULL);
 +              free(outnet->pending);
 +      }
 +      if(outnet->serviced) {
 +              traverse_postorder(outnet->serviced, serviced_node_del, NULL);
 +              free(outnet->serviced);
 +      }
 +      if(outnet->udp_buff)
 +              sldns_buffer_free(outnet->udp_buff);
 +      if(outnet->unused_fds) {
 +              struct port_comm* p = outnet->unused_fds, *np;
 +              while(p) {
 +                      np = p->next;
 +                      comm_point_delete(p->cp);
 +                      free(p);
 +                      p = np;
 +              }
 +              outnet->unused_fds = NULL;
 +      }
 +      if(outnet->ip4_ifs) {
 +              int i, k;
 +              for(i=0; i<outnet->num_ip4; i++) {
 +                      for(k=0; k<outnet->ip4_ifs[i].inuse; k++) {
 +                              struct port_comm* pc = outnet->ip4_ifs[i].
 +                                      out[k];
 +                              comm_point_delete(pc->cp);
 +                              free(pc);
 +                      }
 +                      free(outnet->ip4_ifs[i].avail_ports);
 +                      free(outnet->ip4_ifs[i].out);
 +              }
 +              free(outnet->ip4_ifs);
 +      }
 +      if(outnet->ip6_ifs) {
 +              int i, k;
 +              for(i=0; i<outnet->num_ip6; i++) {
 +                      for(k=0; k<outnet->ip6_ifs[i].inuse; k++) {
 +                              struct port_comm* pc = outnet->ip6_ifs[i].
 +                                      out[k];
 +                              comm_point_delete(pc->cp);
 +                              free(pc);
 +                      }
 +                      free(outnet->ip6_ifs[i].avail_ports);
 +                      free(outnet->ip6_ifs[i].out);
 +              }
 +              free(outnet->ip6_ifs);
 +      }
 +      if(outnet->tcp_conns) {
 +              size_t i;
 +              for(i=0; i<outnet->num_tcp; i++)
 +                      if(outnet->tcp_conns[i]) {
 +                              comm_point_delete(outnet->tcp_conns[i]->c);
 +                              waiting_tcp_delete(outnet->tcp_conns[i]->query);
 +                              free(outnet->tcp_conns[i]);
 +                      }
 +              free(outnet->tcp_conns);
 +      }
 +      if(outnet->tcp_wait_first) {
 +              struct waiting_tcp* p = outnet->tcp_wait_first, *np;
 +              while(p) {
 +                      np = p->next_waiting;
 +                      waiting_tcp_delete(p);
 +                      p = np;
 +              }
 +      }
 +      if(outnet->udp_wait_first) {
 +              struct pending* p = outnet->udp_wait_first, *np;
 +              while(p) {
 +                      np = p->next_waiting;
 +                      pending_delete(NULL, p);
 +                      p = np;
 +              }
 +      }
 +      free(outnet);
 +}
 +
 +void 
 +pending_delete(struct outside_network* outnet, struct pending* p)
 +{
 +      if(!p)
 +              return;
 +      if(outnet && outnet->udp_wait_first &&
 +              (p->next_waiting || p == outnet->udp_wait_last) ) {
 +              /* delete from waiting list, if it is in the waiting list */
 +              struct pending* prev = NULL, *x = outnet->udp_wait_first;
 +              while(x && x != p) {
 +                      prev = x;
 +                      x = x->next_waiting;
 +              }
 +              if(x) {
 +                      log_assert(x == p);
 +                      if(prev)
 +                              prev->next_waiting = p->next_waiting;
 +                      else    outnet->udp_wait_first = p->next_waiting;
 +                      if(outnet->udp_wait_last == p)
 +                              outnet->udp_wait_last = prev;
 +              }
 +      }
 +      if(outnet) {
 +              (void)rbtree_delete(outnet->pending, p->node.key);
 +      }
 +      if(p->timer)
 +              comm_timer_delete(p->timer);
 +      free(p->pkt);
 +      free(p);
 +}
 +
 +/**
 + * Try to open a UDP socket for outgoing communication.
 + * Sets sockets options as needed.
 + * @param addr: socket address.
 + * @param addrlen: length of address.
 + * @param port: port override for addr.
 + * @param inuse: if -1 is returned, this bool means the port was in use.
 + * @return fd or -1
 + */
 +static int
 +udp_sockport(struct sockaddr_storage* addr, socklen_t addrlen, int port, 
 +      int* inuse)
 +{
 +      int fd, noproto;
 +      if(addr_is_ip6(addr, addrlen)) {
 +              struct sockaddr_in6* sa = (struct sockaddr_in6*)addr;
 +              sa->sin6_port = (in_port_t)htons((uint16_t)port);
 +              fd = create_udp_sock(AF_INET6, SOCK_DGRAM, 
 +                      (struct sockaddr*)addr, addrlen, 1, inuse, &noproto,
-                       0, 0, 0, NULL);
++                      0, 0, 0, NULL, 0);
 +      } else {
 +              struct sockaddr_in* sa = (struct sockaddr_in*)addr;
 +              sa->sin_port = (in_port_t)htons((uint16_t)port);
 +              fd = create_udp_sock(AF_INET, SOCK_DGRAM, 
 +                      (struct sockaddr*)addr, addrlen, 1, inuse, &noproto,
-       if(sq->outnet->use_caps_for_id && error == NETEVENT_NOERROR && c) {
++                      0, 0, 0, NULL, 0);
 +      }
 +      return fd;
 +}
 +
 +/** Select random ID */
 +static int
 +select_id(struct outside_network* outnet, struct pending* pend,
 +      sldns_buffer* packet)
 +{
 +      int id_tries = 0;
 +      pend->id = ((unsigned)ub_random(outnet->rnd)>>8) & 0xffff;
 +      LDNS_ID_SET(sldns_buffer_begin(packet), pend->id);
 +
 +      /* insert in tree */
 +      pend->node.key = pend;
 +      while(!rbtree_insert(outnet->pending, &pend->node)) {
 +              /* change ID to avoid collision */
 +              pend->id = ((unsigned)ub_random(outnet->rnd)>>8) & 0xffff;
 +              LDNS_ID_SET(sldns_buffer_begin(packet), pend->id);
 +              id_tries++;
 +              if(id_tries == MAX_ID_RETRY) {
 +                      pend->id=99999; /* non existant ID */
 +                      log_err("failed to generate unique ID, drop msg");
 +                      return 0;
 +              }
 +      }
 +      verbose(VERB_ALGO, "inserted new pending reply id=%4.4x", pend->id);
 +      return 1;
 +}
 +
 +/** Select random interface and port */
 +static int
 +select_ifport(struct outside_network* outnet, struct pending* pend,
 +      int num_if, struct port_if* ifs)
 +{
 +      int my_if, my_port, fd, portno, inuse, tries=0;
 +      struct port_if* pif;
 +      /* randomly select interface and port */
 +      if(num_if == 0) {
 +              verbose(VERB_QUERY, "Need to send query but have no "
 +                      "outgoing interfaces of that family");
 +              return 0;
 +      }
 +      log_assert(outnet->unused_fds);
 +      tries = 0;
 +      while(1) {
 +              my_if = ub_random_max(outnet->rnd, num_if);
 +              pif = &ifs[my_if];
 +              my_port = ub_random_max(outnet->rnd, pif->avail_total);
 +              if(my_port < pif->inuse) {
 +                      /* port already open */
 +                      pend->pc = pif->out[my_port];
 +                      verbose(VERB_ALGO, "using UDP if=%d port=%d", 
 +                              my_if, pend->pc->number);
 +                      break;
 +              }
 +              /* try to open new port, if fails, loop to try again */
 +              log_assert(pif->inuse < pif->maxout);
 +              portno = pif->avail_ports[my_port - pif->inuse];
 +              fd = udp_sockport(&pif->addr, pif->addrlen, portno, &inuse);
 +              if(fd == -1 && !inuse) {
 +                      /* nonrecoverable error making socket */
 +                      return 0;
 +              }
 +              if(fd != -1) {
 +                      verbose(VERB_ALGO, "opened UDP if=%d port=%d", 
 +                              my_if, portno);
 +                      /* grab fd */
 +                      pend->pc = outnet->unused_fds;
 +                      outnet->unused_fds = pend->pc->next;
 +
 +                      /* setup portcomm */
 +                      pend->pc->next = NULL;
 +                      pend->pc->number = portno;
 +                      pend->pc->pif = pif;
 +                      pend->pc->index = pif->inuse;
 +                      pend->pc->num_outstanding = 0;
 +                      comm_point_start_listening(pend->pc->cp, fd, -1);
 +
 +                      /* grab port in interface */
 +                      pif->out[pif->inuse] = pend->pc;
 +                      pif->avail_ports[my_port - pif->inuse] =
 +                              pif->avail_ports[pif->avail_total-pif->inuse-1];
 +                      pif->inuse++;
 +                      break;
 +              }
 +              /* failed, already in use */
 +              verbose(VERB_QUERY, "port %d in use, trying another", portno);
 +              tries++;
 +              if(tries == MAX_PORT_RETRY) {
 +                      log_err("failed to find an open port, drop msg");
 +                      return 0;
 +              }
 +      }
 +      log_assert(pend->pc);
 +      pend->pc->num_outstanding++;
 +
 +      return 1;
 +}
 +
 +static int
 +randomize_and_send_udp(struct pending* pend, sldns_buffer* packet, int timeout)
 +{
 +      struct timeval tv;
 +      struct outside_network* outnet = pend->sq->outnet;
 +
 +      /* select id */
 +      if(!select_id(outnet, pend, packet)) {
 +              return 0;
 +      }
 +
 +      /* select src_if, port */
 +      if(addr_is_ip6(&pend->addr, pend->addrlen)) {
 +              if(!select_ifport(outnet, pend, 
 +                      outnet->num_ip6, outnet->ip6_ifs))
 +                      return 0;
 +      } else {
 +              if(!select_ifport(outnet, pend, 
 +                      outnet->num_ip4, outnet->ip4_ifs))
 +                      return 0;
 +      }
 +      log_assert(pend->pc && pend->pc->cp);
 +
 +      /* send it over the commlink */
 +      if(!comm_point_send_udp_msg(pend->pc->cp, packet, 
 +              (struct sockaddr*)&pend->addr, pend->addrlen)) {
 +              portcomm_loweruse(outnet, pend->pc);
 +              return 0;
 +      }
 +
 +      /* system calls to set timeout after sending UDP to make roundtrip
 +         smaller. */
 +#ifndef S_SPLINT_S
 +      tv.tv_sec = timeout/1000;
 +      tv.tv_usec = (timeout%1000)*1000;
 +#endif
 +      comm_timer_set(pend->timer, &tv);
 +
 +#ifdef USE_DNSTAP
 +      if(outnet->dtenv &&
 +         (outnet->dtenv->log_resolver_query_messages ||
 +          outnet->dtenv->log_forwarder_query_messages))
 +              dt_msg_send_outside_query(outnet->dtenv, &pend->addr, comm_udp,
 +              pend->sq->zone, pend->sq->zonelen, packet);
 +#endif
 +      return 1;
 +}
 +
 +struct pending* 
 +pending_udp_query(struct serviced_query* sq, struct sldns_buffer* packet,
 +      int timeout, comm_point_callback_t* cb, void* cb_arg)
 +{
 +      struct pending* pend = (struct pending*)calloc(1, sizeof(*pend));
 +      if(!pend) return NULL;
 +      pend->outnet = sq->outnet;
 +      pend->sq = sq;
 +      pend->addrlen = sq->addrlen;
 +      memmove(&pend->addr, &sq->addr, sq->addrlen);
 +      pend->cb = cb;
 +      pend->cb_arg = cb_arg;
 +      pend->node.key = pend;
 +      pend->timer = comm_timer_create(sq->outnet->base, pending_udp_timer_cb,
 +              pend);
 +      if(!pend->timer) {
 +              free(pend);
 +              return NULL;
 +      }
 +
 +      if(sq->outnet->unused_fds == NULL) {
 +              /* no unused fd, cannot create a new port (randomly) */
 +              verbose(VERB_ALGO, "no fds available, udp query waiting");
 +              pend->timeout = timeout;
 +              pend->pkt_len = sldns_buffer_limit(packet);
 +              pend->pkt = (uint8_t*)memdup(sldns_buffer_begin(packet),
 +                      pend->pkt_len);
 +              if(!pend->pkt) {
 +                      comm_timer_delete(pend->timer);
 +                      free(pend);
 +                      return NULL;
 +              }
 +              /* put at end of waiting list */
 +              if(sq->outnet->udp_wait_last)
 +                      sq->outnet->udp_wait_last->next_waiting = pend;
 +              else 
 +                      sq->outnet->udp_wait_first = pend;
 +              sq->outnet->udp_wait_last = pend;
 +              return pend;
 +      }
 +      if(!randomize_and_send_udp(pend, packet, timeout)) {
 +              pending_delete(sq->outnet, pend);
 +              return NULL;
 +      }
 +      return pend;
 +}
 +
 +void
 +outnet_tcptimer(void* arg)
 +{
 +      struct waiting_tcp* w = (struct waiting_tcp*)arg;
 +      struct outside_network* outnet = w->outnet;
 +      comm_point_callback_t* cb;
 +      void* cb_arg;
 +      if(w->pkt) {
 +              /* it is on the waiting list */
 +              waiting_list_remove(outnet, w);
 +      } else {
 +              /* it was in use */
 +              struct pending_tcp* pend=(struct pending_tcp*)w->next_waiting;
 +              comm_point_close(pend->c);
 +              pend->query = NULL;
 +              pend->next_free = outnet->tcp_free;
 +              outnet->tcp_free = pend;
 +      }
 +      cb = w->cb;
 +      cb_arg = w->cb_arg;
 +      waiting_tcp_delete(w);
 +      fptr_ok(fptr_whitelist_pending_tcp(cb));
 +      (void)(*cb)(NULL, cb_arg, NETEVENT_TIMEOUT, NULL);
 +      use_free_buffer(outnet);
 +}
 +
 +struct waiting_tcp*
 +pending_tcp_query(struct serviced_query* sq, sldns_buffer* packet,
 +      int timeout, comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct pending_tcp* pend = sq->outnet->tcp_free;
 +      struct waiting_tcp* w;
 +      struct timeval tv;
 +      uint16_t id;
 +      /* if no buffer is free allocate space to store query */
 +      w = (struct waiting_tcp*)malloc(sizeof(struct waiting_tcp) 
 +              + (pend?0:sldns_buffer_limit(packet)));
 +      if(!w) {
 +              return NULL;
 +      }
 +      if(!(w->timer = comm_timer_create(sq->outnet->base, outnet_tcptimer, w))) {
 +              free(w);
 +              return NULL;
 +      }
 +      w->pkt = NULL;
 +      w->pkt_len = 0;
 +      id = ((unsigned)ub_random(sq->outnet->rnd)>>8) & 0xffff;
 +      LDNS_ID_SET(sldns_buffer_begin(packet), id);
 +      memcpy(&w->addr, &sq->addr, sq->addrlen);
 +      w->addrlen = sq->addrlen;
 +      w->outnet = sq->outnet;
 +      w->cb = callback;
 +      w->cb_arg = callback_arg;
 +      w->ssl_upstream = sq->ssl_upstream;
 +#ifndef S_SPLINT_S
 +      tv.tv_sec = timeout;
 +      tv.tv_usec = 0;
 +#endif
 +      comm_timer_set(w->timer, &tv);
 +      if(pend) {
 +              /* we have a buffer available right now */
 +              if(!outnet_tcp_take_into_use(w, sldns_buffer_begin(packet),
 +                      sldns_buffer_limit(packet))) {
 +                      waiting_tcp_delete(w);
 +                      return NULL;
 +              }
 +#ifdef USE_DNSTAP
 +              if(sq->outnet->dtenv &&
 +                 (sq->outnet->dtenv->log_resolver_query_messages ||
 +                  sq->outnet->dtenv->log_forwarder_query_messages))
 +              dt_msg_send_outside_query(sq->outnet->dtenv, &sq->addr,
 +              comm_tcp, sq->zone, sq->zonelen, packet);
 +#endif
 +      } else {
 +              /* queue up */
 +              w->pkt = (uint8_t*)w + sizeof(struct waiting_tcp);
 +              w->pkt_len = sldns_buffer_limit(packet);
 +              memmove(w->pkt, sldns_buffer_begin(packet), w->pkt_len);
 +              w->next_waiting = NULL;
 +              if(sq->outnet->tcp_wait_last)
 +                      sq->outnet->tcp_wait_last->next_waiting = w;
 +              else    sq->outnet->tcp_wait_first = w;
 +              sq->outnet->tcp_wait_last = w;
 +      }
 +      return w;
 +}
 +
 +/** create query for serviced queries */
 +static void
 +serviced_gen_query(sldns_buffer* buff, uint8_t* qname, size_t qnamelen, 
 +      uint16_t qtype, uint16_t qclass, uint16_t flags)
 +{
 +      sldns_buffer_clear(buff);
 +      /* skip id */
 +      sldns_buffer_write_u16(buff, flags);
 +      sldns_buffer_write_u16(buff, 1); /* qdcount */
 +      sldns_buffer_write_u16(buff, 0); /* ancount */
 +      sldns_buffer_write_u16(buff, 0); /* nscount */
 +      sldns_buffer_write_u16(buff, 0); /* arcount */
 +      sldns_buffer_write(buff, qname, qnamelen);
 +      sldns_buffer_write_u16(buff, qtype);
 +      sldns_buffer_write_u16(buff, qclass);
 +      sldns_buffer_flip(buff);
 +}
 +
 +/** lookup serviced query in serviced query rbtree */
 +static struct serviced_query*
 +lookup_serviced(struct outside_network* outnet, sldns_buffer* buff, int dnssec,
 +      struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      struct serviced_query key;
 +      key.node.key = &key;
 +      key.qbuf = sldns_buffer_begin(buff);
 +      key.qbuflen = sldns_buffer_limit(buff);
 +      key.dnssec = dnssec;
 +      memcpy(&key.addr, addr, addrlen);
 +      key.addrlen = addrlen;
 +      key.outnet = outnet;
 +      return (struct serviced_query*)rbtree_search(outnet->serviced, &key);
 +}
 +
 +/** Create new serviced entry */
 +static struct serviced_query*
 +serviced_create(struct outside_network* outnet, sldns_buffer* buff, int dnssec,
 +      int want_dnssec, int nocaps, int tcp_upstream, int ssl_upstream,
 +      struct sockaddr_storage* addr, socklen_t addrlen, uint8_t* zone,
 +      size_t zonelen, int qtype)
 +{
 +      struct serviced_query* sq = (struct serviced_query*)malloc(sizeof(*sq));
 +#ifdef UNBOUND_DEBUG
 +      rbnode_t* ins;
 +#endif
 +      if(!sq) 
 +              return NULL;
 +      sq->node.key = sq;
 +      sq->qbuf = memdup(sldns_buffer_begin(buff), sldns_buffer_limit(buff));
 +      if(!sq->qbuf) {
 +              free(sq);
 +              return NULL;
 +      }
 +      sq->qbuflen = sldns_buffer_limit(buff);
 +      sq->zone = memdup(zone, zonelen);
 +      if(!sq->zone) {
 +              free(sq->qbuf);
 +              free(sq);
 +              return NULL;
 +      }
 +      sq->zonelen = zonelen;
 +      sq->qtype = qtype;
 +      sq->dnssec = dnssec;
 +      sq->want_dnssec = want_dnssec;
 +      sq->nocaps = nocaps;
 +      sq->tcp_upstream = tcp_upstream;
 +      sq->ssl_upstream = ssl_upstream;
 +      memcpy(&sq->addr, addr, addrlen);
 +      sq->addrlen = addrlen;
 +      sq->outnet = outnet;
 +      sq->cblist = NULL;
 +      sq->pending = NULL;
 +      sq->status = serviced_initial;
 +      sq->retry = 0;
 +      sq->to_be_deleted = 0;
 +#ifdef UNBOUND_DEBUG
 +      ins = 
 +#else
 +      (void)
 +#endif
 +      rbtree_insert(outnet->serviced, &sq->node);
 +      log_assert(ins != NULL); /* must not be already present */
 +      return sq;
 +}
 +
 +/** remove waiting tcp from the outnet waiting list */
 +static void
 +waiting_list_remove(struct outside_network* outnet, struct waiting_tcp* w)
 +{
 +      struct waiting_tcp* p = outnet->tcp_wait_first, *prev = NULL;
 +      while(p) {
 +              if(p == w) {
 +                      /* remove w */
 +                      if(prev)
 +                              prev->next_waiting = w->next_waiting;
 +                      else    outnet->tcp_wait_first = w->next_waiting;
 +                      if(outnet->tcp_wait_last == w)
 +                              outnet->tcp_wait_last = prev;
 +                      return;
 +              }
 +              prev = p;
 +              p = p->next_waiting;
 +      }
 +}
 +
 +/** cleanup serviced query entry */
 +static void
 +serviced_delete(struct serviced_query* sq)
 +{
 +      if(sq->pending) {
 +              /* clear up the pending query */
 +              if(sq->status == serviced_query_UDP_EDNS ||
 +                      sq->status == serviced_query_UDP ||
 +                      sq->status == serviced_query_PROBE_EDNS ||
 +                      sq->status == serviced_query_UDP_EDNS_FRAG ||
 +                      sq->status == serviced_query_UDP_EDNS_fallback) {
 +                      struct pending* p = (struct pending*)sq->pending;
 +                      if(p->pc)
 +                              portcomm_loweruse(sq->outnet, p->pc);
 +                      pending_delete(sq->outnet, p);
 +                      /* this call can cause reentrant calls back into the
 +                       * mesh */
 +                      outnet_send_wait_udp(sq->outnet);
 +              } else {
 +                      struct waiting_tcp* p = (struct waiting_tcp*)
 +                              sq->pending;
 +                      if(p->pkt == NULL) {
 +                              decomission_pending_tcp(sq->outnet, 
 +                                      (struct pending_tcp*)p->next_waiting);
 +                      } else {
 +                              waiting_list_remove(sq->outnet, p);
 +                              waiting_tcp_delete(p);
 +                      }
 +              }
 +      }
 +      /* does not delete from tree, caller has to do that */
 +      serviced_node_del(&sq->node, NULL);
 +}
 +
 +/** perturb a dname capitalization randomly */
 +static void
 +serviced_perturb_qname(struct ub_randstate* rnd, uint8_t* qbuf, size_t len)
 +{
 +      uint8_t lablen;
 +      uint8_t* d = qbuf + 10;
 +      long int random = 0;
 +      int bits = 0;
 +      log_assert(len >= 10 + 5 /* offset qname, root, qtype, qclass */);
 +      lablen = *d++;
 +      while(lablen) {
 +              while(lablen--) {
 +                      /* only perturb A-Z, a-z */
 +                      if(isalpha((unsigned char)*d)) {
 +                              /* get a random bit */  
 +                              if(bits == 0) {
 +                                      random = ub_random(rnd);
 +                                      bits = 30;
 +                              }
 +                              if(random & 0x1) {
 +                                      *d = (uint8_t)toupper((unsigned char)*d);
 +                              } else {
 +                                      *d = (uint8_t)tolower((unsigned char)*d);
 +                              }
 +                              random >>= 1;
 +                              bits--;
 +                      }
 +                      d++;
 +              }
 +              lablen = *d++;
 +      }
 +      if(verbosity >= VERB_ALGO) {
 +              char buf[LDNS_MAX_DOMAINLEN+1];
 +              dname_str(qbuf+10, buf);
 +              verbose(VERB_ALGO, "qname perturbed to %s", buf);
 +      }
 +}
 +
 +/** put serviced query into a buffer */
 +static void
 +serviced_encode(struct serviced_query* sq, sldns_buffer* buff, int with_edns)
 +{
 +      /* if we are using 0x20 bits for ID randomness, perturb them */
 +      if(sq->outnet->use_caps_for_id && !sq->nocaps) {
 +              serviced_perturb_qname(sq->outnet->rnd, sq->qbuf, sq->qbuflen);
 +      }
 +      /* generate query */
 +      sldns_buffer_clear(buff);
 +      sldns_buffer_write_u16(buff, 0); /* id placeholder */
 +      sldns_buffer_write(buff, sq->qbuf, sq->qbuflen);
 +      sldns_buffer_flip(buff);
 +      if(with_edns) {
 +              /* add edns section */
 +              struct edns_data edns;
 +              edns.edns_present = 1;
 +              edns.ext_rcode = 0;
 +              edns.edns_version = EDNS_ADVERTISED_VERSION;
 +              if(sq->status == serviced_query_UDP_EDNS_FRAG) {
 +                      if(addr_is_ip6(&sq->addr, sq->addrlen)) {
 +                              if(EDNS_FRAG_SIZE_IP6 < EDNS_ADVERTISED_SIZE)
 +                                      edns.udp_size = EDNS_FRAG_SIZE_IP6;
 +                              else    edns.udp_size = EDNS_ADVERTISED_SIZE;
 +                      } else {
 +                              if(EDNS_FRAG_SIZE_IP4 < EDNS_ADVERTISED_SIZE)
 +                                      edns.udp_size = EDNS_FRAG_SIZE_IP4;
 +                              else    edns.udp_size = EDNS_ADVERTISED_SIZE;
 +                      }
 +              } else {
 +                      edns.udp_size = EDNS_ADVERTISED_SIZE;
 +              }
 +              edns.bits = 0;
 +              if(sq->dnssec & EDNS_DO)
 +                      edns.bits = EDNS_DO;
 +              if(sq->dnssec & BIT_CD)
 +                      LDNS_CD_SET(sldns_buffer_begin(buff));
 +              attach_edns_record(buff, &edns);
 +      }
 +}
 +
 +/**
 + * Perform serviced query UDP sending operation.
 + * Sends UDP with EDNS, unless infra host marked non EDNS.
 + * @param sq: query to send.
 + * @param buff: buffer scratch space.
 + * @return 0 on error.
 + */
 +static int
 +serviced_udp_send(struct serviced_query* sq, sldns_buffer* buff)
 +{
 +      int rtt, vs;
 +      uint8_t edns_lame_known;
 +      time_t now = *sq->outnet->now_secs;
 +
 +      if(!infra_host(sq->outnet->infra, &sq->addr, sq->addrlen, sq->zone,
 +              sq->zonelen, now, &vs, &edns_lame_known, &rtt))
 +              return 0;
 +      sq->last_rtt = rtt;
 +      verbose(VERB_ALGO, "EDNS lookup known=%d vs=%d", edns_lame_known, vs);
 +      if(sq->status == serviced_initial) {
 +              if(edns_lame_known == 0 && rtt > 5000 && rtt < 10001) {
 +                      /* perform EDNS lame probe - check if server is
 +                       * EDNS lame (EDNS queries to it are dropped) */
 +                      verbose(VERB_ALGO, "serviced query: send probe to see "
 +                              " if use of EDNS causes timeouts");
 +                      /* even 700 msec may be too small */
 +                      rtt = 1000;
 +                      sq->status = serviced_query_PROBE_EDNS;
 +              } else if(vs != -1) {
 +                      sq->status = serviced_query_UDP_EDNS;
 +              } else {        
 +                      sq->status = serviced_query_UDP; 
 +              }
 +      }
 +      serviced_encode(sq, buff, (sq->status == serviced_query_UDP_EDNS) ||
 +              (sq->status == serviced_query_UDP_EDNS_FRAG));
 +      sq->last_sent_time = *sq->outnet->now_tv;
 +      sq->edns_lame_known = (int)edns_lame_known;
 +      verbose(VERB_ALGO, "serviced query UDP timeout=%d msec", rtt);
 +      sq->pending = pending_udp_query(sq, buff, rtt,
 +              serviced_udp_callback, sq);
 +      if(!sq->pending)
 +              return 0;
 +      return 1;
 +}
 +
 +/** check that perturbed qname is identical */
 +static int
 +serviced_check_qname(sldns_buffer* pkt, uint8_t* qbuf, size_t qbuflen)
 +{
 +      uint8_t* d1 = sldns_buffer_at(pkt, 12);
 +      uint8_t* d2 = qbuf+10;
 +      uint8_t len1, len2;
 +      int count = 0;
 +      log_assert(qbuflen >= 15 /* 10 header, root, type, class */);
 +      len1 = *d1++;
 +      len2 = *d2++;
 +      if(sldns_buffer_limit(pkt) < 12+1+4) /* packet too small for qname */
 +              return 0;
 +      while(len1 != 0 || len2 != 0) {
 +              if(LABEL_IS_PTR(len1)) {
 +                      d1 = sldns_buffer_at(pkt, PTR_OFFSET(len1, *d1));
 +                      if(d1 >= sldns_buffer_at(pkt, sldns_buffer_limit(pkt)))
 +                              return 0;
 +                      len1 = *d1++;
 +                      if(count++ > MAX_COMPRESS_PTRS)
 +                              return 0;
 +                      continue;
 +              }
 +              if(d2 > qbuf+qbuflen)
 +                      return 0;
 +              if(len1 != len2)
 +                      return 0;
 +              if(len1 > LDNS_MAX_LABELLEN)
 +                      return 0;
 +              log_assert(len1 <= LDNS_MAX_LABELLEN);
 +              log_assert(len2 <= LDNS_MAX_LABELLEN);
 +              log_assert(len1 == len2 && len1 != 0);
 +              /* compare the labels - bitwise identical */
 +              if(memcmp(d1, d2, len1) != 0)
 +                      return 0;
 +              d1 += len1;
 +              d2 += len2;
 +              len1 = *d1++;
 +              len2 = *d2++;
 +      }
 +      return 1;
 +}
 +
 +/** call the callbacks for a serviced query */
 +static void
 +serviced_callbacks(struct serviced_query* sq, int error, struct comm_point* c,
 +      struct comm_reply* rep)
 +{
 +      struct service_callback* p;
 +      int dobackup = (sq->cblist && sq->cblist->next); /* >1 cb*/
 +      uint8_t *backup_p = NULL;
 +      size_t backlen = 0;
 +#ifdef UNBOUND_DEBUG
 +      rbnode_t* rem =
 +#else
 +      (void)
 +#endif
 +      /* remove from tree, and schedule for deletion, so that callbacks
 +       * can safely deregister themselves and even create new serviced
 +       * queries that are identical to this one. */
 +      rbtree_delete(sq->outnet->serviced, sq);
 +      log_assert(rem); /* should have been present */
 +      sq->to_be_deleted = 1; 
 +      verbose(VERB_ALGO, "svcd callbacks start");
-       if(sq->outnet->dtenv &&
++      if(sq->outnet->use_caps_for_id && error == NETEVENT_NOERROR && c &&
++              !sq->nocaps) {
 +              /* noerror and nxdomain must have a qname in reply */
 +              if(sldns_buffer_read_u16_at(c->buffer, 4) == 0 &&
 +                      (LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer))
 +                              == LDNS_RCODE_NOERROR || 
 +                       LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer))
 +                              == LDNS_RCODE_NXDOMAIN)) {
 +                      verbose(VERB_DETAIL, "no qname in reply to check 0x20ID");
 +                      log_addr(VERB_DETAIL, "from server", 
 +                              &sq->addr, sq->addrlen);
 +                      log_buf(VERB_DETAIL, "for packet", c->buffer);
 +                      error = NETEVENT_CLOSED;
 +                      c = NULL;
 +              } else if(sldns_buffer_read_u16_at(c->buffer, 4) > 0 &&
 +                      !serviced_check_qname(c->buffer, sq->qbuf, 
 +                      sq->qbuflen)) {
 +                      verbose(VERB_DETAIL, "wrong 0x20-ID in reply qname");
 +                      log_addr(VERB_DETAIL, "from server", 
 +                              &sq->addr, sq->addrlen);
 +                      log_buf(VERB_DETAIL, "for packet", c->buffer);
 +                      error = NETEVENT_CAPSFAIL;
 +                      /* and cleanup too */
 +                      pkt_dname_tolower(c->buffer, 
 +                              sldns_buffer_at(c->buffer, 12));
 +              } else {
 +                      verbose(VERB_ALGO, "good 0x20-ID in reply qname");
 +                      /* cleanup caps, prettier cache contents. */
 +                      pkt_dname_tolower(c->buffer, 
 +                              sldns_buffer_at(c->buffer, 12));
 +              }
 +      }
 +      if(dobackup && c) {
 +              /* make a backup of the query, since the querystate processing
 +               * may send outgoing queries that overwrite the buffer.
 +               * use secondary buffer to store the query.
 +               * This is a data copy, but faster than packet to server */
 +              backlen = sldns_buffer_limit(c->buffer);
 +              backup_p = memdup(sldns_buffer_begin(c->buffer), backlen);
 +              if(!backup_p) {
 +                      log_err("malloc failure in serviced query callbacks");
 +                      error = NETEVENT_CLOSED;
 +                      c = NULL;
 +              }
 +              sq->outnet->svcd_overhead = backlen;
 +      }
 +      /* test the actual sq->cblist, because the next elem could be deleted*/
 +      while((p=sq->cblist) != NULL) {
 +              sq->cblist = p->next; /* remove this element */
 +              if(dobackup && c) {
 +                      sldns_buffer_clear(c->buffer);
 +                      sldns_buffer_write(c->buffer, backup_p, backlen);
 +                      sldns_buffer_flip(c->buffer);
 +              }
 +              fptr_ok(fptr_whitelist_serviced_query(p->cb));
 +              (void)(*p->cb)(c, p->cb_arg, error, rep);
 +              free(p);
 +      }
 +      if(backup_p) {
 +              free(backup_p);
 +              sq->outnet->svcd_overhead = 0;
 +      }
 +      verbose(VERB_ALGO, "svcd callbacks end");
 +      log_assert(sq->cblist == NULL);
 +      serviced_delete(sq);
 +}
 +
 +int 
 +serviced_tcp_callback(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* rep)
 +{
 +      struct serviced_query* sq = (struct serviced_query*)arg;
 +      struct comm_reply r2;
 +      sq->pending = NULL; /* removed after this callback */
 +      if(error != NETEVENT_NOERROR)
 +              log_addr(VERB_QUERY, "tcp error for address", 
 +                      &sq->addr, sq->addrlen);
 +      if(error==NETEVENT_NOERROR)
 +              infra_update_tcp_works(sq->outnet->infra, &sq->addr,
 +                      sq->addrlen, sq->zone, sq->zonelen);
 +#ifdef USE_DNSTAP
++      if(error==NETEVENT_NOERROR && sq->outnet->dtenv &&
 +         (sq->outnet->dtenv->log_resolver_response_messages ||
 +          sq->outnet->dtenv->log_forwarder_response_messages))
 +              dt_msg_send_outside_response(sq->outnet->dtenv, &sq->addr,
 +              c->type, sq->zone, sq->zonelen, sq->qbuf, sq->qbuflen,
 +              &sq->last_sent_time, sq->outnet->now_tv, c->buffer);
 +#endif
 +      if(error==NETEVENT_NOERROR && sq->status == serviced_query_TCP_EDNS &&
 +              (LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer)) == 
 +              LDNS_RCODE_FORMERR || LDNS_RCODE_WIRE(sldns_buffer_begin(
 +              c->buffer)) == LDNS_RCODE_NOTIMPL) ) {
 +              /* attempt to fallback to nonEDNS */
 +              sq->status = serviced_query_TCP_EDNS_fallback;
 +              serviced_tcp_initiate(sq, c->buffer);
 +              return 0;
 +      } else if(error==NETEVENT_NOERROR && 
 +              sq->status == serviced_query_TCP_EDNS_fallback &&
 +                      (LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer)) == 
 +                      LDNS_RCODE_NOERROR || LDNS_RCODE_WIRE(
 +                      sldns_buffer_begin(c->buffer)) == LDNS_RCODE_NXDOMAIN 
 +                      || LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer)) 
 +                      == LDNS_RCODE_YXDOMAIN)) {
 +              /* the fallback produced a result that looks promising, note
 +               * that this server should be approached without EDNS */
 +              /* only store noEDNS in cache if domain is noDNSSEC */
 +              if(!sq->want_dnssec)
 +                if(!infra_edns_update(sq->outnet->infra, &sq->addr, 
 +                      sq->addrlen, sq->zone, sq->zonelen, -1,
 +                      *sq->outnet->now_secs))
 +                      log_err("Out of memory caching no edns for host");
 +              sq->status = serviced_query_TCP;
 +      }
 +      if(sq->tcp_upstream || sq->ssl_upstream) {
 +          struct timeval now = *sq->outnet->now_tv;
 +          if(now.tv_sec > sq->last_sent_time.tv_sec ||
 +              (now.tv_sec == sq->last_sent_time.tv_sec &&
 +              now.tv_usec > sq->last_sent_time.tv_usec)) {
 +              /* convert from microseconds to milliseconds */
 +              int roundtime = ((int)(now.tv_sec - sq->last_sent_time.tv_sec))*1000
 +                + ((int)now.tv_usec - (int)sq->last_sent_time.tv_usec)/1000;
 +              verbose(VERB_ALGO, "measured TCP-time at %d msec", roundtime);
 +              log_assert(roundtime >= 0);
 +              /* only store if less then AUTH_TIMEOUT seconds, it could be
 +               * huge due to system-hibernated and we woke up */
 +              if(roundtime < TCP_AUTH_QUERY_TIMEOUT*1000) {
 +                  if(!infra_rtt_update(sq->outnet->infra, &sq->addr,
 +                      sq->addrlen, sq->zone, sq->zonelen, sq->qtype,
 +                      roundtime, sq->last_rtt, (time_t)now.tv_sec))
 +                      log_err("out of memory noting rtt.");
 +              }
 +          }
 +      }
 +      /* insert address into reply info */
 +      if(!rep) {
 +              /* create one if there isn't (on errors) */
 +              rep = &r2;
 +              r2.c = c;
 +      }
 +      memcpy(&rep->addr, &sq->addr, sq->addrlen);
 +      rep->addrlen = sq->addrlen;
 +      serviced_callbacks(sq, error, c, rep);
 +      return 0;
 +}
 +
 +static void
 +serviced_tcp_initiate(struct serviced_query* sq, sldns_buffer* buff)
 +{
 +      verbose(VERB_ALGO, "initiate TCP query %s", 
 +              sq->status==serviced_query_TCP_EDNS?"EDNS":"");
 +      serviced_encode(sq, buff, sq->status == serviced_query_TCP_EDNS);
 +      sq->last_sent_time = *sq->outnet->now_tv;
 +      sq->pending = pending_tcp_query(sq, buff, TCP_AUTH_QUERY_TIMEOUT,
 +              serviced_tcp_callback, sq);
 +      if(!sq->pending) {
 +              /* delete from tree so that a retry by above layer does not
 +               * clash with this entry */
 +              log_err("serviced_tcp_initiate: failed to send tcp query");
 +              serviced_callbacks(sq, NETEVENT_CLOSED, NULL, NULL);
 +      }
 +}
 +
 +/** Send serviced query over TCP return false on initial failure */
 +static int
 +serviced_tcp_send(struct serviced_query* sq, sldns_buffer* buff)
 +{
 +      int vs, rtt;
 +      uint8_t edns_lame_known;
 +      if(!infra_host(sq->outnet->infra, &sq->addr, sq->addrlen, sq->zone,
 +              sq->zonelen, *sq->outnet->now_secs, &vs, &edns_lame_known,
 +              &rtt))
 +              return 0;
 +      if(vs != -1)
 +              sq->status = serviced_query_TCP_EDNS;
 +      else    sq->status = serviced_query_TCP;
 +      serviced_encode(sq, buff, sq->status == serviced_query_TCP_EDNS);
 +      sq->last_sent_time = *sq->outnet->now_tv;
 +      sq->pending = pending_tcp_query(sq, buff, TCP_AUTH_QUERY_TIMEOUT,
 +              serviced_tcp_callback, sq);
 +      return sq->pending != NULL;
 +}
 +
 +int 
 +serviced_udp_callback(struct comm_point* c, void* arg, int error,
 +        struct comm_reply* rep)
 +{
 +      struct serviced_query* sq = (struct serviced_query*)arg;
 +      struct outside_network* outnet = sq->outnet;
 +      struct timeval now = *sq->outnet->now_tv;
 +      int fallback_tcp = 0;
 +
 +      sq->pending = NULL; /* removed after callback */
 +      if(error == NETEVENT_TIMEOUT) {
 +              int rto = 0;
 +              if(sq->status == serviced_query_PROBE_EDNS) {
 +                      /* non-EDNS probe failed; we do not know its status,
 +                       * keep trying with EDNS, timeout may not be caused
 +                       * by EDNS. */
 +                      sq->status = serviced_query_UDP_EDNS;
 +              }
 +              if(sq->status == serviced_query_UDP_EDNS && sq->last_rtt < 5000) {
 +                      /* fallback to 1480/1280 */
 +                      sq->status = serviced_query_UDP_EDNS_FRAG;
 +                      log_name_addr(VERB_ALGO, "try edns1xx0", sq->qbuf+10,
 +                              &sq->addr, sq->addrlen);
 +                      if(!serviced_udp_send(sq, c->buffer)) {
 +                              serviced_callbacks(sq, NETEVENT_CLOSED, c, rep);
 +                      }
 +                      return 0;
 +              }
 +              if(sq->status == serviced_query_UDP_EDNS_FRAG) {
 +                      /* fragmentation size did not fix it */
 +                      sq->status = serviced_query_UDP_EDNS;
 +              }
 +              sq->retry++;
 +              if(!(rto=infra_rtt_update(outnet->infra, &sq->addr, sq->addrlen,
 +                      sq->zone, sq->zonelen, sq->qtype, -1, sq->last_rtt,
 +                      (time_t)now.tv_sec)))
 +                      log_err("out of memory in UDP exponential backoff");
 +              if(sq->retry < OUTBOUND_UDP_RETRY) {
 +                      log_name_addr(VERB_ALGO, "retry query", sq->qbuf+10,
 +                              &sq->addr, sq->addrlen);
 +                      if(!serviced_udp_send(sq, c->buffer)) {
 +                              serviced_callbacks(sq, NETEVENT_CLOSED, c, rep);
 +                      }
 +                      return 0;
 +              }
 +              if(rto >= RTT_MAX_TIMEOUT) {
 +                      fallback_tcp = 1;
 +                      /* UDP does not work, fallback to TCP below */
 +              } else {
 +                      serviced_callbacks(sq, NETEVENT_TIMEOUT, c, rep);
 +                      return 0;
 +              }
 +      } else if(error != NETEVENT_NOERROR) {
 +              /* udp returns error (due to no ID or interface available) */
 +              serviced_callbacks(sq, error, c, rep);
 +              return 0;
 +      }
 +#ifdef USE_DNSTAP
 +      if(outnet->dtenv &&
 +         (outnet->dtenv->log_resolver_response_messages ||
 +          outnet->dtenv->log_forwarder_response_messages))
 +              dt_msg_send_outside_response(outnet->dtenv, &sq->addr, c->type,
 +              sq->zone, sq->zonelen, sq->qbuf, sq->qbuflen,
 +              &sq->last_sent_time, sq->outnet->now_tv, c->buffer);
 +#endif
 +      if(!fallback_tcp) {
 +          if( (sq->status == serviced_query_UDP_EDNS 
 +              ||sq->status == serviced_query_UDP_EDNS_FRAG)
 +              && (LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer)) 
 +                      == LDNS_RCODE_FORMERR || LDNS_RCODE_WIRE(
 +                      sldns_buffer_begin(c->buffer)) == LDNS_RCODE_NOTIMPL)) {
 +              /* try to get an answer by falling back without EDNS */
 +              verbose(VERB_ALGO, "serviced query: attempt without EDNS");
 +              sq->status = serviced_query_UDP_EDNS_fallback;
 +              sq->retry = 0;
 +              if(!serviced_udp_send(sq, c->buffer)) {
 +                      serviced_callbacks(sq, NETEVENT_CLOSED, c, rep);
 +              }
 +              return 0;
 +          } else if(sq->status == serviced_query_PROBE_EDNS) {
 +              /* probe without EDNS succeeds, so we conclude that this
 +               * host likely has EDNS packets dropped */
 +              log_addr(VERB_DETAIL, "timeouts, concluded that connection to "
 +                      "host drops EDNS packets", &sq->addr, sq->addrlen);
 +              /* only store noEDNS in cache if domain is noDNSSEC */
 +              if(!sq->want_dnssec)
 +                if(!infra_edns_update(outnet->infra, &sq->addr, sq->addrlen,
 +                      sq->zone, sq->zonelen, -1, (time_t)now.tv_sec)) {
 +                      log_err("Out of memory caching no edns for host");
 +                }
 +              sq->status = serviced_query_UDP;
 +          } else if(sq->status == serviced_query_UDP_EDNS && 
 +              !sq->edns_lame_known) {
 +              /* now we know that edns queries received answers store that */
 +              log_addr(VERB_ALGO, "serviced query: EDNS works for",
 +                      &sq->addr, sq->addrlen);
 +              if(!infra_edns_update(outnet->infra, &sq->addr, sq->addrlen, 
 +                      sq->zone, sq->zonelen, 0, (time_t)now.tv_sec)) {
 +                      log_err("Out of memory caching edns works");
 +              }
 +              sq->edns_lame_known = 1;
 +          } else if(sq->status == serviced_query_UDP_EDNS_fallback &&
 +              !sq->edns_lame_known && (LDNS_RCODE_WIRE(
 +              sldns_buffer_begin(c->buffer)) == LDNS_RCODE_NOERROR || 
 +              LDNS_RCODE_WIRE(sldns_buffer_begin(c->buffer)) == 
 +              LDNS_RCODE_NXDOMAIN || LDNS_RCODE_WIRE(sldns_buffer_begin(
 +              c->buffer)) == LDNS_RCODE_YXDOMAIN)) {
 +              /* the fallback produced a result that looks promising, note
 +               * that this server should be approached without EDNS */
 +              /* only store noEDNS in cache if domain is noDNSSEC */
 +              if(!sq->want_dnssec) {
 +                log_addr(VERB_ALGO, "serviced query: EDNS fails for",
 +                      &sq->addr, sq->addrlen);
 +                if(!infra_edns_update(outnet->infra, &sq->addr, sq->addrlen,
 +                      sq->zone, sq->zonelen, -1, (time_t)now.tv_sec)) {
 +                      log_err("Out of memory caching no edns for host");
 +                }
 +              } else {
 +                log_addr(VERB_ALGO, "serviced query: EDNS fails, but "
 +                      "not stored because need DNSSEC for", &sq->addr,
 +                      sq->addrlen);
 +              }
 +              sq->status = serviced_query_UDP;
 +          }
 +          if(now.tv_sec > sq->last_sent_time.tv_sec ||
 +              (now.tv_sec == sq->last_sent_time.tv_sec &&
 +              now.tv_usec > sq->last_sent_time.tv_usec)) {
 +              /* convert from microseconds to milliseconds */
 +              int roundtime = ((int)(now.tv_sec - sq->last_sent_time.tv_sec))*1000
 +                + ((int)now.tv_usec - (int)sq->last_sent_time.tv_usec)/1000;
 +              verbose(VERB_ALGO, "measured roundtrip at %d msec", roundtime);
 +              log_assert(roundtime >= 0);
 +              /* in case the system hibernated, do not enter a huge value,
 +               * above this value gives trouble with server selection */
 +              if(roundtime < 60000) {
 +                  if(!infra_rtt_update(outnet->infra, &sq->addr, sq->addrlen, 
 +                      sq->zone, sq->zonelen, sq->qtype, roundtime,
 +                      sq->last_rtt, (time_t)now.tv_sec))
 +                      log_err("out of memory noting rtt.");
 +              }
 +          }
 +      } /* end of if_!fallback_tcp */
 +      /* perform TC flag check and TCP fallback after updating our
 +       * cache entries for EDNS status and RTT times */
 +      if(LDNS_TC_WIRE(sldns_buffer_begin(c->buffer)) || fallback_tcp) {
 +              /* fallback to TCP */
 +              /* this discards partial UDP contents */
 +              if(sq->status == serviced_query_UDP_EDNS ||
 +                      sq->status == serviced_query_UDP_EDNS_FRAG ||
 +                      sq->status == serviced_query_UDP_EDNS_fallback)
 +                      /* if we have unfinished EDNS_fallback, start again */
 +                      sq->status = serviced_query_TCP_EDNS;
 +              else    sq->status = serviced_query_TCP;
 +              serviced_tcp_initiate(sq, c->buffer);
 +              return 0;
 +      }
 +      /* yay! an answer */
 +      serviced_callbacks(sq, error, c, rep);
 +      return 0;
 +}
 +
 +struct serviced_query* 
 +outnet_serviced_query(struct outside_network* outnet,
 +      uint8_t* qname, size_t qnamelen, uint16_t qtype, uint16_t qclass,
 +      uint16_t flags, int dnssec, int want_dnssec, int nocaps,
 +      int tcp_upstream, int ssl_upstream, struct sockaddr_storage* addr,
 +      socklen_t addrlen, uint8_t* zone, size_t zonelen,
 +      comm_point_callback_t* callback, void* callback_arg,
 +      sldns_buffer* buff)
 +{
 +      struct serviced_query* sq;
 +      struct service_callback* cb;
 +      serviced_gen_query(buff, qname, qnamelen, qtype, qclass, flags);
 +      sq = lookup_serviced(outnet, buff, dnssec, addr, addrlen);
 +      /* duplicate entries are included in the callback list, because
 +       * there is a counterpart registration by our caller that needs to
 +       * be doubly-removed (with callbacks perhaps). */
 +      if(!(cb = (struct service_callback*)malloc(sizeof(*cb))))
 +              return NULL;
 +      if(!sq) {
 +              /* make new serviced query entry */
 +              sq = serviced_create(outnet, buff, dnssec, want_dnssec, nocaps,
 +                      tcp_upstream, ssl_upstream, addr, addrlen, zone,
 +                      zonelen, (int)qtype);
 +              if(!sq) {
 +                      free(cb);
 +                      return NULL;
 +              }
 +              /* perform first network action */
 +              if(outnet->do_udp && !(tcp_upstream || ssl_upstream)) {
 +                      if(!serviced_udp_send(sq, buff)) {
 +                              (void)rbtree_delete(outnet->serviced, sq);
 +                              free(sq->qbuf);
 +                              free(sq->zone);
 +                              free(sq);
 +                              free(cb);
 +                              return NULL;
 +                      }
 +              } else {
 +                      if(!serviced_tcp_send(sq, buff)) {
 +                              (void)rbtree_delete(outnet->serviced, sq);
 +                              free(sq->qbuf);
 +                              free(sq->zone);
 +                              free(sq);
 +                              free(cb);
 +                              return NULL;
 +                      }
 +              }
 +      }
 +      /* add callback to list of callbacks */
 +      cb->cb = callback;
 +      cb->cb_arg = callback_arg;
 +      cb->next = sq->cblist;
 +      sq->cblist = cb;
 +      return sq;
 +}
 +
 +/** remove callback from list */
 +static void
 +callback_list_remove(struct serviced_query* sq, void* cb_arg)
 +{
 +      struct service_callback** pp = &sq->cblist;
 +      while(*pp) {
 +              if((*pp)->cb_arg == cb_arg) {
 +                      struct service_callback* del = *pp;
 +                      *pp = del->next;
 +                      free(del);
 +                      return;
 +              }
 +              pp = &(*pp)->next;
 +      }
 +}
 +
 +void outnet_serviced_query_stop(struct serviced_query* sq, void* cb_arg)
 +{
 +      if(!sq) 
 +              return;
 +      callback_list_remove(sq, cb_arg);
 +      /* if callbacks() routine scheduled deletion, let it do that */
 +      if(!sq->cblist && !sq->to_be_deleted) {
 +#ifdef UNBOUND_DEBUG
 +              rbnode_t* rem =
 +#else
 +              (void)
 +#endif
 +              rbtree_delete(sq->outnet->serviced, sq);
 +              log_assert(rem); /* should be present */
 +              serviced_delete(sq); 
 +      }
 +}
 +
 +/** get memory used by waiting tcp entry (in use or not) */
 +static size_t
 +waiting_tcp_get_mem(struct waiting_tcp* w)
 +{
 +      size_t s;
 +      if(!w) return 0;
 +      s = sizeof(*w) + w->pkt_len;
 +      if(w->timer)
 +              s += comm_timer_get_mem(w->timer);
 +      return s;
 +}
 +
 +/** get memory used by port if */
 +static size_t
 +if_get_mem(struct port_if* pif)
 +{
 +      size_t s;
 +      int i;
 +      s = sizeof(*pif) + sizeof(int)*pif->avail_total +
 +              sizeof(struct port_comm*)*pif->maxout;
 +      for(i=0; i<pif->inuse; i++)
 +              s += sizeof(*pif->out[i]) + 
 +                      comm_point_get_mem(pif->out[i]->cp);
 +      return s;
 +}
 +
 +/** get memory used by waiting udp */
 +static size_t
 +waiting_udp_get_mem(struct pending* w)
 +{
 +      size_t s;
 +      s = sizeof(*w) + comm_timer_get_mem(w->timer) + w->pkt_len;
 +      return s;
 +}
 +
 +size_t outnet_get_mem(struct outside_network* outnet)
 +{
 +      size_t i;
 +      int k;
 +      struct waiting_tcp* w;
 +      struct pending* u;
 +      struct serviced_query* sq;
 +      struct service_callback* sb;
 +      struct port_comm* pc;
 +      size_t s = sizeof(*outnet) + sizeof(*outnet->base) + 
 +              sizeof(*outnet->udp_buff) + 
 +              sldns_buffer_capacity(outnet->udp_buff);
 +      /* second buffer is not ours */
 +      for(pc = outnet->unused_fds; pc; pc = pc->next) {
 +              s += sizeof(*pc) + comm_point_get_mem(pc->cp);
 +      }
 +      for(k=0; k<outnet->num_ip4; k++)
 +              s += if_get_mem(&outnet->ip4_ifs[k]);
 +      for(k=0; k<outnet->num_ip6; k++)
 +              s += if_get_mem(&outnet->ip6_ifs[k]);
 +      for(u=outnet->udp_wait_first; u; u=u->next_waiting)
 +              s += waiting_udp_get_mem(u);
 +      
 +      s += sizeof(struct pending_tcp*)*outnet->num_tcp;
 +      for(i=0; i<outnet->num_tcp; i++) {
 +              s += sizeof(struct pending_tcp);
 +              s += comm_point_get_mem(outnet->tcp_conns[i]->c);
 +              if(outnet->tcp_conns[i]->query)
 +                      s += waiting_tcp_get_mem(outnet->tcp_conns[i]->query);
 +      }
 +      for(w=outnet->tcp_wait_first; w; w = w->next_waiting)
 +              s += waiting_tcp_get_mem(w);
 +      s += sizeof(*outnet->pending);
 +      s += (sizeof(struct pending) + comm_timer_get_mem(NULL)) * 
 +              outnet->pending->count;
 +      s += sizeof(*outnet->serviced);
 +      s += outnet->svcd_overhead;
 +      RBTREE_FOR(sq, struct serviced_query*, outnet->serviced) {
 +              s += sizeof(*sq) + sq->qbuflen;
 +              for(sb = sq->cblist; sb; sb = sb->next)
 +                      s += sizeof(*sb);
 +      }
 +      return s;
 +}
 +
 +size_t 
 +serviced_get_mem(struct serviced_query* sq)
 +{
 +      struct service_callback* sb;
 +      size_t s;
 +      s = sizeof(*sq) + sq->qbuflen;
 +      for(sb = sq->cblist; sb; sb = sb->next)
 +              s += sizeof(*sb);
 +      if(sq->status == serviced_query_UDP_EDNS ||
 +              sq->status == serviced_query_UDP ||
 +              sq->status == serviced_query_PROBE_EDNS ||
 +              sq->status == serviced_query_UDP_EDNS_FRAG ||
 +              sq->status == serviced_query_UDP_EDNS_fallback) {
 +              s += sizeof(struct pending);
 +              s += comm_timer_get_mem(NULL);
 +      } else {
 +              /* does not have size of the pkt pointer */
 +              /* always has a timer except on malloc failures */
 +
 +              /* these sizes are part of the main outside network mem */
 +              /*
 +              s += sizeof(struct waiting_tcp);
 +              s += comm_timer_get_mem(NULL);
 +              */
 +      }
 +      return s;
 +}
 +
diff --cc contrib/unbound/sldns/keyraw.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..59e8000f5abf33dcbccb72a9a83cffc948c856ce
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/keyraw.c
@@@ -1,0 -1,0 +1,370 @@@
++/*
++ * keyraw.c - raw key operations and conversions
++ *
++ * (c) NLnet Labs, 2004-2008
++ *
++ * See the file LICENSE for the license
++ */
++/**
++ * \file
++ * Implementation of raw DNSKEY functions (work on wire rdata).
++ */
++
++#include "config.h"
++#include "sldns/keyraw.h"
++#include "sldns/rrdef.h"
++
++#ifdef HAVE_SSL
++#include <openssl/ssl.h>
++#include <openssl/evp.h>
++#include <openssl/rand.h>
++#include <openssl/err.h>
++#include <openssl/md5.h>
++#ifdef HAVE_OPENSSL_ENGINE_H
++#  include <openssl/engine.h>
++#endif
++#endif /* HAVE_SSL */
++
++size_t
++sldns_rr_dnskey_key_size_raw(const unsigned char* keydata,
++      const size_t len, int alg)
++{
++      /* for DSA keys */
++      uint8_t t;
++      
++      /* for RSA keys */
++      uint16_t exp;
++      uint16_t int16;
++      
++      switch ((sldns_algorithm)alg) {
++      case LDNS_DSA:
++      case LDNS_DSA_NSEC3:
++              if (len > 0) {
++                      t = keydata[0];
++                      return (64 + t*8)*8;
++              } else {
++                      return 0;
++              }
++              break;
++      case LDNS_RSAMD5:
++      case LDNS_RSASHA1:
++      case LDNS_RSASHA1_NSEC3:
++#ifdef USE_SHA2
++      case LDNS_RSASHA256:
++      case LDNS_RSASHA512:
++#endif
++              if (len > 0) {
++                      if (keydata[0] == 0) {
++                              /* big exponent */
++                              if (len > 3) {
++                                      memmove(&int16, keydata + 1, 2);
++                                      exp = ntohs(int16);
++                                      return (len - exp - 3)*8;
++                              } else {
++                                      return 0;
++                              }
++                      } else {
++                              exp = keydata[0];
++                              return (len-exp-1)*8;
++                      }
++              } else {
++                      return 0;
++              }
++              break;
++#ifdef USE_GOST
++      case LDNS_ECC_GOST:
++              return 512;
++#endif
++#ifdef USE_ECDSA
++        case LDNS_ECDSAP256SHA256:
++                return 256;
++        case LDNS_ECDSAP384SHA384:
++                return 384;
++#endif
++      default:
++              return 0;
++      }
++}
++
++uint16_t sldns_calc_keytag_raw(uint8_t* key, size_t keysize)
++{
++      if(keysize < 4) {
++              return 0;
++      }
++      /* look at the algorithm field, copied from 2535bis */
++      if (key[3] == LDNS_RSAMD5) {
++              uint16_t ac16 = 0;
++              if (keysize > 4) {
++                      memmove(&ac16, key + keysize - 3, 2);
++              }
++              ac16 = ntohs(ac16);
++              return (uint16_t) ac16;
++      } else {
++              size_t i;
++              uint32_t ac32 = 0;
++              for (i = 0; i < keysize; ++i) {
++                      ac32 += (i & 1) ? key[i] : key[i] << 8;
++              }
++              ac32 += (ac32 >> 16) & 0xFFFF;
++              return (uint16_t) (ac32 & 0xFFFF);
++      }
++}
++
++#ifdef HAVE_SSL
++#ifdef USE_GOST
++/** store GOST engine reference loaded into OpenSSL library */
++ENGINE* sldns_gost_engine = NULL;
++
++int
++sldns_key_EVP_load_gost_id(void)
++{
++      static int gost_id = 0;
++      const EVP_PKEY_ASN1_METHOD* meth;
++      ENGINE* e;
++
++      if(gost_id) return gost_id;
++
++      /* see if configuration loaded gost implementation from other engine*/
++      meth = EVP_PKEY_asn1_find_str(NULL, "gost2001", -1);
++      if(meth) {
++              EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
++              return gost_id;
++      }
++
++      /* see if engine can be loaded already */
++      e = ENGINE_by_id("gost");
++      if(!e) {
++              /* load it ourself, in case statically linked */
++              ENGINE_load_builtin_engines();
++              ENGINE_load_dynamic();
++              e = ENGINE_by_id("gost");
++      }
++      if(!e) {
++              /* no gost engine in openssl */
++              return 0;
++      }
++      if(!ENGINE_set_default(e, ENGINE_METHOD_ALL)) {
++              ENGINE_finish(e);
++              ENGINE_free(e);
++              return 0;
++      }
++
++      meth = EVP_PKEY_asn1_find_str(&e, "gost2001", -1);
++      if(!meth) {
++              /* algo not found */
++              ENGINE_finish(e);
++              ENGINE_free(e);
++              return 0;
++      }
++        /* Note: do not ENGINE_finish and ENGINE_free the acquired engine
++         * on some platforms this frees up the meth and unloads gost stuff */
++        sldns_gost_engine = e;
++      
++      EVP_PKEY_asn1_get0_info(&gost_id, NULL, NULL, NULL, NULL, meth);
++      return gost_id;
++} 
++
++void sldns_key_EVP_unload_gost(void)
++{
++        if(sldns_gost_engine) {
++                ENGINE_finish(sldns_gost_engine);
++                ENGINE_free(sldns_gost_engine);
++                sldns_gost_engine = NULL;
++        }
++}
++#endif /* USE_GOST */
++
++DSA *
++sldns_key_buf2dsa_raw(unsigned char* key, size_t len)
++{
++      uint8_t T;
++      uint16_t length;
++      uint16_t offset;
++      DSA *dsa;
++      BIGNUM *Q; BIGNUM *P;
++      BIGNUM *G; BIGNUM *Y;
++
++      if(len == 0)
++              return NULL;
++      T = (uint8_t)key[0];
++      length = (64 + T * 8);
++      offset = 1;
++
++      if (T > 8) {
++              return NULL;
++      }
++      if(len < (size_t)1 + SHA_DIGEST_LENGTH + 3*length)
++              return NULL;
++
++      Q = BN_bin2bn(key+offset, SHA_DIGEST_LENGTH, NULL);
++      offset += SHA_DIGEST_LENGTH;
++
++      P = BN_bin2bn(key+offset, (int)length, NULL);
++      offset += length;
++
++      G = BN_bin2bn(key+offset, (int)length, NULL);
++      offset += length;
++
++      Y = BN_bin2bn(key+offset, (int)length, NULL);
++      offset += length;
++
++      /* create the key and set its properties */
++      if(!Q || !P || !G || !Y || !(dsa = DSA_new())) {
++              BN_free(Q);
++              BN_free(P);
++              BN_free(G);
++              BN_free(Y);
++              return NULL;
++      }
++#ifndef S_SPLINT_S
++      dsa->p = P;
++      dsa->q = Q;
++      dsa->g = G;
++      dsa->pub_key = Y;
++#endif /* splint */
++
++      return dsa;
++}
++
++RSA *
++sldns_key_buf2rsa_raw(unsigned char* key, size_t len)
++{
++      uint16_t offset;
++      uint16_t exp;
++      uint16_t int16;
++      RSA *rsa;
++      BIGNUM *modulus;
++      BIGNUM *exponent;
++
++      if (len == 0)
++              return NULL;
++      if (key[0] == 0) {
++              if(len < 3)
++                      return NULL;
++              memmove(&int16, key+1, 2);
++              exp = ntohs(int16);
++              offset = 3;
++      } else {
++              exp = key[0];
++              offset = 1;
++      }
++
++      /* key length at least one */
++      if(len < (size_t)offset + exp + 1)
++              return NULL;
++
++      /* Exponent */
++      exponent = BN_new();
++      if(!exponent) return NULL;
++      (void) BN_bin2bn(key+offset, (int)exp, exponent);
++      offset += exp;
++
++      /* Modulus */
++      modulus = BN_new();
++      if(!modulus) {
++              BN_free(exponent);
++              return NULL;
++      }
++      /* length of the buffer must match the key length! */
++      (void) BN_bin2bn(key+offset, (int)(len - offset), modulus);
++
++      rsa = RSA_new();
++      if(!rsa) {
++              BN_free(exponent);
++              BN_free(modulus);
++              return NULL;
++      }
++#ifndef S_SPLINT_S
++      rsa->n = modulus;
++      rsa->e = exponent;
++#endif /* splint */
++
++      return rsa;
++}
++
++#ifdef USE_GOST
++EVP_PKEY*
++sldns_gost2pkey_raw(unsigned char* key, size_t keylen)
++{
++      /* prefix header for X509 encoding */
++      uint8_t asn[37] = { 0x30, 0x63, 0x30, 0x1c, 0x06, 0x06, 0x2a, 0x85, 
++              0x03, 0x02, 0x02, 0x13, 0x30, 0x12, 0x06, 0x07, 0x2a, 0x85, 
++              0x03, 0x02, 0x02, 0x23, 0x01, 0x06, 0x07, 0x2a, 0x85, 0x03, 
++              0x02, 0x02, 0x1e, 0x01, 0x03, 0x43, 0x00, 0x04, 0x40};
++      unsigned char encoded[37+64];
++      const unsigned char* pp;
++      if(keylen != 64) {
++              /* key wrong size */
++              return NULL;
++      }
++
++      /* create evp_key */
++      memmove(encoded, asn, 37);
++      memmove(encoded+37, key, 64);
++      pp = (unsigned char*)&encoded[0];
++
++      return d2i_PUBKEY(NULL, &pp, (int)sizeof(encoded));
++}
++#endif /* USE_GOST */
++
++#ifdef USE_ECDSA
++EVP_PKEY*
++sldns_ecdsa2pkey_raw(unsigned char* key, size_t keylen, uint8_t algo)
++{
++      unsigned char buf[256+2]; /* sufficient for 2*384/8+1 */
++        const unsigned char* pp = buf;
++        EVP_PKEY *evp_key;
++        EC_KEY *ec;
++      /* check length, which uncompressed must be 2 bignums */
++        if(algo == LDNS_ECDSAP256SHA256) {
++              if(keylen != 2*256/8) return NULL;
++                ec = EC_KEY_new_by_curve_name(NID_X9_62_prime256v1);
++        } else if(algo == LDNS_ECDSAP384SHA384) {
++              if(keylen != 2*384/8) return NULL;
++                ec = EC_KEY_new_by_curve_name(NID_secp384r1);
++        } else    ec = NULL;
++        if(!ec) return NULL;
++      if(keylen+1 > sizeof(buf)) { /* sanity check */
++                EC_KEY_free(ec);
++              return NULL;
++      }
++      /* prepend the 0x02 (from docs) (or actually 0x04 from implementation
++       * of openssl) for uncompressed data */
++      buf[0] = POINT_CONVERSION_UNCOMPRESSED;
++      memmove(buf+1, key, keylen);
++        if(!o2i_ECPublicKey(&ec, &pp, (int)keylen+1)) {
++                EC_KEY_free(ec);
++                return NULL;
++        }
++        evp_key = EVP_PKEY_new();
++        if(!evp_key) {
++                EC_KEY_free(ec);
++                return NULL;
++        }
++        if (!EVP_PKEY_assign_EC_KEY(evp_key, ec)) {
++              EVP_PKEY_free(evp_key);
++              EC_KEY_free(ec);
++              return NULL;
++      }
++        return evp_key;
++}
++#endif /* USE_ECDSA */
++
++int
++sldns_digest_evp(unsigned char* data, unsigned int len, unsigned char* dest,
++      const EVP_MD* md)
++{
++      EVP_MD_CTX* ctx;
++      ctx = EVP_MD_CTX_create();
++      if(!ctx)
++              return 0;
++      if(!EVP_DigestInit_ex(ctx, md, NULL) ||
++              !EVP_DigestUpdate(ctx, data, len) ||
++              !EVP_DigestFinal_ex(ctx, dest, NULL)) {
++              EVP_MD_CTX_destroy(ctx);
++              return 0;
++      }
++      EVP_MD_CTX_destroy(ctx);
++      return 1;
++}
++#endif /* HAVE_SSL */
diff --cc contrib/unbound/sldns/keyraw.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..8abe235097b279315faece8b33a008fb0a02fdf4
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/keyraw.h
@@@ -1,0 -1,0 +1,112 @@@
++/*
++ * keyraw.h -- raw key and signature access and conversion
++ *
++ * Copyright (c) 2005-2008, NLnet Labs. All rights reserved.
++ *
++ * See LICENSE for the license.
++ *
++ */
++
++/**
++ * \file
++ *
++ * raw key and signature access and conversion
++ *
++ * Since those functions heavily rely op cryptographic operations,
++ * this module is dependent on openssl.
++ * 
++ */
++ 
++#ifndef LDNS_KEYRAW_H
++#define LDNS_KEYRAW_H
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++#if LDNS_BUILD_CONFIG_HAVE_SSL
++#  include <openssl/ssl.h>
++#  include <openssl/evp.h>
++#endif /* LDNS_BUILD_CONFIG_HAVE_SSL */
++
++/**
++ * get the length of the keydata in bits
++ * \param[in] keydata the raw key data
++ * \param[in] len the length of the keydata
++ * \param[in] alg the cryptographic algorithm this is a key for
++ * \return the keysize in bits, or 0 on error
++ */
++size_t sldns_rr_dnskey_key_size_raw(const unsigned char *keydata,
++      const size_t len, int alg);
++
++/**
++ * Calculates keytag of DNSSEC key, operates on wireformat rdata.
++ * \param[in] key the key as uncompressed wireformat rdata.
++ * \param[in] keysize length of key data.
++ * \return the keytag
++ */
++uint16_t sldns_calc_keytag_raw(uint8_t* key, size_t keysize);
++
++#if LDNS_BUILD_CONFIG_HAVE_SSL
++/** 
++ * Get the PKEY id for GOST, loads GOST into openssl as a side effect.
++ * Only available if GOST is compiled into the library and openssl.
++ * \return the gost id for EVP_CTX creation.
++ */
++int sldns_key_EVP_load_gost_id(void);
++
++/** Release the engine reference held for the GOST engine. */
++void sldns_key_EVP_unload_gost(void);
++
++/**
++ * Like sldns_key_buf2dsa, but uses raw buffer.
++ * \param[in] key the uncompressed wireformat of the key.
++ * \param[in] len length of key data
++ * \return a DSA * structure with the key material
++ */
++DSA *sldns_key_buf2dsa_raw(unsigned char* key, size_t len);
++
++/**
++ * Converts a holding buffer with key material to EVP PKEY in openssl.
++ * Only available if ldns was compiled with GOST.
++ * \param[in] key data to convert
++ * \param[in] keylen length of the key data
++ * \return the key or NULL on error.
++ */
++EVP_PKEY* sldns_gost2pkey_raw(unsigned char* key, size_t keylen);
++
++/**
++ * Converts a holding buffer with key material to EVP PKEY in openssl.
++ * Only available if ldns was compiled with ECDSA.
++ * \param[in] key data to convert
++ * \param[in] keylen length of the key data
++ * \param[in] algo precise algorithm to initialize ECC group values.
++ * \return the key or NULL on error.
++ */
++EVP_PKEY* sldns_ecdsa2pkey_raw(unsigned char* key, size_t keylen, uint8_t algo);
++
++/**
++ * Like sldns_key_buf2rsa, but uses raw buffer.
++ * \param[in] key the uncompressed wireformat of the key.
++ * \param[in] len length of key data
++ * \return a RSA * structure with the key material
++ */
++RSA *sldns_key_buf2rsa_raw(unsigned char* key, size_t len);
++
++/**
++ * Utility function to calculate hash using generic EVP_MD pointer.
++ * \param[in] data the data to hash.
++ * \param[in] len  length of data.
++ * \param[out] dest the destination of the hash, must be large enough.
++ * \param[in] md the message digest to use.
++ * \return true if worked, false on failure.
++ */
++int sldns_digest_evp(unsigned char* data, unsigned int len, 
++      unsigned char* dest, const EVP_MD* md);
++
++#endif /* LDNS_BUILD_CONFIG_HAVE_SSL */
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_KEYRAW_H */
diff --cc contrib/unbound/sldns/parse.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..35dee719628ca233afb7792669c58462cc2fe6fb
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/parse.c
@@@ -1,0 -1,0 +1,470 @@@
++/*
++ * a generic (simple) parser. Use to parse rr's, private key
++ * information and /etc/resolv.conf files
++ *
++ * a Net::DNS like library for C
++ * LibDNS Team @ NLnet Labs
++ * (c) NLnet Labs, 2005-2006
++ * See the file LICENSE for the license
++ */
++#include "config.h"
++#include "sldns/parse.h"
++#include "sldns/parseutil.h"
++#include "sldns/sbuffer.h"
++
++#include <limits.h>
++#include <strings.h>
++
++sldns_lookup_table sldns_directive_types[] = {
++        { LDNS_DIR_TTL, "$TTL" },
++        { LDNS_DIR_ORIGIN, "$ORIGIN" },
++        { LDNS_DIR_INCLUDE, "$INCLUDE" },
++        { 0, NULL }
++};
++
++/* add max_limit here? */
++ssize_t
++sldns_fget_token(FILE *f, char *token, const char *delim, size_t limit)
++{
++      return sldns_fget_token_l(f, token, delim, limit, NULL);
++}
++
++ssize_t
++sldns_fget_token_l(FILE *f, char *token, const char *delim, size_t limit, int *line_nr)
++{
++      int c, prev_c;
++      int p; /* 0 -> no parenthese seen, >0 nr of ( seen */
++      int com, quoted;
++      char *t;
++      size_t i;
++      const char *d;
++      const char *del;
++
++      /* standard delimeters */
++      if (!delim) {
++              /* from isspace(3) */
++              del = LDNS_PARSE_NORMAL;
++      } else {
++              del = delim;
++      }
++
++      p = 0;
++      i = 0;
++      com = 0;
++      quoted = 0;
++      prev_c = 0;
++      t = token;
++      if (del[0] == '"') {
++              quoted = 1;
++      }
++      while ((c = getc(f)) != EOF) {
++              if (c == '\r') /* carriage return */
++                      c = ' ';
++              if (c == '(' && prev_c != '\\' && !quoted) {
++                      /* this only counts for non-comments */
++                      if (com == 0) {
++                              p++;
++                      }
++                      prev_c = c;
++                      continue;
++              }
++
++              if (c == ')' && prev_c != '\\' && !quoted) {
++                      /* this only counts for non-comments */
++                      if (com == 0) {
++                              p--;
++                      }
++                      prev_c = c;
++                      continue;
++              }
++
++              if (p < 0) {
++                      /* more ) then ( - close off the string */
++                      *t = '\0';
++                      return 0;
++              }
++
++              /* do something with comments ; */
++              if (c == ';' && quoted == 0) {
++                      if (prev_c != '\\') {
++                              com = 1;
++                      }
++              }
++              if (c == '\"' && com == 0 && prev_c != '\\') {
++                      quoted = 1 - quoted;
++              }
++
++              if (c == '\n' && com != 0) {
++                      /* comments */
++                      com = 0;
++                      *t = ' ';
++                      if (line_nr) {
++                              *line_nr = *line_nr + 1;
++                      }
++                      if (p == 0 && i > 0) {
++                              goto tokenread;
++                      } else {
++                              prev_c = c;
++                              continue;
++                      }
++              }
++
++              if (com == 1) {
++                      *t = ' ';
++                      prev_c = c;
++                      continue;
++              }
++
++              if (c == '\n' && p != 0 && t > token) {
++                      /* in parentheses */
++                      if (line_nr) {
++                              *line_nr = *line_nr + 1;
++                      }
++                      *t++ = ' ';
++                      prev_c = c;
++                      continue;
++              }
++
++              /* check if we hit the delim */
++              for (d = del; *d; d++) {
++                      if (c == *d && i > 0 && prev_c != '\\' && p == 0) {
++                              if (c == '\n' && line_nr) {
++                                      *line_nr = *line_nr + 1;
++                              }
++                              goto tokenread;
++                      }
++              }
++              if (c != '\0' && c != '\n') {
++                      i++;
++              }
++              if (limit > 0 && (i >= limit || (size_t)(t-token) >= limit)) {
++                      *t = '\0';
++                      return -1;
++              }
++              if (c != '\0' && c != '\n') {
++                      *t++ = c;
++              }
++              if (c == '\\' && prev_c == '\\')
++                      prev_c = 0;
++              else    prev_c = c;
++      }
++      *t = '\0';
++      if (c == EOF) {
++              return (ssize_t)i;
++      }
++
++      if (i == 0) {
++              /* nothing read */
++              return -1;
++      }
++      if (p != 0) {
++              return -1;
++      }
++      return (ssize_t)i;
++
++tokenread:
++      if(*del == '"')
++              /* do not skip over quotes after the string, they are part
++               * of the next string.  But skip over whitespace (if needed)*/
++              sldns_fskipcs_l(f, del+1, line_nr);
++      else    sldns_fskipcs_l(f, del, line_nr);
++      *t = '\0';
++      if (p != 0) {
++              return -1;
++      }
++
++      return (ssize_t)i;
++}
++
++ssize_t
++sldns_fget_keyword_data(FILE *f, const char *keyword, const char *k_del, char *data,
++               const char *d_del, size_t data_limit)
++{
++       return sldns_fget_keyword_data_l(f, keyword, k_del, data, d_del,
++                     data_limit, NULL);
++}
++
++ssize_t
++sldns_fget_keyword_data_l(FILE *f, const char *keyword, const char *k_del, char *data,
++               const char *d_del, size_t data_limit, int *line_nr)
++{
++       /* we assume: keyword|sep|data */
++       char *fkeyword;
++       ssize_t i;
++
++       if(strlen(keyword) >= LDNS_MAX_KEYWORDLEN)
++               return -1;
++       fkeyword = (char*)malloc(LDNS_MAX_KEYWORDLEN);
++       if(!fkeyword)
++               return -1;
++
++       i = sldns_fget_token(f, fkeyword, k_del, LDNS_MAX_KEYWORDLEN);
++       if(i==0 || i==-1) {
++               free(fkeyword);
++               return -1;
++       }
++
++       /* case??? i instead of strlen? */
++       if (strncmp(fkeyword, keyword, LDNS_MAX_KEYWORDLEN - 1) == 0) {
++               /* whee! */
++               /* printf("%s\n%s\n", "Matching keyword", fkeyword); */
++               i = sldns_fget_token_l(f, data, d_del, data_limit, line_nr);
++               free(fkeyword);
++               return i;
++       } else {
++               /*printf("no match for %s (read: %s)\n", keyword, fkeyword);*/
++               free(fkeyword);
++               return -1;
++       }
++}
++
++int
++sldns_bgetc(sldns_buffer *buffer)
++{
++      if (!sldns_buffer_available_at(buffer, buffer->_position, sizeof(uint8_t))) {
++              sldns_buffer_set_position(buffer, sldns_buffer_limit(buffer));
++              /* sldns_buffer_rewind(buffer);*/
++              return EOF;
++      }
++      return (int)sldns_buffer_read_u8(buffer);
++}
++
++ssize_t
++sldns_bget_token(sldns_buffer *b, char *token, const char *delim, size_t limit)
++{
++      return sldns_bget_token_par(b, token, delim, limit, NULL, NULL);
++}
++
++ssize_t
++sldns_bget_token_par(sldns_buffer *b, char *token, const char *delim,
++      size_t limit, int* par, const char* skipw)
++{
++      int c, lc;
++      int p; /* 0 -> no parenthese seen, >0 nr of ( seen */
++      int com, quoted;
++      char *t;
++      size_t i;
++      const char *d;
++      const char *del;
++
++      /* standard delimiters */
++      if (!delim) {
++              /* from isspace(3) */
++              del = LDNS_PARSE_NORMAL;
++      } else {
++              del = delim;
++      }
++
++      p = (par?*par:0);
++      i = 0;
++      com = 0;
++      quoted = 0;
++      t = token;
++      lc = 0;
++      if (del[0] == '"') {
++              quoted = 1;
++      }
++
++      while ((c = sldns_bgetc(b)) != EOF) {
++              if (c == '\r') /* carriage return */
++                      c = ' ';
++              if (c == '(' && lc != '\\' && !quoted) {
++                      /* this only counts for non-comments */
++                      if (com == 0) {
++                              if(par) (*par)++;
++                              p++;
++                      }
++                      lc = c;
++                      continue;
++              }
++
++              if (c == ')' && lc != '\\' && !quoted) {
++                      /* this only counts for non-comments */
++                      if (com == 0) {
++                              if(par) (*par)--;
++                              p--;
++                      }
++                      lc = c;
++                      continue;
++              }
++
++              if (p < 0) {
++                      /* more ) then ( */
++                      *t = '\0';
++                      return 0;
++              }
++
++              /* do something with comments ; */
++              if (c == ';' && quoted == 0) {
++                      if (lc != '\\') {
++                              com = 1;
++                      }
++              }
++              if (c == '"' && com == 0 && lc != '\\') {
++                      quoted = 1 - quoted;
++              }
++
++              if (c == '\n' && com != 0) {
++                      /* comments */
++                      com = 0;
++                      *t = ' ';
++                      lc = c;
++                      continue;
++              }
++
++              if (com == 1) {
++                      *t = ' ';
++                      lc = c;
++                      continue;
++              }
++
++              if (c == '\n' && p != 0) {
++                      /* in parentheses */
++                      /* do not write ' ' if we want to skip spaces */
++                      if(!(skipw && (strchr(skipw, c)||strchr(skipw, ' '))))
++                              *t++ = ' ';
++                      lc = c;
++                      continue;
++              }
++
++              /* check to skip whitespace at start, but also after ( */
++              if(skipw && i==0 && !com && !quoted && lc != '\\') {
++                      if(strchr(skipw, c)) {
++                              lc = c;
++                              continue;
++                      }
++              }
++
++              /* check if we hit the delim */
++              for (d = del; *d; d++) {
++                      /* we can only exit if no parens or user tracks them */
++                        if (c == *d && lc != '\\' && (p == 0 || par)) {
++                              goto tokenread;
++                        }
++              }
++
++              i++;
++              if (limit > 0 && (i >= limit || (size_t)(t-token) >= limit)) {
++                      *t = '\0';
++                      return -1;
++              }
++              *t++ = c;
++
++              if (c == '\\' && lc == '\\') {
++                      lc = 0;
++              } else {
++                      lc = c;
++              }
++      }
++      *t = '\0';
++      if (i == 0) {
++              /* nothing read */
++              return -1;
++      }
++      if (!par && p != 0) {
++              return -1;
++      }
++      return (ssize_t)i;
++
++tokenread:
++      if(*del == '"')
++              /* do not skip over quotes after the string, they are part
++               * of the next string.  But skip over whitespace (if needed)*/
++              sldns_bskipcs(b, del+1);
++      else    sldns_bskipcs(b, del);
++      *t = '\0';
++
++      if (!par && p != 0) {
++              return -1;
++      }
++      return (ssize_t)i;
++}
++
++
++void
++sldns_bskipcs(sldns_buffer *buffer, const char *s)
++{
++        int found;
++        char c;
++        const char *d;
++
++        while(sldns_buffer_available_at(buffer, buffer->_position, sizeof(char))) {
++                c = (char) sldns_buffer_read_u8_at(buffer, buffer->_position);
++                found = 0;
++                for (d = s; *d; d++) {
++                        if (*d == c) {
++                                found = 1;
++                        }
++                }
++                if (found && buffer->_limit > buffer->_position) {
++                        buffer->_position += sizeof(char);
++                } else {
++                        return;
++                }
++        }
++}
++
++void
++sldns_fskipcs(FILE *fp, const char *s)
++{
++      sldns_fskipcs_l(fp, s, NULL);
++}
++
++void
++sldns_fskipcs_l(FILE *fp, const char *s, int *line_nr)
++{
++        int found;
++        int c;
++        const char *d;
++
++      while ((c = fgetc(fp)) != EOF) {
++              if (line_nr && c == '\n') {
++                      *line_nr = *line_nr + 1;
++              }
++                found = 0;
++                for (d = s; *d; d++) {
++                        if (*d == c) {
++                                found = 1;
++                        }
++                }
++              if (!found) {
++                      /* with getc, we've read too far */
++                      ungetc(c, fp);
++                      return;
++              }
++      }
++}
++
++ssize_t
++sldns_bget_keyword_data(sldns_buffer *b, const char *keyword, const char *k_del, char
++*data, const char *d_del, size_t data_limit)
++{
++       /* we assume: keyword|sep|data */
++       char *fkeyword;
++       ssize_t i;
++
++       if(strlen(keyword) >= LDNS_MAX_KEYWORDLEN)
++               return -1;
++       fkeyword = (char*)malloc(LDNS_MAX_KEYWORDLEN);
++       if(!fkeyword)
++               return -1; /* out of memory */
++
++       i = sldns_bget_token(b, fkeyword, k_del, data_limit);
++       if(i==0 || i==-1) {
++               free(fkeyword);
++               return -1; /* nothing read */
++       }
++
++       /* case??? */
++       if (strncmp(fkeyword, keyword, strlen(keyword)) == 0) {
++               free(fkeyword);
++               /* whee, the match! */
++               /* retrieve it's data */
++               i = sldns_bget_token(b, data, d_del, 0);
++               return i;
++       } else {
++               free(fkeyword);
++               return -1;
++       }
++}
++
diff --cc contrib/unbound/sldns/parse.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..7b7456dd2068ef00d995c0b145fa9a047743d1c3
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/parse.h
@@@ -1,0 -1,0 +1,184 @@@
++/*
++ * parse.h 
++ *
++ * a Net::DNS like library for C
++ * LibDNS Team @ NLnet Labs
++ * (c) NLnet Labs, 2005-2006
++ * See the file LICENSE for the license
++ */
++
++#ifndef LDNS_PARSE_H
++#define LDNS_PARSE_H
++
++struct sldns_buffer;
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++
++#define LDNS_PARSE_SKIP_SPACE         "\f\n\r\v"
++#define LDNS_PARSE_NORMAL             " \f\n\r\t\v"
++#define LDNS_PARSE_NO_NL              " \t"
++#define LDNS_MAX_LINELEN              10230
++#define LDNS_MAX_KEYWORDLEN           32
++
++
++/**
++ * \file
++ *
++ * Contains some low-level parsing functions, mostly used in the _frm_str
++ * family of functions.
++ */
++ 
++/**
++ * different type of directives in zone files
++ * We now deal with $TTL, $ORIGIN and $INCLUDE.
++ * The latter is not implemented in ldns (yet)
++ */
++enum sldns_enum_directive
++{
++      LDNS_DIR_TTL,
++      LDNS_DIR_ORIGIN,
++      LDNS_DIR_INCLUDE
++};
++typedef enum sldns_enum_directive sldns_directive;
++
++/** 
++ * returns a token/char from the stream F.
++ * This function deals with ( and ) in the stream,
++ * and ignores them when encountered
++ * \param[in] *f the file to read from
++ * \param[out] *token the read token is put here
++ * \param[in] *delim chars at which the parsing should stop
++ * \param[in] *limit how much to read. If 0 the builtin maximum is used
++ * \return 0 on error of EOF of the stream F.  Otherwise return the length of what is read
++ */
++ssize_t sldns_fget_token(FILE *f, char *token, const char *delim, size_t limit);
++
++/** 
++ * returns a token/char from the stream F.
++ * This function deals with ( and ) in the stream,
++ * and ignores when it finds them.
++ * \param[in] *f the file to read from
++ * \param[out] *token the token is put here
++ * \param[in] *delim chars at which the parsing should stop
++ * \param[in] *limit how much to read. If 0 use builtin maximum
++ * \param[in] line_nr pointer to an integer containing the current line number (for debugging purposes)
++ * \return 0 on error of EOF of F otherwise return the length of what is read
++ */
++ssize_t sldns_fget_token_l(FILE *f, char *token, const char *delim, size_t limit, int *line_nr);
++
++/**
++ * returns a token/char from the buffer b.
++ * This function deals with ( and ) in the buffer,
++ * and ignores when it finds them.
++ * \param[in] *b the buffer to read from
++ * \param[out] *token the token is put here
++ * \param[in] *delim chars at which the parsing should stop
++ * \param[in] *limit how much to read. If 0 the builtin maximum is used
++ * \param[in] *par if you pass nonNULL, set to 0 on first call, the parenthesis
++ * state is stored in it, for use on next call.  User must check it is back
++ * to zero after last bget in string (for parse error).  If you pass NULL,
++ * the entire parenthesized string is read in.
++ * \param[in] skipw string with whitespace to skip before the start of the
++ * token, like " ", or " \t", or NULL for none.  
++ * \returns 0 on error of EOF of b. Otherwise return the length of what is read
++ */
++ssize_t sldns_bget_token_par(struct sldns_buffer *b, char *token, const char *delim, size_t limit, int* par, const char* skipw);
++
++/**
++ * returns a token/char from the buffer b.
++ * This function deals with ( and ) in the buffer,
++ * and ignores when it finds them.
++ * \param[in] *b the buffer to read from
++ * \param[out] *token the token is put here
++ * \param[in] *delim chars at which the parsing should stop
++ * \param[in] *limit how much to read. If 0 the builtin maximum is used
++ * \returns 0 on error of EOF of b. Otherwise return the length of what is read
++ */
++ssize_t sldns_bget_token(struct sldns_buffer *b, char *token, const char *delim, size_t limit);
++
++/*
++ * searches for keyword and delim in a file. Gives everything back
++ * after the keyword + k_del until we hit d_del
++ * \param[in] f file pointer to read from
++ * \param[in] keyword keyword to look for
++ * \param[in] k_del keyword delimeter 
++ * \param[out] data the data found 
++ * \param[in] d_del the data delimeter
++ * \param[in] data_limit maximum size the the data buffer
++ * \return the number of character read
++ */
++ssize_t sldns_fget_keyword_data(FILE *f, const char *keyword, const char *k_del, char *data, const char *d_del, size_t data_limit);
++
++/*
++ * searches for keyword and delim. Gives everything back
++ * after the keyword + k_del until we hit d_del
++ * \param[in] f file pointer to read from
++ * \param[in] keyword keyword to look for
++ * \param[in] k_del keyword delimeter 
++ * \param[out] data the data found 
++ * \param[in] d_del the data delimeter
++ * \param[in] data_limit maximum size the the data buffer
++ * \param[in] line_nr pointer to an integer containing the current line number (for
++debugging purposes)
++ * \return the number of character read
++ */
++ssize_t sldns_fget_keyword_data_l(FILE *f, const char *keyword, const char *k_del, char *data, const char *d_del, size_t data_limit, int *line_nr);
++
++/*
++ * searches for keyword and delim in a buffer. Gives everything back
++ * after the keyword + k_del until we hit d_del
++ * \param[in] b buffer pointer to read from
++ * \param[in] keyword keyword to look for
++ * \param[in] k_del keyword delimeter 
++ * \param[out] data the data found 
++ * \param[in] d_del the data delimeter
++ * \param[in] data_limit maximum size the the data buffer
++ * \return the number of character read
++ */
++ssize_t sldns_bget_keyword_data(struct sldns_buffer *b, const char *keyword, const char *k_del, char *data, const char *d_del, size_t data_limit);
++
++/**
++ * returns the next character from a buffer. Advances the position pointer with 1.
++ * When end of buffer is reached returns EOF. This is the buffer's equivalent
++ * for getc().
++ * \param[in] *buffer buffer to read from
++ * \return EOF on failure otherwise return the character
++ */
++int sldns_bgetc(struct sldns_buffer *buffer);
++
++/**
++ * skips all of the characters in the given string in the buffer, moving
++ * the position to the first character that is not in *s.
++ * \param[in] *buffer buffer to use
++ * \param[in] *s characters to skip
++ * \return void
++ */
++void sldns_bskipcs(struct sldns_buffer *buffer, const char *s);
++
++/**
++ * skips all of the characters in the given string in the fp, moving
++ * the position to the first character that is not in *s.
++ * \param[in] *fp file to use
++ * \param[in] *s characters to skip
++ * \return void
++ */
++void sldns_fskipcs(FILE *fp, const char *s);
++
++
++/**
++ * skips all of the characters in the given string in the fp, moving
++ * the position to the first character that is not in *s.
++ * \param[in] *fp file to use
++ * \param[in] *s characters to skip
++ * \param[in] line_nr pointer to an integer containing the current line number (for debugging purposes)
++ * \return void
++ */
++void sldns_fskipcs_l(FILE *fp, const char *s, int *line_nr);
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_PARSE_H */
diff --cc contrib/unbound/sldns/parseutil.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..2a2ebbb08c38e44640a3c9dcccb3bccc4eb05246
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/parseutil.c
@@@ -1,0 -1,0 +1,726 @@@
++/*
++ * parseutil.c - parse utilities for string and wire conversion
++ *
++ * (c) NLnet Labs, 2004-2006
++ *
++ * See the file LICENSE for the license
++ */
++/**
++ * \file
++ *
++ * Utility functions for parsing, base32(DNS variant) and base64 encoding
++ * and decoding, Hex, Time units, Escape codes.
++ */
++
++#include "config.h"
++#include "sldns/parseutil.h"
++#include <sys/time.h>
++#include <time.h>
++#include <ctype.h>
++
++sldns_lookup_table *
++sldns_lookup_by_name(sldns_lookup_table *table, const char *name)
++{
++        while (table->name != NULL) {
++                if (strcasecmp(name, table->name) == 0)
++                        return table;
++                table++;
++        }
++        return NULL;
++}
++
++sldns_lookup_table *
++sldns_lookup_by_id(sldns_lookup_table *table, int id)
++{
++        while (table->name != NULL) {
++                if (table->id == id)
++                        return table;
++                table++;
++        }
++        return NULL;
++}
++
++/* Number of days per month (except for February in leap years). */
++static const int mdays[] = {
++      31, 28, 31, 30, 31, 30, 31, 31, 30, 31, 30, 31
++};
++
++#define LDNS_MOD(x,y) (((x) % (y) < 0) ? ((x) % (y) + (y)) : ((x) % (y)))
++#define LDNS_DIV(x,y) (((x) % (y) < 0) ? ((x) / (y) -  1 ) : ((x) / (y)))
++
++static int
++is_leap_year(int year)
++{
++      return LDNS_MOD(year,   4) == 0 && (LDNS_MOD(year, 100) != 0 
++          || LDNS_MOD(year, 400) == 0);
++}
++
++static int
++leap_days(int y1, int y2)
++{
++      --y1;
++      --y2;
++      return (LDNS_DIV(y2,   4) - LDNS_DIV(y1,   4)) - 
++             (LDNS_DIV(y2, 100) - LDNS_DIV(y1, 100)) +
++             (LDNS_DIV(y2, 400) - LDNS_DIV(y1, 400));
++}
++
++/*
++ * Code adapted from Python 2.4.1 sources (Lib/calendar.py).
++ */
++time_t
++sldns_mktime_from_utc(const struct tm *tm)
++{
++      int year = 1900 + tm->tm_year;
++      time_t days = 365 * ((time_t) year - 1970) + leap_days(1970, year);
++      time_t hours;
++      time_t minutes;
++      time_t seconds;
++      int i;
++
++      for (i = 0; i < tm->tm_mon; ++i) {
++              days += mdays[i];
++      }
++      if (tm->tm_mon > 1 && is_leap_year(year)) {
++              ++days;
++      }
++      days += tm->tm_mday - 1;
++
++      hours = days * 24 + tm->tm_hour;
++      minutes = hours * 60 + tm->tm_min;
++      seconds = minutes * 60 + tm->tm_sec;
++
++      return seconds;
++}
++
++#if SIZEOF_TIME_T <= 4
++
++static void
++sldns_year_and_yday_from_days_since_epoch(int64_t days, struct tm *result)
++{
++      int year = 1970;
++      int new_year;
++
++      while (days < 0 || days >= (int64_t) (is_leap_year(year) ? 366 : 365)) {
++              new_year = year + (int) LDNS_DIV(days, 365);
++              days -= (new_year - year) * 365;
++              days -= leap_days(year, new_year);
++              year  = new_year;
++      }
++      result->tm_year = year;
++      result->tm_yday = (int) days;
++}
++
++/* Number of days per month in a leap year. */
++static const int leap_year_mdays[] = {
++      31, 29, 31, 30, 31, 30, 31, 31, 30, 31, 30, 31
++};
++
++static void
++sldns_mon_and_mday_from_year_and_yday(struct tm *result)
++{
++      int idays = result->tm_yday;
++      const int *mon_lengths = is_leap_year(result->tm_year) ? 
++                                      leap_year_mdays : mdays;
++
++      result->tm_mon = 0;
++      while  (idays >= mon_lengths[result->tm_mon]) {
++              idays -= mon_lengths[result->tm_mon++];
++      }
++      result->tm_mday = idays + 1;
++}
++
++static void
++sldns_wday_from_year_and_yday(struct tm *result)
++{
++      result->tm_wday = 4 /* 1-1-1970 was a thursday */
++                      + LDNS_MOD((result->tm_year - 1970), 7) * LDNS_MOD(365, 7)
++                      + leap_days(1970, result->tm_year)
++                      + result->tm_yday;
++      result->tm_wday = LDNS_MOD(result->tm_wday, 7);
++      if (result->tm_wday < 0) {
++              result->tm_wday += 7;
++      }
++}
++
++static struct tm *
++sldns_gmtime64_r(int64_t clock, struct tm *result)
++{
++      result->tm_isdst = 0;
++      result->tm_sec   = (int) LDNS_MOD(clock, 60);
++      clock            =       LDNS_DIV(clock, 60);
++      result->tm_min   = (int) LDNS_MOD(clock, 60);
++      clock            =       LDNS_DIV(clock, 60);
++      result->tm_hour  = (int) LDNS_MOD(clock, 24);
++      clock            =       LDNS_DIV(clock, 24);
++
++      sldns_year_and_yday_from_days_since_epoch(clock, result);
++      sldns_mon_and_mday_from_year_and_yday(result);
++      sldns_wday_from_year_and_yday(result);
++      result->tm_year -= 1900;
++
++      return result;
++}
++
++#endif /* SIZEOF_TIME_T <= 4 */
++
++static int64_t
++sldns_serial_arithmitics_time(int32_t time, time_t now)
++{
++      int32_t offset = time - (int32_t) now;
++      return (int64_t) now + offset;
++}
++
++struct tm *
++sldns_serial_arithmitics_gmtime_r(int32_t time, time_t now, struct tm *result)
++{
++#if SIZEOF_TIME_T <= 4
++      int64_t secs_since_epoch = sldns_serial_arithmitics_time(time, now);
++      return  sldns_gmtime64_r(secs_since_epoch, result);
++#else
++      time_t  secs_since_epoch = sldns_serial_arithmitics_time(time, now);
++      return  gmtime_r(&secs_since_epoch, result);
++#endif
++}
++
++int
++sldns_hexdigit_to_int(char ch)
++{
++      switch (ch) {
++      case '0': return 0;
++      case '1': return 1;
++      case '2': return 2;
++      case '3': return 3;
++      case '4': return 4;
++      case '5': return 5;
++      case '6': return 6;
++      case '7': return 7;
++      case '8': return 8;
++      case '9': return 9;
++      case 'a': case 'A': return 10;
++      case 'b': case 'B': return 11;
++      case 'c': case 'C': return 12;
++      case 'd': case 'D': return 13;
++      case 'e': case 'E': return 14;
++      case 'f': case 'F': return 15;
++      default:
++              return -1;
++      }
++}
++
++uint32_t
++sldns_str2period(const char *nptr, const char **endptr)
++{
++      int sign = 0;
++      uint32_t i = 0;
++      uint32_t seconds = 0;
++
++      for(*endptr = nptr; **endptr; (*endptr)++) {
++              switch (**endptr) {
++                      case ' ':
++                      case '\t':
++                              break;
++                      case '-':
++                              if(sign == 0) {
++                                      sign = -1;
++                              } else {
++                                      return seconds;
++                              }
++                              break;
++                      case '+':
++                              if(sign == 0) {
++                                      sign = 1;
++                              } else {
++                                      return seconds;
++                              }
++                              break;
++                      case 's':
++                      case 'S':
++                              seconds += i;
++                              i = 0;
++                              break;
++                      case 'm':
++                      case 'M':
++                              seconds += i * 60;
++                              i = 0;
++                              break;
++                      case 'h':
++                      case 'H':
++                              seconds += i * 60 * 60;
++                              i = 0;
++                              break;
++                      case 'd':
++                      case 'D':
++                              seconds += i * 60 * 60 * 24;
++                              i = 0;
++                              break;
++                      case 'w':
++                      case 'W':
++                              seconds += i * 60 * 60 * 24 * 7;
++                              i = 0;
++                              break;
++                      case '0':
++                      case '1':
++                      case '2':
++                      case '3':
++                      case '4':
++                      case '5':
++                      case '6':
++                      case '7':
++                      case '8':
++                      case '9':
++                              i *= 10;
++                              i += (**endptr - '0');
++                              break;
++                      default:
++                              seconds += i;
++                              /* disregard signedness */
++                              return seconds;
++              }
++      }
++      seconds += i;
++      /* disregard signedness */
++      return seconds;
++}
++
++int
++sldns_parse_escape(uint8_t *ch_p, const char** str_p)
++{
++      uint16_t val;
++
++      if ((*str_p)[0] && isdigit((unsigned char)(*str_p)[0]) &&
++          (*str_p)[1] && isdigit((unsigned char)(*str_p)[1]) &&
++          (*str_p)[2] && isdigit((unsigned char)(*str_p)[2])) {
++
++              val = (uint16_t)(((*str_p)[0] - '0') * 100 +
++                               ((*str_p)[1] - '0') *  10 +
++                               ((*str_p)[2] - '0'));
++
++              if (val > 255) {
++                      goto error;
++              }
++              *ch_p = (uint8_t)val;
++              *str_p += 3;
++              return 1;
++
++      } else if ((*str_p)[0] && !isdigit((unsigned char)(*str_p)[0])) {
++
++              *ch_p = (uint8_t)*(*str_p)++;
++              return 1;
++      }
++error:
++      *str_p = NULL;
++      return 0; /* LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE */
++}
++
++/** parse one character, with escape codes */
++int
++sldns_parse_char(uint8_t *ch_p, const char** str_p)
++{
++      switch (**str_p) {
++
++      case '\0':      return 0;
++
++      case '\\':      *str_p += 1;
++                      return sldns_parse_escape(ch_p, str_p);
++
++      default:        *ch_p = (uint8_t)*(*str_p)++;
++                      return 1;
++      }
++}
++
++size_t sldns_b32_ntop_calculate_size(size_t src_data_length)
++{
++      return src_data_length == 0 ? 0 : ((src_data_length - 1) / 5 + 1) * 8;
++}
++
++size_t sldns_b32_ntop_calculate_size_no_padding(size_t src_data_length)
++{
++      return ((src_data_length + 3) * 8 / 5) - 4;
++}
++
++static int
++sldns_b32_ntop_base(const uint8_t* src, size_t src_sz, char* dst, size_t dst_sz,
++      int extended_hex, int add_padding)
++{
++      size_t ret_sz;
++      const char* b32 = extended_hex ?  "0123456789abcdefghijklmnopqrstuv"
++                                      : "abcdefghijklmnopqrstuvwxyz234567";
++
++      size_t c = 0; /* c is used to carry partial base32 character over 
++                     * byte boundaries for sizes with a remainder.
++                     * (i.e. src_sz % 5 != 0)
++                     */
++
++      ret_sz = add_padding ? sldns_b32_ntop_calculate_size(src_sz)
++                           : sldns_b32_ntop_calculate_size_no_padding(src_sz);
++      
++      /* Do we have enough space? */
++      if (dst_sz < ret_sz + 1)
++              return -1;
++
++      /* We know the size; terminate the string */
++      dst[ret_sz] = '\0';
++
++      /* First process all chunks of five */
++      while (src_sz >= 5) {
++              /* 00000... ........ ........ ........ ........ */
++              dst[0] = b32[(src[0]       ) >> 3];
++
++              /* .....111 11...... ........ ........ ........ */
++              dst[1] = b32[(src[0] & 0x07) << 2 | src[1] >> 6];
++
++              /* ........ ..22222. ........ ........ ........ */
++              dst[2] = b32[(src[1] & 0x3e) >> 1];
++
++              /* ........ .......3 3333.... ........ ........ */
++              dst[3] = b32[(src[1] & 0x01) << 4 | src[2] >> 4];
++
++              /* ........ ........ ....4444 4....... ........ */
++              dst[4] = b32[(src[2] & 0x0f) << 1 | src[3] >> 7];
++
++              /* ........ ........ ........ .55555.. ........ */
++              dst[5] = b32[(src[3] & 0x7c) >> 2];
++
++              /* ........ ........ ........ ......66 666..... */
++              dst[6] = b32[(src[3] & 0x03) << 3 | src[4] >> 5];
++
++              /* ........ ........ ........ ........ ...77777 */
++              dst[7] = b32[(src[4] & 0x1f)     ];
++
++              src_sz -= 5;
++              src    += 5;
++              dst    += 8;
++      }
++      /* Process what remains */
++      switch (src_sz) {
++      case 4: /* ........ ........ ........ ......66 666..... */
++              dst[6] = b32[(src[3] & 0x03) << 3];
++
++              /* ........ ........ ........ .55555.. ........ */
++              dst[5] = b32[(src[3] & 0x7c) >> 2];
++
++              /* ........ ........ ....4444 4....... ........ */
++                       c =  src[3]         >> 7 ;
++      case 3: dst[4] = b32[(src[2] & 0x0f) << 1 | c];
++
++              /* ........ .......3 3333.... ........ ........ */
++                       c =  src[2]         >> 4 ;
++      case 2: dst[3] = b32[(src[1] & 0x01) << 4 | c];
++
++              /* ........ ..22222. ........ ........ ........ */
++              dst[2] = b32[(src[1] & 0x3e) >> 1];
++
++              /* .....111 11...... ........ ........ ........ */
++                       c =  src[1]         >> 6 ;
++      case 1: dst[1] = b32[(src[0] & 0x07) << 2 | c];
++
++              /* 00000... ........ ........ ........ ........ */
++              dst[0] = b32[ src[0]         >> 3];
++      }
++      /* Add padding */
++      if (add_padding) {
++              switch (src_sz) {
++                      case 1: dst[2] = '=';
++                              dst[3] = '=';
++                      case 2: dst[4] = '=';
++                      case 3: dst[5] = '=';
++                              dst[6] = '=';
++                      case 4: dst[7] = '=';
++              }
++      }
++      return (int)ret_sz;
++}
++
++int 
++sldns_b32_ntop(const uint8_t* src, size_t src_sz, char* dst, size_t dst_sz)
++{
++      return sldns_b32_ntop_base(src, src_sz, dst, dst_sz, 0, 1);
++}
++
++int 
++sldns_b32_ntop_extended_hex(const uint8_t* src, size_t src_sz,
++              char* dst, size_t dst_sz)
++{
++      return sldns_b32_ntop_base(src, src_sz, dst, dst_sz, 1, 1);
++}
++
++size_t sldns_b32_pton_calculate_size(size_t src_text_length)
++{
++      return src_text_length * 5 / 8;
++}
++
++static int
++sldns_b32_pton_base(const char* src, size_t src_sz, uint8_t* dst, size_t dst_sz,
++      int extended_hex, int check_padding)
++{
++      size_t i = 0;
++      char ch = '\0';
++      uint8_t buf[8];
++      uint8_t* start = dst;
++
++      while (src_sz) {
++              /* Collect 8 characters in buf (if possible) */
++              for (i = 0; i < 8; i++) {
++
++                      do {
++                              ch = *src++;
++                              --src_sz;
++
++                      } while (isspace((unsigned char)ch) && src_sz > 0);
++
++                      if (ch == '=' || ch == '\0')
++                              break;
++
++                      else if (extended_hex)
++
++                              if (ch >= '0' && ch <= '9')
++                                      buf[i] = (uint8_t)ch - '0';
++                              else if (ch >= 'a' && ch <= 'v')
++                                      buf[i] = (uint8_t)ch - 'a' + 10;
++                              else if (ch >= 'A' && ch <= 'V')
++                                      buf[i] = (uint8_t)ch - 'A' + 10;
++                              else
++                                      return -1;
++
++                      else if (ch >= 'a' && ch <= 'z')
++                              buf[i] = (uint8_t)ch - 'a';
++                      else if (ch >= 'A' && ch <= 'Z')
++                              buf[i] = (uint8_t)ch - 'A';
++                      else if (ch >= '2' && ch <= '7')
++                              buf[i] = (uint8_t)ch - '2' + 26;
++                      else
++                              return -1;
++              }
++              /* Less that 8 characters. We're done. */
++              if (i < 8)
++                      break;
++
++              /* Enough space available at the destination? */
++              if (dst_sz < 5)
++                      return -1;
++
++              /* 00000... ........ ........ ........ ........ */
++              /* .....111 11...... ........ ........ ........ */
++              dst[0] = buf[0] << 3 | buf[1] >> 2;
++
++              /* .....111 11...... ........ ........ ........ */
++              /* ........ ..22222. ........ ........ ........ */
++              /* ........ .......3 3333.... ........ ........ */
++              dst[1] = buf[1] << 6 | buf[2] << 1 | buf[3] >> 4;
++
++              /* ........ .......3 3333.... ........ ........ */
++              /* ........ ........ ....4444 4....... ........ */
++              dst[2] = buf[3] << 4 | buf[4] >> 1;
++
++              /* ........ ........ ....4444 4....... ........ */
++              /* ........ ........ ........ .55555.. ........ */
++              /* ........ ........ ........ ......66 666..... */
++              dst[3] = buf[4] << 7 | buf[5] << 2 | buf[6] >> 3;
++
++              /* ........ ........ ........ ......66 666..... */
++              /* ........ ........ ........ ........ ...77777 */
++              dst[4] = buf[6] << 5 | buf[7];
++
++              dst += 5;
++              dst_sz -= 5;
++      }
++      /* Not ending on a eight byte boundary? */
++      if (i > 0 && i < 8) {
++
++              /* Enough space available at the destination? */
++              if (dst_sz < (i + 1) / 2)
++                      return -1;
++
++              switch (i) {
++              case 7: /* ........ ........ ........ ......66 666..... */
++                      /* ........ ........ ........ .55555.. ........ */
++                      /* ........ ........ ....4444 4....... ........ */
++                      dst[3] = buf[4] << 7 | buf[5] << 2 | buf[6] >> 3;
++
++              case 5: /* ........ ........ ....4444 4....... ........ */
++                      /* ........ .......3 3333.... ........ ........ */
++                      dst[2] = buf[3] << 4 | buf[4] >> 1;
++
++              case 4: /* ........ .......3 3333.... ........ ........ */
++                      /* ........ ..22222. ........ ........ ........ */
++                      /* .....111 11...... ........ ........ ........ */
++                      dst[1] = buf[1] << 6 | buf[2] << 1 | buf[3] >> 4;
++
++              case 2: /* .....111 11...... ........ ........ ........ */
++                      /* 00000... ........ ........ ........ ........ */
++                      dst[0] = buf[0] << 3 | buf[1] >> 2;
++
++                      break;
++
++              default:
++                      return -1;
++              }
++              dst += (i + 1) / 2;
++
++              if (check_padding) {
++                      /* Check remaining padding characters */
++                      if (ch != '=')
++                              return -1;
++
++                      /* One down, 8 - i - 1 more to come... */
++                      for (i = 8 - i - 1; i > 0; i--) {
++
++                              do {
++                                      if (src_sz == 0)
++                                              return -1;
++                                      ch = *src++;
++                                      src_sz--;
++
++                              } while (isspace((unsigned char)ch));
++
++                              if (ch != '=')
++                                      return -1;
++                      }
++              }
++      }
++      return dst - start;
++}
++
++int
++sldns_b32_pton(const char* src, size_t src_sz, uint8_t* dst, size_t dst_sz)
++{
++      return sldns_b32_pton_base(src, src_sz, dst, dst_sz, 0, 1);
++}
++
++int
++sldns_b32_pton_extended_hex(const char* src, size_t src_sz, 
++              uint8_t* dst, size_t dst_sz)
++{
++      return sldns_b32_pton_base(src, src_sz, dst, dst_sz, 1, 1);
++}
++
++size_t sldns_b64_ntop_calculate_size(size_t srcsize)
++{
++      return ((((srcsize + 2) / 3) * 4) + 1);
++}
++
++/* RFC 1521, section 5.2.
++ *
++ * The encoding process represents 24-bit groups of input bits as output
++ * strings of 4 encoded characters. Proceeding from left to right, a
++ * 24-bit input group is formed by concatenating 3 8-bit input groups.
++ * These 24 bits are then treated as 4 concatenated 6-bit groups, each
++ * of which is translated into a single digit in the base64 alphabet.
++ *
++ * This routine does not insert spaces or linebreaks after 76 characters.
++ */
++int sldns_b64_ntop(uint8_t const *src, size_t srclength,
++      char *target, size_t targsize)
++{
++      const char* b64 =
++      "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
++      const char pad64 = '=';
++      size_t i = 0, o = 0;
++      if(targsize < sldns_b64_ntop_calculate_size(srclength))
++              return -1;
++      /* whole chunks: xxxxxxyy yyyyzzzz zzwwwwww */
++      while(i+3 <= srclength) {
++              if(o+4 > targsize) return -1;
++              target[o] = b64[src[i] >> 2];
++              target[o+1] = b64[ ((src[i]&0x03)<<4) | (src[i+1]>>4) ];
++              target[o+2] = b64[ ((src[i+1]&0x0f)<<2) | (src[i+2]>>6) ];
++              target[o+3] = b64[ (src[i+2]&0x3f) ];
++              i += 3;
++              o += 4;
++      }
++      /* remainder */
++      switch(srclength - i) {
++      case 2:
++              /* two at end, converted into A B C = */
++              target[o] = b64[src[i] >> 2];
++              target[o+1] = b64[ ((src[i]&0x03)<<4) | (src[i+1]>>4) ];
++              target[o+2] = b64[ ((src[i+1]&0x0f)<<2) ];
++              target[o+3] = pad64;
++              i += 2;
++              o += 4;
++              break;
++      case 1:
++              /* one at end, converted into A B = = */
++              target[o] = b64[src[i] >> 2];
++              target[o+1] = b64[ ((src[i]&0x03)<<4) ];
++              target[o+2] = pad64;
++              target[o+3] = pad64;
++              i += 1;
++              o += 4;
++              break;
++      case 0:
++      default:
++              /* nothing */
++              break;
++      }
++      /* assert: i == srclength */
++      if(o+1 > targsize) return -1;
++      target[o] = 0;
++      return (int)o;
++}
++
++size_t sldns_b64_pton_calculate_size(size_t srcsize)
++{
++      return (((((srcsize + 3) / 4) * 3)) + 1);
++}
++
++int sldns_b64_pton(char const *src, uint8_t *target, size_t targsize)
++{
++      const uint8_t pad64 = 64; /* is 64th in the b64 array */
++      const char* s = src;
++      uint8_t in[4];
++      size_t o = 0, incount = 0;
++
++      while(*s) {
++              /* skip any character that is not base64 */
++              /* conceptually we do:
++              const char* b64 =      pad'=' is appended to array
++              "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
++              const char* d = strchr(b64, *s++);
++              and use d-b64;
++              */
++              char d = *s++;
++              if(d <= 'Z' && d >= 'A')
++                      d -= 'A';
++              else if(d <= 'z' && d >= 'a')
++                      d = d - 'a' + 26;
++              else if(d <= '9' && d >= '0')
++                      d = d - '0' + 52;
++              else if(d == '+')
++                      d = 62;
++              else if(d == '/')
++                      d = 63;
++              else if(d == '=')
++                      d = 64;
++              else    continue;
++              in[incount++] = (uint8_t)d;
++              if(incount != 4)
++                      continue;
++              /* process whole block of 4 characters into 3 output bytes */
++              if(in[3] == pad64 && in[2] == pad64) { /* A B = = */
++                      if(o+1 > targsize)
++                              return -1;
++                      target[o] = (in[0]<<2) | ((in[1]&0x30)>>4);
++                      o += 1;
++                      break; /* we are done */
++              } else if(in[3] == pad64) { /* A B C = */
++                      if(o+2 > targsize)
++                              return -1;
++                      target[o] = (in[0]<<2) | ((in[1]&0x30)>>4);
++                      target[o+1]= ((in[1]&0x0f)<<4) | ((in[2]&0x3c)>>2);
++                      o += 2;
++                      break; /* we are done */
++              } else {
++                      if(o+3 > targsize)
++                              return -1;
++                      /* write xxxxxxyy yyyyzzzz zzwwwwww */
++                      target[o] = (in[0]<<2) | ((in[1]&0x30)>>4);
++                      target[o+1]= ((in[1]&0x0f)<<4) | ((in[2]&0x3c)>>2);
++                      target[o+2]= ((in[2]&0x03)<<6) | in[3];
++                      o += 3;
++              }
++              incount = 0;
++      }
++      return (int)o;
++}
diff --cc contrib/unbound/sldns/parseutil.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..dfa1c2a2b14b4abd0a731261a5f7bc7937f66fda
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/parseutil.h
@@@ -1,0 -1,0 +1,148 @@@
++/*
++ * parseutil.h - parse utilities for string and wire conversion
++ *
++ * (c) NLnet Labs, 2004
++ *
++ * See the file LICENSE for the license
++ */
++/**
++ * \file
++ *
++ * Utility functions for parsing, base32(DNS variant) and base64 encoding
++ * and decoding, Hex, Time units, Escape codes.
++ */
++
++#ifndef LDNS_PARSEUTIL_H
++#define LDNS_PARSEUTIL_H
++struct tm;
++
++/** 
++ *  A general purpose lookup table
++ *  
++ *  Lookup tables are arrays of (id, name) pairs,
++ *  So you can for instance lookup the RCODE 3, which is "NXDOMAIN",
++ *  and vice versa. The lookup tables themselves are defined wherever needed,
++ *  for instance in host2str.c
++ */
++struct sldns_struct_lookup_table {
++        int id;
++        const char *name;
++};
++typedef struct sldns_struct_lookup_table sldns_lookup_table;
++
++/**
++ * Looks up the table entry by name, returns NULL if not found.
++ * \param[in] table the lookup table to search in
++ * \param[in] name what to search for
++ * \return the item found
++ */
++sldns_lookup_table *sldns_lookup_by_name(sldns_lookup_table table[],
++                                       const char *name);
++/**
++ * Looks up the table entry by id, returns NULL if not found.
++ * \param[in] table the lookup table to search in
++ * \param[in] id what to search for
++ * \return the item found
++ */
++sldns_lookup_table *sldns_lookup_by_id(sldns_lookup_table table[], int id);
++
++/**
++ * Convert TM to seconds since epoch (midnight, January 1st, 1970).
++ * Like timegm(3), which is not always available.
++ * \param[in] tm a struct tm* with the date
++ * \return the seconds since epoch
++ */
++time_t sldns_mktime_from_utc(const struct tm *tm);
++
++/**
++ * The function interprets time as the number of seconds since epoch
++ * with respect to now using serial arithmitics (rfc1982).
++ * That number of seconds is then converted to broken-out time information.
++ * This is especially usefull when converting the inception and expiration
++ * fields of RRSIG records.
++ *
++ * \param[in] time number of seconds since epoch (midnight, January 1st, 1970)
++ *            to be intepreted as a serial arithmitics number relative to now.
++ * \param[in] now number of seconds since epoch (midnight, January 1st, 1970)
++ *            to which the time value is compared to determine the final value.
++ * \param[out] result the struct with the broken-out time information
++ * \return result on success or NULL on error
++ */
++struct tm * sldns_serial_arithmitics_gmtime_r(int32_t time, time_t now, struct tm *result);
++
++/**
++ * converts a ttl value (like 5d2h) to a long.
++ * \param[in] nptr the start of the string
++ * \param[out] endptr points to the last char in case of error
++ * \return the convert duration value
++ */
++uint32_t sldns_str2period(const char *nptr, const char **endptr);
++
++/**
++ * Returns the int value of the given (hex) digit
++ * \param[in] ch the hex char to convert
++ * \return the converted decimal value
++ */
++int sldns_hexdigit_to_int(char ch);
++
++/**
++ * calculates the size needed to store the result of b64_ntop
++ */
++size_t sldns_b64_ntop_calculate_size(size_t srcsize);
++
++int sldns_b64_ntop(uint8_t const *src, size_t srclength,
++      char *target, size_t targsize);
++
++/**
++ * calculates the size needed to store the result of sldns_b64_pton
++ */
++size_t sldns_b64_pton_calculate_size(size_t srcsize);
++
++int sldns_b64_pton(char const *src, uint8_t *target, size_t targsize);
++
++/**
++ * calculates the size needed to store the result of b32_ntop
++ */
++size_t sldns_b32_ntop_calculate_size(size_t src_data_length);
++
++size_t sldns_b32_ntop_calculate_size_no_padding(size_t src_data_length);
++
++int sldns_b32_ntop(const uint8_t* src_data, size_t src_data_length,
++      char* target_text_buffer, size_t target_text_buffer_size);
++
++int sldns_b32_ntop_extended_hex(const uint8_t* src_data, size_t src_data_length,
++      char* target_text_buffer, size_t target_text_buffer_size);
++
++/**
++ * calculates the size needed to store the result of b32_pton
++ */
++size_t sldns_b32_pton_calculate_size(size_t src_text_length);
++
++int sldns_b32_pton(const char* src_text, size_t src_text_length,
++      uint8_t* target_data_buffer, size_t target_data_buffer_size);
++
++int sldns_b32_pton_extended_hex(const char* src_text, size_t src_text_length,
++      uint8_t* target_data_buffer, size_t target_data_buffer_size);
++
++/*
++ * Checks whether the escaped value at **s is an octal value or
++ * a 'normally' escaped character (and not eos)
++ *
++ * @param ch_p: the parsed character
++ * @param str_p: the string. moved along for characters read.
++ * The string pointer at *s is increased by either 0 (on error), 1 (on
++ * normal escapes), or 3 (on octals)
++ *
++ * @return 0 on error
++ */
++int sldns_parse_escape(uint8_t *ch_p, const char** str_p);
++
++/** 
++ * Parse one character, with escape codes,
++ * @param ch_p: the parsed character
++ * @param str_p: the string. moved along for characters read.
++ * @return 0 on error
++ */
++int sldns_parse_char(uint8_t *ch_p, const char** str_p);
++
++#endif /* LDNS_PARSEUTIL_H */
diff --cc contrib/unbound/sldns/pkthdr.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..de9952ea71f8e6daf7d28ac87e40c3fe7f520c32
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/pkthdr.h
@@@ -1,0 -1,0 +1,158 @@@
++/*
++ * pkthdr.h - packet header from wire conversion routines
++ *
++ * a Net::DNS like library for C
++ *
++ * (c) NLnet Labs, 2005-2006
++ *
++ * See the file LICENSE for the license
++ */
++
++/**
++ * \file
++ *
++ * Contains functions that translate dns data from the wire format (as sent
++ * by servers and clients) to the internal structures for the packet header.
++ */
++ 
++#ifndef LDNS_PKTHDR_H
++#define LDNS_PKTHDR_H
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++
++/* The length of the header */
++#define       LDNS_HEADER_SIZE        12
++
++/* First octet of flags */
++#define       LDNS_RD_MASK            0x01U
++#define       LDNS_RD_SHIFT   0
++#define       LDNS_RD_WIRE(wirebuf)   (*(wirebuf+2) & LDNS_RD_MASK)
++#define       LDNS_RD_SET(wirebuf)    (*(wirebuf+2) |= LDNS_RD_MASK)
++#define       LDNS_RD_CLR(wirebuf)    (*(wirebuf+2) &= ~LDNS_RD_MASK)
++
++#define LDNS_TC_MASK          0x02U
++#define LDNS_TC_SHIFT 1
++#define       LDNS_TC_WIRE(wirebuf)   (*(wirebuf+2) & LDNS_TC_MASK)
++#define       LDNS_TC_SET(wirebuf)    (*(wirebuf+2) |= LDNS_TC_MASK)
++#define       LDNS_TC_CLR(wirebuf)    (*(wirebuf+2) &= ~LDNS_TC_MASK)
++
++#define       LDNS_AA_MASK            0x04U
++#define       LDNS_AA_SHIFT   2
++#define       LDNS_AA_WIRE(wirebuf)   (*(wirebuf+2) & LDNS_AA_MASK)
++#define       LDNS_AA_SET(wirebuf)    (*(wirebuf+2) |= LDNS_AA_MASK)
++#define       LDNS_AA_CLR(wirebuf)    (*(wirebuf+2) &= ~LDNS_AA_MASK)
++
++#define       LDNS_OPCODE_MASK        0x78U
++#define       LDNS_OPCODE_SHIFT       3
++#define       LDNS_OPCODE_WIRE(wirebuf)       ((*(wirebuf+2) & LDNS_OPCODE_MASK) >> LDNS_OPCODE_SHIFT)
++#define       LDNS_OPCODE_SET(wirebuf, opcode) \
++      (*(wirebuf+2) = ((*(wirebuf+2)) & ~LDNS_OPCODE_MASK) | ((opcode) << LDNS_OPCODE_SHIFT))
++
++#define       LDNS_QR_MASK            0x80U
++#define       LDNS_QR_SHIFT   7
++#define       LDNS_QR_WIRE(wirebuf)   (*(wirebuf+2) & LDNS_QR_MASK)
++#define       LDNS_QR_SET(wirebuf)    (*(wirebuf+2) |= LDNS_QR_MASK)
++#define       LDNS_QR_CLR(wirebuf)    (*(wirebuf+2) &= ~LDNS_QR_MASK)
++
++/* Second octet of flags */
++#define       LDNS_RCODE_MASK 0x0fU
++#define       LDNS_RCODE_SHIFT        0
++#define       LDNS_RCODE_WIRE(wirebuf)        (*(wirebuf+3) & LDNS_RCODE_MASK)
++#define       LDNS_RCODE_SET(wirebuf, rcode) \
++      (*(wirebuf+3) = ((*(wirebuf+3)) & ~LDNS_RCODE_MASK) | (rcode))
++
++#define       LDNS_CD_MASK            0x10U
++#define       LDNS_CD_SHIFT   4
++#define       LDNS_CD_WIRE(wirebuf)   (*(wirebuf+3) & LDNS_CD_MASK)
++#define       LDNS_CD_SET(wirebuf)    (*(wirebuf+3) |= LDNS_CD_MASK)
++#define       LDNS_CD_CLR(wirebuf)    (*(wirebuf+3) &= ~LDNS_CD_MASK)
++
++#define       LDNS_AD_MASK            0x20U
++#define       LDNS_AD_SHIFT   5
++#define       LDNS_AD_WIRE(wirebuf)   (*(wirebuf+3) & LDNS_AD_MASK)
++#define       LDNS_AD_SET(wirebuf)    (*(wirebuf+3) |= LDNS_AD_MASK)
++#define       LDNS_AD_CLR(wirebuf)    (*(wirebuf+3) &= ~LDNS_AD_MASK)
++
++#define       LDNS_Z_MASK             0x40U
++#define       LDNS_Z_SHIFT            6
++#define       LDNS_Z_WIRE(wirebuf)    (*(wirebuf+3) & LDNS_Z_MASK)
++#define       LDNS_Z_SET(wirebuf)     (*(wirebuf+3) |= LDNS_Z_MASK)
++#define       LDNS_Z_CLR(wirebuf)     (*(wirebuf+3) &= ~LDNS_Z_MASK)
++
++#define       LDNS_RA_MASK            0x80U
++#define       LDNS_RA_SHIFT   7
++#define       LDNS_RA_WIRE(wirebuf)   (*(wirebuf+3) & LDNS_RA_MASK)
++#define       LDNS_RA_SET(wirebuf)    (*(wirebuf+3) |= LDNS_RA_MASK)
++#define       LDNS_RA_CLR(wirebuf)    (*(wirebuf+3) &= ~LDNS_RA_MASK)
++
++/* Query ID */
++#define       LDNS_ID_WIRE(wirebuf)           (sldns_read_uint16(wirebuf))
++#define       LDNS_ID_SET(wirebuf, id)        (sldns_write_uint16(wirebuf, id))
++
++/* Counter of the question section */
++#define LDNS_QDCOUNT_OFF              4
++/*
++#define       QDCOUNT(wirebuf)                (ntohs(*(uint16_t *)(wirebuf+QDCOUNT_OFF)))
++*/
++#define       LDNS_QDCOUNT(wirebuf)           (sldns_read_uint16(wirebuf+LDNS_QDCOUNT_OFF))
++
++/* Counter of the answer section */
++#define LDNS_ANCOUNT_OFF              6
++#define       LDNS_ANCOUNT(wirebuf)           (sldns_read_uint16(wirebuf+LDNS_ANCOUNT_OFF))
++
++/* Counter of the authority section */
++#define LDNS_NSCOUNT_OFF              8
++#define       LDNS_NSCOUNT(wirebuf)           (sldns_read_uint16(wirebuf+LDNS_NSCOUNT_OFF))
++
++/* Counter of the additional section */
++#define LDNS_ARCOUNT_OFF              10
++#define       LDNS_ARCOUNT(wirebuf)           (sldns_read_uint16(wirebuf+LDNS_ARCOUNT_OFF))
++
++/**
++ * The sections of a packet
++ */
++enum sldns_enum_pkt_section {
++        LDNS_SECTION_QUESTION = 0,
++        LDNS_SECTION_ANSWER = 1,
++        LDNS_SECTION_AUTHORITY = 2,
++        LDNS_SECTION_ADDITIONAL = 3,
++        /** bogus section, if not interested */
++        LDNS_SECTION_ANY = 4,
++        /** used to get all non-question rrs from a packet */
++        LDNS_SECTION_ANY_NOQUESTION = 5
++};
++typedef enum sldns_enum_pkt_section sldns_pkt_section;
++
++/* opcodes for pkt's */
++enum sldns_enum_pkt_opcode {
++        LDNS_PACKET_QUERY = 0,
++        LDNS_PACKET_IQUERY = 1,
++        LDNS_PACKET_STATUS = 2, /* there is no 3?? DNS is weird */
++        LDNS_PACKET_NOTIFY = 4,
++        LDNS_PACKET_UPDATE = 5
++};
++typedef enum sldns_enum_pkt_opcode sldns_pkt_opcode;
++
++/* rcodes for pkts */
++enum sldns_enum_pkt_rcode {
++        LDNS_RCODE_NOERROR = 0,
++        LDNS_RCODE_FORMERR = 1,
++        LDNS_RCODE_SERVFAIL = 2,
++        LDNS_RCODE_NXDOMAIN = 3,
++        LDNS_RCODE_NOTIMPL = 4,
++        LDNS_RCODE_REFUSED = 5,
++        LDNS_RCODE_YXDOMAIN = 6,
++        LDNS_RCODE_YXRRSET = 7,
++        LDNS_RCODE_NXRRSET = 8,
++        LDNS_RCODE_NOTAUTH = 9,
++        LDNS_RCODE_NOTZONE = 10
++};
++typedef enum sldns_enum_pkt_rcode sldns_pkt_rcode;
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_PKTHDR_H */
diff --cc contrib/unbound/sldns/rrdef.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..a8c6229b9d2e351cff3f1988842d17806c052aec
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/rrdef.c
@@@ -1,0 -1,0 +1,728 @@@
++/* rrdef.c
++ *
++ * access functions to rr definitions list.
++ * a Net::DNS like library for C
++ * LibDNS Team @ NLnet Labs
++ *
++ * (c) NLnet Labs, 2004-2006
++ * See the file LICENSE for the license
++ */
++/**
++ * \file
++ *
++ * Defines resource record types and constants.
++ */
++#include "config.h"
++#include "sldns/rrdef.h"
++#include "sldns/parseutil.h"
++
++/* classes  */
++static sldns_lookup_table sldns_rr_classes_data[] = {
++        { LDNS_RR_CLASS_IN, "IN" },
++        { LDNS_RR_CLASS_CH, "CH" },
++        { LDNS_RR_CLASS_HS, "HS" },
++        { LDNS_RR_CLASS_NONE, "NONE" },
++        { LDNS_RR_CLASS_ANY, "ANY" },
++        { 0, NULL }
++};
++sldns_lookup_table* sldns_rr_classes = sldns_rr_classes_data;
++
++/* types */
++static const sldns_rdf_type type_0_wireformat[] = { LDNS_RDF_TYPE_UNKNOWN };
++static const sldns_rdf_type type_a_wireformat[] = { LDNS_RDF_TYPE_A };
++static const sldns_rdf_type type_ns_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_md_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_mf_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_cname_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_soa_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_INT32, 
++      LDNS_RDF_TYPE_PERIOD, LDNS_RDF_TYPE_PERIOD, LDNS_RDF_TYPE_PERIOD,
++      LDNS_RDF_TYPE_PERIOD
++};
++static const sldns_rdf_type type_mb_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_mg_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_mr_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_wks_wireformat[] = {
++      LDNS_RDF_TYPE_A, LDNS_RDF_TYPE_WKS
++};
++static const sldns_rdf_type type_ptr_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_hinfo_wireformat[] = {
++      LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR
++};
++static const sldns_rdf_type type_minfo_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_mx_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_rp_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_afsdb_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_x25_wireformat[] = { LDNS_RDF_TYPE_STR };
++static const sldns_rdf_type type_isdn_wireformat[] = {
++      LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR
++};
++static const sldns_rdf_type type_rt_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_nsap_wireformat[] = {
++      LDNS_RDF_TYPE_NSAP
++};
++static const sldns_rdf_type type_nsap_ptr_wireformat[] = {
++      LDNS_RDF_TYPE_STR
++};
++static const sldns_rdf_type type_sig_wireformat[] = {
++      LDNS_RDF_TYPE_TYPE, LDNS_RDF_TYPE_ALG, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT32,
++      LDNS_RDF_TYPE_TIME, LDNS_RDF_TYPE_TIME, LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_key_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_px_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_gpos_wireformat[] = {
++      LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR
++};
++static const sldns_rdf_type type_aaaa_wireformat[] = { LDNS_RDF_TYPE_AAAA };
++static const sldns_rdf_type type_loc_wireformat[] = { LDNS_RDF_TYPE_LOC };
++static const sldns_rdf_type type_nxt_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_UNKNOWN
++};
++static const sldns_rdf_type type_eid_wireformat[] = {
++      LDNS_RDF_TYPE_HEX
++};
++static const sldns_rdf_type type_nimloc_wireformat[] = {
++      LDNS_RDF_TYPE_HEX
++};
++static const sldns_rdf_type type_srv_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_atma_wireformat[] = {
++      LDNS_RDF_TYPE_ATMA
++};
++static const sldns_rdf_type type_naptr_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_STR, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_kx_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_cert_wireformat[] = {
++       LDNS_RDF_TYPE_CERT_ALG, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_ALG, LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_a6_wireformat[] = { LDNS_RDF_TYPE_UNKNOWN };
++static const sldns_rdf_type type_dname_wireformat[] = { LDNS_RDF_TYPE_DNAME };
++static const sldns_rdf_type type_sink_wireformat[] = { LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_apl_wireformat[] = {
++      LDNS_RDF_TYPE_APL
++};
++static const sldns_rdf_type type_ds_wireformat[] = {
++      LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_ALG, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_HEX
++};
++static const sldns_rdf_type type_sshfp_wireformat[] = {
++      LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_HEX
++};
++static const sldns_rdf_type type_ipseckey_wireformat[] = {
++      LDNS_RDF_TYPE_IPSECKEY
++};
++static const sldns_rdf_type type_rrsig_wireformat[] = {
++      LDNS_RDF_TYPE_TYPE, LDNS_RDF_TYPE_ALG, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT32,
++      LDNS_RDF_TYPE_TIME, LDNS_RDF_TYPE_TIME, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_nsec_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_NSEC
++};
++static const sldns_rdf_type type_dhcid_wireformat[] = {
++      LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_talink_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME, LDNS_RDF_TYPE_DNAME
++};
++/* nsec3 is some vars, followed by same type of data of nsec */
++static const sldns_rdf_type type_nsec3_wireformat[] = {
++/*    LDNS_RDF_TYPE_NSEC3_VARS, LDNS_RDF_TYPE_NSEC3_NEXT_OWNER, LDNS_RDF_TYPE_NSEC*/
++      LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT8, LDNS_RDF_TYPE_INT16, LDNS_RDF_TYPE_NSEC3_SALT, LDNS_RDF_TYPE_NSEC3_NEXT_OWNER, LDNS_RDF_TYPE_NSEC
++};
++
++static const sldns_rdf_type type_nsec3param_wireformat[] = {
++/*    LDNS_RDF_TYPE_NSEC3_PARAMS_VARS*/
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_NSEC3_SALT
++};
++
++static const sldns_rdf_type type_dnskey_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_ALG,
++      LDNS_RDF_TYPE_B64
++};
++static const sldns_rdf_type type_tkey_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME,
++      LDNS_RDF_TYPE_TIME,
++      LDNS_RDF_TYPE_TIME,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16_DATA,
++      LDNS_RDF_TYPE_INT16_DATA,
++};
++static const sldns_rdf_type type_tsig_wireformat[] = {
++      LDNS_RDF_TYPE_DNAME,
++      LDNS_RDF_TYPE_TSIGTIME,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16_DATA,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16_DATA
++};
++static const sldns_rdf_type type_tlsa_wireformat[] = {
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_HEX
++};
++static const sldns_rdf_type type_hip_wireformat[] = {
++      LDNS_RDF_TYPE_HIP
++};
++static const sldns_rdf_type type_nid_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_ILNP64
++};
++static const sldns_rdf_type type_l32_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_A
++};
++static const sldns_rdf_type type_l64_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_ILNP64
++};
++static const sldns_rdf_type type_lp_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_DNAME
++};
++static const sldns_rdf_type type_eui48_wireformat[] = {
++      LDNS_RDF_TYPE_EUI48
++};
++static const sldns_rdf_type type_eui64_wireformat[] = {
++      LDNS_RDF_TYPE_EUI64
++};
++static const sldns_rdf_type type_uri_wireformat[] = {
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_INT16,
++      LDNS_RDF_TYPE_LONG_STR
++};
++static const sldns_rdf_type type_caa_wireformat[] = {
++      LDNS_RDF_TYPE_INT8,
++      LDNS_RDF_TYPE_TAG,
++      LDNS_RDF_TYPE_LONG_STR
++};
++
++/* All RR's defined in 1035 are well known and can thus
++ * be compressed. See RFC3597. These RR's are:
++ * CNAME HINFO MB MD MF MG MINFO MR MX NULL NS PTR SOA TXT
++ */
++static sldns_rr_descriptor rdata_field_descriptors[] = {
++      /* 0 */
++      { 0, NULL, 0, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 1 */
++      {LDNS_RR_TYPE_A, "A", 1, 1, type_a_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 2 */
++      {LDNS_RR_TYPE_NS, "NS", 1, 1, type_ns_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 3 */
++      {LDNS_RR_TYPE_MD, "MD", 1, 1, type_md_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 4 */
++      {LDNS_RR_TYPE_MF, "MF", 1, 1, type_mf_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 5 */
++      {LDNS_RR_TYPE_CNAME, "CNAME", 1, 1, type_cname_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 6 */
++      {LDNS_RR_TYPE_SOA, "SOA", 7, 7, type_soa_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 2 },
++      /* 7 */
++      {LDNS_RR_TYPE_MB, "MB", 1, 1, type_mb_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 8 */
++      {LDNS_RR_TYPE_MG, "MG", 1, 1, type_mg_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 9 */
++      {LDNS_RR_TYPE_MR, "MR", 1, 1, type_mr_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 10 */
++      {LDNS_RR_TYPE_NULL, "NULL", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 11 */
++      {LDNS_RR_TYPE_WKS, "WKS", 2, 2, type_wks_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 12 */
++      {LDNS_RR_TYPE_PTR, "PTR", 1, 1, type_ptr_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 13 */
++      {LDNS_RR_TYPE_HINFO, "HINFO", 2, 2, type_hinfo_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 14 */
++      {LDNS_RR_TYPE_MINFO, "MINFO", 2, 2, type_minfo_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 2 },
++      /* 15 */
++      {LDNS_RR_TYPE_MX, "MX", 2, 2, type_mx_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_COMPRESS, 1 },
++      /* 16 */
++      {LDNS_RR_TYPE_TXT, "TXT", 1, 0, NULL, LDNS_RDF_TYPE_STR, LDNS_RR_NO_COMPRESS, 0 },
++      /* 17 */
++      {LDNS_RR_TYPE_RP, "RP", 2, 2, type_rp_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 2 },
++      /* 18 */
++      {LDNS_RR_TYPE_AFSDB, "AFSDB", 2, 2, type_afsdb_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 19 */
++      {LDNS_RR_TYPE_X25, "X25", 1, 1, type_x25_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 20 */
++      {LDNS_RR_TYPE_ISDN, "ISDN", 1, 2, type_isdn_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 21 */
++      {LDNS_RR_TYPE_RT, "RT", 2, 2, type_rt_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 22 */
++      {LDNS_RR_TYPE_NSAP, "NSAP", 1, 1, type_nsap_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 23 */
++      {LDNS_RR_TYPE_NSAP_PTR, "NSAP-PTR", 1, 1, type_nsap_ptr_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 24 */
++      {LDNS_RR_TYPE_SIG, "SIG", 9, 9, type_sig_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 25 */
++      {LDNS_RR_TYPE_KEY, "KEY", 4, 4, type_key_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 26 */
++      {LDNS_RR_TYPE_PX, "PX", 3, 3, type_px_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 2 },
++      /* 27 */
++      {LDNS_RR_TYPE_GPOS, "GPOS", 3, 3, type_gpos_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 28 */
++      {LDNS_RR_TYPE_AAAA, "AAAA", 1, 1, type_aaaa_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 29 */
++      {LDNS_RR_TYPE_LOC, "LOC", 1, 1, type_loc_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 30 */
++      {LDNS_RR_TYPE_NXT, "NXT", 2, 2, type_nxt_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 31 */
++      {LDNS_RR_TYPE_EID, "EID", 1, 1, type_eid_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 32 */
++      {LDNS_RR_TYPE_NIMLOC, "NIMLOC", 1, 1, type_nimloc_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 33 */
++      {LDNS_RR_TYPE_SRV, "SRV", 4, 4, type_srv_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 34 */
++      {LDNS_RR_TYPE_ATMA, "ATMA", 1, 1, type_atma_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 35 */
++      {LDNS_RR_TYPE_NAPTR, "NAPTR", 6, 6, type_naptr_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 36 */
++      {LDNS_RR_TYPE_KX, "KX", 2, 2, type_kx_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 37 */
++      {LDNS_RR_TYPE_CERT, "CERT", 4, 4, type_cert_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 38 */
++      {LDNS_RR_TYPE_A6, "A6", 1, 1, type_a6_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 39 */
++      {LDNS_RR_TYPE_DNAME, "DNAME", 1, 1, type_dname_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 40 */
++      {LDNS_RR_TYPE_SINK, "SINK", 1, 1, type_sink_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 41 */
++      {LDNS_RR_TYPE_OPT, "OPT", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 42 */
++      {LDNS_RR_TYPE_APL, "APL", 0, 0, type_apl_wireformat, LDNS_RDF_TYPE_APL, LDNS_RR_NO_COMPRESS, 0 },
++      /* 43 */
++      {LDNS_RR_TYPE_DS, "DS", 4, 4, type_ds_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 44 */
++      {LDNS_RR_TYPE_SSHFP, "SSHFP", 3, 3, type_sshfp_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 45 */
++      {LDNS_RR_TYPE_IPSECKEY, "IPSECKEY", 1, 1, type_ipseckey_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 46 */
++      {LDNS_RR_TYPE_RRSIG, "RRSIG", 9, 9, type_rrsig_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 47 */
++      {LDNS_RR_TYPE_NSEC, "NSEC", 1, 2, type_nsec_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* 48 */
++      {LDNS_RR_TYPE_DNSKEY, "DNSKEY", 4, 4, type_dnskey_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 49 */
++      {LDNS_RR_TYPE_DHCID, "DHCID", 1, 1, type_dhcid_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 50 */
++      {LDNS_RR_TYPE_NSEC3, "NSEC3", 5, 6, type_nsec3_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 51 */
++      {LDNS_RR_TYPE_NSEC3PARAM, "NSEC3PARAM", 4, 4, type_nsec3param_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 52 */
++      {LDNS_RR_TYPE_TLSA, "TLSA", 4, 4, type_tlsa_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++{LDNS_RR_TYPE_NULL, "TYPE53", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE54", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++        /* 55
++       * Hip ends with 0 or more Rendezvous Servers represented as dname's.
++       * Hence the LDNS_RDF_TYPE_DNAME _variable field and the _maximum field
++       * set to 0.
++       */
++      {LDNS_RR_TYPE_HIP, "HIP", 1, 1, type_hip_wireformat, LDNS_RDF_TYPE_DNAME, LDNS_RR_NO_COMPRESS, 0 },
++
++#ifdef DRAFT_RRTYPES
++      /* 56 */
++      {LDNS_RR_TYPE_NINFO, "NINFO", 1, 0, NULL, LDNS_RDF_TYPE_STR, LDNS_RR_NO_COMPRESS, 0 },
++      /* 57 */
++      {LDNS_RR_TYPE_RKEY, "RKEY", 4, 4, type_key_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++#else
++{LDNS_RR_TYPE_NULL, "TYPE56", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE57", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++#endif
++      /* 58 */
++      {LDNS_RR_TYPE_TALINK, "TALINK", 2, 2, type_talink_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 2 },
++
++      /* 59 */
++      {LDNS_RR_TYPE_CDS, "CDS", 4, 4, type_ds_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 60 */
++      {LDNS_RR_TYPE_CDNSKEY, "CDNSKEY", 4, 4, type_dnskey_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE61", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE62", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE63", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE64", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE65", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE66", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE67", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE68", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE69", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE70", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE71", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE72", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE73", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE74", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE75", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE76", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE77", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE78", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE79", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE80", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE81", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE82", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE83", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE84", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE85", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE86", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE87", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE88", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE89", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE90", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE91", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE92", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE93", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE94", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE95", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE96", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE97", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE98", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++      /* 99 */
++      {LDNS_RR_TYPE_SPF,  "SPF", 1, 0, NULL, LDNS_RDF_TYPE_STR, LDNS_RR_NO_COMPRESS, 0 },
++
++      /* UINFO  [IANA-Reserved] */
++{LDNS_RR_TYPE_NULL, "TYPE100", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* UID    [IANA-Reserved] */
++{LDNS_RR_TYPE_NULL, "TYPE101", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* GID    [IANA-Reserved] */
++{LDNS_RR_TYPE_NULL, "TYPE102", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* UNSPEC [IANA-Reserved] */
++{LDNS_RR_TYPE_NULL, "TYPE103", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++      /* 104 */
++      {LDNS_RR_TYPE_NID, "NID", 2, 2, type_nid_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 105 */
++      {LDNS_RR_TYPE_L32, "L32", 2, 2, type_l32_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 106 */
++      {LDNS_RR_TYPE_L64, "L64", 2, 2, type_l64_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 107 */
++      {LDNS_RR_TYPE_LP, "LP", 2, 2, type_lp_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++
++      /* 108 */
++      {LDNS_RR_TYPE_EUI48, "EUI48", 1, 1, type_eui48_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 109 */
++      {LDNS_RR_TYPE_EUI64, "EUI64", 1, 1, type_eui64_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++{LDNS_RR_TYPE_NULL, "TYPE110", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE111", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE112", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE113", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE114", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE115", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE116", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE117", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE118", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE119", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE120", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE121", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE122", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE123", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE124", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE125", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE126", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE127", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE128", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE129", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE130", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE131", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE132", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE133", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE134", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE135", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE136", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE137", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE138", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE139", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE140", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE141", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE142", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE143", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE144", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE145", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE146", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE147", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE148", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE149", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE150", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE151", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE152", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE153", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE154", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE155", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE156", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE157", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE158", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE159", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE160", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE161", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE162", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE163", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE164", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE165", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE166", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE167", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE168", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE169", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE170", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE171", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE172", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE173", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE174", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE175", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE176", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE177", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE178", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE179", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE180", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE181", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE182", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE183", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE184", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE185", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE186", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE187", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE188", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE189", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE190", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE191", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE192", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE193", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE194", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE195", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE196", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE197", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE198", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE199", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE200", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE201", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE202", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE203", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE204", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE205", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE206", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE207", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE208", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE209", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE210", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE211", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE212", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE213", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE214", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE215", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE216", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE217", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE218", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE219", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE220", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE221", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE222", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE223", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE224", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE225", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE226", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE227", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE228", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE229", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE230", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE231", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE232", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE233", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE234", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE235", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE236", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE237", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE238", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE239", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE240", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE241", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE242", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE243", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE244", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE245", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE246", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE247", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++{LDNS_RR_TYPE_NULL, "TYPE248", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++      /* LDNS_RDF_TYPE_INT16_DATA takes two fields (length and data) as one.
++       * So, unlike RFC 2930 spec, we have 7 min/max rdf's i.s.o. 8/9.
++       */
++      /* 249 */
++      {LDNS_RR_TYPE_TKEY, "TKEY", 7, 7, type_tkey_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++      /* LDNS_RDF_TYPE_INT16_DATA takes two fields (length and data) as one.
++       * So, unlike RFC 2930 spec, we have 7 min/max rdf's i.s.o. 8/9.
++       */
++      /* 250 */
++      {LDNS_RR_TYPE_TSIG, "TSIG", 7, 7, type_tsig_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 1 },
++
++      /* IXFR: A request for a transfer of an incremental zone transfer */
++{LDNS_RR_TYPE_IXFR, "IXFR", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* AXFR: A request for a transfer of an entire zone */
++{LDNS_RR_TYPE_AXFR, "AXFR", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* MAILB: A request for mailbox-related records (MB, MG or MR) */
++{LDNS_RR_TYPE_MAILB, "MAILB", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* MAILA: A request for mail agent RRs (Obsolete - see MX) */
++{LDNS_RR_TYPE_MAILA, "MAILA", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* ANY: A request for all (available) records */
++{LDNS_RR_TYPE_ANY, "ANY", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++      /* 256 */
++      {LDNS_RR_TYPE_URI, "URI", 3, 3, type_uri_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++      /* 257 */
++      {LDNS_RR_TYPE_CAA, "CAA", 3, 3, type_caa_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++
++/* split in array, no longer contiguous */
++
++#ifdef DRAFT_RRTYPES
++      /* 32768 */
++      {LDNS_RR_TYPE_TA, "TA", 4, 4, type_ds_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++#else
++{LDNS_RR_TYPE_NULL, "TYPE32768", 1, 1, type_0_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 },
++#endif
++      /* 32769 */
++      {LDNS_RR_TYPE_DLV, "DLV", 4, 4, type_ds_wireformat, LDNS_RDF_TYPE_NONE, LDNS_RR_NO_COMPRESS, 0 }
++};
++
++/**
++ * \def LDNS_RDATA_FIELD_DESCRIPTORS_COUNT
++ * computes the number of rdata fields
++ */
++#define LDNS_RDATA_FIELD_DESCRIPTORS_COUNT \
++      (sizeof(rdata_field_descriptors)/sizeof(rdata_field_descriptors[0]))
++
++const sldns_rr_descriptor *
++sldns_rr_descript(uint16_t type)
++{
++      size_t i;
++      if (type < LDNS_RDATA_FIELD_DESCRIPTORS_COMMON) {
++              return &rdata_field_descriptors[type];
++      } else {
++              /* because not all array index equals type code */
++              for (i = LDNS_RDATA_FIELD_DESCRIPTORS_COMMON;
++                   i < LDNS_RDATA_FIELD_DESCRIPTORS_COUNT;
++                   i++) {
++                      if (rdata_field_descriptors[i]._type == type) {
++                              return &rdata_field_descriptors[i];
++                      }
++              }
++                return &rdata_field_descriptors[0];
++      }
++}
++
++size_t
++sldns_rr_descriptor_minimum(const sldns_rr_descriptor *descriptor)
++{
++      if (descriptor) {
++              return descriptor->_minimum;
++      } else {
++              return 0;
++      }
++}
++
++size_t
++sldns_rr_descriptor_maximum(const sldns_rr_descriptor *descriptor)
++{
++      if (descriptor) {
++              if (descriptor->_variable != LDNS_RDF_TYPE_NONE) {
++                      return 65535; /* cannot be more than 64k */
++              } else {
++                      return descriptor->_maximum;
++              }
++      } else {
++              return 0;
++      }
++}
++
++sldns_rdf_type
++sldns_rr_descriptor_field_type(const sldns_rr_descriptor *descriptor,
++                              size_t index)
++{
++      assert(descriptor != NULL);
++      assert(index < descriptor->_maximum
++             || descriptor->_variable != LDNS_RDF_TYPE_NONE);
++      if (index < descriptor->_maximum) {
++              return descriptor->_wireformat[index];
++      } else {
++              return descriptor->_variable;
++      }
++}
++
++sldns_rr_type
++sldns_get_rr_type_by_name(const char *name)
++{
++      unsigned int i;
++      const char *desc_name;
++      const sldns_rr_descriptor *desc;
++
++      /* TYPEXX representation */
++      if (strlen(name) > 4 && strncasecmp(name, "TYPE", 4) == 0) {
++              return atoi(name + 4);
++      }
++
++      /* Normal types */
++      for (i = 0; i < (unsigned int) LDNS_RDATA_FIELD_DESCRIPTORS_COUNT; i++) {
++              desc = &rdata_field_descriptors[i];
++              desc_name = desc->_name;
++              if(desc_name &&
++                 strlen(name) == strlen(desc_name) &&
++                 strncasecmp(name, desc_name, strlen(desc_name)) == 0) {
++                      /* because not all array index equals type code */
++                      return desc->_type;
++              }
++      }
++
++      /* special cases for query types */
++      if (strlen(name) == 4 && strncasecmp(name, "IXFR", 4) == 0) {
++              return 251;
++      } else if (strlen(name) == 4 && strncasecmp(name, "AXFR", 4) == 0) {
++              return 252;
++      } else if (strlen(name) == 5 && strncasecmp(name, "MAILB", 5) == 0) {
++              return 253;
++      } else if (strlen(name) == 5 && strncasecmp(name, "MAILA", 5) == 0) {
++              return 254;
++      } else if (strlen(name) == 3 && strncasecmp(name, "ANY", 3) == 0) {
++              return 255;
++      }
++
++      return 0;
++}
++
++sldns_rr_class
++sldns_get_rr_class_by_name(const char *name)
++{
++      sldns_lookup_table *lt;
++
++      /* CLASSXX representation */
++      if (strlen(name) > 5 && strncasecmp(name, "CLASS", 5) == 0) {
++              return atoi(name + 5);
++      }
++
++      /* Normal types */
++      lt = sldns_lookup_by_name(sldns_rr_classes, name);
++      if (lt) {
++              return lt->id;
++      }
++      return 0;
++}
diff --cc contrib/unbound/sldns/rrdef.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..678d2bc791e2cd270f007a0921f70b6f803959a9
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/rrdef.h
@@@ -1,0 -1,0 +1,502 @@@
++/*
++ * rrdef.h
++ *
++ * RR definitions
++ *
++ * a Net::DNS like library for C
++ *
++ * (c) NLnet Labs, 2005-2006
++ *
++ * See the file LICENSE for the license
++ */
++
++/**
++ * \file
++ *
++ * Defines resource record types and constants.
++ */
++
++#ifndef LDNS_RRDEF_H
++#define LDNS_RRDEF_H
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++
++/** Maximum length of a dname label */
++#define LDNS_MAX_LABELLEN     63
++/** Maximum length of a complete dname */
++#define LDNS_MAX_DOMAINLEN    255
++/** Maximum number of pointers in 1 dname */
++#define LDNS_MAX_POINTERS     65535
++/** The bytes TTL, CLASS and length use up in an rr */
++#define LDNS_RR_OVERHEAD      10
++
++#define LDNS_DNSSEC_KEYPROTO    3
++#define LDNS_KEY_ZONE_KEY   0x0100 /* set for ZSK&KSK, rfc 4034 */
++#define LDNS_KEY_SEP_KEY    0x0001 /* set for KSK, rfc 4034 */
++#define LDNS_KEY_REVOKE_KEY 0x0080 /* used to revoke KSK, rfc 5011 */
++
++/* The first fields are contiguous and can be referenced instantly */
++#define LDNS_RDATA_FIELD_DESCRIPTORS_COMMON 258
++
++/** lookuptable for rr classes  */
++extern struct sldns_struct_lookup_table* sldns_rr_classes;
++
++/**
++ *  The different RR classes.
++ */
++enum sldns_enum_rr_class
++{
++      /** the Internet */
++      LDNS_RR_CLASS_IN        = 1,
++      /** Chaos class */
++      LDNS_RR_CLASS_CH        = 3,
++      /** Hesiod (Dyer 87) */
++      LDNS_RR_CLASS_HS        = 4,
++      /** None class, dynamic update */
++      LDNS_RR_CLASS_NONE      = 254,
++      /** Any class */
++      LDNS_RR_CLASS_ANY       = 255,
++
++      LDNS_RR_CLASS_FIRST     = 0,
++      LDNS_RR_CLASS_LAST      = 65535,
++      LDNS_RR_CLASS_COUNT     = LDNS_RR_CLASS_LAST - LDNS_RR_CLASS_FIRST + 1
++};
++typedef enum sldns_enum_rr_class sldns_rr_class;
++
++/**
++ *  Used to specify whether compression is allowed.
++ */
++enum sldns_enum_rr_compress
++{
++      /** compression is allowed */
++      LDNS_RR_COMPRESS,
++      LDNS_RR_NO_COMPRESS
++};
++typedef enum sldns_enum_rr_compress sldns_rr_compress;
++
++/**
++ * The different RR types.
++ */
++enum sldns_enum_rr_type
++{
++      /**  a host address */
++      LDNS_RR_TYPE_A = 1,
++      /**  an authoritative name server */
++      LDNS_RR_TYPE_NS = 2,
++      /**  a mail destination (Obsolete - use MX) */
++      LDNS_RR_TYPE_MD = 3,
++      /**  a mail forwarder (Obsolete - use MX) */
++      LDNS_RR_TYPE_MF = 4,
++      /**  the canonical name for an alias */
++      LDNS_RR_TYPE_CNAME = 5,
++      /**  marks the start of a zone of authority */
++      LDNS_RR_TYPE_SOA = 6,
++      /**  a mailbox domain name (EXPERIMENTAL) */
++      LDNS_RR_TYPE_MB = 7,
++      /**  a mail group member (EXPERIMENTAL) */
++      LDNS_RR_TYPE_MG = 8,
++      /**  a mail rename domain name (EXPERIMENTAL) */
++      LDNS_RR_TYPE_MR = 9,
++      /**  a null RR (EXPERIMENTAL) */
++      LDNS_RR_TYPE_NULL = 10,
++      /**  a well known service description */
++      LDNS_RR_TYPE_WKS = 11,
++      /**  a domain name pointer */
++      LDNS_RR_TYPE_PTR = 12,
++      /**  host information */
++      LDNS_RR_TYPE_HINFO = 13,
++      /**  mailbox or mail list information */
++      LDNS_RR_TYPE_MINFO = 14,
++      /**  mail exchange */
++      LDNS_RR_TYPE_MX = 15,
++      /**  text strings */
++      LDNS_RR_TYPE_TXT = 16,
++      /**  RFC1183 */
++      LDNS_RR_TYPE_RP = 17,
++      /**  RFC1183 */
++      LDNS_RR_TYPE_AFSDB = 18,
++      /**  RFC1183 */
++      LDNS_RR_TYPE_X25 = 19,
++      /**  RFC1183 */
++      LDNS_RR_TYPE_ISDN = 20,
++      /**  RFC1183 */
++      LDNS_RR_TYPE_RT = 21,
++      /**  RFC1706 */
++      LDNS_RR_TYPE_NSAP = 22,
++      /**  RFC1348 */
++      LDNS_RR_TYPE_NSAP_PTR = 23,
++      /**  2535typecode */
++      LDNS_RR_TYPE_SIG = 24,
++      /**  2535typecode */
++      LDNS_RR_TYPE_KEY = 25,
++      /**  RFC2163 */
++      LDNS_RR_TYPE_PX = 26,
++      /**  RFC1712 */
++      LDNS_RR_TYPE_GPOS = 27,
++      /**  ipv6 address */
++      LDNS_RR_TYPE_AAAA = 28,
++      /**  LOC record  RFC1876 */
++      LDNS_RR_TYPE_LOC = 29,
++      /**  2535typecode */
++      LDNS_RR_TYPE_NXT = 30,
++      /**  draft-ietf-nimrod-dns-01.txt */
++      LDNS_RR_TYPE_EID = 31,
++      /**  draft-ietf-nimrod-dns-01.txt */
++      LDNS_RR_TYPE_NIMLOC = 32,
++      /**  SRV record RFC2782 */
++      LDNS_RR_TYPE_SRV = 33,
++      /**  http://www.jhsoft.com/rfc/af-saa-0069.000.rtf */
++      LDNS_RR_TYPE_ATMA = 34,
++      /**  RFC2915 */
++      LDNS_RR_TYPE_NAPTR = 35,
++      /**  RFC2230 */
++      LDNS_RR_TYPE_KX = 36,
++      /**  RFC2538 */
++      LDNS_RR_TYPE_CERT = 37,
++      /**  RFC2874 */
++      LDNS_RR_TYPE_A6 = 38,
++      /**  RFC2672 */
++      LDNS_RR_TYPE_DNAME = 39,
++      /**  dnsind-kitchen-sink-02.txt */
++      LDNS_RR_TYPE_SINK = 40,
++      /**  Pseudo OPT record... */
++      LDNS_RR_TYPE_OPT = 41,
++      /**  RFC3123 */
++      LDNS_RR_TYPE_APL = 42,
++      /**  RFC4034, RFC3658 */
++      LDNS_RR_TYPE_DS = 43,
++      /**  SSH Key Fingerprint */
++      LDNS_RR_TYPE_SSHFP = 44, /* RFC 4255 */
++      /**  IPsec Key */
++      LDNS_RR_TYPE_IPSECKEY = 45, /* RFC 4025 */
++      /**  DNSSEC */
++      LDNS_RR_TYPE_RRSIG = 46, /* RFC 4034 */
++      LDNS_RR_TYPE_NSEC = 47, /* RFC 4034 */
++      LDNS_RR_TYPE_DNSKEY = 48, /* RFC 4034 */
++
++      LDNS_RR_TYPE_DHCID = 49, /* RFC 4701 */
++      /* NSEC3 */
++      LDNS_RR_TYPE_NSEC3 = 50, /* RFC 5155 */
++      LDNS_RR_TYPE_NSEC3PARAM = 51, /* RFC 5155 */
++      LDNS_RR_TYPE_NSEC3PARAMS = 51,
++      LDNS_RR_TYPE_TLSA = 52, /* RFC 6698 */
++
++      LDNS_RR_TYPE_HIP = 55, /* RFC 5205 */
++
++      /** draft-reid-dnsext-zs */
++      LDNS_RR_TYPE_NINFO = 56,
++      /** draft-reid-dnsext-rkey */
++      LDNS_RR_TYPE_RKEY = 57,
++        /** draft-ietf-dnsop-trust-history */
++        LDNS_RR_TYPE_TALINK = 58,
++      LDNS_RR_TYPE_CDS = 59, /** RFC 7344 */
++      LDNS_RR_TYPE_CDNSKEY = 60, /** RFC 7344 */
++
++      LDNS_RR_TYPE_SPF = 99, /* RFC 4408 */
++
++      LDNS_RR_TYPE_UINFO = 100,
++      LDNS_RR_TYPE_UID = 101,
++      LDNS_RR_TYPE_GID = 102,
++      LDNS_RR_TYPE_UNSPEC = 103,
++
++      LDNS_RR_TYPE_NID = 104, /* RFC 6742 */
++      LDNS_RR_TYPE_L32 = 105, /* RFC 6742 */
++      LDNS_RR_TYPE_L64 = 106, /* RFC 6742 */
++      LDNS_RR_TYPE_LP = 107, /* RFC 6742 */
++
++      /** draft-jabley-dnsext-eui48-eui64-rrtypes */
++      LDNS_RR_TYPE_EUI48 = 108,
++      LDNS_RR_TYPE_EUI64 = 109,
++
++      LDNS_RR_TYPE_TKEY = 249, /* RFC 2930 */
++      LDNS_RR_TYPE_TSIG = 250,
++      LDNS_RR_TYPE_IXFR = 251,
++      LDNS_RR_TYPE_AXFR = 252,
++      /**  A request for mailbox-related records (MB, MG or MR) */
++      LDNS_RR_TYPE_MAILB = 253,
++      /**  A request for mail agent RRs (Obsolete - see MX) */
++      LDNS_RR_TYPE_MAILA = 254,
++      /**  any type (wildcard) */
++      LDNS_RR_TYPE_ANY = 255,
++      LDNS_RR_TYPE_URI = 256, /* RFC 7553 */
++      LDNS_RR_TYPE_CAA = 257, /* RFC 6844 */
++
++      /** DNSSEC Trust Authorities */
++      LDNS_RR_TYPE_TA = 32768,
++      /* RFC 4431, 5074, DNSSEC Lookaside Validation */
++      LDNS_RR_TYPE_DLV = 32769,
++
++      /* type codes from nsec3 experimental phase
++      LDNS_RR_TYPE_NSEC3 = 65324,
++      LDNS_RR_TYPE_NSEC3PARAMS = 65325, */
++      LDNS_RR_TYPE_FIRST = 0,
++      LDNS_RR_TYPE_LAST  = 65535,
++      LDNS_RR_TYPE_COUNT = LDNS_RR_TYPE_LAST - LDNS_RR_TYPE_FIRST + 1
++};
++typedef enum sldns_enum_rr_type sldns_rr_type;
++
++/* RDATA */
++#define LDNS_MAX_RDFLEN       65535
++
++#define LDNS_RDF_SIZE_BYTE              1
++#define LDNS_RDF_SIZE_WORD              2
++#define LDNS_RDF_SIZE_DOUBLEWORD        4
++#define LDNS_RDF_SIZE_6BYTES            6
++#define LDNS_RDF_SIZE_8BYTES            8
++#define LDNS_RDF_SIZE_16BYTES           16
++
++#define LDNS_NSEC3_VARS_OPTOUT_MASK 0x01
++
++#define LDNS_APL_IP4            1
++#define LDNS_APL_IP6            2
++#define LDNS_APL_MASK           0x7f
++#define LDNS_APL_NEGATION       0x80
++
++/**
++ * The different types of RDATA fields.
++ */
++enum sldns_enum_rdf_type
++{
++      /** none */
++      LDNS_RDF_TYPE_NONE,
++      /** domain name */
++      LDNS_RDF_TYPE_DNAME,
++      /** 8 bits */
++      LDNS_RDF_TYPE_INT8,
++      /** 16 bits */
++      LDNS_RDF_TYPE_INT16,
++      /** 32 bits */
++      LDNS_RDF_TYPE_INT32,
++      /** A record */
++      LDNS_RDF_TYPE_A,
++      /** AAAA record */
++      LDNS_RDF_TYPE_AAAA,
++      /** txt string */
++      LDNS_RDF_TYPE_STR,
++      /** apl data */
++      LDNS_RDF_TYPE_APL,
++      /** b32 string */
++      LDNS_RDF_TYPE_B32_EXT,
++      /** b64 string */
++      LDNS_RDF_TYPE_B64,
++      /** hex string */
++      LDNS_RDF_TYPE_HEX,
++      /** nsec type codes */
++      LDNS_RDF_TYPE_NSEC,
++      /** a RR type */
++      LDNS_RDF_TYPE_TYPE,
++      /** a class */
++      LDNS_RDF_TYPE_CLASS,
++      /** certificate algorithm */
++      LDNS_RDF_TYPE_CERT_ALG,
++      /** a key algorithm */
++        LDNS_RDF_TYPE_ALG,
++        /** unknown types */
++        LDNS_RDF_TYPE_UNKNOWN,
++        /** time (32 bits) */
++        LDNS_RDF_TYPE_TIME,
++        /** period */
++        LDNS_RDF_TYPE_PERIOD,
++        /** tsig time 48 bits */
++        LDNS_RDF_TYPE_TSIGTIME,
++      /** Represents the Public Key Algorithm, HIT and Public Key fields
++          for the HIP RR types.  A HIP specific rdf type is used because of
++          the unusual layout in wireformat (see RFC 5205 Section 5) */
++      LDNS_RDF_TYPE_HIP,
++        /** variable length any type rdata where the length
++            is specified by the first 2 bytes */
++        LDNS_RDF_TYPE_INT16_DATA,
++        /** protocol and port bitmaps */
++        LDNS_RDF_TYPE_SERVICE,
++        /** location data */
++        LDNS_RDF_TYPE_LOC,
++        /** well known services */
++        LDNS_RDF_TYPE_WKS,
++        /** NSAP */
++        LDNS_RDF_TYPE_NSAP,
++        /** ATMA */
++        LDNS_RDF_TYPE_ATMA,
++        /** IPSECKEY */
++        LDNS_RDF_TYPE_IPSECKEY,
++        /** nsec3 hash salt */
++        LDNS_RDF_TYPE_NSEC3_SALT,
++        /** nsec3 base32 string (with length byte on wire */
++        LDNS_RDF_TYPE_NSEC3_NEXT_OWNER,
++
++        /** 4 shorts represented as 4 * 16 bit hex numbers
++         *  seperated by colons. For NID and L64.
++         */
++        LDNS_RDF_TYPE_ILNP64,
++
++        /** 6 * 8 bit hex numbers seperated by dashes. For EUI48. */
++        LDNS_RDF_TYPE_EUI48,
++        /** 8 * 8 bit hex numbers seperated by dashes. For EUI64. */
++        LDNS_RDF_TYPE_EUI64,
++
++        /** A non-zero sequence of US-ASCII letters and numbers in lower case.
++         *  For CAA.
++         */
++        LDNS_RDF_TYPE_TAG,
++
++        /** A <character-string> encoding of the value field as specified 
++         * [RFC1035], Section 5.1., encoded as remaining rdata.
++         * For CAA.
++         */
++        LDNS_RDF_TYPE_LONG_STR,
++
++        /* Aliases */
++        LDNS_RDF_TYPE_BITMAP = LDNS_RDF_TYPE_NSEC
++};
++typedef enum sldns_enum_rdf_type sldns_rdf_type;
++
++/**
++ * Algorithms used in dns
++ */
++enum sldns_enum_algorithm
++{
++        LDNS_RSAMD5             = 1,   /* RFC 4034,4035 */
++        LDNS_DH                 = 2,
++        LDNS_DSA                = 3,
++        LDNS_ECC                = 4,
++        LDNS_RSASHA1            = 5,
++        LDNS_DSA_NSEC3          = 6,
++        LDNS_RSASHA1_NSEC3      = 7,
++        LDNS_RSASHA256          = 8,   /* RFC 5702 */
++        LDNS_RSASHA512          = 10,  /* RFC 5702 */
++        LDNS_ECC_GOST           = 12,  /* RFC 5933 */
++        LDNS_ECDSAP256SHA256    = 13,  /* RFC 6605 */
++        LDNS_ECDSAP384SHA384    = 14,  /* RFC 6605 */
++        LDNS_INDIRECT           = 252,
++        LDNS_PRIVATEDNS         = 253,
++        LDNS_PRIVATEOID         = 254
++};
++typedef enum sldns_enum_algorithm sldns_algorithm;
++
++/**
++ * Hashing algorithms used in the DS record
++ */
++enum sldns_enum_hash
++{
++        LDNS_SHA1               = 1,  /* RFC 4034 */
++        LDNS_SHA256             = 2,  /* RFC 4509 */
++        LDNS_HASH_GOST          = 3,  /* RFC 5933 */
++        LDNS_SHA384             = 4   /* RFC 6605 */
++};
++typedef enum sldns_enum_hash sldns_hash;
++
++/**
++ * algorithms used in CERT rrs
++ */
++enum sldns_enum_cert_algorithm
++{
++        LDNS_CERT_PKIX          = 1,
++        LDNS_CERT_SPKI          = 2,
++        LDNS_CERT_PGP           = 3,
++        LDNS_CERT_IPKIX         = 4,
++        LDNS_CERT_ISPKI         = 5,
++        LDNS_CERT_IPGP          = 6,
++        LDNS_CERT_ACPKIX        = 7,
++        LDNS_CERT_IACPKIX       = 8,
++        LDNS_CERT_URI           = 253,
++        LDNS_CERT_OID           = 254
++};
++typedef enum sldns_enum_cert_algorithm sldns_cert_algorithm;
++
++/**
++ * EDNS option codes
++ */
++enum sldns_enum_edns_option
++{
++      LDNS_EDNS_LLQ = 1, /* http://files.dns-sd.org/draft-sekar-dns-llq.txt */
++      LDNS_EDNS_UL = 2, /* http://files.dns-sd.org/draft-sekar-dns-ul.txt */
++      LDNS_EDNS_NSID = 3, /* RFC5001 */
++      /* 4 draft-cheshire-edns0-owner-option */
++      LDNS_EDNS_DAU = 5, /* RFC6975 */
++      LDNS_EDNS_DHU = 6, /* RFC6975 */
++      LDNS_EDNS_N3U = 7, /* RFC6975 */
++      LDNS_EDNS_CLIENT_SUBNET = 8 /* draft-vandergaast-edns-client-subnet */
++};
++typedef enum sldns_enum_edns_option sldns_edns_option;
++
++#define LDNS_EDNS_MASK_DO_BIT 0x8000
++
++/**
++ * Contains all information about resource record types.
++ *
++ * This structure contains, for all rr types, the rdata fields that are defined.
++ */
++struct sldns_struct_rr_descriptor
++{
++      /** Type of the RR that is described here */
++      sldns_rr_type    _type;
++      /** Textual name of the RR type.  */
++      const char *_name;
++      /** Minimum number of rdata fields in the RRs of this type.  */
++      uint8_t     _minimum;
++      /** Maximum number of rdata fields in the RRs of this type.  */
++      uint8_t     _maximum;
++      /** Wireformat specification for the rr, i.e. the types of rdata fields in their respective order. */
++      const sldns_rdf_type *_wireformat;
++      /** Special rdf types */
++      sldns_rdf_type _variable;
++      /** Specifies whether compression can be used for dnames in this RR type. */
++      sldns_rr_compress _compress;
++      /** The number of DNAMEs in the _wireformat string, for parsing. */
++      uint8_t _dname_count;
++};
++typedef struct sldns_struct_rr_descriptor sldns_rr_descriptor;
++
++/**
++ * returns the resource record descriptor for the given rr type.
++ *
++ * \param[in] type the type value of the rr type
++ *\return the sldns_rr_descriptor for this type
++ */
++const sldns_rr_descriptor *sldns_rr_descript(uint16_t type);
++
++/**
++ * returns the minimum number of rdata fields of the rr type this descriptor describes.
++ *
++ * \param[in]  descriptor for an rr type
++ * \return the minimum number of rdata fields
++ */
++size_t sldns_rr_descriptor_minimum(const sldns_rr_descriptor *descriptor);
++
++/**
++ * returns the maximum number of rdata fields of the rr type this descriptor describes.
++ *
++ * \param[in]  descriptor for an rr type
++ * \return the maximum number of rdata fields
++ */
++size_t sldns_rr_descriptor_maximum(const sldns_rr_descriptor *descriptor);
++
++/**
++ * returns the rdf type for the given rdata field number of the rr type for the given descriptor.
++ *
++ * \param[in] descriptor for an rr type
++ * \param[in] field the field number
++ * \return the rdf type for the field
++ */
++sldns_rdf_type sldns_rr_descriptor_field_type(const sldns_rr_descriptor *descriptor, size_t field);
++
++/**
++ * retrieves a rrtype by looking up its name.
++ * \param[in] name a string with the name
++ * \return the type which corresponds with the name
++ */
++sldns_rr_type sldns_get_rr_type_by_name(const char *name);
++
++/**
++ * retrieves a class by looking up its name.
++ * \param[in] name string with the name
++ * \return the cass which corresponds with the name
++ */
++sldns_rr_class sldns_get_rr_class_by_name(const char *name);
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_RRDEF_H */
diff --cc contrib/unbound/sldns/sbuffer.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..a7fe53aa0278f99f1649097c21dd4d57c03e506a
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/sbuffer.c
@@@ -1,0 -1,0 +1,178 @@@
++/*
++ * buffer.c -- generic memory buffer .
++ *
++ * Copyright (c) 2001-2008, NLnet Labs. All rights reserved.
++ *
++ * See LICENSE for the license.
++ *
++ */
++/**
++ * \file
++ *
++ * This file contains the definition of sldns_buffer, and functions to manipulate those.
++ */
++#include "config.h"
++#include "sldns/sbuffer.h"
++#include <stdarg.h>
++
++sldns_buffer *
++sldns_buffer_new(size_t capacity)
++{
++      sldns_buffer *buffer = (sldns_buffer*)malloc(sizeof(sldns_buffer));
++
++      if (!buffer) {
++              return NULL;
++      }
++      
++      buffer->_data = (uint8_t *) malloc(capacity);
++      if (!buffer->_data) {
++              free(buffer);
++              return NULL;
++      }
++      
++      buffer->_position = 0;
++      buffer->_limit = buffer->_capacity = capacity;
++      buffer->_fixed = 0;
++      buffer->_status_err = 0;
++      
++      sldns_buffer_invariant(buffer);
++      
++      return buffer;
++}
++
++void
++sldns_buffer_new_frm_data(sldns_buffer *buffer, void *data, size_t size)
++{
++      assert(data != NULL);
++
++      buffer->_position = 0; 
++      buffer->_limit = buffer->_capacity = size;
++      buffer->_fixed = 0;
++      buffer->_data = malloc(size);
++      if(!buffer->_data) {
++              buffer->_status_err = 1;
++              return;
++      }
++      memcpy(buffer->_data, data, size);
++      buffer->_status_err = 0;
++      
++      sldns_buffer_invariant(buffer);
++}
++
++void
++sldns_buffer_init_frm_data(sldns_buffer *buffer, void *data, size_t size)
++{
++      memset(buffer, 0, sizeof(*buffer));
++      buffer->_data = data;
++      buffer->_capacity = buffer->_limit = size;
++      buffer->_fixed = 1;
++}
++
++int
++sldns_buffer_set_capacity(sldns_buffer *buffer, size_t capacity)
++{
++      void *data;
++      
++      sldns_buffer_invariant(buffer);
++      assert(buffer->_position <= capacity);
++
++      data = (uint8_t *) realloc(buffer->_data, capacity);
++      if (!data) {
++              buffer->_status_err = 1;
++              return 0;
++      } else {
++              buffer->_data = data;
++              buffer->_limit = buffer->_capacity = capacity;
++              return 1;
++      }
++}
++
++int
++sldns_buffer_reserve(sldns_buffer *buffer, size_t amount)
++{
++      sldns_buffer_invariant(buffer);
++      assert(!buffer->_fixed);
++      if (buffer->_capacity < buffer->_position + amount) {
++              size_t new_capacity = buffer->_capacity * 3 / 2;
++
++              if (new_capacity < buffer->_position + amount) {
++                      new_capacity = buffer->_position + amount;
++              }
++              if (!sldns_buffer_set_capacity(buffer, new_capacity)) {
++                      buffer->_status_err = 1;
++                      return 0;
++              }
++      }
++      buffer->_limit = buffer->_capacity;
++      return 1;
++}
++
++int
++sldns_buffer_printf(sldns_buffer *buffer, const char *format, ...)
++{
++      va_list args;
++      int written = 0;
++      size_t remaining;
++      
++      if (sldns_buffer_status_ok(buffer)) {
++              sldns_buffer_invariant(buffer);
++              assert(buffer->_limit == buffer->_capacity);
++
++              remaining = sldns_buffer_remaining(buffer);
++              va_start(args, format);
++              written = vsnprintf((char *) sldns_buffer_current(buffer), remaining,
++                                  format, args);
++              va_end(args);
++              if (written == -1) {
++                      buffer->_status_err = 1;
++                      return -1;
++              } else if ((size_t) written >= remaining) {
++                      if (!sldns_buffer_reserve(buffer, (size_t) written + 1)) {
++                              buffer->_status_err = 1;
++                              return -1;
++                      }
++                      va_start(args, format);
++                      written = vsnprintf((char *) sldns_buffer_current(buffer),
++                          sldns_buffer_remaining(buffer), format, args);
++                      va_end(args);
++                      if (written == -1) {
++                              buffer->_status_err = 1;
++                              return -1;
++                      }
++              }
++              buffer->_position += written;
++      }
++      return written;
++}
++
++void
++sldns_buffer_free(sldns_buffer *buffer)
++{
++      if (!buffer) {
++              return;
++      }
++
++      if (!buffer->_fixed)
++              free(buffer->_data);
++
++      free(buffer);
++}
++
++void *
++sldns_buffer_export(sldns_buffer *buffer)
++{
++      buffer->_fixed = 1;
++      return buffer->_data;
++}
++
++void 
++sldns_buffer_copy(sldns_buffer* result, sldns_buffer* from)
++{
++      size_t tocopy = sldns_buffer_limit(from);
++
++      if(tocopy > sldns_buffer_capacity(result))
++              tocopy = sldns_buffer_capacity(result);
++      sldns_buffer_clear(result);
++      sldns_buffer_write(result, sldns_buffer_begin(from), tocopy);
++      sldns_buffer_flip(result);
++}
diff --cc contrib/unbound/sldns/sbuffer.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..3ce874fc7f7605aef140a87716da10c1159b138d
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/sbuffer.h
@@@ -1,0 -1,0 +1,706 @@@
++/*
++ * buffer.h -- generic memory buffer.
++ *
++ * Copyright (c) 2005-2008, NLnet Labs. All rights reserved.
++ *
++ * See LICENSE for the license.
++ *
++ *
++ * The buffer module implements a generic buffer.  The API is based on
++ * the java.nio.Buffer interface.
++ */
++
++#ifndef LDNS_SBUFFER_H
++#define LDNS_SBUFFER_H
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++
++#ifdef S_SPLINT_S
++#  define INLINE 
++#else
++#  ifdef SWIG
++#    define INLINE static
++#  else
++#    define INLINE static inline
++#  endif
++#endif
++
++/*
++ * Copy data allowing for unaligned accesses in network byte order
++ * (big endian).
++ */
++INLINE uint16_t
++sldns_read_uint16(const void *src)
++{
++#ifdef ALLOW_UNALIGNED_ACCESSES
++        return ntohs(*(const uint16_t *) src);
++#else
++        const uint8_t *p = (const uint8_t *) src;
++        return ((uint16_t) p[0] << 8) | (uint16_t) p[1];
++#endif
++}
++
++INLINE uint32_t
++sldns_read_uint32(const void *src)
++{
++#ifdef ALLOW_UNALIGNED_ACCESSES
++        return ntohl(*(const uint32_t *) src);
++#else
++        const uint8_t *p = (const uint8_t *) src;
++        return (  ((uint32_t) p[0] << 24)
++                | ((uint32_t) p[1] << 16)
++                | ((uint32_t) p[2] << 8)
++                |  (uint32_t) p[3]);
++#endif
++}
++
++/*
++ * Copy data allowing for unaligned accesses in network byte order
++ * (big endian).
++ */
++INLINE void
++sldns_write_uint16(void *dst, uint16_t data)
++{
++#ifdef ALLOW_UNALIGNED_ACCESSES
++        * (uint16_t *) dst = htons(data);
++#else
++        uint8_t *p = (uint8_t *) dst;
++        p[0] = (uint8_t) ((data >> 8) & 0xff);
++        p[1] = (uint8_t) (data & 0xff);
++#endif
++}
++
++INLINE void
++sldns_write_uint32(void *dst, uint32_t data)
++{
++#ifdef ALLOW_UNALIGNED_ACCESSES
++        * (uint32_t *) dst = htonl(data);
++#else
++        uint8_t *p = (uint8_t *) dst;
++        p[0] = (uint8_t) ((data >> 24) & 0xff);
++        p[1] = (uint8_t) ((data >> 16) & 0xff);
++        p[2] = (uint8_t) ((data >> 8) & 0xff);
++        p[3] = (uint8_t) (data & 0xff);
++#endif
++}
++
++
++/**
++ * \file sbuffer.h
++ *
++ * This file contains the definition of sldns_buffer, and functions to manipulate those.
++ */
++
++/** 
++ * implementation of buffers to ease operations
++ *
++ * sldns_buffers can contain arbitrary information, per octet. You can write
++ * to the current end of a buffer, read from the current position, and
++ * access any data within it.
++ */
++struct sldns_buffer
++{
++      /** The current position used for reading/writing */ 
++      size_t   _position;
++
++      /** The read/write limit */
++      size_t   _limit;
++
++      /** The amount of data the buffer can contain */
++      size_t   _capacity;
++
++      /** The data contained in the buffer */
++      uint8_t *_data;
++
++      /** If the buffer is fixed it cannot be resized */
++      unsigned _fixed : 1;
++
++      /** The current state of the buffer. If writing to the buffer fails
++       * for any reason, this value is changed. This way, you can perform
++       * multiple writes in sequence and check for success afterwards. */
++      unsigned _status_err : 1;
++};
++typedef struct sldns_buffer sldns_buffer;
++
++#ifdef NDEBUG
++INLINE void
++sldns_buffer_invariant(sldns_buffer *ATTR_UNUSED(buffer))
++{
++}
++#else
++INLINE void
++sldns_buffer_invariant(sldns_buffer *buffer)
++{
++      assert(buffer != NULL);
++      assert(buffer->_position <= buffer->_limit);
++      assert(buffer->_limit <= buffer->_capacity);
++      assert(buffer->_data != NULL);
++}
++#endif
++
++/**
++ * creates a new buffer with the specified capacity.
++ *
++ * \param[in] capacity the size (in bytes) to allocate for the buffer
++ * \return the created buffer
++ */
++sldns_buffer *sldns_buffer_new(size_t capacity);
++
++/**
++ * creates a buffer with the specified data.  The data IS copied
++ * and MEMORY allocations are done.  The buffer is not fixed and can
++ * be resized using buffer_reserve().
++ *
++ * \param[in] buffer pointer to the buffer to put the data in
++ * \param[in] data the data to encapsulate in the buffer
++ * \param[in] size the size of the data
++ */
++void sldns_buffer_new_frm_data(sldns_buffer *buffer, void *data, size_t size);
++
++/**
++ * Setup a buffer with the data pointed to. No data copied, no memory allocs.
++ * The buffer is fixed.
++ * \param[in] buffer pointer to the buffer to put the data in
++ * \param[in] data the data to encapsulate in the buffer
++ * \param[in] size the size of the data
++ */
++void sldns_buffer_init_frm_data(sldns_buffer *buffer, void *data, size_t size);
++
++/**
++ * clears the buffer and make it ready for writing.  The buffer's limit
++ * is set to the capacity and the position is set to 0.
++ * \param[in] buffer the buffer to clear
++ */
++INLINE void sldns_buffer_clear(sldns_buffer *buffer)
++{
++      sldns_buffer_invariant(buffer);
++
++      /* reset status here? */
++
++      buffer->_position = 0;
++      buffer->_limit = buffer->_capacity;
++}
++
++/**
++ * makes the buffer ready for reading the data that has been written to
++ * the buffer.  The buffer's limit is set to the current position and
++ * the position is set to 0.
++ *
++ * \param[in] buffer the buffer to flip
++ * \return void
++ */
++INLINE void sldns_buffer_flip(sldns_buffer *buffer)
++{
++      sldns_buffer_invariant(buffer);
++
++      buffer->_limit = buffer->_position;
++      buffer->_position = 0;
++}
++
++/**
++ * make the buffer ready for re-reading the data.  The buffer's
++ * position is reset to 0.
++ * \param[in] buffer the buffer to rewind
++ */
++INLINE void sldns_buffer_rewind(sldns_buffer *buffer)
++{
++      sldns_buffer_invariant(buffer);
++
++      buffer->_position = 0;
++}
++
++/**
++ * returns the current position in the buffer (as a number of bytes)
++ * \param[in] buffer the buffer
++ * \return the current position
++ */
++INLINE size_t
++sldns_buffer_position(sldns_buffer *buffer)
++{
++      return buffer->_position;
++}
++
++/**
++ * sets the buffer's position to MARK.  The position must be less than
++ * or equal to the buffer's limit.
++ * \param[in] buffer the buffer
++ * \param[in] mark the mark to use
++ */
++INLINE void
++sldns_buffer_set_position(sldns_buffer *buffer, size_t mark)
++{
++      assert(mark <= buffer->_limit);
++      buffer->_position = mark;
++}
++
++/**
++ * changes the buffer's position by COUNT bytes.  The position must not
++ * be moved behind the buffer's limit or before the beginning of the
++ * buffer.
++ * \param[in] buffer the buffer
++ * \param[in] count the count to use
++ */
++INLINE void
++sldns_buffer_skip(sldns_buffer *buffer, ssize_t count)
++{
++      assert(buffer->_position + count <= buffer->_limit);
++      buffer->_position += count;
++}
++
++/**
++ * returns the maximum size of the buffer
++ * \param[in] buffer
++ * \return the size
++ */
++INLINE size_t
++sldns_buffer_limit(sldns_buffer *buffer)
++{
++      return buffer->_limit;
++}
++
++/**
++ * changes the buffer's limit.  If the buffer's position is greater
++ * than the new limit the position is set to the limit.
++ * \param[in] buffer the buffer
++ * \param[in] limit the new limit
++ */
++INLINE void
++sldns_buffer_set_limit(sldns_buffer *buffer, size_t limit)
++{
++      assert(limit <= buffer->_capacity);
++      buffer->_limit = limit;
++      if (buffer->_position > buffer->_limit)
++              buffer->_position = buffer->_limit;
++}
++
++/**
++ * returns the number of bytes the buffer can hold.
++ * \param[in] buffer the buffer
++ * \return the number of bytes
++ */
++INLINE size_t
++sldns_buffer_capacity(sldns_buffer *buffer)
++{
++      return buffer->_capacity;
++}
++
++/**
++ * changes the buffer's capacity.  The data is reallocated so any
++ * pointers to the data may become invalid.  The buffer's limit is set
++ * to the buffer's new capacity.
++ * \param[in] buffer the buffer
++ * \param[in] capacity the capacity to use
++ * \return whether this failed or succeeded
++ */
++int sldns_buffer_set_capacity(sldns_buffer *buffer, size_t capacity);
++
++/**
++ * ensures BUFFER can contain at least AMOUNT more bytes.  The buffer's
++ * capacity is increased if necessary using buffer_set_capacity().
++ *
++ * The buffer's limit is always set to the (possibly increased)
++ * capacity.
++ * \param[in] buffer the buffer
++ * \param[in] amount amount to use
++ * \return whether this failed or succeeded
++ */
++int sldns_buffer_reserve(sldns_buffer *buffer, size_t amount);
++
++/**
++ * returns a pointer to the data at the indicated position.
++ * \param[in] buffer the buffer
++ * \param[in] at position
++ * \return the pointer to the data
++ */
++INLINE uint8_t *
++sldns_buffer_at(const sldns_buffer *buffer, size_t at)
++{
++      assert(at <= buffer->_limit);
++      return buffer->_data + at;
++}
++
++/**
++ * returns a pointer to the beginning of the buffer (the data at
++ * position 0).
++ * \param[in] buffer the buffer
++ * \return the pointer
++ */
++INLINE uint8_t *
++sldns_buffer_begin(const sldns_buffer *buffer)
++{
++      return sldns_buffer_at(buffer, 0);
++}
++
++/**
++ * returns a pointer to the end of the buffer (the data at the buffer's
++ * limit).
++ * \param[in] buffer the buffer
++ * \return the pointer
++ */
++INLINE uint8_t *
++sldns_buffer_end(sldns_buffer *buffer)
++{
++      return sldns_buffer_at(buffer, buffer->_limit);
++}
++
++/**
++ * returns a pointer to the data at the buffer's current position.
++ * \param[in] buffer the buffer
++ * \return the pointer
++ */
++INLINE uint8_t *
++sldns_buffer_current(sldns_buffer *buffer)
++{
++      return sldns_buffer_at(buffer, buffer->_position);
++}
++
++/**
++ * returns the number of bytes remaining between the indicated position and
++ * the limit.
++ * \param[in] buffer the buffer
++ * \param[in] at indicated position
++ * \return number of bytes
++ */
++INLINE size_t
++sldns_buffer_remaining_at(sldns_buffer *buffer, size_t at)
++{
++      sldns_buffer_invariant(buffer);
++      assert(at <= buffer->_limit);
++      return buffer->_limit - at;
++}
++
++/**
++ * returns the number of bytes remaining between the buffer's position and
++ * limit.
++ * \param[in] buffer the buffer
++ * \return the number of bytes
++ */
++INLINE size_t
++sldns_buffer_remaining(sldns_buffer *buffer)
++{
++      return sldns_buffer_remaining_at(buffer, buffer->_position);
++}
++
++/**
++ * checks if the buffer has at least COUNT more bytes available.
++ * Before reading or writing the caller needs to ensure enough space
++ * is available!
++ * \param[in] buffer the buffer
++ * \param[in] at indicated position
++ * \param[in] count how much is available
++ * \return true or false (as int?)
++ */
++INLINE int
++sldns_buffer_available_at(sldns_buffer *buffer, size_t at, size_t count)
++{
++      return count <= sldns_buffer_remaining_at(buffer, at);
++}
++
++/**
++ * checks if the buffer has count bytes available at the current position
++ * \param[in] buffer the buffer
++ * \param[in] count how much is available
++ * \return true or false (as int?)
++ */
++INLINE int
++sldns_buffer_available(sldns_buffer *buffer, size_t count)
++{
++      return sldns_buffer_available_at(buffer, buffer->_position, count);
++}
++
++/**
++ * writes the given data to the buffer at the specified position
++ * \param[in] buffer the buffer
++ * \param[in] at the position (in number of bytes) to write the data at
++ * \param[in] data pointer to the data to write to the buffer
++ * \param[in] count the number of bytes of data to write
++ */
++INLINE void
++sldns_buffer_write_at(sldns_buffer *buffer, size_t at, const void *data, size_t count)
++{
++      assert(sldns_buffer_available_at(buffer, at, count));
++      memcpy(buffer->_data + at, data, count);
++}
++
++/**
++ * writes count bytes of data to the current position of the buffer
++ * \param[in] buffer the buffer
++ * \param[in] data the data to write
++ * \param[in] count the lenght of the data to write
++ */
++INLINE void
++sldns_buffer_write(sldns_buffer *buffer, const void *data, size_t count)
++{
++      sldns_buffer_write_at(buffer, buffer->_position, data, count);
++      buffer->_position += count;
++}
++
++/**
++ * copies the given (null-delimited) string to the specified position at the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer
++ * \param[in] str the string to write
++ */
++INLINE void
++sldns_buffer_write_string_at(sldns_buffer *buffer, size_t at, const char *str)
++{
++      sldns_buffer_write_at(buffer, at, str, strlen(str));
++}
++
++/**
++ * copies the given (null-delimited) string to the current position at the buffer
++ * \param[in] buffer the buffer
++ * \param[in] str the string to write
++ */
++INLINE void
++sldns_buffer_write_string(sldns_buffer *buffer, const char *str)
++{
++      sldns_buffer_write(buffer, str, strlen(str));
++}
++
++/**
++ * writes the given byte of data at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer
++ * \param[in] data the 8 bits to write
++ */
++INLINE void
++sldns_buffer_write_u8_at(sldns_buffer *buffer, size_t at, uint8_t data)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(data)));
++      buffer->_data[at] = data;
++}
++
++/**
++ * writes the given byte of data at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] data the 8 bits to write
++ */
++INLINE void
++sldns_buffer_write_u8(sldns_buffer *buffer, uint8_t data)
++{
++      sldns_buffer_write_u8_at(buffer, buffer->_position, data);
++      buffer->_position += sizeof(data);
++}
++
++/**
++ * writes the given 2 byte integer at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer
++ * \param[in] data the 16 bits to write
++ */
++INLINE void
++sldns_buffer_write_u16_at(sldns_buffer *buffer, size_t at, uint16_t data)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(data)));
++      sldns_write_uint16(buffer->_data + at, data);
++}
++
++/**
++ * writes the given 2 byte integer at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] data the 16 bits to write
++ */
++INLINE void
++sldns_buffer_write_u16(sldns_buffer *buffer, uint16_t data)
++{
++      sldns_buffer_write_u16_at(buffer, buffer->_position, data);
++      buffer->_position += sizeof(data);
++}
++
++/**
++ * writes the given 4 byte integer at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer
++ * \param[in] data the 32 bits to write
++ */
++INLINE void
++sldns_buffer_write_u32_at(sldns_buffer *buffer, size_t at, uint32_t data)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(data)));
++      sldns_write_uint32(buffer->_data + at, data);
++}
++
++/**
++ * writes the given 4 byte integer at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] data the 32 bits to write
++ */
++INLINE void
++sldns_buffer_write_u32(sldns_buffer *buffer, uint32_t data)
++{
++      sldns_buffer_write_u32_at(buffer, buffer->_position, data);
++      buffer->_position += sizeof(data);
++}
++
++/**
++ * copies count bytes of data at the given position to the given data-array
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer to start
++ * \param[out] data buffer to copy to
++ * \param[in] count the length of the data to copy
++ */
++INLINE void
++sldns_buffer_read_at(sldns_buffer *buffer, size_t at, void *data, size_t count)
++{
++      assert(sldns_buffer_available_at(buffer, at, count));
++      memcpy(data, buffer->_data + at, count);
++}
++
++/**
++ * copies count bytes of data at the current position to the given data-array
++ * \param[in] buffer the buffer
++ * \param[out] data buffer to copy to
++ * \param[in] count the length of the data to copy
++ */
++INLINE void
++sldns_buffer_read(sldns_buffer *buffer, void *data, size_t count)
++{
++      sldns_buffer_read_at(buffer, buffer->_position, data, count);
++      buffer->_position += count;
++}
++
++/**
++ * returns the byte value at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at the position in the buffer
++ * \return 1 byte integer
++ */
++INLINE uint8_t
++sldns_buffer_read_u8_at(sldns_buffer *buffer, size_t at)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(uint8_t)));
++      return buffer->_data[at];
++}
++
++/**
++ * returns the byte value at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \return 1 byte integer
++ */
++INLINE uint8_t
++sldns_buffer_read_u8(sldns_buffer *buffer)
++{
++      uint8_t result = sldns_buffer_read_u8_at(buffer, buffer->_position);
++      buffer->_position += sizeof(uint8_t);
++      return result;
++}
++
++/**
++ * returns the 2-byte integer value at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at position in the buffer
++ * \return 2 byte integer
++ */
++INLINE uint16_t
++sldns_buffer_read_u16_at(sldns_buffer *buffer, size_t at)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(uint16_t)));
++      return sldns_read_uint16(buffer->_data + at);
++}
++
++/**
++ * returns the 2-byte integer value at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \return 2 byte integer
++ */
++INLINE uint16_t
++sldns_buffer_read_u16(sldns_buffer *buffer)
++{
++      uint16_t result = sldns_buffer_read_u16_at(buffer, buffer->_position);
++      buffer->_position += sizeof(uint16_t);
++      return result;
++}
++
++/**
++ * returns the 4-byte integer value at the given position in the buffer
++ * \param[in] buffer the buffer
++ * \param[in] at position in the buffer
++ * \return 4 byte integer
++ */
++INLINE uint32_t
++sldns_buffer_read_u32_at(sldns_buffer *buffer, size_t at)
++{
++      assert(sldns_buffer_available_at(buffer, at, sizeof(uint32_t)));
++      return sldns_read_uint32(buffer->_data + at);
++}
++
++/**
++ * returns the 4-byte integer value at the current position in the buffer
++ * \param[in] buffer the buffer
++ * \return 4 byte integer
++ */
++INLINE uint32_t
++sldns_buffer_read_u32(sldns_buffer *buffer)
++{
++      uint32_t result = sldns_buffer_read_u32_at(buffer, buffer->_position);
++      buffer->_position += sizeof(uint32_t);
++      return result;
++}
++
++/**
++ * returns the status of the buffer
++ * \param[in] buffer
++ * \return the status
++ */
++INLINE int
++sldns_buffer_status(sldns_buffer *buffer)
++{
++      return (int)buffer->_status_err;
++}
++
++/**
++ * returns true if the status of the buffer is LDNS_STATUS_OK, false otherwise
++ * \param[in] buffer the buffer
++ * \return true or false
++ */
++INLINE int
++sldns_buffer_status_ok(sldns_buffer *buffer)
++{
++      if (buffer) {
++              return sldns_buffer_status(buffer) == 0;
++      } else {
++              return 0;
++      }
++}
++
++/**
++ * prints to the buffer, increasing the capacity if required using
++ * buffer_reserve(). The buffer's position is set to the terminating '\\0'
++ * Returns the number of characters written (not including the
++ * terminating '\\0') or -1 on failure.
++ */
++int sldns_buffer_printf(sldns_buffer *buffer, const char *format, ...)
++      ATTR_FORMAT(printf, 2, 3);
++
++/**
++ * frees the buffer.
++ * \param[in] *buffer the buffer to be freed
++ * \return void
++ */
++void sldns_buffer_free(sldns_buffer *buffer);
++
++/**
++ * Makes the buffer fixed and returns a pointer to the data.  The
++ * caller is responsible for free'ing the result.
++ * \param[in] *buffer the buffer to be exported
++ * \return void
++ */
++void *sldns_buffer_export(sldns_buffer *buffer);
++
++/**
++ * Copy contents of the from buffer to the result buffer and then flips 
++ * the result buffer. Data will be silently truncated if the result buffer is
++ * too small.
++ * \param[out] *result resulting buffer which is copied to.
++ * \param[in] *from what to copy to result.
++ */
++void sldns_buffer_copy(sldns_buffer* result, sldns_buffer* from);
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_SBUFFER_H */
diff --cc contrib/unbound/sldns/str2wire.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..8cda8c750fb9b58b4aae0a5b199ee05e30644f12
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/str2wire.c
@@@ -1,0 -1,0 +1,2023 @@@
++/**
++ * str2wire.c - read txt presentation of RRs
++ *
++ * (c) NLnet Labs, 2005-2006
++ *
++ * See the file LICENSE for the license
++ */
++
++/**
++ * \file
++ *
++ * Parses text to wireformat.
++ */
++#include "config.h"
++#include "sldns/str2wire.h"
++#include "sldns/wire2str.h"
++#include "sldns/sbuffer.h"
++#include "sldns/parse.h"
++#include "sldns/parseutil.h"
++#include <ctype.h>
++#ifdef HAVE_TIME_H
++#include <time.h>
++#endif
++#ifdef HAVE_NETDB_H
++#include <netdb.h>
++#endif
++
++/** return an error */
++#define RET_ERR(e, off) ((int)((e)|((off)<<LDNS_WIREPARSE_SHIFT)))
++/** Move parse error but keep its ID */
++#define RET_ERR_SHIFT(e, move) RET_ERR(LDNS_WIREPARSE_ERROR(e), LDNS_WIREPARSE_OFFSET(e)+(move));
++#define LDNS_IP6ADDRLEN      (128/8)
++
++/*
++ * No special care is taken, all dots are translated into
++ * label separators.
++ * @param rel: true if the domain is not absolute (not terminated in .).
++ *    The output is then still terminated with a '0' rootlabel.
++ */
++static int sldns_str2wire_dname_buf_rel(const char* str, uint8_t* buf,
++      size_t* olen, int* rel)
++{
++      size_t len;
++
++      const char *s;
++      uint8_t *q, *pq, label_len;
++
++      if(rel) *rel = 0;
++      len = strlen((char*)str);
++      /* octet representation can make strings a lot longer than actual length */
++      if (len > LDNS_MAX_DOMAINLEN * 4) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW, 0);
++      }
++      if (0 == len) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_DOMAINNAME_UNDERFLOW, 0);
++      }
++
++      /* root label */
++      if (1 == len && *str == '.') {
++              if(*olen < 1)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL, 0);
++              buf[0] = 0;
++              *olen = 1;
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      /* get on with the rest */
++
++      /* s is on the current character in the string
++         * pq points to where the labellength is going to go
++         * label_len keeps track of the current label's length
++       * q builds the dname inside the buf array
++       */
++      len = 0;
++      if(*olen < 1)
++              return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL, 0);
++      q = buf+1;
++      pq = buf;
++      label_len = 0;
++      for (s = str; *s; s++, q++) {
++              if (q >= buf + *olen)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL, q-buf);
++              if (q > buf + LDNS_MAX_DOMAINLEN)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW, q-buf);
++              switch (*s) {
++              case '.':
++                      if (label_len > LDNS_MAX_LABELLEN) {
++                              return RET_ERR(LDNS_WIREPARSE_ERR_LABEL_OVERFLOW, q-buf);
++                      }
++                      if (label_len == 0) {
++                              return RET_ERR(LDNS_WIREPARSE_ERR_EMPTY_LABEL, q-buf);
++                      }
++                      len += label_len + 1;
++                      *q = 0;
++                      *pq = label_len;
++                      label_len = 0;
++                      pq = q;
++                      break;
++              case '\\':
++                      /* octet value or literal char */
++                      s += 1;
++                      if (!sldns_parse_escape(q, &s)) {
++                              *q = 0;
++                              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE, q-buf);
++                      }
++                      s -= 1;
++                      label_len++;
++                      break;
++              default:
++                      *q = (uint8_t)*s;
++                      label_len++;
++              }
++      }
++
++      /* add root label if last char was not '.' */
++      if(label_len != 0) {
++              if(rel) *rel = 1;
++              if (q >= buf + *olen)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL, q-buf);
++              if (q > buf + LDNS_MAX_DOMAINLEN) {
++                      return RET_ERR(LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW, q-buf);
++              }
++                if (label_len > LDNS_MAX_LABELLEN) {
++                        return RET_ERR(LDNS_WIREPARSE_ERR_LABEL_OVERFLOW, q-buf);
++                }
++                if (label_len == 0) { /* label_len 0 but not . at end? */
++                        return RET_ERR(LDNS_WIREPARSE_ERR_EMPTY_LABEL, q-buf);
++                }
++              len += label_len + 1;
++              *pq = label_len;
++              *q = 0;
++      }
++      len++;
++      *olen = len;
++
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_dname_buf(const char* str, uint8_t* buf, size_t* len)
++{
++      return sldns_str2wire_dname_buf_rel(str, buf, len, NULL);
++}
++
++int sldns_str2wire_dname_buf_origin(const char* str, uint8_t* buf, size_t* len,
++      uint8_t* origin, size_t origin_len)
++{
++      size_t dlen = *len;
++      int rel = 0;
++      int s = sldns_str2wire_dname_buf_rel(str, buf, &dlen, &rel);
++      if(s) return s;
++
++      if(rel && origin && dlen > 0) {
++              if(dlen + origin_len - 1 > LDNS_MAX_DOMAINLEN)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW,
++                              LDNS_MAX_DOMAINLEN);
++              if(dlen + origin_len - 1 > *len)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              *len);
++              memmove(buf+dlen-1, origin, origin_len);
++              *len = dlen + origin_len - 1;
++      } else
++              *len = dlen;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++uint8_t* sldns_str2wire_dname(const char* str, size_t* len)
++{
++      uint8_t dname[LDNS_MAX_DOMAINLEN+1];
++      *len = sizeof(dname);
++      if(sldns_str2wire_dname_buf(str, dname, len) == 0) {
++              uint8_t* r = (uint8_t*)malloc(*len);
++              if(r) return memcpy(r, dname, *len);
++      }
++      *len = 0;
++      return NULL;
++}
++
++/** read owner name */
++static int
++rrinternal_get_owner(sldns_buffer* strbuf, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint8_t* origin, size_t origin_len, uint8_t* prev,
++      size_t prev_len, char* token, size_t token_len)
++{
++      /* split the rr in its parts -1 signals trouble */
++      if(sldns_bget_token(strbuf, token, "\t\n ", token_len) == -1) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX,
++                      sldns_buffer_position(strbuf));
++      }
++
++      if(strcmp(token, "@") == 0) {
++              uint8_t* tocopy;
++              if (origin) {
++                      *dname_len = origin_len;
++                      tocopy = origin;
++              } else if (prev) {
++                      *dname_len = prev_len;
++                      tocopy = prev;
++              } else {
++                      /* default to root */
++                      *dname_len = 1;
++                      tocopy = (uint8_t*)"\0";
++              }
++              if(*len < *dname_len)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              sldns_buffer_position(strbuf));
++              memmove(rr, tocopy, *dname_len);
++      } else if(strlen(token) == 0) {
++              /* no ownername was given, try prev, if that fails
++               * origin, else default to root */
++              uint8_t* tocopy;
++              if(prev) {
++                      *dname_len = prev_len;
++                      tocopy = prev;
++              } else if(origin) {
++                      *dname_len = origin_len;
++                      tocopy = origin;
++              } else {
++                      *dname_len = 1;
++                      tocopy = (uint8_t*)"\0";
++              }
++              if(*len < *dname_len)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              sldns_buffer_position(strbuf));
++              memmove(rr, tocopy, *dname_len);
++      } else {
++              size_t dlen = *len;
++              int s = sldns_str2wire_dname_buf_origin(token, rr, &dlen,
++                      origin, origin_len);
++              if(s) return RET_ERR_SHIFT(s,
++                      sldns_buffer_position(strbuf)-strlen(token));
++              *dname_len = dlen;
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** read ttl */
++static int
++rrinternal_get_ttl(sldns_buffer* strbuf, char* token, size_t token_len,
++      int* not_there, uint32_t* ttl, uint32_t default_ttl)
++{
++      const char* endptr;
++      if(sldns_bget_token(strbuf, token, "\t\n ", token_len) == -1) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TTL,
++                      sldns_buffer_position(strbuf));
++      }
++      *ttl = (uint32_t) sldns_str2period(token, &endptr);
++
++      if (strlen(token) > 0 && !isdigit((unsigned char)token[0])) {
++              *not_there = 1;
++              /* ah, it's not there or something */
++              if (default_ttl == 0) {
++                      *ttl = LDNS_DEFAULT_TTL;
++              } else {
++                      *ttl = default_ttl;
++              }
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** read class */
++static int
++rrinternal_get_class(sldns_buffer* strbuf, char* token, size_t token_len,
++      int* not_there, uint16_t* cl)
++{
++      /* if 'not_there' then we got token from previous parse routine */
++      if(!*not_there) {
++              /* parse new token for class */
++              if(sldns_bget_token(strbuf, token, "\t\n ", token_len) == -1) {
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_CLASS,
++                              sldns_buffer_position(strbuf));
++              }
++      } else *not_there = 0;
++      *cl = sldns_get_rr_class_by_name(token);
++      /* class can be left out too, assume IN, current token must be type */
++      if(*cl == 0 && strcmp(token, "CLASS0") != 0) {
++              *not_there = 1;
++              *cl = LDNS_RR_CLASS_IN;
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** read type */
++static int
++rrinternal_get_type(sldns_buffer* strbuf, char* token, size_t token_len,
++      int* not_there, uint16_t* tp)
++{
++      /* if 'not_there' then we got token from previous parse routine */
++      if(!*not_there) {
++              /* parse new token for type */
++              if(sldns_bget_token(strbuf, token, "\t\n ", token_len) == -1) {
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TYPE,
++                              sldns_buffer_position(strbuf));
++              }
++      }
++      *tp = sldns_get_rr_type_by_name(token);
++      if(*tp == 0 && strcmp(token, "TYPE0") != 0) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TYPE,
++                      sldns_buffer_position(strbuf));
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** put type, class, ttl into rr buffer */
++static int
++rrinternal_write_typeclassttl(sldns_buffer* strbuf, uint8_t* rr, size_t len,
++      size_t dname_len, uint16_t tp, uint16_t cl, uint32_t ttl, int question)
++{
++      if(question) {
++              /* question is : name, type, class */
++              if(dname_len + 4 > len)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              sldns_buffer_position(strbuf));
++              sldns_write_uint16(rr+dname_len, tp);
++              sldns_write_uint16(rr+dname_len+2, cl);
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      /* type(2), class(2), ttl(4), rdatalen(2 (later)) = 10 */
++      if(dname_len + 10 > len)
++              return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                      sldns_buffer_position(strbuf));
++      sldns_write_uint16(rr+dname_len, tp);
++      sldns_write_uint16(rr+dname_len+2, cl);
++      sldns_write_uint32(rr+dname_len+4, ttl);
++      sldns_write_uint16(rr+dname_len+8, 0); /* rdatalen placeholder */
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** find delimiters for type */
++static const char*
++rrinternal_get_delims(sldns_rdf_type rdftype, uint16_t r_cnt, uint16_t r_max)
++{
++      switch(rdftype) {
++      case LDNS_RDF_TYPE_B64        :
++      case LDNS_RDF_TYPE_HEX        : /* These rdf types may con- */
++      case LDNS_RDF_TYPE_LOC        : /* tain whitespace, only if */
++      case LDNS_RDF_TYPE_WKS        : /* it is the last rd field. */
++      case LDNS_RDF_TYPE_IPSECKEY   :
++      case LDNS_RDF_TYPE_NSEC       : if (r_cnt == r_max - 1) {
++                                              return "\n";
++                                      }
++                                      break;
++      default                       : break;
++      }
++      return "\n\t "; 
++}
++
++/* Syntactic sugar for sldns_rr_new_frm_str_internal */
++static int
++sldns_rdf_type_maybe_quoted(sldns_rdf_type rdf_type)
++{
++      return  rdf_type == LDNS_RDF_TYPE_STR ||
++              rdf_type == LDNS_RDF_TYPE_LONG_STR;
++}
++
++/** see if rdata is quoted */
++static int
++rrinternal_get_quoted(sldns_buffer* strbuf, const char** delimiters,
++      sldns_rdf_type rdftype)
++{
++      if(sldns_rdf_type_maybe_quoted(rdftype) &&
++              sldns_buffer_remaining(strbuf) > 0) {
++
++              /* skip spaces */
++              while(sldns_buffer_remaining(strbuf) > 0 &&
++                      *(sldns_buffer_current(strbuf)) == ' ') {
++                      sldns_buffer_skip(strbuf, 1);
++              }
++
++              if(sldns_buffer_remaining(strbuf) > 0 &&
++                      *(sldns_buffer_current(strbuf)) == '\"') {
++                      *delimiters = "\"\0";
++                      sldns_buffer_skip(strbuf, 1);
++                      return 1;
++              }
++      }
++      return 0;
++}
++
++/** spool hex data into rdata */
++static int
++rrinternal_spool_hex(char* token, uint8_t* rr, size_t rr_len,
++      size_t rr_cur_len, size_t* cur_hex_data_size, size_t hex_data_size)
++{
++      char* p = token;
++      while(*p) {
++              if(isspace((unsigned char)*p)) {
++                      p++;
++                      continue;
++              }
++              if(!isxdigit((unsigned char)*p))
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_RDATA,
++                              p-token);
++              if(*cur_hex_data_size >= hex_data_size)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_RDATA,
++                              p-token);
++              /* extra robust check */
++              if(rr_cur_len+(*cur_hex_data_size)/2 >= rr_len)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              p-token);
++              /* see if 16s or 1s */
++              if( ((*cur_hex_data_size)&1) == 0) {
++                      rr[rr_cur_len+(*cur_hex_data_size)/2] =
++                              (uint8_t)sldns_hexdigit_to_int(*p)*16;
++              } else {
++                      rr[rr_cur_len+(*cur_hex_data_size)/2] +=
++                              (uint8_t)sldns_hexdigit_to_int(*p);
++              }
++              p++;
++              (*cur_hex_data_size)++;
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** read unknown rr type format */
++static int
++rrinternal_parse_unknown(sldns_buffer* strbuf, char* token, size_t token_len,
++        uint8_t* rr, size_t* rr_len, size_t* rr_cur_len, size_t pre_data_pos)
++{
++      const char* delim = "\n\t ";
++      size_t hex_data_size, cur_hex_data_size;
++      /* go back to before \#
++       * and skip it while setting delimiters better
++       */
++      sldns_buffer_set_position(strbuf, pre_data_pos);
++      if(sldns_bget_token(strbuf, token, delim, token_len) == -1)
++              return LDNS_WIREPARSE_ERR_GENERAL; /* should not fail */
++      /* read rdata octet length */
++      if(sldns_bget_token(strbuf, token, delim, token_len) == -1) {
++              /* something goes very wrong here */
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_RDATA,
++                      sldns_buffer_position(strbuf));
++      }
++      hex_data_size = (size_t)atoi(token);
++      if(hex_data_size > LDNS_MAX_RDFLEN || 
++              *rr_cur_len + hex_data_size > *rr_len) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                      sldns_buffer_position(strbuf));
++      }
++      /* copy hex chars into hex str (2 chars per byte) */
++      hex_data_size *= 2;
++      cur_hex_data_size = 0;
++      while(cur_hex_data_size < hex_data_size) {
++              int status;
++              ssize_t c = sldns_bget_token(strbuf, token, delim, token_len);
++              if((status = rrinternal_spool_hex(token, rr, *rr_len,
++                      *rr_cur_len, &cur_hex_data_size, hex_data_size)) != 0)
++                      return RET_ERR_SHIFT(status,
++                              sldns_buffer_position(strbuf)-strlen(token));
++              if(c == -1) {
++                      if(cur_hex_data_size != hex_data_size)
++                              return RET_ERR(
++                                      LDNS_WIREPARSE_ERR_SYNTAX_RDATA,
++                                      sldns_buffer_position(strbuf));
++                      break;
++              }
++      }
++      *rr_cur_len += hex_data_size/2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** parse normal RR rdata element */
++static int
++rrinternal_parse_rdf(sldns_buffer* strbuf, char* token, size_t token_len,
++      uint8_t* rr, size_t rr_len, size_t* rr_cur_len, sldns_rdf_type rdftype,
++      uint16_t rr_type, uint16_t r_cnt, uint16_t r_max, size_t dname_len,
++      uint8_t* origin, size_t origin_len)
++{
++      size_t len;
++      int status;
++
++      switch(rdftype) {
++      case LDNS_RDF_TYPE_DNAME:
++              /* check if the origin should be used or concatenated */
++              if(strcmp(token, "@") == 0) {
++                      uint8_t* tocopy;
++                      size_t copylen;
++                      if(origin) {
++                              copylen = origin_len;
++                              tocopy = origin;
++                      } else if(rr_type == LDNS_RR_TYPE_SOA) {
++                              copylen = dname_len;
++                              tocopy = rr; /* copy rr owner name */
++                      } else {
++                              copylen = 1;
++                              tocopy = (uint8_t*)"\0";
++                      }
++                      if((*rr_cur_len) + copylen > rr_len)
++                              return RET_ERR(
++                                      LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                                      sldns_buffer_position(strbuf));
++                      memmove(rr+*rr_cur_len, tocopy, copylen);
++                      (*rr_cur_len) += copylen;
++              } else {
++                      size_t dlen = rr_len - (*rr_cur_len);
++                      int s = sldns_str2wire_dname_buf_origin(token,
++                              rr+*rr_cur_len, &dlen, origin, origin_len);
++                      if(s) return RET_ERR_SHIFT(s,
++                              sldns_buffer_position(strbuf)-strlen(token));
++                      (*rr_cur_len) += dlen;
++              }
++              return LDNS_WIREPARSE_ERR_OK;
++
++      case LDNS_RDF_TYPE_HEX:
++      case LDNS_RDF_TYPE_B64:
++              /* When this is the last rdata field, then the
++               * rest should be read in (cause then these
++               * rdf types may contain spaces). */
++              if(r_cnt == r_max - 1) {
++                      size_t tlen = strlen(token);
++                      (void)sldns_bget_token(strbuf, token+tlen, "\n",
++                              token_len - tlen);
++              }
++              break;
++      default:
++              break;
++      }
++
++      len = rr_len - (*rr_cur_len);
++      if((status=sldns_str2wire_rdf_buf(token, rr+(*rr_cur_len), &len,
++              rdftype)) != 0)
++              return RET_ERR_SHIFT(status,
++                      sldns_buffer_position(strbuf)-strlen(token));
++      *rr_cur_len += len;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/**
++ * Parse one rdf token.  Takes care of quotes and parenthesis.
++ */
++static int
++sldns_parse_rdf_token(sldns_buffer* strbuf, char* token, size_t token_len,
++      int* quoted, int* parens, size_t* pre_data_pos,
++      const char* delimiters, sldns_rdf_type rdftype, size_t* token_strlen)
++{
++      size_t slen;
++
++      /* skip spaces */
++      while(sldns_buffer_remaining(strbuf) > 0 && !*quoted &&
++              *(sldns_buffer_current(strbuf)) == ' ') {
++              sldns_buffer_skip(strbuf, 1);
++      }
++
++      *pre_data_pos = sldns_buffer_position(strbuf);
++      if(sldns_bget_token_par(strbuf, token, (*quoted)?"\"":delimiters,
++              token_len, parens, (*quoted)?NULL:" \t") == -1) {
++              return 0;
++      }
++      slen = strlen(token);
++      /* check if not quoted yet, and we have encountered quotes */
++      if(!*quoted && sldns_rdf_type_maybe_quoted(rdftype) &&
++              slen >= 2 &&
++              (token[0] == '"' || token[0] == '\'') && 
++              (token[slen-1] == '"' || token[slen-1] == '\'')) {
++              /* move token two smaller (quotes) with endnull */
++              memmove(token, token+1, slen-2);
++              token[slen-2] = 0;
++              slen -= 2;
++              *quoted = 1;
++      } else if(!*quoted && sldns_rdf_type_maybe_quoted(rdftype) &&
++              slen >= 2 &&
++              (token[0] == '"' || token[0] == '\'')) {
++              /* got the start quote (remove it) but read remainder
++               * of quoted string as well into remainder of token */
++              memmove(token, token+1, slen-1);
++              token[slen-1] = 0;
++              slen -= 1;
++              *quoted = 1;
++              /* rewind buffer over skipped whitespace */
++              while(sldns_buffer_position(strbuf) > 0 &&
++                      (sldns_buffer_current(strbuf)[-1] == ' ' ||
++                      sldns_buffer_current(strbuf)[-1] == '\t')) {
++                      sldns_buffer_skip(strbuf, -1);
++              }
++              if(sldns_bget_token_par(strbuf, token+slen,
++                      "\"", token_len-slen,
++                      parens, NULL) == -1) {
++                      return 0;
++              }
++              slen = strlen(token);
++      }
++      *token_strlen = slen;
++      return 1;
++}
++
++/** Add space and one more rdf token onto the existing token string. */
++static int
++sldns_affix_token(sldns_buffer* strbuf, char* token, size_t* token_len,
++      int* quoted, int* parens, size_t* pre_data_pos,
++      const char* delimiters, sldns_rdf_type rdftype, size_t* token_strlen)
++{
++      size_t addlen = *token_len - *token_strlen;
++      size_t addstrlen = 0;
++
++      /* add space */
++      if(addlen < 1) return 0;
++      token[*token_strlen] = ' ';
++      token[++(*token_strlen)] = 0;
++
++      /* read another token */
++      addlen = *token_len - *token_strlen;
++      if(!sldns_parse_rdf_token(strbuf, token+*token_strlen, addlen, quoted,
++              parens, pre_data_pos, delimiters, rdftype, &addstrlen))
++              return 0;
++      (*token_strlen) += addstrlen;
++      return 1;
++}
++
++/** parse rdata from string into rr buffer(-remainder after dname). */
++static int
++rrinternal_parse_rdata(sldns_buffer* strbuf, char* token, size_t token_len,
++      uint8_t* rr, size_t* rr_len, size_t dname_len, uint16_t rr_type,
++      uint8_t* origin, size_t origin_len)
++{
++      const sldns_rr_descriptor *desc = sldns_rr_descript((uint16_t)rr_type);
++      uint16_t r_cnt, r_min, r_max;
++      size_t rr_cur_len = dname_len + 10, pre_data_pos, token_strlen;
++      int was_unknown_rr_format = 0, parens = 0, status, quoted;
++      const char* delimiters;
++      sldns_rdf_type rdftype;
++      /* a desc is always returned */
++      if(!desc) return LDNS_WIREPARSE_ERR_GENERAL;
++      r_max = sldns_rr_descriptor_maximum(desc);
++      r_min = sldns_rr_descriptor_minimum(desc);
++      /* robust check */
++      if(rr_cur_len > *rr_len)
++              return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                      sldns_buffer_position(strbuf));
++
++      /* because number of fields can be variable, we can't rely on
++       * _maximum() only */
++      for(r_cnt=0; r_cnt < r_max; r_cnt++) {
++              rdftype = sldns_rr_descriptor_field_type(desc, r_cnt);
++              delimiters = rrinternal_get_delims(rdftype, r_cnt, r_max);
++              quoted = rrinternal_get_quoted(strbuf, &delimiters, rdftype);
++
++              if(!sldns_parse_rdf_token(strbuf, token, token_len, &quoted,
++                      &parens, &pre_data_pos, delimiters, rdftype,
++                      &token_strlen))
++                      break;
++
++              /* rfc3597 specifies that any type can be represented
++               * with \# method, which can contain spaces...
++               * it does specify size though... */
++
++              /* unknown RR data */
++              if(token_strlen>=2 && strncmp(token, "\\#", 2) == 0 &&
++                      !quoted && (token_strlen == 2 || token[2]==' ')) {
++                      was_unknown_rr_format = 1;
++                      if((status=rrinternal_parse_unknown(strbuf, token,
++                              token_len, rr, rr_len, &rr_cur_len, 
++                              pre_data_pos)) != 0)
++                              return status;
++              } else if(token_strlen > 0 || quoted) {
++                      if(rdftype == LDNS_RDF_TYPE_HIP) {
++                              /* affix the HIT and PK fields, with a space */
++                              if(!sldns_affix_token(strbuf, token,
++                                      &token_len, &quoted, &parens,
++                                      &pre_data_pos, delimiters,
++                                      rdftype, &token_strlen))
++                                      break;
++                              if(!sldns_affix_token(strbuf, token,
++                                      &token_len, &quoted, &parens,
++                                      &pre_data_pos, delimiters,
++                                      rdftype, &token_strlen))
++                                      break;
++                      }
++
++                      /* normal RR */
++                      if((status=rrinternal_parse_rdf(strbuf, token,
++                              token_len, rr, *rr_len, &rr_cur_len, rdftype,
++                              rr_type, r_cnt, r_max, dname_len, origin,
++                              origin_len)) != 0) {
++                              return status;
++                      }
++              }
++      }
++      if(!was_unknown_rr_format && r_cnt+1 < r_min) {
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_MISSING_VALUE,
++                      sldns_buffer_position(strbuf));
++      }
++      while(parens != 0) {
++              /* read remainder, must be "" */
++              if(sldns_bget_token_par(strbuf, token, "\n", token_len,
++                      &parens, " \t") == -1) {
++                      if(parens != 0)
++                              return RET_ERR(LDNS_WIREPARSE_ERR_PARENTHESIS,
++                                      sldns_buffer_position(strbuf));
++                      break;
++              }
++              if(strcmp(token, "") != 0)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_PARENTHESIS,
++                              sldns_buffer_position(strbuf));
++      }
++      /* write rdata length */
++      sldns_write_uint16(rr+dname_len+8, rr_cur_len-dname_len-10);
++      *rr_len = rr_cur_len;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/*
++ * trailing spaces are allowed
++ * leading spaces are not allowed
++ * allow ttl to be optional
++ * class is optional too
++ * if ttl is missing, and default_ttl is 0, use DEF_TTL
++ * allow ttl to be written as 1d3h
++ * So the RR should look like. e.g.
++ * miek.nl. 3600 IN MX 10 elektron.atoom.net
++ * or
++ * miek.nl. 1h IN MX 10 elektron.atoom.net
++ * or
++ * miek.nl. IN MX 10 elektron.atoom.net
++ */
++static int
++sldns_str2wire_rr_buf_internal(const char* str, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint32_t default_ttl, uint8_t* origin,
++      size_t origin_len, uint8_t* prev, size_t prev_len, int question)
++{
++      int status;
++      int not_there = 0;
++      char token[LDNS_MAX_RDFLEN+1];
++      uint32_t ttl = 0;
++      uint16_t tp = 0, cl = 0;
++      size_t ddlen = 0;
++
++      /* string in buffer */
++      sldns_buffer strbuf;
++      sldns_buffer_init_frm_data(&strbuf, (uint8_t*)str, strlen(str));
++      if(!dname_len) dname_len = &ddlen;
++
++      /* parse the owner */
++      if((status=rrinternal_get_owner(&strbuf, rr, len, dname_len, origin,
++              origin_len, prev, prev_len, token, sizeof(token))) != 0)
++              return status;
++
++      /* parse the [ttl] [class] <type> */
++      if((status=rrinternal_get_ttl(&strbuf, token, sizeof(token),
++              &not_there, &ttl, default_ttl)) != 0)
++              return status;
++      if((status=rrinternal_get_class(&strbuf, token, sizeof(token),
++              &not_there, &cl)) != 0)
++              return status;
++      if((status=rrinternal_get_type(&strbuf, token, sizeof(token),
++              &not_there, &tp)) != 0)
++              return status;
++      /* put ttl, class, type into the rr result */
++      if((status=rrinternal_write_typeclassttl(&strbuf, rr, *len, *dname_len, tp, cl,
++              ttl, question)) != 0)
++              return status;
++      /* for a question-RR we are done, no rdata */
++      if(question) {
++              *len = *dname_len + 4;
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      /* rdata */
++      if((status=rrinternal_parse_rdata(&strbuf, token, sizeof(token),
++              rr, len, *dname_len, tp, origin, origin_len)) != 0)
++              return status;
++
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_rr_buf(const char* str, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint32_t default_ttl, uint8_t* origin,
++      size_t origin_len, uint8_t* prev, size_t prev_len)
++{
++      return sldns_str2wire_rr_buf_internal(str, rr, len, dname_len,
++              default_ttl, origin, origin_len, prev, prev_len, 0);
++}
++
++int sldns_str2wire_rr_question_buf(const char* str, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint8_t* origin, size_t origin_len, uint8_t* prev,
++      size_t prev_len)
++{
++      return sldns_str2wire_rr_buf_internal(str, rr, len, dname_len,
++              0, origin, origin_len, prev, prev_len, 1);
++}
++
++uint16_t sldns_wirerr_get_type(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+2)
++              return 0;
++      return sldns_read_uint16(rr+dname_len);
++}
++
++uint16_t sldns_wirerr_get_class(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+4)
++              return 0;
++      return sldns_read_uint16(rr+dname_len+2);
++}
++
++uint32_t sldns_wirerr_get_ttl(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+8)
++              return 0;
++      return sldns_read_uint32(rr+dname_len+4);
++}
++
++uint16_t sldns_wirerr_get_rdatalen(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+10)
++              return 0;
++      return sldns_read_uint16(rr+dname_len+8);
++}
++
++uint8_t* sldns_wirerr_get_rdata(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+10)
++              return NULL;
++      return rr+dname_len+10;
++}
++
++uint8_t* sldns_wirerr_get_rdatawl(uint8_t* rr, size_t len, size_t dname_len)
++{
++      if(len < dname_len+10)
++              return NULL;
++      return rr+dname_len+8;
++}
++
++const char* sldns_get_errorstr_parse(int e)
++{
++      sldns_lookup_table *lt;
++      lt = sldns_lookup_by_id(sldns_wireparse_errors, LDNS_WIREPARSE_ERROR(e));
++      return lt?lt->name:"unknown error";
++}
++
++/* Strip whitespace from the start and the end of <line>.  */
++static char *
++sldns_strip_ws(char *line)
++{
++        char *s = line, *e;
++
++        for (s = line; *s && isspace((unsigned char)*s); s++)
++                ;
++        for (e = strchr(s, 0); e > s+2 && isspace((unsigned char)e[-1]) && e[-2] != '\\'; e--)
++                ;
++        *e = 0;
++        return s;
++}
++
++int sldns_fp2wire_rr_buf(FILE* in, uint8_t* rr, size_t* len, size_t* dname_len,
++      struct sldns_file_parse_state* parse_state)
++{
++      char line[LDNS_RR_BUF_SIZE+1];
++      ssize_t size;
++
++      /* read an entire line in from the file */
++      if((size = sldns_fget_token_l(in, line, LDNS_PARSE_SKIP_SPACE,
++              LDNS_RR_BUF_SIZE, parse_state?&parse_state->lineno:NULL))
++              == -1) {
++              /* if last line was empty, we are now at feof, which is not
++               * always a parse error (happens when for instance last line
++               * was a comment)
++               */
++              return LDNS_WIREPARSE_ERR_SYNTAX;
++      }
++
++      /* we can have the situation, where we've read ok, but still got
++       * no bytes to play with, in this case size is 0 */
++      if(size == 0) {
++              *len = 0;
++              *dname_len = 0;
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      if(strncmp(line, "$ORIGIN", 7) == 0 && isspace((unsigned char)line[7])) {
++              int s;
++              *len = 0;
++              *dname_len = 0;
++              if(!parse_state) return LDNS_WIREPARSE_ERR_OK;
++              parse_state->origin_len = sizeof(parse_state->origin);
++              s = sldns_str2wire_dname_buf(sldns_strip_ws(line+8),
++                      parse_state->origin, &parse_state->origin_len);
++              if(s) parse_state->origin_len = 0;
++              return s;
++      } else if(strncmp(line, "$TTL", 4) == 0 && isspace((unsigned char)line[4])) {
++              const char* end = NULL;
++              *len = 0;
++              *dname_len = 0;
++              if(!parse_state) return LDNS_WIREPARSE_ERR_OK;
++              parse_state->default_ttl = sldns_str2period(
++                      sldns_strip_ws(line+5), &end);
++      } else if (strncmp(line, "$INCLUDE", 8) == 0) {
++              *len = 0;
++              *dname_len = 0;
++              return LDNS_WIREPARSE_ERR_INCLUDE;
++      } else {
++              return sldns_str2wire_rr_buf(line, rr, len, dname_len,
++                      parse_state?parse_state->default_ttl:0,
++                      (parse_state&&parse_state->origin_len)?
++                              parse_state->origin:NULL,
++                      parse_state->origin_len,
++                      (parse_state&&parse_state->prev_rr_len)?
++                              parse_state->prev_rr:NULL,
++                      parse_state->prev_rr_len);
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_rdf_buf(const char* str, uint8_t* rd, size_t* len,
++      sldns_rdf_type rdftype)
++{
++      switch (rdftype) {
++      case LDNS_RDF_TYPE_DNAME:
++              return sldns_str2wire_dname_buf(str, rd, len);
++      case LDNS_RDF_TYPE_INT8:
++              return sldns_str2wire_int8_buf(str, rd, len);
++      case LDNS_RDF_TYPE_INT16:
++              return sldns_str2wire_int16_buf(str, rd, len);
++      case LDNS_RDF_TYPE_INT32:
++              return sldns_str2wire_int32_buf(str, rd, len);
++      case LDNS_RDF_TYPE_A:
++              return sldns_str2wire_a_buf(str, rd, len);
++      case LDNS_RDF_TYPE_AAAA:
++              return sldns_str2wire_aaaa_buf(str, rd, len);
++      case LDNS_RDF_TYPE_STR:
++              return sldns_str2wire_str_buf(str, rd, len);
++      case LDNS_RDF_TYPE_APL:
++              return sldns_str2wire_apl_buf(str, rd, len);
++      case LDNS_RDF_TYPE_B64:
++              return sldns_str2wire_b64_buf(str, rd, len);
++      case LDNS_RDF_TYPE_B32_EXT:
++              return sldns_str2wire_b32_ext_buf(str, rd, len);
++      case LDNS_RDF_TYPE_HEX:
++              return sldns_str2wire_hex_buf(str, rd, len);
++      case LDNS_RDF_TYPE_NSEC:
++              return sldns_str2wire_nsec_buf(str, rd, len);
++      case LDNS_RDF_TYPE_TYPE:
++              return sldns_str2wire_type_buf(str, rd, len);
++      case LDNS_RDF_TYPE_CLASS:
++              return sldns_str2wire_class_buf(str, rd, len);
++      case LDNS_RDF_TYPE_CERT_ALG:
++              return sldns_str2wire_cert_alg_buf(str, rd, len);
++      case LDNS_RDF_TYPE_ALG:
++              return sldns_str2wire_alg_buf(str, rd, len);
++      case LDNS_RDF_TYPE_TIME:
++              return sldns_str2wire_time_buf(str, rd, len);
++      case LDNS_RDF_TYPE_PERIOD:
++              return sldns_str2wire_period_buf(str, rd, len);
++      case LDNS_RDF_TYPE_LOC:
++              return sldns_str2wire_loc_buf(str, rd, len);
++      case LDNS_RDF_TYPE_WKS:
++              return sldns_str2wire_wks_buf(str, rd, len);
++      case LDNS_RDF_TYPE_NSAP:
++              return sldns_str2wire_nsap_buf(str, rd, len);
++      case LDNS_RDF_TYPE_ATMA:
++              return sldns_str2wire_atma_buf(str, rd, len);
++      case LDNS_RDF_TYPE_IPSECKEY:
++              return sldns_str2wire_ipseckey_buf(str, rd, len);
++      case LDNS_RDF_TYPE_NSEC3_SALT:
++              return sldns_str2wire_nsec3_salt_buf(str, rd, len);
++      case LDNS_RDF_TYPE_NSEC3_NEXT_OWNER:
++              return sldns_str2wire_b32_ext_buf(str, rd, len);
++      case LDNS_RDF_TYPE_ILNP64:
++              return sldns_str2wire_ilnp64_buf(str, rd, len);
++      case LDNS_RDF_TYPE_EUI48:
++              return sldns_str2wire_eui48_buf(str, rd, len);
++      case LDNS_RDF_TYPE_EUI64:
++              return sldns_str2wire_eui64_buf(str, rd, len);
++      case LDNS_RDF_TYPE_TAG:
++              return sldns_str2wire_tag_buf(str, rd, len);
++      case LDNS_RDF_TYPE_LONG_STR:
++              return sldns_str2wire_long_str_buf(str, rd, len);
++      case LDNS_RDF_TYPE_HIP:
++              return sldns_str2wire_hip_buf(str, rd, len);
++      case LDNS_RDF_TYPE_INT16_DATA:
++              return sldns_str2wire_int16_data_buf(str, rd, len);
++      case LDNS_RDF_TYPE_UNKNOWN:
++      case LDNS_RDF_TYPE_SERVICE:
++              return LDNS_WIREPARSE_ERR_NOT_IMPL;
++      case LDNS_RDF_TYPE_NONE:
++      default:
++              break;
++      }
++      return LDNS_WIREPARSE_ERR_GENERAL;
++}
++
++int sldns_str2wire_int8_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      char* end;
++      uint8_t r = (uint8_t)strtol((char*)str, &end, 10);
++      if(*end != 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_INT, end-(char*)str);
++      if(*len < 1)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      rd[0] = r;
++      *len = 1;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_int16_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      char* end;
++      uint16_t r = (uint16_t)strtol((char*)str, &end, 10);
++      if(*end != 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_INT, end-(char*)str);
++      if(*len < 2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      sldns_write_uint16(rd, r);
++      *len = 2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_int32_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      char* end;
++      uint32_t r;
++      errno = 0; /* must set to zero before call,
++                      note race condition on errno */
++      if(*str == '-')
++              r = (uint32_t)strtol((char*)str, &end, 10);
++      else    r = (uint32_t)strtoul((char*)str, &end, 10);
++      if(*end != 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_INT, end-(char*)str);
++      if(errno == ERANGE)
++              return LDNS_WIREPARSE_ERR_SYNTAX_INTEGER_OVERFLOW;
++      if(*len < 4)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      sldns_write_uint32(rd, r);
++      *len = 4;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_a_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      struct in_addr address;
++      if(inet_pton(AF_INET, (char*)str, &address) != 1)
++              return LDNS_WIREPARSE_ERR_SYNTAX_IP4;
++      if(*len < sizeof(address))
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      memmove(rd, &address, sizeof(address));
++      *len = sizeof(address);
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_aaaa_buf(const char* str, uint8_t* rd, size_t* len)
++{
++#ifdef AF_INET6
++      uint8_t address[LDNS_IP6ADDRLEN + 1];
++      if(inet_pton(AF_INET6, (char*)str, address) != 1)
++              return LDNS_WIREPARSE_ERR_SYNTAX_IP6;
++      if(*len < LDNS_IP6ADDRLEN)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      memmove(rd, address, LDNS_IP6ADDRLEN);
++      *len = LDNS_IP6ADDRLEN;
++      return LDNS_WIREPARSE_ERR_OK;
++#else
++      return LDNS_WIREPARSE_ERR_NOT_IMPL;
++#endif
++}
++
++int sldns_str2wire_str_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      uint8_t ch = 0;
++      size_t sl = 0;
++      const char* s = str;
++      /* skip length byte */
++      if(*len < 1)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++
++      /* read characters */
++      while(sldns_parse_char(&ch, &s)) {
++              if(sl >= 255)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR, s-str);
++              if(*len < sl+1)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              s-str);
++              rd[++sl] = ch;
++      }
++      if(!s)
++              return LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE;
++      rd[0] = (uint8_t)sl;
++      *len = sl+1;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_apl_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char *my_str = str;
++
++      char my_ip_str[64];
++      size_t ip_str_len;
++
++      uint16_t family;
++      int negation;
++      size_t adflength = 0;
++      uint8_t data[16+4];
++      uint8_t prefix;
++      size_t i;
++
++      if(strlen(my_str) == 0) {
++              /* empty APL element, no data, no string */
++              *len = 0;
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      /* [!]afi:address/prefix */
++      if (strlen(my_str) < 2
++                      || strchr(my_str, ':') == NULL
++                      || strchr(my_str, '/') == NULL
++                      || strchr(my_str, ':') > strchr(my_str, '/')) {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      if (my_str[0] == '!') {
++              negation = 1;
++              my_str += 1;
++      } else {
++              negation = 0;
++      }
++
++      family = (uint16_t) atoi(my_str);
++
++      my_str = strchr(my_str, ':') + 1;
++
++      /* need ip addr and only ip addr for inet_pton */
++      ip_str_len = (size_t) (strchr(my_str, '/') - my_str);
++      if(ip_str_len+1 > sizeof(my_ip_str))
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      (void)strlcpy(my_ip_str, my_str, sizeof(my_ip_str));
++      my_ip_str[ip_str_len] = 0;
++
++      if (family == 1) {
++              /* ipv4 */
++              if(inet_pton(AF_INET, my_ip_str, data+4) == 0)
++                      return LDNS_WIREPARSE_ERR_INVALID_STR;
++              for (i = 0; i < 4; i++) {
++                      if (data[i+4] != 0) {
++                              adflength = i + 1;
++                      }
++              }
++      } else if (family == 2) {
++              /* ipv6 */
++              if (inet_pton(AF_INET6, my_ip_str, data+4) == 0)
++                      return LDNS_WIREPARSE_ERR_INVALID_STR;
++              for (i = 0; i < 16; i++) {
++                      if (data[i+4] != 0) {
++                              adflength = i + 1;
++                      }
++              }
++      } else {
++              /* unknown family */
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      my_str = strchr(my_str, '/') + 1;
++      prefix = (uint8_t) atoi(my_str);
++
++      sldns_write_uint16(data, family);
++      data[2] = prefix;
++      data[3] = (uint8_t)adflength;
++      if (negation) {
++              /* set bit 1 of byte 3 */
++              data[3] = data[3] | 0x80;
++      }
++
++      if(*len < 4+adflength)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      memmove(rd, data, 4+adflength);
++      *len = 4+adflength;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_b64_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      size_t sz = sldns_b64_pton_calculate_size(strlen(str));
++      int n;
++      if(*len < sz)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      n = sldns_b64_pton(str, rd, *len);
++      if(n < 0)
++              return LDNS_WIREPARSE_ERR_SYNTAX_B64;
++      *len = (size_t)n;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_b32_ext_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      size_t slen = strlen(str);
++      size_t sz = sldns_b32_pton_calculate_size(slen);
++      int n;
++      if(*len < 1+sz)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      rd[0] = (uint8_t)sz;
++      n = sldns_b32_pton_extended_hex(str, slen, rd+1, *len-1);
++      if(n < 0)
++              return LDNS_WIREPARSE_ERR_SYNTAX_B32_EXT;
++      *len = (size_t)n+1;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_hex_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char* s = str;
++      size_t dlen = 0; /* number of hexdigits parsed */
++      while(*s) {
++              if(isspace((unsigned char)*s)) {
++                      s++;
++                      continue;
++              }
++              if(!isxdigit((unsigned char)*s))
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++              if(*len < dlen/2 + 1)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              s-str);
++              if((dlen&1)==0)
++                      rd[dlen/2] = (uint8_t)sldns_hexdigit_to_int(*s++) * 16;
++              else    rd[dlen/2] += (uint8_t)sldns_hexdigit_to_int(*s++);
++              dlen++;
++      }
++      if((dlen&1)!=0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++      *len = dlen/2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_nsec_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char *delim = "\n\t ";
++      char token[64]; /* for a type name */
++      size_t type_count = 0;
++      int block;
++      size_t used = 0;
++      uint16_t maxtype = 0;
++      uint8_t typebits[8192]; /* 65536 bits */
++      uint8_t window_in_use[256];
++
++      /* string in buffer */
++      sldns_buffer strbuf;
++      sldns_buffer_init_frm_data(&strbuf, (uint8_t*)str, strlen(str));
++
++      /* parse the types */
++      memset(typebits, 0, sizeof(typebits));
++      memset(window_in_use, 0, sizeof(window_in_use));
++      while(sldns_buffer_remaining(&strbuf) > 0 &&
++              sldns_bget_token(&strbuf, token, delim, sizeof(token)) != -1) {
++              uint16_t t = sldns_get_rr_type_by_name(token);
++              if(token[0] == 0)
++                      continue;
++              if(t == 0 && strcmp(token, "TYPE0") != 0)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TYPE,
++                              sldns_buffer_position(&strbuf));
++              typebits[t/8] |= (0x80>>(t%8));
++              window_in_use[t/256] = 1;
++              type_count++;
++              if(t > maxtype) maxtype = t;
++      }
++
++      /* empty NSEC bitmap */
++      if(type_count == 0) {
++              *len = 0;
++              return LDNS_WIREPARSE_ERR_OK;
++      }
++
++      /* encode windows {u8 windowblock, u8 bitmaplength, 0-32u8 bitmap},
++       * block is 0-255 upper octet of types, length if 0-32. */
++      for(block = 0; block <= (int)maxtype/256; block++) {
++              int i, blocklen = 0;
++              if(!window_in_use[block])
++                      continue;
++              for(i=0; i<32; i++) {
++                      if(typebits[block*32+i] != 0)
++                              blocklen = i+1;
++              }
++              if(blocklen == 0)
++                      continue; /* empty window should have been !in_use */
++              if(used+blocklen+2 > *len)
++                      return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++              rd[used+0] = (uint8_t)block;
++              rd[used+1] = (uint8_t)blocklen;
++              for(i=0; i<blocklen; i++) {
++                      rd[used+2+i] = typebits[block*32+i];
++              }
++              used += blocklen+2;
++      }
++      *len = used;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_type_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      uint16_t t = sldns_get_rr_type_by_name(str);
++      if(t == 0 && strcmp(str, "TYPE0") != 0)
++              return LDNS_WIREPARSE_ERR_SYNTAX_TYPE;
++      if(*len < 2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      sldns_write_uint16(rd, t);
++      *len = 2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_class_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      uint16_t c = sldns_get_rr_class_by_name(str);
++      if(c == 0 && strcmp(str, "CLASS0") != 0)
++              return LDNS_WIREPARSE_ERR_SYNTAX_CLASS;
++      if(*len < 2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      sldns_write_uint16(rd, c);
++      *len = 2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/* An certificate alg field can either be specified as a 8 bits number
++ * or by its symbolic name. Handle both */
++int sldns_str2wire_cert_alg_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_name(sldns_cert_algorithms,
++              str);
++      if(*len < 2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      if(lt) {
++              sldns_write_uint16(rd, (uint16_t)lt->id);
++      } else {
++              int s = sldns_str2wire_int16_buf(str, rd, len);
++              if(s) return s;
++              if(sldns_read_uint16(rd) == 0)
++                      return LDNS_WIREPARSE_ERR_CERT_BAD_ALGORITHM;
++      }
++      *len = 2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/* An alg field can either be specified as a 8 bits number
++ * or by its symbolic name. Handle both */
++int sldns_str2wire_alg_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_name(sldns_algorithms, str);
++      if(*len < 1)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      if(lt) {
++              rd[0] = (uint8_t)lt->id;
++              *len = 1;
++      } else {
++              /* try as-is (a number) */
++              return sldns_str2wire_int8_buf(str, rd, len);
++      }
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_time_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      /* convert a time YYYYDDMMHHMMSS to wireformat */
++      struct tm tm;
++      if(*len < 4)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++
++      /* Try to scan the time... */
++      memset(&tm, 0, sizeof(tm));
++      if (strlen(str) == 14 && sscanf(str, "%4d%2d%2d%2d%2d%2d",
++              &tm.tm_year, &tm.tm_mon, &tm.tm_mday, &tm.tm_hour,
++              &tm.tm_min, &tm.tm_sec) == 6) {
++              tm.tm_year -= 1900;
++              tm.tm_mon--;
++              /* Check values */
++              if (tm.tm_year < 70)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++              if (tm.tm_mon < 0 || tm.tm_mon > 11)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++              if (tm.tm_mday < 1 || tm.tm_mday > 31)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++              if (tm.tm_hour < 0 || tm.tm_hour > 23)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++              if (tm.tm_min < 0 || tm.tm_min > 59)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++              if (tm.tm_sec < 0 || tm.tm_sec > 59)
++                      return LDNS_WIREPARSE_ERR_SYNTAX_TIME;
++
++              sldns_write_uint32(rd, sldns_mktime_from_utc(&tm));
++      } else {
++              /* handle it as 32 bits timestamp */
++              char *end;
++              uint32_t l = (uint32_t)strtol((char*)str, &end, 10);
++              if(*end != 0)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TIME,
++                              end-(char*)str);
++              sldns_write_uint32(rd, l);
++      }
++      *len = 4;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_period_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char* end;
++      uint32_t p = sldns_str2period(str, &end);
++      if(*end != 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_PERIOD, end-str);
++      if(*len < 4)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      sldns_write_uint32(rd, p);
++      *len = 4;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++/** read "<digits>[.<digits>][mM]" into mantissa exponent format for LOC type */
++static int
++loc_parse_cm(char* my_str, char** endstr, uint8_t* m, uint8_t* e)
++{
++      uint32_t meters = 0, cm = 0, val;
++      while (isblank((unsigned char)*my_str)) {
++              my_str++;
++      }
++      meters = (uint32_t)strtol(my_str, &my_str, 10);
++      if (*my_str == '.') {
++              my_str++;
++              cm = (uint32_t)strtol(my_str, &my_str, 10);
++      }
++      if (meters >= 1) {
++              *e = 2;
++              val = meters;
++      } else  {
++              *e = 0;
++              val = cm;
++      }
++      while(val >= 10) {
++              (*e)++;
++              val /= 10;
++      }
++      *m = (uint8_t)val;
++
++      if (*e > 9)
++              return 0;
++      if (*my_str == 'm' || *my_str == 'M') {
++              my_str++;
++      }
++      *endstr = my_str;
++      return 1;
++}
++
++int sldns_str2wire_loc_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      uint32_t latitude = 0;
++      uint32_t longitude = 0;
++      uint32_t altitude = 0;
++
++      uint32_t equator = (uint32_t)1<<31; /* 2**31 */
++
++      /* only support version 0 */
++      uint32_t h = 0;
++      uint32_t m = 0;
++      uint8_t size_b = 1, size_e = 2;
++      uint8_t horiz_pre_b = 1, horiz_pre_e = 6;
++      uint8_t vert_pre_b = 1, vert_pre_e = 3;
++
++      double s = 0.0;
++      int northerness;
++      int easterness;
++
++      char *my_str = (char *) str;
++
++      if (isdigit((unsigned char) *my_str)) {
++              h = (uint32_t) strtol(my_str, &my_str, 10);
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      while (isblank((unsigned char) *my_str)) {
++              my_str++;
++      }
++
++      if (isdigit((unsigned char) *my_str)) {
++              m = (uint32_t) strtol(my_str, &my_str, 10);
++      } else if (*my_str == 'N' || *my_str == 'S') {
++              goto north;
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      while (isblank((unsigned char) *my_str)) {
++              my_str++;
++      }
++
++      if (isdigit((unsigned char) *my_str)) {
++              s = strtod(my_str, &my_str);
++      }
++
++      /* skip blanks before norterness */
++      while (isblank((unsigned char) *my_str)) {
++              my_str++;
++      }
++
++north:
++      if (*my_str == 'N') {
++              northerness = 1;
++      } else if (*my_str == 'S') {
++              northerness = 0;
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      my_str++;
++
++      /* store number */
++      s = 1000.0 * s;
++      /* add a little to make floor in conversion a round */
++      s += 0.0005;
++      latitude = (uint32_t) s;
++      latitude += 1000 * 60 * m;
++      latitude += 1000 * 60 * 60 * h;
++      if (northerness) {
++              latitude = equator + latitude;
++      } else {
++              latitude = equator - latitude;
++      }
++      while (isblank((unsigned char)*my_str)) {
++              my_str++;
++      }
++
++      if (isdigit((unsigned char) *my_str)) {
++              h = (uint32_t) strtol(my_str, &my_str, 10);
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      while (isblank((unsigned char) *my_str)) {
++              my_str++;
++      }
++
++      if (isdigit((unsigned char) *my_str)) {
++              m = (uint32_t) strtol(my_str, &my_str, 10);
++      } else if (*my_str == 'E' || *my_str == 'W') {
++              goto east;
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      while (isblank((unsigned char)*my_str)) {
++              my_str++;
++      }
++
++      if (isdigit((unsigned char) *my_str)) {
++              s = strtod(my_str, &my_str);
++      }
++
++      /* skip blanks before easterness */
++      while (isblank((unsigned char)*my_str)) {
++              my_str++;
++      }
++
++east:
++      if (*my_str == 'E') {
++              easterness = 1;
++      } else if (*my_str == 'W') {
++              easterness = 0;
++      } else {
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      my_str++;
++
++      /* store number */
++      s *= 1000.0;
++      /* add a little to make floor in conversion a round */
++      s += 0.0005;
++      longitude = (uint32_t) s;
++      longitude += 1000 * 60 * m;
++      longitude += 1000 * 60 * 60 * h;
++
++      if (easterness) {
++              longitude += equator;
++      } else {
++              longitude = equator - longitude;
++      }
++
++      altitude = (uint32_t)(strtod(my_str, &my_str)*100.0 +
++              10000000.0 + 0.5);
++      if (*my_str == 'm' || *my_str == 'M') {
++              my_str++;
++      }
++
++      if (strlen(my_str) > 0) {
++              if(!loc_parse_cm(my_str, &my_str, &size_b, &size_e))
++                      return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      if (strlen(my_str) > 0) {
++              if(!loc_parse_cm(my_str, &my_str, &horiz_pre_b, &horiz_pre_e))
++                      return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      if (strlen(my_str) > 0) {
++              if(!loc_parse_cm(my_str, &my_str, &vert_pre_b, &vert_pre_e))
++                      return LDNS_WIREPARSE_ERR_INVALID_STR;
++      }
++
++      if(*len < 16)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      rd[0] = 0;
++      rd[1] = ((size_b << 4) & 0xf0) | (size_e & 0x0f);
++      rd[2] = ((horiz_pre_b << 4) & 0xf0) | (horiz_pre_e & 0x0f);
++      rd[3] = ((vert_pre_b << 4) & 0xf0) | (vert_pre_e & 0x0f);
++      sldns_write_uint32(rd + 4, latitude);
++      sldns_write_uint32(rd + 8, longitude);
++      sldns_write_uint32(rd + 12, altitude);
++      *len = 16;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++static void
++ldns_tolower_str(char* s)
++{
++      if(s) {
++              while(*s) {
++                      *s = (char)tolower((unsigned char)*s);
++                      s++;
++              }
++      }
++}
++
++int sldns_str2wire_wks_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      int rd_len = 1;
++      int have_proto = 0;
++      char token[50], proto_str[50];
++      sldns_buffer strbuf;
++      sldns_buffer_init_frm_data(&strbuf, (uint8_t*)str, strlen(str));
++      proto_str[0]=0;
++
++      /* check we have one byte for proto */
++      if(*len < 1)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++
++      while(sldns_bget_token(&strbuf, token, "\t\n ", sizeof(token)) > 0) {
++              ldns_tolower_str(token);
++              if(!have_proto) {
++                      struct protoent *p = getprotobyname(token);
++                      have_proto = 1;
++                      if(p) rd[0] = (uint8_t)p->p_proto;
++                      else rd[0] = (uint8_t)atoi(token);
++                      (void)strlcpy(proto_str, token, sizeof(proto_str));
++              } else {
++                      int serv_port;
++                      struct servent *serv = getservbyname(token, proto_str);
++                      if(serv) serv_port=(int)ntohs((uint16_t)serv->s_port);
++                      else {
++                              serv_port = atoi(token);
++                              if(serv_port == 0 && strcmp(token, "0") != 0) {
++#ifdef HAVE_ENDSERVENT
++                                      endservent();
++#endif
++#ifdef HAVE_ENDPROTOENT
++                                      endprotoent();
++#endif
++                                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX,
++                                              sldns_buffer_position(&strbuf));
++                              }
++                              if(serv_port < 0 || serv_port > 65535) {
++#ifdef HAVE_ENDSERVENT
++                                      endservent();
++#endif
++#ifdef HAVE_ENDPROTOENT
++                                      endprotoent();
++#endif
++                                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX,
++                                              sldns_buffer_position(&strbuf));
++                              }
++                      }
++                      if(rd_len < 1+serv_port/8+1) {
++                              /* bitmap is larger, init new bytes at 0 */
++                              if(*len < 1+(size_t)serv_port/8+1) {
++#ifdef HAVE_ENDSERVENT
++                                      endservent();
++#endif
++#ifdef HAVE_ENDPROTOENT
++                                      endprotoent();
++#endif
++                                      return RET_ERR(
++                                      LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                                      sldns_buffer_position(&strbuf));
++                              }
++                              memset(rd+rd_len, 0, 1+(size_t)serv_port/8+1-rd_len);
++                              rd_len = 1+serv_port/8+1;
++                      }
++                      rd[1+ serv_port/8] |= (1 << (7 - serv_port % 8));
++              }
++      }
++      *len = (size_t)rd_len;
++
++#ifdef HAVE_ENDSERVENT
++      endservent();
++#endif
++#ifdef HAVE_ENDPROTOENT
++      endprotoent();
++#endif
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_nsap_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char* s = str;
++      size_t slen;
++      size_t dlen = 0; /* number of hexdigits parsed */
++
++      /* just a hex string with optional dots? */
++      if (s[0] != '0' || s[1] != 'x')
++              return LDNS_WIREPARSE_ERR_INVALID_STR;
++      s += 2;
++      slen = strlen(s);
++      if(slen > LDNS_MAX_RDFLEN*2)
++              return LDNS_WIREPARSE_ERR_LABEL_OVERFLOW;
++      while(*s) {
++              if(isspace((unsigned char)*s) || *s == '.') {
++                      s++;
++                      continue;
++              }
++              if(!isxdigit((unsigned char)*s))
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++              if(*len < dlen/2 + 1)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              s-str);
++              if((dlen&1)==0)
++                      rd[dlen/2] = (uint8_t)sldns_hexdigit_to_int(*s++) * 16;
++              else    rd[dlen/2] += sldns_hexdigit_to_int(*s++);
++              dlen++;
++      }
++      if((dlen&1)!=0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++      *len = dlen/2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_atma_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      const char* s = str;
++      size_t slen = strlen(str);
++      size_t dlen = 0; /* number of hexdigits parsed */
++
++      /* just a hex string with optional dots? */
++      /* notimpl e.164 format */
++      if(slen > LDNS_MAX_RDFLEN*2)
++              return LDNS_WIREPARSE_ERR_LABEL_OVERFLOW;
++      while(*s) {
++              if(isspace((unsigned char)*s) || *s == '.') {
++                      s++;
++                      continue;
++              }
++              if(!isxdigit((unsigned char)*s))
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++              if(*len < dlen/2 + 1)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                              s-str);
++              if((dlen&1)==0)
++                      rd[dlen/2] = (uint8_t)sldns_hexdigit_to_int(*s++) * 16;
++              else    rd[dlen/2] += sldns_hexdigit_to_int(*s++);
++              dlen++;
++      }
++      if((dlen&1)!=0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, s-str);
++      *len = dlen/2;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_ipseckey_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      size_t gwlen = 0, keylen = 0;
++      int s;
++      uint8_t gwtype;
++      char token[512];
++      sldns_buffer strbuf;
++      sldns_buffer_init_frm_data(&strbuf, (uint8_t*)str, strlen(str));
++
++      if(*len < 3)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      /* precedence */
++      if(sldns_bget_token(&strbuf, token, "\t\n ", sizeof(token)) <= 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                      sldns_buffer_position(&strbuf));
++      rd[0] = (uint8_t)atoi(token);
++      /* gateway_type */
++      if(sldns_bget_token(&strbuf, token, "\t\n ", sizeof(token)) <= 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                      sldns_buffer_position(&strbuf));
++      rd[1] = (uint8_t)atoi(token);
++      gwtype = rd[1];
++      /* algorithm */
++      if(sldns_bget_token(&strbuf, token, "\t\n ", sizeof(token)) <= 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                      sldns_buffer_position(&strbuf));
++      rd[2] = (uint8_t)atoi(token);
++
++      /* gateway */
++      if(sldns_bget_token(&strbuf, token, "\t\n ", sizeof(token)) <= 0)
++              return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                      sldns_buffer_position(&strbuf));
++      if(gwtype == 0) {
++              /* NOGATEWAY */
++              if(strcmp(token, ".") != 0)
++                      return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                              sldns_buffer_position(&strbuf));
++              gwlen = 0;
++      } else if(gwtype == 1) {
++              /* IP4 */
++              gwlen = *len - 3;
++              s = sldns_str2wire_a_buf(token, rd+3, &gwlen);
++              if(s) return RET_ERR_SHIFT(s, sldns_buffer_position(&strbuf));
++      } else if(gwtype == 2) {
++              /* IP6 */
++              gwlen = *len - 3;
++              s = sldns_str2wire_aaaa_buf(token, rd+3, &gwlen);
++              if(s) return RET_ERR_SHIFT(s, sldns_buffer_position(&strbuf));
++      } else if(gwtype == 3) {
++              /* DNAME */
++              gwlen = *len - 3;
++              s = sldns_str2wire_dname_buf(token, rd+3, &gwlen);
++              if(s) return RET_ERR_SHIFT(s, sldns_buffer_position(&strbuf));
++      } else {
++              /* unknown gateway type */
++              return RET_ERR(LDNS_WIREPARSE_ERR_INVALID_STR,
++                      sldns_buffer_position(&strbuf));
++      }
++      /* double check for size */
++      if(*len < 3 + gwlen)
++              return RET_ERR(LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL,
++                      sldns_buffer_position(&strbuf));
++
++      /* publickey in remainder of strbuf */
++      keylen = *len - 3 - gwlen;
++      s = sldns_str2wire_b64_buf((const char*)sldns_buffer_current(&strbuf),
++              rd+3+gwlen, &keylen);
++      if(s) return RET_ERR_SHIFT(s, sldns_buffer_position(&strbuf));
++
++      *len = 3 + gwlen + keylen;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_nsec3_salt_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      int i, salt_length_str = (int)strlen(str);
++      if (salt_length_str == 1 && str[0] == '-') {
++              salt_length_str = 0;
++      } else if (salt_length_str % 2 != 0) {
++              return LDNS_WIREPARSE_ERR_SYNTAX_HEX;
++      }
++      if (salt_length_str > 512)
++              return LDNS_WIREPARSE_ERR_SYNTAX_HEX;
++      if(*len < 1+(size_t)salt_length_str / 2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      rd[0] = (uint8_t) (salt_length_str / 2);
++      for (i = 0; i < salt_length_str; i += 2) {
++              if (isxdigit((unsigned char)str[i]) &&
++                      isxdigit((unsigned char)str[i+1])) {
++                      rd[1+i/2] = (uint8_t)(sldns_hexdigit_to_int(str[i])*16
++                              + sldns_hexdigit_to_int(str[i+1]));
++              } else {
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_HEX, i);
++              }
++      }
++      *len = 1 + (size_t)rd[0];
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_ilnp64_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      unsigned int a, b, c, d;
++      uint16_t shorts[4];
++      int l;
++      if(*len < sizeof(shorts))
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++
++      if (sscanf(str, "%4x:%4x:%4x:%4x%n", &a, &b, &c, &d, &l) != 4 ||
++                      l != (int)strlen(str) || /* more data to read */
++                      strpbrk(str, "+-")       /* signed hexes */
++                      )
++              return LDNS_WIREPARSE_ERR_SYNTAX_ILNP64;
++      shorts[0] = htons(a);
++      shorts[1] = htons(b);
++      shorts[2] = htons(c);
++      shorts[3] = htons(d);
++      memmove(rd, &shorts, sizeof(shorts));
++      *len = sizeof(shorts);
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_eui48_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      unsigned int a, b, c, d, e, f;
++      int l;
++
++      if(*len < 6)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      if (sscanf(str, "%2x-%2x-%2x-%2x-%2x-%2x%n",
++                      &a, &b, &c, &d, &e, &f, &l) != 6 ||
++                      l != (int)strlen(str))
++              return LDNS_WIREPARSE_ERR_SYNTAX_EUI48;
++      rd[0] = a;
++      rd[1] = b;
++      rd[2] = c;
++      rd[3] = d;
++      rd[4] = e;
++      rd[5] = f;
++      *len = 6;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_eui64_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      unsigned int a, b, c, d, e, f, g, h;
++      int l;
++
++      if(*len < 8)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      if (sscanf(str, "%2x-%2x-%2x-%2x-%2x-%2x-%2x-%2x%n",
++                      &a, &b, &c, &d, &e, &f, &g, &h, &l) != 8 ||
++                      l != (int)strlen(str))
++              return LDNS_WIREPARSE_ERR_SYNTAX_EUI64;
++      rd[0] = a;
++      rd[1] = b;
++      rd[2] = c;
++      rd[3] = d;
++      rd[4] = e;
++      rd[5] = f;
++      rd[6] = g;
++      rd[7] = h;
++      *len = 8;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_tag_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      size_t slen = strlen(str);
++      const char* ptr;
++
++      if (slen > 255)
++              return LDNS_WIREPARSE_ERR_SYNTAX_TAG;
++      if(*len < slen+1)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      for (ptr = str; *ptr; ptr++) {
++              if(!isalnum((unsigned char)*ptr))
++                      return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_TAG, ptr-str);
++      }
++      rd[0] = slen;
++      memmove(rd+1, str, slen);
++      *len = slen+1;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_long_str_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      uint8_t ch = 0;
++      const char* pstr = str;
++      size_t length = 0;
++
++      /* Fill data with parsed bytes */
++      while (sldns_parse_char(&ch, &pstr)) {
++              if(*len < length+1)
++                      return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++              rd[length++] = ch;
++      }
++      if(!pstr)
++              return LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE;
++      *len = length;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_hip_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      char* s, *end;
++      int e;
++      size_t hitlen, pklen = 0;
++      /* presentation format:
++       *      pk-algo HIThex pubkeybase64
++       * wireformat:
++       *      hitlen[1byte] pkalgo[1byte] pubkeylen[2byte] [hit] [pubkey] */
++      if(*len < 4)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++
++      /* read PK algorithm */
++      rd[1] = (uint8_t)strtol((char*)str, &s, 10);
++      if(*s != ' ')
++              return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX_INT, s-(char*)str);
++      s++;
++      while(*s == ' ')
++              s++;
++
++      /* read HIT hex tag */
++      /* zero terminate the tag (replace later) */
++      end = strchr(s, ' ');
++      if(!end) return RET_ERR(LDNS_WIREPARSE_ERR_SYNTAX, s-(char*)str);
++      *end = 0;
++      hitlen = *len - 4;
++      if((e = sldns_str2wire_hex_buf(s, rd+4, &hitlen)) != 0) {
++              *end = ' ';
++              return RET_ERR_SHIFT(e, s-(char*)str);
++      }
++      if(hitlen > 255) {
++              *end = ' ';
++              return RET_ERR(LDNS_WIREPARSE_ERR_LABEL_OVERFLOW, s-(char*)str+255*2);
++      }
++      rd[0] = (uint8_t)hitlen;
++      *end = ' ';
++      s = end+1;
++
++      /* read pubkey base64 sequence */
++      pklen = *len - 4 - hitlen;
++      if((e = sldns_str2wire_b64_buf(s, rd+4+hitlen, &pklen)) != 0)
++              return RET_ERR_SHIFT(e, s-(char*)str);
++      if(pklen > 65535)
++              return RET_ERR(LDNS_WIREPARSE_ERR_LABEL_OVERFLOW, s-(char*)str+65535);
++      sldns_write_uint16(rd+2, pklen);
++
++      *len = 4 + hitlen + pklen;
++      return LDNS_WIREPARSE_ERR_OK;
++}
++
++int sldns_str2wire_int16_data_buf(const char* str, uint8_t* rd, size_t* len)
++{
++      size_t sz = sldns_b64_pton_calculate_size(strlen(str));
++      int n;
++      if(*len < sz+2)
++              return LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL;
++      if(sz > 65535)
++              return LDNS_WIREPARSE_ERR_LABEL_OVERFLOW;
++      n = sldns_b64_pton(str, rd+2, (*len)-2);
++      if(n < 0)
++              return LDNS_WIREPARSE_ERR_SYNTAX_B64;
++      sldns_write_uint16(rd, (uint16_t)n);
++      *len = (size_t)n;
++      return LDNS_WIREPARSE_ERR_OK;
++}
diff --cc contrib/unbound/sldns/str2wire.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..527074a15b818d2ba609a22fbae95d56b4fa75fe
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/str2wire.h
@@@ -1,0 -1,0 +1,541 @@@
++/**
++ * str2wire.h -  read txt presentation of RRs
++ *
++ * (c) NLnet Labs, 2005-2006
++ *
++ * See the file LICENSE for the license
++ */
++
++/**
++ * \file
++ *
++ * Parses text to wireformat.
++ */
++
++#ifndef LDNS_STR2WIRE_H
++#define LDNS_STR2WIRE_H
++
++/* include rrdef for MAX_DOMAINLEN constant */
++#include <sldns/rrdef.h>
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++struct sldns_struct_lookup_table;
++
++/** buffer to read an RR, cannot be larger than 64K because of packet size */
++#define LDNS_RR_BUF_SIZE 65535 /* bytes */
++#define LDNS_DEFAULT_TTL      3600
++
++/*
++ * To convert class and type to string see
++ * sldns_get_rr_class_by_name(str)
++ * sldns_get_rr_type_by_name(str)
++ * from rrdef.h
++ */
++
++/**
++ * Convert text string into dname wireformat, mallocless, with user buffer.
++ * @param str: the text string with the domain name.
++ * @param buf: the result buffer, suggested size LDNS_MAX_DOMAINLEN+1
++ * @param len: length of the buffer on input, length of the result on output.
++ * @return 0 on success, otherwise an error.
++ */
++int sldns_str2wire_dname_buf(const char* str, uint8_t* buf, size_t* len);
++
++/**
++ * Same as sldns_str2wire_dname_buf, but concatenates origin if the domain
++ * name is relative (does not end in '.').
++ * @param str: the text string with the domain name.
++ * @param buf: the result buffer, suggested size LDNS_MAX_DOMAINLEN+1
++ * @param len: length of the buffer on input, length of the result on output.
++ * @param origin: the origin to append or NULL (nothing is appended).
++ * @param origin_len: length of origin.
++ * @return 0 on success, otherwise an error.
++ */
++int sldns_str2wire_dname_buf_origin(const char* str, uint8_t* buf, size_t* len,
++      uint8_t* origin, size_t origin_len);
++
++/**
++ * Convert text string into dname wireformat
++ * @param str: the text string with the domain name.
++ * @param len: returned length of wireformat.
++ * @return wireformat dname (malloced) or NULL on failure.
++ */
++uint8_t* sldns_str2wire_dname(const char* str, size_t* len);
++
++/**
++ * Convert text RR to wireformat, with user buffer.
++ * @param str: the RR data in text presentation format.
++ * @param rr: the buffer where the result is stored into.  This buffer has
++ *    the wire-dname(uncompressed), type, class, ttl, rdatalen, rdata.
++ *    These values are probably not aligned, and in network format.
++ *    Use the sldns_wirerr_get_xxx functions to access them safely.
++ *    buffer size LDNS_RR_BUF_SIZE is suggested.
++ * @param len: on input the length of the buffer, on output the amount of
++ *    the buffer used for the rr.
++ * @param dname_len: if non-NULL, filled with the dname length as result.
++ *    Because after the dname you find the type, class, ttl, rdatalen, rdata.
++ * @param default_ttl: TTL used if no TTL available.
++ * @param origin: used for origin dname (if not NULL)
++ * @param origin_len: length of origin.
++ * @param prev: used for prev_rr dname (if not NULL)
++ * @param prev_len: length of prev.
++ * @return 0 on success, an error on failure.
++ */
++int sldns_str2wire_rr_buf(const char* str, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint32_t default_ttl, uint8_t* origin,
++      size_t origin_len, uint8_t* prev, size_t prev_len);
++
++/**
++ * Same as sldns_str2wire_rr_buf, but there is no rdata, it returns an RR
++ * with zero rdata and no ttl.  It has name, type, class.
++ * You can access those with the sldns_wirerr_get_type and class functions.
++ * @param str: the RR data in text presentation format.
++ * @param rr: the buffer where the result is stored into.
++ * @param len: on input the length of the buffer, on output the amount of
++ *    the buffer used for the rr.
++ * @param dname_len: if non-NULL, filled with the dname length as result.
++ *    Because after the dname you find the type, class, ttl, rdatalen, rdata.
++ * @param origin: used for origin dname (if not NULL)
++ * @param origin_len: length of origin.
++ * @param prev: used for prev_rr dname (if not NULL)
++ * @param prev_len: length of prev.
++ * @return 0 on success, an error on failure.
++ */
++int sldns_str2wire_rr_question_buf(const char* str, uint8_t* rr, size_t* len,
++      size_t* dname_len, uint8_t* origin, size_t origin_len, uint8_t* prev,
++      size_t prev_len);
++
++/**
++ * Get the type of the RR.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return type in host byteorder
++ */
++uint16_t sldns_wirerr_get_type(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Get the class of the RR.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return class in host byteorder
++ */
++uint16_t sldns_wirerr_get_class(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Get the ttl of the RR.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return ttl in host byteorder
++ */
++uint32_t sldns_wirerr_get_ttl(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Get the rdata length of the RR.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return rdata length in host byteorder
++ *    If the rdata length is larger than the rr-len allows, it is truncated.
++ *    So, that it is safe to read the data length returned
++ *    from this function from the rdata pointer of sldns_wirerr_get_rdata.
++ */
++uint16_t sldns_wirerr_get_rdatalen(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Get the rdata pointer of the RR.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return rdata pointer
++ */
++uint8_t* sldns_wirerr_get_rdata(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Get the rdata pointer of the RR. prefixed with rdata length.
++ * @param rr: the RR in wire format.
++ * @param len: rr length.
++ * @param dname_len: dname length to skip.
++ * @return pointer to rdatalength, followed by the rdata.
++ */
++uint8_t* sldns_wirerr_get_rdatawl(uint8_t* rr, size_t len, size_t dname_len);
++
++/**
++ * Parse result codes
++ */
++#define LDNS_WIREPARSE_MASK 0x0fff
++#define LDNS_WIREPARSE_SHIFT 12
++#define LDNS_WIREPARSE_ERROR(e) ((e)&LDNS_WIREPARSE_MASK)
++#define LDNS_WIREPARSE_OFFSET(e) (((e)&~LDNS_WIREPARSE_MASK)>>LDNS_WIREPARSE_SHIFT)
++/* use lookuptable to get error string, sldns_wireparse_errors */
++#define LDNS_WIREPARSE_ERR_OK 0
++#define LDNS_WIREPARSE_ERR_GENERAL 342
++#define LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW 343
++#define LDNS_WIREPARSE_ERR_DOMAINNAME_UNDERFLOW 344
++#define LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL 345
++#define LDNS_WIREPARSE_ERR_LABEL_OVERFLOW 346
++#define LDNS_WIREPARSE_ERR_EMPTY_LABEL 347
++#define LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE 348
++#define LDNS_WIREPARSE_ERR_SYNTAX 349
++#define LDNS_WIREPARSE_ERR_SYNTAX_TTL 350
++#define LDNS_WIREPARSE_ERR_SYNTAX_TYPE 351
++#define LDNS_WIREPARSE_ERR_SYNTAX_CLASS 352
++#define LDNS_WIREPARSE_ERR_SYNTAX_RDATA 353
++#define LDNS_WIREPARSE_ERR_SYNTAX_MISSING_VALUE 354
++#define LDNS_WIREPARSE_ERR_INVALID_STR 355
++#define LDNS_WIREPARSE_ERR_SYNTAX_B64 356
++#define LDNS_WIREPARSE_ERR_SYNTAX_B32_EXT 357
++#define LDNS_WIREPARSE_ERR_SYNTAX_HEX 358
++#define LDNS_WIREPARSE_ERR_CERT_BAD_ALGORITHM 359
++#define LDNS_WIREPARSE_ERR_SYNTAX_TIME 360
++#define LDNS_WIREPARSE_ERR_SYNTAX_PERIOD 361
++#define LDNS_WIREPARSE_ERR_SYNTAX_ILNP64 362
++#define LDNS_WIREPARSE_ERR_SYNTAX_EUI48 363
++#define LDNS_WIREPARSE_ERR_SYNTAX_EUI64 364
++#define LDNS_WIREPARSE_ERR_SYNTAX_TAG 365
++#define LDNS_WIREPARSE_ERR_NOT_IMPL 366
++#define LDNS_WIREPARSE_ERR_SYNTAX_INT 367
++#define LDNS_WIREPARSE_ERR_SYNTAX_IP4 368
++#define LDNS_WIREPARSE_ERR_SYNTAX_IP6 369
++#define LDNS_WIREPARSE_ERR_SYNTAX_INTEGER_OVERFLOW 370
++#define LDNS_WIREPARSE_ERR_INCLUDE 371
++#define LDNS_WIREPARSE_ERR_PARENTHESIS 372
++
++/**
++ * Get reference to a constant string for the (parse) error.
++ * @param e: error return value
++ * @return string.
++ */
++const char* sldns_get_errorstr_parse(int e);
++
++/**
++ * wire parse state for parsing files
++ */
++struct sldns_file_parse_state {
++      /** the origin domain name, if len!=0. uncompressed wireformat */
++      uint8_t origin[LDNS_MAX_DOMAINLEN+1];
++      /** length of origin domain name, in bytes. 0 if not set. */
++      size_t origin_len;
++      /** the previous domain name, if len!=0. uncompressed wireformat*/
++      uint8_t prev_rr[LDNS_MAX_DOMAINLEN+1];
++      /** length of the previous domain name, in bytes. 0 if not set. */
++      size_t prev_rr_len;
++      /** default TTL, this is used if the text does not specify a TTL,
++       * host byteorder */
++      uint32_t default_ttl;
++      /** line number information */
++      int lineno;
++};
++
++/**
++ * Read one RR from zonefile with buffer for the data.
++ * @param in: file that is read from (one RR, multiple lines if it spans them).
++ * @param rr: this is malloced by the user and the result is stored here,
++ *    if an RR is read.  If no RR is read this is signalled with the
++ *    return len set to 0 (for ORIGIN, TTL directives).
++ * @param len: on input, the length of the rr buffer.  on output the rr len.
++ *    Buffer size of 64k should be enough.
++ * @param dname_len: returns the length of the dname initial part of the rr.
++ * @param parse_state: pass a pointer to user-allocated struct.
++ *    Contents are maintained by this function.
++ *    If you pass NULL then ORIGIN and TTL directives are not honored.
++ *    You can start out with a particular origin by pre-filling it.
++ *    otherwise, zero the structure before passing it.
++ *    lineno is incremented when a newline is passed by the parser,
++ *    you should initialize it at 1 at the start of the file.
++ * @return 0 on success, error on failure.
++ */
++int sldns_fp2wire_rr_buf(FILE* in, uint8_t* rr, size_t* len, size_t* dname_len,
++      struct sldns_file_parse_state* parse_state);
++
++/**
++ * Convert one rdf in rdata to wireformat and parse from string.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @param rdftype: the type of the rdf.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_rdf_buf(const char* str, uint8_t* rd, size_t* len,
++      sldns_rdf_type rdftype);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_INT8 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_int8_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_INT16 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_int16_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_INT32 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_int32_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_A from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_a_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_AAAA from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_aaaa_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_STR from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_str_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_APL from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_apl_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_B64 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_b64_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_B32_EXT from string to wireformat.
++ * And also LDNS_RDF_TYPE_NSEC3_NEXT_OWNER.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_b32_ext_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_HEX from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_hex_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_NSEC from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_nsec_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_TYPE from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_type_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_CLASS from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_class_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_CERT_ALG from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_cert_alg_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_ALG from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_alg_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_TIME from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_time_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_PERIOD from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_period_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_LOC from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_loc_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_WKS from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_wks_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_NSAP from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_nsap_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_ATMA from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_atma_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_IPSECKEY from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_ipseckey_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_NSEC3_SALT from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_nsec3_salt_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_ILNP64 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_ilnp64_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_EUI48 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_eui48_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_EUI64 from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_eui64_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_TAG from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_tag_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_LONG_STR from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_long_str_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_HIP from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_hip_buf(const char* str, uint8_t* rd, size_t* len);
++
++/**
++ * Convert rdf of type LDNS_RDF_TYPE_INT16_DATA from string to wireformat.
++ * @param str: the text to convert for this rdata element.
++ * @param rd: rdata buffer for the wireformat.
++ * @param len: length of rd buffer on input, used length on output.
++ * @return 0 on success, error on failure.
++ */
++int sldns_str2wire_int16_data_buf(const char* str, uint8_t* rd, size_t* len);
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_STR2WIRE_H */
diff --cc contrib/unbound/sldns/wire2str.c
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..cec3bc7b08da54c66713401317ebceeb9c7cfc46
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/wire2str.c
@@@ -1,0 -1,0 +1,1967 @@@
++/*
++ * wire2str.c
++ *
++ * conversion routines from the wire format
++ * to the presentation format (strings)
++ *
++ * (c) NLnet Labs, 2004-2006
++ *
++ * See the file LICENSE for the license
++ */
++/**
++ * \file
++ *
++ * Contains functions to translate the wireformat to text
++ * representation, as well as functions to print them.
++ */
++#include "config.h"
++#include "sldns/wire2str.h"
++#include "sldns/str2wire.h"
++#include "sldns/rrdef.h"
++#include "sldns/pkthdr.h"
++#include "sldns/parseutil.h"
++#include "sldns/sbuffer.h"
++#include "sldns/keyraw.h"
++#ifdef HAVE_TIME_H
++#include <time.h>
++#endif
++#include <sys/time.h>
++#include <stdarg.h>
++#include <ctype.h>
++#ifdef HAVE_NETDB_H
++#include <netdb.h>
++#endif
++
++/* lookup tables for standard DNS stuff  */
++/* Taken from RFC 2535, section 7.  */
++static sldns_lookup_table sldns_algorithms_data[] = {
++      { LDNS_RSAMD5, "RSAMD5" },
++      { LDNS_DH, "DH" },
++      { LDNS_DSA, "DSA" },
++      { LDNS_ECC, "ECC" },
++      { LDNS_RSASHA1, "RSASHA1" },
++      { LDNS_DSA_NSEC3, "DSA-NSEC3-SHA1" },
++      { LDNS_RSASHA1_NSEC3, "RSASHA1-NSEC3-SHA1" },
++      { LDNS_RSASHA256, "RSASHA256"},
++      { LDNS_RSASHA512, "RSASHA512"},
++      { LDNS_ECC_GOST, "ECC-GOST"},
++      { LDNS_ECDSAP256SHA256, "ECDSAP256SHA256"},
++      { LDNS_ECDSAP384SHA384, "ECDSAP384SHA384"},
++      { LDNS_INDIRECT, "INDIRECT" },
++      { LDNS_PRIVATEDNS, "PRIVATEDNS" },
++      { LDNS_PRIVATEOID, "PRIVATEOID" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_algorithms = sldns_algorithms_data;
++
++/* hash algorithms in DS record */
++static sldns_lookup_table sldns_hashes_data[] = {
++      { LDNS_SHA1, "SHA1" },
++      { LDNS_SHA256, "SHA256" },
++      { LDNS_HASH_GOST, "HASH-GOST" },
++      { LDNS_SHA384, "SHA384" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_hashes = sldns_hashes_data;
++
++/* Taken from RFC 4398  */
++static sldns_lookup_table sldns_cert_algorithms_data[] = {
++      { LDNS_CERT_PKIX, "PKIX" },
++      { LDNS_CERT_SPKI, "SPKI" },
++      { LDNS_CERT_PGP, "PGP" },
++      { LDNS_CERT_IPKIX, "IPKIX" },
++      { LDNS_CERT_ISPKI, "ISPKI" },
++      { LDNS_CERT_IPGP, "IPGP" },
++      { LDNS_CERT_ACPKIX, "ACPKIX" },
++      { LDNS_CERT_IACPKIX, "IACPKIX" },
++      { LDNS_CERT_URI, "URI" },
++      { LDNS_CERT_OID, "OID" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_cert_algorithms = sldns_cert_algorithms_data;
++
++/* if these are used elsewhere */
++static sldns_lookup_table sldns_rcodes_data[] = {
++      { LDNS_RCODE_NOERROR, "NOERROR" },
++      { LDNS_RCODE_FORMERR, "FORMERR" },
++      { LDNS_RCODE_SERVFAIL, "SERVFAIL" },
++      { LDNS_RCODE_NXDOMAIN, "NXDOMAIN" },
++      { LDNS_RCODE_NOTIMPL, "NOTIMPL" },
++      { LDNS_RCODE_REFUSED, "REFUSED" },
++      { LDNS_RCODE_YXDOMAIN, "YXDOMAIN" },
++      { LDNS_RCODE_YXRRSET, "YXRRSET" },
++      { LDNS_RCODE_NXRRSET, "NXRRSET" },
++      { LDNS_RCODE_NOTAUTH, "NOTAUTH" },
++      { LDNS_RCODE_NOTZONE, "NOTZONE" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_rcodes = sldns_rcodes_data;
++
++static sldns_lookup_table sldns_opcodes_data[] = {
++      { LDNS_PACKET_QUERY, "QUERY" },
++      { LDNS_PACKET_IQUERY, "IQUERY" },
++      { LDNS_PACKET_STATUS, "STATUS" },
++      { LDNS_PACKET_NOTIFY, "NOTIFY" },
++      { LDNS_PACKET_UPDATE, "UPDATE" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_opcodes = sldns_opcodes_data;
++
++static sldns_lookup_table sldns_wireparse_errors_data[] = {
++      { LDNS_WIREPARSE_ERR_OK, "no parse error" },
++      { LDNS_WIREPARSE_ERR_GENERAL, "parse error" },
++      { LDNS_WIREPARSE_ERR_DOMAINNAME_OVERFLOW, "Domainname length overflow" },
++      { LDNS_WIREPARSE_ERR_DOMAINNAME_UNDERFLOW, "Domainname length underflow (zero length)" },
++      { LDNS_WIREPARSE_ERR_BUFFER_TOO_SMALL, "buffer too small" },
++      { LDNS_WIREPARSE_ERR_LABEL_OVERFLOW, "Label length overflow" },
++      { LDNS_WIREPARSE_ERR_EMPTY_LABEL, "Empty label" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_BAD_ESCAPE, "Syntax error, bad escape sequence" },
++      { LDNS_WIREPARSE_ERR_SYNTAX, "Syntax error, could not parse the RR" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_TTL, "Syntax error, could not parse the RR's TTL" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_TYPE, "Syntax error, could not parse the RR's type" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_CLASS, "Syntax error, could not parse the RR's class" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_RDATA, "Syntax error, could not parse the RR's rdata" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_MISSING_VALUE, "Syntax error, value expected" },
++      { LDNS_WIREPARSE_ERR_INVALID_STR, "Conversion error, string expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_B64, "Conversion error, b64 encoding expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_B32_EXT, "Conversion error, b32 ext encoding expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_HEX, "Conversion error, hex encoding expected" },
++      { LDNS_WIREPARSE_ERR_CERT_BAD_ALGORITHM, "Bad algorithm type for CERT record" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_TIME, "Conversion error, time encoding expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_PERIOD, "Conversion error, time period encoding expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_ILNP64, "Conversion error, 4 colon separated hex numbers expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_EUI48,
++              "Conversion error, 6 two character hex numbers "
++              "separated by dashes expected (i.e. xx-xx-xx-xx-xx-xx" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_EUI64,
++              "Conversion error, 8 two character hex numbers "
++              "separated by dashes expected (i.e. xx-xx-xx-xx-xx-xx-xx-xx" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_TAG,
++              "Conversion error, a non-zero sequence of US-ASCII letters "
++              "and numbers in lower case expected" },
++      { LDNS_WIREPARSE_ERR_NOT_IMPL, "not implemented" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_INT, "Conversion error, integer expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_IP4, "Conversion error, ip4 addr expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_IP6, "Conversion error, ip6 addr expected" },
++      { LDNS_WIREPARSE_ERR_SYNTAX_INTEGER_OVERFLOW, "Syntax error, integer overflow" },
++      { LDNS_WIREPARSE_ERR_INCLUDE, "$INCLUDE directive was seen in the zone" },
++      { LDNS_WIREPARSE_ERR_PARENTHESIS, "Parse error, parenthesis mismatch" },
++      { 0, NULL }
++};
++sldns_lookup_table* sldns_wireparse_errors = sldns_wireparse_errors_data;
++
++static sldns_lookup_table sldns_edns_flags_data[] = {
++      { 3600, "do"},
++      { 0, NULL}
++};
++sldns_lookup_table* sldns_edns_flags = sldns_edns_flags_data;
++
++static sldns_lookup_table sldns_edns_options_data[] = {
++      { 1, "LLQ" },
++      { 2, "UL" },
++      { 3, "NSID" },
++      /* 4 draft-cheshire-edns0-owner-option */
++      { 5, "DAU" },
++      { 6, "DHU" },
++      { 7, "N3U" },
++      { 8, "edns-client-subnet" },
++      { 0, NULL}
++};
++sldns_lookup_table* sldns_edns_options = sldns_edns_options_data;
++
++char* sldns_wire2str_pkt(uint8_t* data, size_t len)
++{
++      size_t slen = (size_t)sldns_wire2str_pkt_buf(data, len, NULL, 0);
++      char* result = (char*)malloc(slen+1);
++      if(!result) return NULL;
++      sldns_wire2str_pkt_buf(data, len, result, slen+1);
++      return result;
++}
++
++char* sldns_wire2str_rr(uint8_t* rr, size_t len)
++{
++      size_t slen = (size_t)sldns_wire2str_rr_buf(rr, len, NULL, 0);
++      char* result = (char*)malloc(slen+1);
++      if(!result) return NULL;
++      sldns_wire2str_rr_buf(rr, len, result, slen+1);
++      return result;
++}
++
++char* sldns_wire2str_type(uint16_t rrtype)
++{
++      char buf[16];
++      sldns_wire2str_type_buf(rrtype, buf, sizeof(buf));
++      return strdup(buf);
++}
++
++char* sldns_wire2str_class(uint16_t rrclass)
++{
++      char buf[16];
++      sldns_wire2str_class_buf(rrclass, buf, sizeof(buf));
++      return strdup(buf);
++}
++
++char* sldns_wire2str_dname(uint8_t* dname, size_t dname_len)
++{
++      size_t slen=(size_t)sldns_wire2str_dname_buf(dname, dname_len, NULL, 0);
++      char* result = (char*)malloc(slen+1);
++      if(!result) return NULL;
++      sldns_wire2str_dname_buf(dname, dname_len, result, slen+1);
++      return result;
++}
++
++char* sldns_wire2str_rcode(int rcode)
++{
++      char buf[16];
++      sldns_wire2str_rcode_buf(rcode, buf, sizeof(buf));
++      return strdup(buf);
++}
++
++int sldns_wire2str_pkt_buf(uint8_t* d, size_t dlen, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_pkt_scan(&d, &dlen, &s, &slen);
++}
++
++int sldns_wire2str_rr_buf(uint8_t* d, size_t dlen, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_rr_scan(&d, &dlen, &s, &slen, NULL, 0);
++}
++
++int sldns_wire2str_rdata_buf(uint8_t* rdata, size_t rdata_len, char* str,
++      size_t str_len, uint16_t rrtype)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_rdata_scan(&rdata, &rdata_len, &str, &str_len,
++              rrtype, NULL, 0);
++}
++
++int sldns_wire2str_rr_unknown_buf(uint8_t* d, size_t dlen, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_rr_unknown_scan(&d, &dlen, &s, &slen, NULL, 0);
++}
++
++int sldns_wire2str_rr_comment_buf(uint8_t* rr, size_t rrlen, size_t dname_len,
++      char* s, size_t slen)
++{
++      uint16_t rrtype = sldns_wirerr_get_type(rr, rrlen, dname_len);
++      return sldns_wire2str_rr_comment_print(&s, &slen, rr, rrlen, dname_len,
++              rrtype);
++}
++
++int sldns_wire2str_type_buf(uint16_t rrtype, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_type_print(&s, &slen, rrtype);
++}
++
++int sldns_wire2str_class_buf(uint16_t rrclass, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_class_print(&s, &slen, rrclass);
++}
++
++int sldns_wire2str_rcode_buf(int rcode, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_rcode_print(&s, &slen, rcode);
++}
++
++int sldns_wire2str_dname_buf(uint8_t* d, size_t dlen, char* s, size_t slen)
++{
++      /* use arguments as temporary variables */
++      return sldns_wire2str_dname_scan(&d, &dlen, &s, &slen, NULL, 0);
++}
++
++int sldns_str_vprint(char** str, size_t* slen, const char* format, va_list args)
++{
++      int w = vsnprintf(*str, *slen, format, args);
++      if(w < 0) {
++              /* error in printout */
++              return 0;
++      } else if((size_t)w >= *slen) {
++              *str = NULL; /* we do not want str to point outside of buffer*/
++              *slen = 0;
++      } else {
++              *str += w;
++              *slen -= w;
++      }
++      return w;
++}
++
++int sldns_str_print(char** str, size_t* slen, const char* format, ...)
++{
++      int w;
++      va_list args;
++      va_start(args, format);
++      w = sldns_str_vprint(str, slen, format, args);
++      va_end(args);
++      return w;
++}
++
++/** print hex format into text buffer for specified length */
++static int print_hex_buf(char** s, size_t* slen, uint8_t* buf, size_t len)
++{
++      const char* hex = "0123456789ABCDEF";
++      size_t i;
++      for(i=0; i<len; i++) {
++              (void)sldns_str_print(s, slen, "%c%c", hex[(buf[i]&0xf0)>>4],
++                      hex[buf[i]&0x0f]);
++      }
++      return (int)len*2;
++}
++
++/** print remainder of buffer in hex format with prefixed text */
++static int print_remainder_hex(const char* pref, uint8_t** d, size_t* dlen,
++      char** s, size_t* slen)
++{
++      int w = 0;
++      w += sldns_str_print(s, slen, "%s", pref);
++      w += print_hex_buf(s, slen, *d, *dlen);
++      *d += *dlen;
++      *dlen = 0;
++      return w;
++}
++
++int sldns_wire2str_pkt_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen)
++{
++      int w = 0;
++      unsigned qdcount, ancount, nscount, arcount, i;
++      uint8_t* pkt = *d;
++      size_t pktlen = *dlen;
++      if(*dlen >= LDNS_HEADER_SIZE) {
++              qdcount = (unsigned)LDNS_QDCOUNT(*d);
++              ancount = (unsigned)LDNS_ANCOUNT(*d);
++              nscount = (unsigned)LDNS_NSCOUNT(*d);
++              arcount = (unsigned)LDNS_ARCOUNT(*d);
++      } else {
++              qdcount = ancount = nscount = arcount = 0;
++      }
++      w += sldns_wire2str_header_scan(d, dlen, s, slen);
++      w += sldns_str_print(s, slen, "\n");
++      w += sldns_str_print(s, slen, ";; QUESTION SECTION:\n");
++      for(i=0; i<qdcount; i++) {
++              w += sldns_wire2str_rrquestion_scan(d, dlen, s, slen,
++                      pkt, pktlen);
++              if(!*dlen) break;
++      }
++      w += sldns_str_print(s, slen, "\n");
++      w += sldns_str_print(s, slen, ";; ANSWER SECTION:\n");
++      for(i=0; i<ancount; i++) {
++              w += sldns_wire2str_rr_scan(d, dlen, s, slen, pkt, pktlen);
++              if(!*dlen) break;
++      }
++      w += sldns_str_print(s, slen, "\n");
++      w += sldns_str_print(s, slen, ";; AUTHORITY SECTION:\n");
++      for(i=0; i<nscount; i++) {
++              w += sldns_wire2str_rr_scan(d, dlen, s, slen, pkt, pktlen);
++              if(!*dlen) break;
++      }
++      w += sldns_str_print(s, slen, "\n");
++      w += sldns_str_print(s, slen, ";; ADDITIONAL SECTION:\n");
++      for(i=0; i<arcount; i++) {
++              w += sldns_wire2str_rr_scan(d, dlen, s, slen, pkt, pktlen);
++              if(!*dlen) break;
++      }
++      /* other fields: WHEN(time), SERVER(IP) not available here. */
++      w += sldns_str_print(s, slen, ";; MSG SIZE  rcvd: %d\n", (int)pktlen);
++      if(*dlen > 0) {
++              w += print_remainder_hex(";; trailing garbage 0x",
++                      d, dlen, s, slen);
++              w += sldns_str_print(s, slen, "\n");
++      }
++      return w;
++}
++
++/** scan type, class and ttl and printout, for rr */
++static int sldns_rr_tcttl_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w = 0;
++      uint16_t t, c;
++      uint32_t ttl;
++      if(*dl < 8) {
++              if(*dl < 4)
++                      return w + print_remainder_hex("; Error malformed 0x",
++                              d, dl, s, sl);
++              /* these print values or 0x.. if none left */
++              t = sldns_read_uint16(*d);
++              c = sldns_read_uint16((*d)+2);
++              (*d)+=4;
++              (*dl)-=4;
++              w += sldns_wire2str_class_print(s, sl, c);
++              w += sldns_str_print(s, sl, "\t");
++              w += sldns_wire2str_type_print(s, sl, t);
++              if(*dl == 0)
++                      return w + sldns_str_print(s, sl, "; Error no ttl");
++              return w + print_remainder_hex(
++                      "; Error malformed ttl 0x", d, dl, s, sl);
++      }
++      t = sldns_read_uint16(*d);
++      c = sldns_read_uint16((*d)+2);
++      ttl = sldns_read_uint32((*d)+4);
++      (*d)+=8;
++      (*dl)-=8;
++      w += sldns_str_print(s, sl, "%lu\t", (unsigned long)ttl);
++      w += sldns_wire2str_class_print(s, sl, c);
++      w += sldns_str_print(s, sl, "\t");
++      w += sldns_wire2str_type_print(s, sl, t);
++      return w;
++}
++
++int sldns_wire2str_rr_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen,
++      uint8_t* pkt, size_t pktlen)
++{
++      int w = 0;
++      uint8_t* rr = *d;
++      size_t rrlen = *dlen, dname_off, rdlen, ordlen;
++      uint16_t rrtype = 0;
++      
++      if(*dlen >= 3 && (*d)[0]==0 &&
++              sldns_read_uint16((*d)+1)==LDNS_RR_TYPE_OPT) {
++              /* perform EDNS OPT processing */
++              return sldns_wire2str_edns_scan(d, dlen, s, slen, pkt, pktlen);
++      }
++
++      /* try to scan the rdata with pretty-printing, but if that fails, then
++       * scan the rdata as an unknown RR type */
++      w += sldns_wire2str_dname_scan(d, dlen, s, slen, pkt, pktlen);
++      w += sldns_str_print(s, slen, "\t");
++      dname_off = rrlen-(*dlen);
++      if(*dlen == 4) {
++              /* like a question-RR */
++              uint16_t t = sldns_read_uint16(*d);
++              uint16_t c = sldns_read_uint16((*d)+2);
++              (*d)+=4;
++              (*dlen)-=4;
++              w += sldns_wire2str_class_print(s, slen, c);
++              w += sldns_str_print(s, slen, "\t");
++              w += sldns_wire2str_type_print(s, slen, t);
++              w += sldns_str_print(s, slen, " ; Error no ttl,rdata\n");
++              return w;
++      }
++      if(*dlen < 8) {
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, ";Error missing RR\n");
++              w += print_remainder_hex(";Error partial RR 0x", d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      rrtype = sldns_read_uint16(*d);
++      w += sldns_rr_tcttl_scan(d, dlen, s, slen);
++      w += sldns_str_print(s, slen, "\t");
++
++      /* rdata */
++      if(*dlen < 2) {
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, ";Error missing rdatalen\n");
++              w += print_remainder_hex(";Error missing rdatalen 0x",
++                      d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      rdlen = sldns_read_uint16(*d);
++      ordlen = rdlen;
++      (*d)+=2;
++      (*dlen)-=2;
++      if(*dlen < rdlen) {
++              w += sldns_str_print(s, slen, "\\# %u ", (unsigned)rdlen);
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, ";Error missing rdata\n");
++              w += print_remainder_hex(";Error partial rdata 0x", d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      w += sldns_wire2str_rdata_scan(d, &rdlen, s, slen, rrtype, pkt, pktlen);
++      (*dlen) -= (ordlen-rdlen);
++
++      /* default comment */
++      w += sldns_wire2str_rr_comment_print(s, slen, rr, rrlen, dname_off,
++              rrtype);
++      w += sldns_str_print(s, slen, "\n");
++      return w;
++}
++
++int sldns_wire2str_rrquestion_scan(uint8_t** d, size_t* dlen, char** s,
++      size_t* slen, uint8_t* pkt, size_t pktlen)
++{
++      int w = 0;
++      uint16_t t, c;
++      w += sldns_wire2str_dname_scan(d, dlen, s, slen, pkt, pktlen);
++      w += sldns_str_print(s, slen, "\t");
++      if(*dlen < 4) {
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, "Error malformed\n");
++              w += print_remainder_hex("Error malformed 0x", d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      t = sldns_read_uint16(*d);
++      c = sldns_read_uint16((*d)+2);
++      (*d)+=4;
++      (*dlen)-=4;
++      w += sldns_wire2str_class_print(s, slen, c);
++      w += sldns_str_print(s, slen, "\t");
++      w += sldns_wire2str_type_print(s, slen, t);
++      w += sldns_str_print(s, slen, "\n");
++      return w;
++}
++
++int sldns_wire2str_rr_unknown_scan(uint8_t** d, size_t* dlen, char** s,
++      size_t* slen, uint8_t* pkt, size_t pktlen)
++{
++      size_t rdlen, ordlen;
++      int w = 0;
++      w += sldns_wire2str_dname_scan(d, dlen, s, slen, pkt, pktlen);
++      w += sldns_str_print(s, slen, "\t");
++      w += sldns_rr_tcttl_scan(d, dlen, s, slen);
++      w += sldns_str_print(s, slen, "\t");
++      if(*dlen < 2) {
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, ";Error missing rdatalen\n");
++              w += print_remainder_hex(";Error missing rdatalen 0x",
++                      d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      rdlen = sldns_read_uint16(*d);
++      ordlen = rdlen;
++      (*d) += 2;
++      (*dlen) -= 2;
++      if(*dlen < rdlen) {
++              w += sldns_str_print(s, slen, "\\# %u ", (unsigned)rdlen);
++              if(*dlen == 0)
++                      return w + sldns_str_print(s, slen, ";Error missing rdata\n");
++              w += print_remainder_hex(";Error partial rdata 0x", d, dlen, s, slen);
++              return w + sldns_str_print(s, slen, "\n");
++      }
++      w += sldns_wire2str_rdata_unknown_scan(d, &rdlen, s, slen);
++      (*dlen) -= (ordlen-rdlen);
++      w += sldns_str_print(s, slen, "\n");
++      return w;
++}
++
++/** print rr comment for type DNSKEY */
++static int rr_comment_dnskey(char** s, size_t* slen, uint8_t* rr,
++      size_t rrlen, size_t dname_off)
++{
++      size_t rdlen;
++      uint8_t* rdata;
++      int flags, w = 0;
++      if(rrlen < dname_off + 10) return 0;
++      rdlen = sldns_read_uint16(rr+dname_off+8);
++      if(rrlen < dname_off + 10 + rdlen) return 0;
++      rdata = rr + dname_off + 10;
++      flags = (int)sldns_read_uint16(rdata);
++      w += sldns_str_print(s, slen, " ;{");
++
++      /* id */
++      w += sldns_str_print(s, slen, "id = %u",
++              sldns_calc_keytag_raw(rdata, rdlen));
++
++      /* flags */
++      if((flags&LDNS_KEY_ZONE_KEY)) {
++              if((flags&LDNS_KEY_SEP_KEY))
++                      w += sldns_str_print(s, slen, " (ksk)");
++              else    w += sldns_str_print(s, slen, " (zsk)");
++      }
++
++      /* keysize */
++      if(rdlen > 4) {
++              w += sldns_str_print(s, slen, ", ");
++              w += sldns_str_print(s, slen, "size = %db",
++                      (int)sldns_rr_dnskey_key_size_raw(
++                      (unsigned char*)rdata+4, rdlen-4, (int)(rdata[3])));
++      }
++
++      w += sldns_str_print(s, slen, "}");
++      return w;
++}
++
++/** print rr comment for type RRSIG */
++static int rr_comment_rrsig(char** s, size_t* slen, uint8_t* rr,
++      size_t rrlen, size_t dname_off)
++{
++      size_t rdlen;
++      uint8_t* rdata;
++      if(rrlen < dname_off + 10) return 0;
++      rdlen = sldns_read_uint16(rr+dname_off+8);
++      if(rrlen < dname_off + 10 + rdlen) return 0;
++      rdata = rr + dname_off + 10;
++      if(rdlen < 18) return 0;
++      return sldns_str_print(s, slen, " ;{id = %d}",
++              (int)sldns_read_uint16(rdata+16));
++}
++
++/** print rr comment for type NSEC3 */
++static int rr_comment_nsec3(char** s, size_t* slen, uint8_t* rr,
++      size_t rrlen, size_t dname_off)
++{
++      size_t rdlen;
++      uint8_t* rdata;
++      int w = 0;
++      if(rrlen < dname_off + 10) return 0;
++      rdlen = sldns_read_uint16(rr+dname_off+8);
++      if(rrlen < dname_off + 10 + rdlen) return 0;
++      rdata = rr + dname_off + 10;
++      if(rdlen < 2) return 0;
++      if((rdata[1] & LDNS_NSEC3_VARS_OPTOUT_MASK))
++              w += sldns_str_print(s, slen, " ;{flags: optout}");
++      return w;
++}
++
++int sldns_wire2str_rr_comment_print(char** s, size_t* slen, uint8_t* rr,
++      size_t rrlen, size_t dname_off, uint16_t rrtype)
++{
++      if(rrtype == LDNS_RR_TYPE_DNSKEY) {
++              return rr_comment_dnskey(s, slen, rr, rrlen, dname_off);
++      } else if(rrtype == LDNS_RR_TYPE_RRSIG) {
++              return rr_comment_rrsig(s, slen, rr, rrlen, dname_off);
++      } else if(rrtype == LDNS_RR_TYPE_NSEC3) {
++              return rr_comment_nsec3(s, slen, rr, rrlen, dname_off);
++      }
++      return 0;
++}
++
++int sldns_wire2str_header_scan(uint8_t** d, size_t* dlen, char** s,
++      size_t* slen)
++{
++      int w = 0;
++      int opcode, rcode;
++      w += sldns_str_print(s, slen, ";; ->>HEADER<<- ");
++      if(*dlen == 0)
++              return w+sldns_str_print(s, slen, "Error empty packet");
++      if(*dlen < 4)
++              return w+print_remainder_hex("Error header too short 0x", d, dlen, s, slen);
++      opcode = (int)LDNS_OPCODE_WIRE(*d);
++      rcode = (int)LDNS_RCODE_WIRE(*d);
++      w += sldns_str_print(s, slen, "opcode: ");
++      w += sldns_wire2str_opcode_print(s, slen, opcode);
++      w += sldns_str_print(s, slen, ", ");
++      w += sldns_str_print(s, slen, "rcode: ");
++      w += sldns_wire2str_rcode_print(s, slen, rcode);
++      w += sldns_str_print(s, slen, ", ");
++      w += sldns_str_print(s, slen, "id: %d\n", (int)LDNS_ID_WIRE(*d));
++      w += sldns_str_print(s, slen, ";; flags:");
++      if(LDNS_QR_WIRE(*d)) w += sldns_str_print(s, slen, " qr");
++      if(LDNS_AA_WIRE(*d)) w += sldns_str_print(s, slen, " aa");
++      if(LDNS_TC_WIRE(*d)) w += sldns_str_print(s, slen, " tc");
++      if(LDNS_RD_WIRE(*d)) w += sldns_str_print(s, slen, " rd");
++      if(LDNS_CD_WIRE(*d)) w += sldns_str_print(s, slen, " cd");
++      if(LDNS_RA_WIRE(*d)) w += sldns_str_print(s, slen, " ra");
++      if(LDNS_AD_WIRE(*d)) w += sldns_str_print(s, slen, " ad");
++      if(LDNS_Z_WIRE(*d))  w += sldns_str_print(s, slen, " z");
++      w += sldns_str_print(s, slen, " ; ");
++      if(*dlen < LDNS_HEADER_SIZE)
++              return w+print_remainder_hex("Error header too short 0x", d, dlen, s, slen);
++      w += sldns_str_print(s, slen, "QUERY: %d, ", (int)LDNS_QDCOUNT(*d));
++      w += sldns_str_print(s, slen, "ANSWER: %d, ", (int)LDNS_ANCOUNT(*d));
++      w += sldns_str_print(s, slen, "AUTHORITY: %d, ", (int)LDNS_NSCOUNT(*d));
++      w += sldns_str_print(s, slen, "ADDITIONAL: %d ", (int)LDNS_ARCOUNT(*d));
++      *d += LDNS_HEADER_SIZE;
++      *dlen -= LDNS_HEADER_SIZE;
++      return w;
++}
++
++int sldns_wire2str_rdata_scan(uint8_t** d, size_t* dlen, char** s,
++      size_t* slen, uint16_t rrtype, uint8_t* pkt, size_t pktlen)
++{
++      /* try to prettyprint, but if that fails, use unknown format */
++      uint8_t* origd = *d;
++      char* origs = *s;
++      size_t origdlen = *dlen, origslen = *slen;
++      uint16_t r_cnt, r_max;
++      sldns_rdf_type rdftype;
++      int w = 0, n;
++
++      const sldns_rr_descriptor *desc = sldns_rr_descript(rrtype);
++      if(!desc) /* unknown format */
++              return sldns_wire2str_rdata_unknown_scan(d, dlen, s, slen);
++      /* dlen equals the rdatalen for the rdata */
++
++      r_max = sldns_rr_descriptor_maximum(desc);
++      for(r_cnt=0; r_cnt < r_max; r_cnt++) {
++              if(*dlen == 0) {
++                      if(r_cnt < sldns_rr_descriptor_minimum(desc))
++                              goto failed;
++                      break; /* nothing more to print */
++              }
++              rdftype = sldns_rr_descriptor_field_type(desc, r_cnt);
++              if(r_cnt != 0)
++                      w += sldns_str_print(s, slen, " ");
++              n = sldns_wire2str_rdf_scan(d, dlen, s, slen, rdftype,
++                      pkt, pktlen);
++              if(n == -1) {
++              failed:
++                      /* failed, use unknown format */
++                      *d = origd; *s = origs;
++                      *dlen = origdlen; *slen = origslen;
++                      return sldns_wire2str_rdata_unknown_scan(d, dlen,
++                              s, slen);
++              }
++              w += n;
++      }
++      return w;
++}
++
++int sldns_wire2str_rdata_unknown_scan(uint8_t** d, size_t* dlen, char** s,
++      size_t* slen)
++{
++      int w = 0;
++
++      /* print length */
++      w += sldns_str_print(s, slen, "\\# %u", (unsigned)*dlen);
++
++      /* print rdlen in hex */
++      if(*dlen != 0)
++              w += sldns_str_print(s, slen, " ");
++      w += print_hex_buf(s, slen, *d, *dlen);
++      (*d) += *dlen;
++      (*dlen) = 0;
++      return w;
++}
++
++/** print and escape one character for a domain dname */
++static int dname_char_print(char** s, size_t* slen, uint8_t c)
++{
++      if(c == '.' || c == ';' || c == '(' || c == ')' || c == '\\')
++              return sldns_str_print(s, slen, "\\%c", c);
++      else if(!(isascii((unsigned char)c) && isgraph((unsigned char)c)))
++              return sldns_str_print(s, slen, "\\%03u", (unsigned)c);
++      /* plain printout */
++      if(*slen) {
++              **s = (char)c;
++              (*s)++;
++              (*slen)--;
++      }
++      return 1;
++}
++
++int sldns_wire2str_dname_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen,
++      uint8_t* pkt, size_t pktlen)
++{
++      int w = 0;
++      /* spool labels onto the string, use compression if its there */
++      uint8_t* pos = *d;
++      unsigned i, counter=0;
++      const unsigned maxcompr = 1000; /* loop detection, max compr ptrs */
++      int in_buf = 1;
++      if(*dlen == 0) return sldns_str_print(s, slen, "ErrorMissingDname");
++      if(*pos == 0) {
++              (*d)++;
++              (*dlen)--;
++              return sldns_str_print(s, slen, ".");
++      }
++      while(*pos) {
++              /* read label length */
++              uint8_t labellen = *pos++;
++              if(in_buf) { (*d)++; (*dlen)--; }
++
++              /* find out what sort of label we have */
++              if((labellen&0xc0) == 0xc0) {
++                      /* compressed */
++                      uint16_t target = 0;
++                      if(in_buf && *dlen == 0)
++                              return w + sldns_str_print(s, slen,
++                                      "ErrorPartialDname");
++                      else if(!in_buf && pos+1 > pkt+pktlen)
++                              return w + sldns_str_print(s, slen,
++                                      "ErrorPartialDname");
++                      target = ((labellen&0x3f)<<8) | *pos;
++                      if(in_buf) { (*d)++; (*dlen)--; }
++                      /* move to target, if possible */
++                      if(!pkt || target >= pktlen)
++                              return w + sldns_str_print(s, slen,
++                                      "ErrorComprPtrOutOfBounds");
++                      if(counter++ > maxcompr)
++                              return w + sldns_str_print(s, slen,
++                                      "ErrorComprPtrLooped");
++                      in_buf = 0;
++                      pos = pkt+target;
++                      continue;
++              } else if((labellen&0xc0)) {
++                      /* notimpl label type */
++                      w += sldns_str_print(s, slen,
++                              "ErrorLABELTYPE%xIsUnknown",
++                              (int)(labellen&0xc0));
++                      return w;
++              }
++
++              /* spool label characters, end with '.' */
++              if(in_buf && *dlen < labellen) labellen = *dlen;
++              else if(!in_buf && pos+labellen > pkt+pktlen)
++                      labellen = (uint8_t)(pkt + pktlen - pos);
++              for(i=0; i<(unsigned)labellen; i++) {
++                      w += dname_char_print(s, slen, *pos++);
++              }
++              if(in_buf) {
++                      (*d) += labellen;
++                      (*dlen) -= labellen;
++                      if(*dlen == 0) break;
++              }
++              w += sldns_str_print(s, slen, ".");
++      }
++      /* skip over final root label */
++      if(in_buf && *dlen > 0) { (*d)++; (*dlen)--; }
++      /* in case we printed no labels, terminate dname */
++      if(w == 0) w += sldns_str_print(s, slen, ".");
++      return w;
++}
++
++int sldns_wire2str_opcode_print(char** s, size_t* slen, int opcode)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_id(sldns_opcodes, opcode);
++      if (lt && lt->name) {
++              return sldns_str_print(s, slen, "%s", lt->name);
++      }
++      return sldns_str_print(s, slen, "OPCODE%u", (unsigned)opcode);
++}
++
++int sldns_wire2str_rcode_print(char** s, size_t* slen, int rcode)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_id(sldns_rcodes, rcode);
++      if (lt && lt->name) {
++              return sldns_str_print(s, slen, "%s", lt->name);
++      }
++      return sldns_str_print(s, slen, "RCODE%u", (unsigned)rcode);
++}
++
++int sldns_wire2str_class_print(char** s, size_t* slen, uint16_t rrclass)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_id(sldns_rr_classes,
++              (int)rrclass);
++      if (lt && lt->name) {
++              return sldns_str_print(s, slen, "%s", lt->name);
++      }
++      return sldns_str_print(s, slen, "CLASS%u", (unsigned)rrclass);
++}
++
++int sldns_wire2str_type_print(char** s, size_t* slen, uint16_t rrtype)
++{
++      const sldns_rr_descriptor *descriptor = sldns_rr_descript(rrtype);
++      if (descriptor && descriptor->_name) {
++              return sldns_str_print(s, slen, "%s", descriptor->_name);
++      }
++      return sldns_str_print(s, slen, "TYPE%u", (unsigned)rrtype);
++}
++
++int sldns_wire2str_edns_option_code_print(char** s, size_t* slen,
++      uint16_t opcode)
++{
++      sldns_lookup_table *lt = sldns_lookup_by_id(sldns_edns_options,
++              (int)opcode);
++      if (lt && lt->name) {
++              return sldns_str_print(s, slen, "%s", lt->name);
++      }
++      return sldns_str_print(s, slen, "OPT%u", (unsigned)opcode);
++}
++
++int sldns_wire2str_class_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen)
++{
++      uint16_t c;
++      if(*dlen == 0) return 0;
++      if(*dlen < 2) return print_remainder_hex("Error malformed 0x", d, dlen, s, slen);
++      c = sldns_read_uint16(*d);
++      (*d)+=2;
++      (*dlen)-=2;
++      return sldns_wire2str_class_print(s, slen, c);
++}
++
++int sldns_wire2str_type_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen)
++{
++      uint16_t t;
++      if(*dlen == 0) return 0;
++      if(*dlen < 2) return print_remainder_hex("Error malformed 0x", d, dlen, s, slen);
++      t = sldns_read_uint16(*d);
++      (*d)+=2;
++      (*dlen)-=2;
++      return sldns_wire2str_type_print(s, slen, t);
++}
++
++int sldns_wire2str_ttl_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen)
++{
++      uint32_t ttl;
++      if(*dlen == 0) return 0;
++      if(*dlen < 4) return print_remainder_hex("Error malformed 0x", d, dlen, s, slen);
++      ttl = sldns_read_uint32(*d);
++      (*d)+=4;
++      (*dlen)-=4;
++      return sldns_str_print(s, slen, "%u", (unsigned)ttl);
++}
++
++int sldns_wire2str_rdf_scan(uint8_t** d, size_t* dlen, char** s, size_t* slen,
++      int rdftype, uint8_t* pkt, size_t pktlen)
++{
++      if(*dlen == 0) return 0;
++      switch(rdftype) {
++      case LDNS_RDF_TYPE_NONE:
++              return 0;
++      case LDNS_RDF_TYPE_DNAME:
++              return sldns_wire2str_dname_scan(d, dlen, s, slen, pkt, pktlen);
++      case LDNS_RDF_TYPE_INT8:
++              return sldns_wire2str_int8_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_INT16:
++              return sldns_wire2str_int16_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_INT32:
++              return sldns_wire2str_int32_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_PERIOD:
++              return sldns_wire2str_period_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_TSIGTIME:
++              return sldns_wire2str_tsigtime_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_A:
++              return sldns_wire2str_a_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_AAAA:
++              return sldns_wire2str_aaaa_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_STR:
++              return sldns_wire2str_str_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_APL:
++              return sldns_wire2str_apl_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_B32_EXT:
++              return sldns_wire2str_b32_ext_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_B64:
++              return sldns_wire2str_b64_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_HEX:
++              return sldns_wire2str_hex_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_NSEC:
++              return sldns_wire2str_nsec_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_NSEC3_SALT:
++              return sldns_wire2str_nsec3_salt_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_TYPE:
++              return sldns_wire2str_type_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_CLASS:
++              return sldns_wire2str_class_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_CERT_ALG:
++              return sldns_wire2str_cert_alg_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_ALG:
++              return sldns_wire2str_alg_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_UNKNOWN:
++              return sldns_wire2str_unknown_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_TIME:
++              return sldns_wire2str_time_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_LOC:
++              return sldns_wire2str_loc_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_WKS:
++      case LDNS_RDF_TYPE_SERVICE:
++              return sldns_wire2str_wks_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_NSAP:
++              return sldns_wire2str_nsap_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_ATMA:
++              return sldns_wire2str_atma_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_IPSECKEY:
++              return sldns_wire2str_ipseckey_scan(d, dlen, s, slen, pkt,
++                      pktlen);
++      case LDNS_RDF_TYPE_HIP:
++              return sldns_wire2str_hip_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_INT16_DATA:
++              return sldns_wire2str_int16_data_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_NSEC3_NEXT_OWNER:
++              return sldns_wire2str_b32_ext_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_ILNP64:
++              return sldns_wire2str_ilnp64_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_EUI48:
++              return sldns_wire2str_eui48_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_EUI64:
++              return sldns_wire2str_eui64_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_TAG:
++              return sldns_wire2str_tag_scan(d, dlen, s, slen);
++      case LDNS_RDF_TYPE_LONG_STR:
++              return sldns_wire2str_long_str_scan(d, dlen, s, slen);
++      }
++      /* unknown rdf type */
++      return -1;
++}
++
++int sldns_wire2str_int8_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 1) return -1;
++      w = sldns_str_print(s, sl, "%u", (unsigned)**d);
++      (*d)++;
++      (*dl)--;
++      return w;
++}
++
++int sldns_wire2str_int16_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 2) return -1;
++      w = sldns_str_print(s, sl, "%lu", (unsigned long)sldns_read_uint16(*d));
++      (*d)+=2;
++      (*dl)-=2;
++      return w;
++}
++
++int sldns_wire2str_int32_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 4) return -1;
++      w = sldns_str_print(s, sl, "%lu", (unsigned long)sldns_read_uint32(*d));
++      (*d)+=4;
++      (*dl)-=4;
++      return w;
++}
++
++int sldns_wire2str_period_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 4) return -1;
++      w = sldns_str_print(s, sl, "%u", (unsigned)sldns_read_uint32(*d));
++      (*d)+=4;
++      (*dl)-=4;
++      return w;
++}
++
++int sldns_wire2str_tsigtime_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      /* tsigtime is 48 bits network order unsigned integer */
++      int w;
++      uint64_t tsigtime = 0;
++      uint64_t d0, d1, d2, d3, d4, d5;
++      if(*dl < 6) return -1;
++      d0 = (*d)[0]; /* cast to uint64 for shift operations */
++      d1 = (*d)[1];
++      d2 = (*d)[2];
++      d3 = (*d)[3];
++      d4 = (*d)[4];
++      d5 = (*d)[5];
++      tsigtime = (d0<<40) | (d1<<32) | (d2<<24) | (d3<<16) | (d4<<8) | d5;
++#ifndef USE_WINSOCK
++      w = sldns_str_print(s, sl, "%llu", (long long)tsigtime);
++#else
++      w = sldns_str_print(s, sl, "%I64u", (long long)tsigtime);
++#endif
++      (*d)+=6;
++      (*dl)-=6;
++      return w;
++}
++
++int sldns_wire2str_a_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      char buf[32];
++      int w;
++      if(*dl < 4) return -1;
++      if(!inet_ntop(AF_INET, *d, buf, (socklen_t)sizeof(buf)))
++              return -1;
++      w = sldns_str_print(s, sl, "%s", buf);
++      (*d)+=4;
++      (*dl)-=4;
++      return w;
++}
++
++int sldns_wire2str_aaaa_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++#ifdef AF_INET6
++      char buf[64];
++      int w;
++      if(*dl < 16) return -1;
++      if(!inet_ntop(AF_INET6, *d, buf, (socklen_t)sizeof(buf)))
++              return -1;
++      w = sldns_str_print(s, sl, "%s", buf);
++      (*d)+=16;
++      (*dl)-=16;
++      return w;
++#else
++      return -1;
++#endif
++}
++
++/** printout escaped TYPE_STR character */
++static int str_char_print(char** s, size_t* sl, uint8_t c)
++{
++      if(isprint((unsigned char)c) || c == '\t') {
++              if(c == '\"' || c == '\\')
++                      return sldns_str_print(s, sl, "\\%c", c);
++              if(*sl) {
++                      **s = (char)c;
++                      (*s)++;
++                      (*sl)--;
++              }
++              return 1;
++      }
++      return sldns_str_print(s, sl, "\\%03u", (unsigned)c);
++}
++
++int sldns_wire2str_str_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w = 0;
++      size_t i, len;
++      if(*dl < 1) return -1;
++      len = **d;
++      if(*dl < 1+len) return -1;
++      (*d)++;
++      (*dl)--;
++      w += sldns_str_print(s, sl, "\"");
++      for(i=0; i<len; i++)
++              w += str_char_print(s, sl, (*d)[i]);
++      w += sldns_str_print(s, sl, "\"");
++      (*d)+=len;
++      (*dl)-=len;
++      return w;
++}
++
++int sldns_wire2str_apl_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int i, w = 0;
++      uint16_t family;
++      uint8_t negation, prefix, adflength;
++      if(*dl < 4) return -1;
++      family = sldns_read_uint16(*d);
++      prefix = (*d)[2];
++      negation = ((*d)[3] & LDNS_APL_NEGATION);
++      adflength = ((*d)[3] & LDNS_APL_MASK);
++      if(*dl < 4+(size_t)adflength) return -1;
++      if(family != LDNS_APL_IP4 && family != LDNS_APL_IP6)
++              return -1; /* unknown address family */
++      if(negation)
++              w += sldns_str_print(s, sl, "!");
++      w += sldns_str_print(s, sl, "%u:", (unsigned)family);
++      if(family == LDNS_APL_IP4) {
++              /* check if prefix <32 ? */
++              /* address is variable length 0 - 4 */
++              for(i=0; i<4; i++) {
++                      if(i > 0)
++                              w += sldns_str_print(s, sl, ".");
++                      if(i < (int)adflength)
++                              w += sldns_str_print(s, sl, "%d", (*d)[4+i]);
++                      else    w += sldns_str_print(s, sl, "0");
++              }
++      } else if(family == LDNS_APL_IP6) {
++              /* check if prefix <128 ? */
++              /* address is variable length 0 - 16 */
++              for(i=0; i<16; i++) {
++                      if(i%2 == 0 && i>0)
++                              w += sldns_str_print(s, sl, ":");
++                      if(i < (int)adflength)
++                              w += sldns_str_print(s, sl, "%02x", (*d)[4+i]);
++                      else    w += sldns_str_print(s, sl, "00");
++              }
++      }
++      w += sldns_str_print(s, sl, "/%u", (unsigned)prefix);
++      (*d) += 4+adflength;
++      (*dl) -= 4+adflength;
++      return w;
++}
++
++int sldns_wire2str_b32_ext_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      size_t datalen;
++      size_t sz;
++      if(*dl < 1) return -1;
++      datalen = (*d)[0];
++      if(*dl < 1+datalen) return -1;
++      sz = sldns_b32_ntop_calculate_size(datalen);
++      if(*sl < sz+1) {
++              (*d) += datalen+1;
++              (*dl) -= (datalen+1);
++              return (int)sz; /* out of space really, but would need buffer
++                      in order to truncate the output */
++      }
++      sldns_b32_ntop_extended_hex((*d)+1, datalen, *s, *sl);
++      (*d) += datalen+1;
++      (*dl) -= (datalen+1);
++      (*s) += sz;
++      (*sl) -= sz;
++      return (int)sz;
++}
++
++/** scan number of bytes from wire into b64 presentation format */
++static int sldns_wire2str_b64_scan_num(uint8_t** d, size_t* dl, char** s,
++      size_t* sl, size_t num)
++{
++      /* b64_ntop_calculate size includes null at the end */
++      size_t sz = sldns_b64_ntop_calculate_size(num)-1;
++      if(*sl < sz+1) {
++              (*d) += num;
++              (*dl) -= num;
++              return (int)sz; /* out of space really, but would need buffer
++                      in order to truncate the output */
++      }
++      sldns_b64_ntop(*d, num, *s, *sl);
++      (*d) += num;
++      (*dl) -= num;
++      (*s) += sz;
++      (*sl) -= sz;
++      return (int)sz;
++}
++
++int sldns_wire2str_b64_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      return sldns_wire2str_b64_scan_num(d, dl, s, sl, *dl);
++}
++
++int sldns_wire2str_hex_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      return print_remainder_hex("", d, dl, s, sl);
++}
++
++int sldns_wire2str_nsec_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      uint8_t* p = *d;
++      size_t pl = *dl;
++      unsigned i, bit, window, block_len;
++      uint16_t t;
++      int w = 0;
++      
++      /* check for errors */
++      while(pl) {
++              if(pl < 2) return -1;
++              block_len = (unsigned)p[1];
++              if(pl < 2+block_len) return -1;
++              p += block_len+2;
++              pl -= block_len+2;
++      }
++
++      /* do it */
++      p = *d;
++      pl = *dl;
++      while(pl) {
++              if(pl < 2) return -1; /* cannot happen */
++              window = (unsigned)p[0];
++              block_len = (unsigned)p[1];
++              if(pl < 2+block_len) return -1; /* cannot happen */
++              p += 2;
++              for(i=0; i<block_len; i++) {
++                      if(p[i] == 0) continue;
++                      /* base type number for this octet */
++                      t = ((window)<<8) | (i << 3);
++                      for(bit=0; bit<8; bit++) {
++                              if((p[i]&(0x80>>bit))) {
++                                      if(w) w += sldns_str_print(s, sl, " ");
++                                      w += sldns_wire2str_type_print(s, sl,
++                                              t+bit);
++                              }
++                      }
++              }
++              p += block_len;
++              pl -= block_len+2;
++      }
++      (*d) += *dl;
++      (*dl) = 0;
++      return w;
++}
++
++int sldns_wire2str_nsec3_salt_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      size_t salt_len;
++      int w;
++      if(*dl < 1) return -1;
++      salt_len = (size_t)(*d)[0];
++      if(*dl < 1+salt_len) return -1;
++      (*d)++;
++      (*dl)--;
++      if(salt_len == 0) {
++              return sldns_str_print(s, sl, "-");
++      }
++      w = print_hex_buf(s, sl, *d, salt_len);
++      (*dl)-=salt_len;
++      (*d)+=salt_len;
++      return w;
++}
++
++int sldns_wire2str_cert_alg_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      sldns_lookup_table *lt;
++      int data, w;
++      if(*dl < 2) return -1;
++      data = (int)sldns_read_uint16(*d);
++      lt = sldns_lookup_by_id(sldns_cert_algorithms, data);
++      if(lt && lt->name)
++              w = sldns_str_print(s, sl, "%s", lt->name);
++      else    w = sldns_str_print(s, sl, "%d", data);
++      (*dl)-=2;
++      (*d)+=2;
++      return w;
++}
++
++int sldns_wire2str_alg_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      /* don't use algorithm mnemonics in the presentation format
++       * this kind of got sneaked into the rfc's */
++      return sldns_wire2str_int8_scan(d, dl, s, sl);
++}
++
++int sldns_wire2str_unknown_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      return sldns_wire2str_rdata_unknown_scan(d, dl, s, sl);
++}
++
++int sldns_wire2str_time_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      /* create a YYYYMMDDHHMMSS string if possible */
++      struct tm tm;
++      char date_buf[16];
++      uint32_t t;
++      memset(&tm, 0, sizeof(tm));
++      if(*dl < 4) return -1;
++      t = sldns_read_uint32(*d);
++      date_buf[15]=0;
++      if(sldns_serial_arithmitics_gmtime_r(t, time(NULL), &tm) &&
++              strftime(date_buf, 15, "%Y%m%d%H%M%S", &tm)) {
++              (*d) += 4;
++              (*dl) -= 4;
++              return sldns_str_print(s, sl, "%s", date_buf);
++      }
++      return -1;
++}
++
++static int
++loc_cm_print(char** str, size_t* sl, uint8_t mantissa, uint8_t exponent)
++{
++      int w = 0;
++      uint8_t i;
++      /* is it 0.<two digits> ? */
++      if(exponent < 2) {
++              if(exponent == 1)
++                      mantissa *= 10;
++              return sldns_str_print(str, sl, "0.%02ld", (long)mantissa);
++      }
++      /* always <digit><string of zeros> */
++      w += sldns_str_print(str, sl, "%d", (int)mantissa);
++      for(i=0; i<exponent-2; i++)
++              w += sldns_str_print(str, sl, "0");
++      return w;
++}
++
++int sldns_wire2str_loc_scan(uint8_t** d, size_t* dl, char** str, size_t* sl)
++{
++      /* we could do checking (ie degrees < 90 etc)? */
++      uint8_t version;
++      uint8_t size;
++      uint8_t horizontal_precision;
++      uint8_t vertical_precision;
++      uint32_t longitude;
++      uint32_t latitude;
++      uint32_t altitude;
++      char northerness;
++      char easterness;
++      uint32_t h;
++      uint32_t m;
++      double s;
++      uint32_t equator = (uint32_t)1 << 31; /* 2**31 */
++      int w = 0;
++
++      if(*dl < 16) return -1;
++      version = (*d)[0];
++      if(version != 0)
++              return sldns_wire2str_hex_scan(d, dl, str, sl);
++      size = (*d)[1];
++      horizontal_precision = (*d)[2];
++      vertical_precision = (*d)[3];
++
++      latitude = sldns_read_uint32((*d)+4);
++      longitude = sldns_read_uint32((*d)+8);
++      altitude = sldns_read_uint32((*d)+12);
++
++      if (latitude > equator) {
++              northerness = 'N';
++              latitude = latitude - equator;
++      } else {
++              northerness = 'S';
++              latitude = equator - latitude;
++      }
++      h = latitude / (1000 * 60 * 60);
++      latitude = latitude % (1000 * 60 * 60);
++      m = latitude / (1000 * 60);
++      latitude = latitude % (1000 * 60);
++      s = (double) latitude / 1000.0;
++      w += sldns_str_print(str, sl, "%02u %02u %06.3f %c ",
++              h, m, s, northerness);
++
++      if (longitude > equator) {
++              easterness = 'E';
++              longitude = longitude - equator;
++      } else {
++              easterness = 'W';
++              longitude = equator - longitude;
++      }
++      h = longitude / (1000 * 60 * 60);
++      longitude = longitude % (1000 * 60 * 60);
++      m = longitude / (1000 * 60);
++      longitude = longitude % (1000 * 60);
++      s = (double) longitude / (1000.0);
++      w += sldns_str_print(str, sl, "%02u %02u %06.3f %c ",
++              h, m, s, easterness);
++
++      s = ((double) altitude) / 100;
++      s -= 100000;
++
++      if(altitude%100 != 0)
++              w += sldns_str_print(str, sl, "%.2f", s);
++      else
++              w += sldns_str_print(str, sl, "%.0f", s);
++
++      w += sldns_str_print(str, sl, "m ");
++
++      w += loc_cm_print(str, sl, (size & 0xf0) >> 4, size & 0x0f);
++      w += sldns_str_print(str, sl, "m ");
++
++      w += loc_cm_print(str, sl, (horizontal_precision & 0xf0) >> 4,
++              horizontal_precision & 0x0f);
++      w += sldns_str_print(str, sl, "m ");
++
++      w += loc_cm_print(str, sl, (vertical_precision & 0xf0) >> 4,
++              vertical_precision & 0x0f);
++      w += sldns_str_print(str, sl, "m");
++
++      (*d)+=16;
++      (*dl)-=16;
++      return w;
++}
++
++int sldns_wire2str_wks_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      /* protocol, followed by bitmap of services */
++      const char* proto_name = NULL;
++      struct protoent *protocol;
++      struct servent *service;
++      uint8_t protocol_nr;
++      int bit, port, w = 0;
++      size_t i;
++      /* we cannot print with strings because they
++       * are not portable, the presentation format may
++       * not be able to be read in on another computer.  */
++      int print_symbols = 0;
++
++      /* protocol */
++      if(*dl < 1) return -1;
++      protocol_nr = (*d)[0];
++      (*d)++;
++      (*dl)--;
++      protocol = getprotobynumber((int)protocol_nr);
++      if(protocol && (protocol->p_name != NULL)) {
++              w += sldns_str_print(s, sl, "%s", protocol->p_name);
++              proto_name = protocol->p_name;
++      } else  {
++              w += sldns_str_print(s, sl, "%u", (unsigned)protocol_nr);
++      }
++
++      for(i=0; i<*dl; i++) {
++              if((*d)[i] == 0)
++                      continue;
++              for(bit=0; bit<8; bit++) {
++                      if(!(((*d)[i])&(0x80>>bit)))
++                              continue;
++                      port = (int)i*8 + bit;
++
++                      if(!print_symbols)
++                              service = NULL;
++                      else
++                              service = getservbyport(
++                                      (int)htons((uint16_t)port), proto_name);
++                      if(service && service->s_name)
++                              w += sldns_str_print(s, sl, " %s",
++                                      service->s_name);
++                      else    w += sldns_str_print(s, sl, " %u",
++                                      (unsigned)port);
++              }
++      }
++
++#ifdef HAVE_ENDSERVENT
++      endservent();
++#endif
++#ifdef HAVE_ENDPROTOENT
++        endprotoent();
++#endif
++      (*d) += *dl;
++      (*dl) = 0;
++      return w;
++}
++
++int sldns_wire2str_nsap_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      return print_remainder_hex("0x", d, dl, s, sl);
++}
++
++int sldns_wire2str_atma_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      return print_remainder_hex("", d, dl, s, sl);
++}
++
++/* internal scan routine that can modify arguments on failure */
++static int sldns_wire2str_ipseckey_scan_internal(uint8_t** d, size_t* dl,
++      char** s, size_t* sl, uint8_t* pkt, size_t pktlen)
++{
++      /* http://www.ietf.org/internet-drafts/draft-ietf-ipseckey-rr-12.txt*/
++      uint8_t precedence, gateway_type, algorithm;
++      int w = 0;
++
++      if(*dl < 3) return -1;
++      precedence = (*d)[0];
++      gateway_type = (*d)[1];
++      algorithm = (*d)[2];
++      if(gateway_type > 3)
++              return -1; /* unknown */
++      (*d)+=3;
++      (*dl)-=3;
++      w += sldns_str_print(s, sl, "%d %d %d ",
++              (int)precedence, (int)gateway_type, (int)algorithm);
++
++      switch(gateway_type) {
++      case 0: /* no gateway */
++              w += sldns_str_print(s, sl, ".");
++              break;
++      case 1: /* ip4 */
++              w += sldns_wire2str_a_scan(d, dl, s, sl);
++              break;
++      case 2: /* ip6 */
++              w += sldns_wire2str_aaaa_scan(d, dl, s, sl);
++              break;
++      case 3: /* dname */
++              w += sldns_wire2str_dname_scan(d, dl, s, sl, pkt, pktlen);
++              break;
++      default: /* unknown */
++              return -1;
++      }
++
++      if(*dl < 1)
++              return -1;
++      w += sldns_str_print(s, sl, " ");
++      w += sldns_wire2str_b64_scan_num(d, dl, s, sl, *dl);
++      return w;
++}
++
++int sldns_wire2str_ipseckey_scan(uint8_t** d, size_t* dl, char** s, size_t* sl,
++      uint8_t* pkt, size_t pktlen)
++{
++      uint8_t* od = *d;
++      char* os = *s;
++      size_t odl = *dl, osl = *sl;
++      int w=sldns_wire2str_ipseckey_scan_internal(d, dl, s, sl, pkt, pktlen);
++      if(w == -1) {
++              *d = od;
++              *s = os;
++              *dl = odl;
++              *sl = osl;
++              return -1;
++      }
++      return w;
++}
++
++int sldns_wire2str_hip_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      uint8_t algo, hitlen;
++      uint16_t pklen;
++
++      /* read lengths */
++      if(*dl < 4)
++              return -1;
++      hitlen = (*d)[0];
++      algo = (*d)[1];
++      pklen = sldns_read_uint16((*d)+2);
++      if(*dl < (size_t)4 + (size_t)hitlen + (size_t)pklen)
++              return -1;
++
++      /* write: algo hit pubkey */
++      w = sldns_str_print(s, sl, "%u ", (unsigned)algo);
++      w += print_hex_buf(s, sl, (*d)+4, hitlen);
++      w += sldns_str_print(s, sl, " ");
++      (*d)+=4+hitlen;
++      (*dl)-= (4+hitlen);
++      w += sldns_wire2str_b64_scan_num(d, dl, s, sl, pklen);
++      return w;
++}
++
++int sldns_wire2str_int16_data_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      uint16_t n;
++      if(*dl < 2)
++              return -1;
++      n = sldns_read_uint16(*d);
++      if(*dl < 2+(size_t)n)
++              return -1;
++      (*d)+=2;
++      (*dl)-=2;
++      return sldns_wire2str_b64_scan_num(d, dl, s, sl, n);
++}
++
++int sldns_wire2str_nsec3_next_owner_scan(uint8_t** d, size_t* dl, char** s,
++      size_t* sl)
++{
++      return sldns_wire2str_b32_ext_scan(d, dl, s, sl);
++}
++
++int sldns_wire2str_ilnp64_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 8)
++              return -1;
++      w = sldns_str_print(s, sl, "%.4x:%.4x:%.4x:%.4x",
++              sldns_read_uint16(*d), sldns_read_uint16((*d)+2),
++              sldns_read_uint16((*d)+4), sldns_read_uint16((*d)+6));
++      (*d)+=8;
++      (*dl)-=8;
++      return w;
++}
++
++int sldns_wire2str_eui48_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 6)
++              return -1;
++      w = sldns_str_print(s, sl, "%.2x-%.2x-%.2x-%.2x-%.2x-%.2x",
++              (*d)[0], (*d)[1], (*d)[2], (*d)[3], (*d)[4], (*d)[5]);
++      (*d)+=6;
++      (*dl)-=6;
++      return w;
++}
++
++int sldns_wire2str_eui64_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      int w;
++      if(*dl < 8)
++              return -1;
++      w = sldns_str_print(s, sl, "%.2x-%.2x-%.2x-%.2x-%.2x-%.2x-%.2x-%.2x",
++              (*d)[0], (*d)[1], (*d)[2], (*d)[3], (*d)[4], (*d)[5],
++              (*d)[6], (*d)[7]);
++      (*d)+=8;
++      (*dl)-=8;
++      return w;
++}
++
++int sldns_wire2str_tag_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      size_t i, n;
++      int w = 0;
++      if(*dl < 1)
++              return -1;
++      n = (size_t)((*d)[0]);
++      if(*dl < 1+n)
++              return -1;
++      for(i=0; i<n; i++)
++              if(!isalnum((unsigned char)(*d)[i]))
++                      return -1;
++      for(i=0; i<n; i++)
++              w += sldns_str_print(s, sl, "%c", (char)(*d)[i]);
++      (*d)+=n+1;
++      (*dl)-=(n+1);
++      return w;
++}
++
++int sldns_wire2str_long_str_scan(uint8_t** d, size_t* dl, char** s, size_t* sl)
++{
++      size_t i;
++      int w = 0;
++      w += sldns_str_print(s, sl, "\"");
++      for(i=0; i<*dl; i++)
++              w += str_char_print(s, sl, (*d)[i]);
++      w += sldns_str_print(s, sl, "\"");
++      (*d)+=*dl;
++      (*dl)=0;
++      return w;
++}
++
++int sldns_wire2str_edns_llq_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      /* LLQ constants */
++      const char* llq_errors[] = {"NO-ERROR", "SERV-FULL", "STATIC",
++              "FORMAT-ERR", "NO-SUCH-LLQ", "BAD-VERS", "UNKNOWN_ERR"};
++      const unsigned int llq_errors_num = 7;
++      const char* llq_opcodes[] = {"LLQ-SETUP", "LLQ-REFRESH", "LLQ-EVENT"};
++      const unsigned int llq_opcodes_num = 3;
++      uint16_t version, llq_opcode, error_code;
++      uint64_t llq_id;
++      uint32_t lease_life; /* Requested or granted life of LLQ, in seconds */
++      int w = 0;
++
++      /* read the record */
++      if(len != 18) {
++              w += sldns_str_print(s, sl, "malformed LLQ ");
++              w += print_hex_buf(s, sl, data, len);
++              return w;
++      }
++      version = sldns_read_uint16(data);
++      llq_opcode = sldns_read_uint16(data+2);
++      error_code = sldns_read_uint16(data+4);
++      memmove(&llq_id, data+6, sizeof(llq_id));
++      lease_life = sldns_read_uint32(data+14);
++
++      /* print it */
++      w += sldns_str_print(s, sl, "v%d ", (int)version);
++      if(llq_opcode < llq_opcodes_num)
++              w += sldns_str_print(s, sl, "%s", llq_opcodes[llq_opcode]);
++      else    w += sldns_str_print(s, sl, "opcode %d", (int)llq_opcode);
++      if(error_code < llq_errors_num)
++              w += sldns_str_print(s, sl, " %s", llq_errors[error_code]);
++      else    w += sldns_str_print(s, sl, " error %d", (int)error_code);
++#ifndef USE_WINSOCK
++      w += sldns_str_print(s, sl, " id %llx lease-life %lu",
++              (unsigned long long)llq_id, (unsigned long)lease_life);
++#else
++      w += sldns_str_print(s, sl, " id %I64x lease-life %lu",
++              (unsigned long long)llq_id, (unsigned long)lease_life);
++#endif
++      return w;
++}
++
++int sldns_wire2str_edns_ul_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      uint32_t lease;
++      int w = 0;
++      if(len != 4) {
++              w += sldns_str_print(s, sl, "malformed UL ");
++              w += print_hex_buf(s, sl, data, len);
++              return w;
++      }
++      lease = sldns_read_uint32(data);
++      w += sldns_str_print(s, sl, "lease %lu", (unsigned long)lease);
++      return w;
++}
++
++int sldns_wire2str_edns_nsid_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      int w = 0;
++      size_t i, printed=0;
++      w += print_hex_buf(s, sl, data, len);
++      for(i=0; i<len; i++) {
++              if(isprint((unsigned char)data[i]) || data[i] == '\t') {
++                      if(!printed) {
++                              w += sldns_str_print(s, sl, " (");
++                              printed = 1;
++                      }
++                      w += sldns_str_print(s, sl, "%c", (char)data[i]);
++              }
++      }
++      if(printed)
++              w += sldns_str_print(s, sl, ")");
++      return w;
++}
++
++int sldns_wire2str_edns_dau_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      sldns_lookup_table *lt;
++      size_t i;
++      int w = 0;
++      for(i=0; i<len; i++) {
++              lt = sldns_lookup_by_id(sldns_algorithms, (int)data[i]);
++              if(lt && lt->name)
++                      w += sldns_str_print(s, sl, " %s", lt->name);
++              else    w += sldns_str_print(s, sl, " %d", (int)data[i]);
++      }
++      return w;
++}
++
++int sldns_wire2str_edns_dhu_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      sldns_lookup_table *lt;
++      size_t i;
++      int w = 0;
++      for(i=0; i<len; i++) {
++              lt = sldns_lookup_by_id(sldns_hashes, (int)data[i]);
++              if(lt && lt->name)
++                      w += sldns_str_print(s, sl, " %s", lt->name);
++              else    w += sldns_str_print(s, sl, " %d", (int)data[i]);
++      }
++      return w;
++}
++
++int sldns_wire2str_edns_n3u_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      size_t i;
++      int w = 0;
++      for(i=0; i<len; i++) {
++              if(data[i] == 1)
++                      w += sldns_str_print(s, sl, " SHA1");
++              else    w += sldns_str_print(s, sl, " %d", (int)data[i]);
++      }
++      return w;
++}
++
++int sldns_wire2str_edns_subnet_print(char** s, size_t* sl, uint8_t* data,
++      size_t len)
++{
++      int w = 0;
++      uint16_t family;
++      uint8_t source, scope;
++      if(len < 4) {
++              w += sldns_str_print(s, sl, "malformed subnet ");
++              w += print_hex_buf(s, sl, data, len);
++              return w;
++      }
++      family = sldns_read_uint16(data);
++      source = data[2];
++      scope = data[3];
++      if(family == 1) {
++              /* IP4 */
++              char buf[64];
++              uint8_t ip4[4];
++              memset(ip4, 0, sizeof(ip4));
++              if(len-4 > 4) {
++                      w += sldns_str_print(s, sl, "trailingdata:");
++                      w += print_hex_buf(s, sl, data+4+4, len-4-4);
++                      w += sldns_str_print(s, sl, " ");
++                      len = 4+4;
++              }
++              memmove(ip4, data+4, len-4);
++              if(!inet_ntop(AF_INET, ip4, buf, (socklen_t)sizeof(buf))) {
++                      w += sldns_str_print(s, sl, "ip4ntoperror ");
++                      w += print_hex_buf(s, sl, data+4+4, len-4-4);
++              } else {
++                      w += sldns_str_print(s, sl, "%s", buf);
++              }
++      } else if(family == 2) {
++              /* IP6 */
++              char buf[64];
++              uint8_t ip6[16];
++              memset(ip6, 0, sizeof(ip6));
++              if(len-4 > 16) {
++                      w += sldns_str_print(s, sl, "trailingdata:");
++                      w += print_hex_buf(s, sl, data+4+16, len-4-16);
++                      w += sldns_str_print(s, sl, " ");
++                      len = 4+16;
++              }
++              memmove(ip6, data+4, len-4);
++#ifdef AF_INET6
++              if(!inet_ntop(AF_INET6, ip6, buf, (socklen_t)sizeof(buf))) {
++                      w += sldns_str_print(s, sl, "ip6ntoperror ");
++                      w += print_hex_buf(s, sl, data+4+4, len-4-4);
++              } else {
++                      w += sldns_str_print(s, sl, "%s", buf);
++              }
++#else
++              w += print_hex_buf(s, sl, data+4+4, len-4-4);
++#endif
++      } else {
++              /* unknown */
++              w += sldns_str_print(s, sl, "family %d ",
++                      (int)family);
++              w += print_hex_buf(s, sl, data, len);
++      }
++      w += sldns_str_print(s, sl, "/%d scope /%d", (int)source, (int)scope);
++      return w;
++}
++
++int sldns_wire2str_edns_option_print(char** s, size_t* sl,
++      uint16_t option_code, uint8_t* optdata, size_t optlen)
++{
++      int w = 0;
++      w += sldns_wire2str_edns_option_code_print(s, sl, option_code);
++      w += sldns_str_print(s, sl, ": ");
++      switch(option_code) {
++      case LDNS_EDNS_LLQ:
++              w += sldns_wire2str_edns_llq_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_UL:
++              w += sldns_wire2str_edns_ul_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_NSID:
++              w += sldns_wire2str_edns_nsid_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_DAU:
++              w += sldns_wire2str_edns_dau_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_DHU:
++              w += sldns_wire2str_edns_dhu_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_N3U:
++              w += sldns_wire2str_edns_n3u_print(s, sl, optdata, optlen);
++              break;
++      case LDNS_EDNS_CLIENT_SUBNET:
++              w += sldns_wire2str_edns_subnet_print(s, sl, optdata, optlen);
++              break;
++      default:
++              /* unknown option code */
++              w += print_hex_buf(s, sl, optdata, optlen);
++              break;
++      }
++      return w;
++}
++
++/** print the edns options to string */
++static int
++print_edns_opts(char** s, size_t* sl, uint8_t* rdata, size_t rdatalen)
++{
++      uint16_t option_code, option_len;
++      int w = 0;
++      while(rdatalen > 0) {
++              /* option name */
++              if(rdatalen < 4) {
++                      w += sldns_str_print(s, sl, " ; malformed: ");
++                      w += print_hex_buf(s, sl, rdata, rdatalen);
++                      return w;
++              }
++              option_code = sldns_read_uint16(rdata);
++              option_len = sldns_read_uint16(rdata+2);
++              rdata += 4;
++              rdatalen -= 4;
++
++              /* option value */
++              if(rdatalen < (size_t)option_len) {
++                      w += sldns_str_print(s, sl, " ; malformed ");
++                      w += sldns_wire2str_edns_option_code_print(s, sl,
++                              option_code);
++                      w += sldns_str_print(s, sl, ": ");
++                      w += print_hex_buf(s, sl, rdata, rdatalen);
++                      return w;
++              }
++              w += sldns_str_print(s, sl, " ; ");
++              w += sldns_wire2str_edns_option_print(s, sl, option_code,
++                      rdata, option_len);
++              rdata += option_len;
++              rdatalen -= option_len;
++      }
++      return w;
++}
++
++int sldns_wire2str_edns_scan(uint8_t** data, size_t* data_len, char** str,
++        size_t* str_len, uint8_t* pkt, size_t pktlen)
++{
++      int w = 0;
++      uint8_t ext_rcode, edns_version;
++      uint16_t udpsize, edns_bits, rdatalen;
++      w += sldns_str_print(str, str_len, "; EDNS:");
++
++      /* some input checks, domain name */
++      if(*data_len < 1+10)
++              return w + print_remainder_hex("Error malformed 0x",
++                      data, data_len, str, str_len);
++      if(*data[0] != 0) {
++              return w + print_remainder_hex("Error nonrootdname 0x",
++                      data, data_len, str, str_len);
++      }
++      (*data)++;
++      (*data_len)--;
++
++      /* check type and read fixed contents */
++      if(sldns_read_uint16((*data)) != LDNS_RR_TYPE_OPT) {
++              return w + print_remainder_hex("Error nottypeOPT 0x",
++                      data, data_len, str, str_len);
++      }
++      udpsize = sldns_read_uint16((*data)+2);
++      ext_rcode = (*data)[4];
++      edns_version = (*data)[5];
++      edns_bits = sldns_read_uint16((*data)+6);
++      rdatalen = sldns_read_uint16((*data)+8);
++      (*data)+=10;
++      (*data_len)-=10;
++
++      w += sldns_str_print(str, str_len, " version: %u;",
++              (unsigned)edns_version);
++      w += sldns_str_print(str, str_len, " flags:");
++      if((edns_bits & LDNS_EDNS_MASK_DO_BIT))
++              w += sldns_str_print(str, str_len, " do");
++      /* the extended rcode is the value set, shifted four bits,
++       * and or'd with the original rcode */
++      if(ext_rcode) {
++              int rc = ((int)ext_rcode)<<4;
++              if(pkt && pktlen >= LDNS_HEADER_SIZE)
++                      rc |= LDNS_RCODE_WIRE(pkt);
++              w += sldns_str_print(str, str_len, " ; ext-rcode: %d", rc);
++      }
++      w += sldns_str_print(str, str_len, " ; udp: %u", (unsigned)udpsize);
++
++      if(rdatalen) {
++              if(*data_len < rdatalen) {
++                      w += sldns_str_print(str, str_len,
++                              " ; Error EDNS rdata too short; ");
++                      rdatalen = *data_len;
++              }
++              w += print_edns_opts(str, str_len, *data, rdatalen);
++              (*data) += rdatalen;
++              (*data_len) -= rdatalen;
++      }
++      w += sldns_str_print(str, str_len, "\n");
++      return w;
++}
diff --cc contrib/unbound/sldns/wire2str.h
index 0000000000000000000000000000000000000000,0000000000000000000000000000000000000000..67f543566267414757894ddb02547bf51d8ef00c
new file mode 100644 (file)
--- /dev/null
--- /dev/null
+++ b/contrib/unbound/sldns/wire2str.h
@@@ -1,0 -1,0 +1,984 @@@
++/**
++ * wire2str.h -  txt presentation of RRs
++ *
++ * (c) NLnet Labs, 2005-2006
++ *
++ * See the file LICENSE for the license
++ */
++
++/**
++ * \file
++ *
++ * Contains functions to translate the wireformat to text
++ * representation, as well as functions to print them.
++ */
++
++#ifndef LDNS_WIRE2STR_H
++#define LDNS_WIRE2STR_H
++
++#ifdef __cplusplus
++extern "C" {
++#endif
++struct sldns_struct_lookup_table;
++
++/* lookup tables for standard DNS stuff  */
++/** Taken from RFC 2535, section 7.  */
++extern struct sldns_struct_lookup_table* sldns_algorithms;
++/** DS record hash algorithms */
++extern struct sldns_struct_lookup_table* sldns_hashes;
++/** Taken from RFC 2538, section 2.1.  */
++extern struct sldns_struct_lookup_table* sldns_cert_algorithms;
++/** Response codes */
++extern struct sldns_struct_lookup_table* sldns_rcodes;
++/** Operation codes */
++extern struct sldns_struct_lookup_table* sldns_opcodes;
++/** EDNS flags */
++extern struct sldns_struct_lookup_table* sldns_edns_flags;
++/** EDNS option codes */
++extern struct sldns_struct_lookup_table* sldns_edns_options;
++/** error string from wireparse */
++extern struct sldns_struct_lookup_table* sldns_wireparse_errors;
++
++/**
++ * Convert wireformat packet to a string representation
++ * @param data: wireformat packet data (starting at ID bytes).
++ * @param len: length of packet.
++ * @return string(malloced) or NULL on failure.
++ */
++char* sldns_wire2str_pkt(uint8_t* data, size_t len);
++
++/**
++ * Convert wireformat RR to a string representation.
++ * @param rr: the wireformat RR, in uncompressed form.  Starts at the domain
++ *    name start, ends with the rdata of the RR.
++ * @param len: length of the rr wireformat.
++ * @return string(malloced) or NULL on failure.
++ */
++char* sldns_wire2str_rr(uint8_t* rr, size_t len);
++
++/**
++ * Conver wire dname to a string.
++ * @param dname: the dname in uncompressed wireformat.
++ * @param dname_len: length of the dname.
++ * @return string or NULL on failure.
++ */
++char* sldns_wire2str_dname(uint8_t* dname, size_t dname_len);
++
++/**
++ * Convert wire RR type to a string, 'MX', 'TYPE1234'...
++ * @param rrtype: the RR type in host order.
++ * @return malloced string with the RR type or NULL on malloc failure.
++ */
++char* sldns_wire2str_type(uint16_t rrtype);
++
++/**
++ * Convert wire RR class to a string, 'IN', 'CLASS1'.
++ * @param rrclass: the RR class in host order.
++ * @return malloced string with the RR class or NULL on malloc failure.
++ */
++char* sldns_wire2str_class(uint16_t rrclass);
++
++/**
++ * Convert wire packet rcode to a string, 'NOERROR', 'NXDOMAIN'...
++ * @param rcode: as integer, host order
++ * @return malloced string with the rcode or NULL on malloc failure.
++ */
++char* sldns_wire2str_rcode(int rcode);
++
++/**
++ * Print to string, move string along for next content. With va_list.
++ * @param str: string buffer.  Adjusted at end to after the output.
++ * @param slen: length of the string buffer.  Adjusted at end.
++ * @param format: printf format string.
++ * @param args: arguments for printf.
++ * @return number of characters needed. Can be larger than slen.
++ */
++int sldns_str_vprint(char** str, size_t* slen, const char* format, va_list args);
++
++/**
++ * Print to string, move string along for next content.
++ * @param str: string buffer.  Adjusted at end to after the output.
++ * @param slen: length of the string buffer.  Adjusted at end.
++ * @param format: printf format string and arguments for it.
++ * @return number of characters needed. Can be larger than slen.
++ */
++int sldns_str_print(char** str, size_t* slen, const char* format, ...)
++      ATTR_FORMAT(printf, 3, 4);
++
++/**
++ * Convert wireformat packet to a string representation with user buffer
++ * It appends every RR with default comments.
++ * For more formatter options use the function: TBD(TODO)
++ * @param data: wireformat packet data (starting at ID bytes).
++ * @param data_len: length of packet.
++ * @param str: the string buffer for the output.
++ *    If you pass NULL as the str the return value of the function is
++ *    the str_len you need for the entire packet.  It does not include
++ *    the 0 byte at the end.
++ * @param str_len: the size of the string buffer.  If more is needed, it'll
++ *    silently truncate the output to fit in the buffer.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_pkt_buf(uint8_t* data, size_t data_len, char* str,
++      size_t str_len);
++
++/**
++ * Scan wireformat packet to a string representation with user buffer
++ * It appends every RR with default comments.
++ * For more formatter options use the function: TBD(TODO)
++ * @param data: wireformat packet data (starting at ID bytes).
++ * @param data_len: length of packet.
++ * @param str: the string buffer for the output.
++ * @param str_len: the size of the string buffer.
++ * @return number of characters for string.
++ * returns the number of characters that are needed (except terminating null),
++ * so it may return a value larger than str_len.
++ * On error you get less output (i.e. shorter output in str (null terminated))
++ * On exit the data, data_len, str and str_len values are adjusted to move them
++ * from their original position along the input and output for the content
++ * that has been consumed (and produced) by this function.  If the end of the
++ * output string is reached, *str_len is set to 0.  The output string is null
++ * terminated (shortening the output if necessary).  If the end of the input
++ * is reached *data_len is set to 0.
++ */
++int sldns_wire2str_pkt_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat rr to string, with user buffers.  It shifts the arguments
++ * to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rr_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat question rr to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rrquestion_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat RR to string in unknown RR format, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rr_unknown_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Print to string the RR-information comment in default format,
++ * with user buffers.  Moves string along.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rr: wireformat data.
++ * @param rrlen: length of data buffer.
++ * @param dname_off: offset in buffer behind owner dname, the compressed size
++ *    of the owner name.
++ * @param rrtype: type of the RR, host format.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rr_comment_print(char** str, size_t* str_len, uint8_t* rr,
++      size_t rrlen, size_t dname_off, uint16_t rrtype);
++
++/**
++ * Scan wireformat packet header to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_header_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat rdata to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.  The length of the rdata in the
++ *    buffer.  The rdatalen itself has already been scanned, the data
++ *    points to the rdata after the rdatalen.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rrtype: RR type of Rdata, host format.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rdata_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint16_t rrtype, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat rdata to string in unknown format, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer, the length of the rdata in buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rdata_unknown_scan(uint8_t** data, size_t* data_len,
++      char** str, size_t* str_len);
++
++/**
++ * Scan wireformat domain name to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_dname_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat rr type to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_type_scan(uint8_t** data, size_t* data_len, char** str,
++        size_t* str_len);
++
++/**
++ * Scan wireformat rr class to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_class_scan(uint8_t** data, size_t* data_len, char** str,
++        size_t* str_len);
++
++/**
++ * Scan wireformat rr ttl to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_ttl_scan(uint8_t** data, size_t* data_len, char** str,
++        size_t* str_len);
++
++
++/**
++ * Print host format rr type to string.  Moves string along, user buffers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rrtype: host format rr type.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_type_print(char** str, size_t* str_len, uint16_t rrtype);
++
++/**
++ * Print host format rr class to string.  Moves string along, user buffers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rrclass: host format rr class.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_class_print(char** str, size_t* str_len, uint16_t rrclass);
++
++/**
++ * Print host format rcode to string.  Moves string along, user buffers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rcode: host format rcode number.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_rcode_print(char** str, size_t* str_len, int rcode);
++
++/**
++ * Print host format opcode to string.  Moves string along, user buffers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param opcode: host format opcode number.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_opcode_print(char** str, size_t* str_len, int opcode);
++
++/**
++ * Print host format EDNS0 option to string.  Moves string along, user buffers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param opcode: host format option number.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_option_code_print(char** str, size_t* str_len,
++      uint16_t opcode);
++
++/**
++ * Convert RR to string presentation format, on one line.  User buffer.
++ * @param rr: wireformat RR data
++ * @param rr_len: length of the rr wire data.
++ * @param str: the string buffer to write to.
++ *    If you pass NULL as the str, the return value of the function is
++ *    the str_len you need for the entire packet.  It does not include
++ *    the 0 byte at the end.
++ * @param str_len: the size of the string buffer.  If more is needed, it'll
++ *    silently truncate the output to fit in the buffer.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_rr_buf(uint8_t* rr, size_t rr_len, char* str,
++      size_t str_len);
++
++/**
++ * 3597 printout of an RR in unknown rr format.
++ * There are more format and comment options available for printout
++ * with the function: TBD(TODO)
++ * @param rr: wireformat RR data
++ * @param rr_len: length of the rr wire data.
++ * @param str: the string buffer to write to.
++ *    If you pass NULL as the str, the return value of the function is
++ *    the str_len you need for the entire rr.  It does not include
++ *    the 0 byte at the end.
++ * @param str_len: the size of the string buffer.  If more is needed, it'll
++ *    silently truncate the output to fit in the buffer.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_rr_unknown_buf(uint8_t* rr, size_t rr_len, char* str,
++      size_t str_len);
++
++/**
++ * This creates the comment to print after the RR. ; keytag=... , and other
++ * basic comments for RRs.
++ * There are more format and comment options available for printout
++ * with the function: TBD(TODO)
++ * @param rr: wireformat RR data
++ * @param rr_len: length of the rr wire data.
++ * @param dname_len: length of the dname in front of the RR.
++ * @param str: the string buffer to write to.
++ *    If you pass NULL as the str, the return value of the function is
++ *    the str_len you need for the entire comment.  It does not include
++ *    the 0 byte at the end.
++ * @param str_len: the size of the string buffer.  If more is needed, it'll
++ *    silently truncate the output to fit in the buffer.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_rr_comment_buf(uint8_t* rr, size_t rr_len, size_t dname_len,
++      char* str, size_t str_len);
++
++/**
++ * Convert RDATA to string presentation format, on one line.  User buffer.
++ * @param rdata: wireformat rdata part of an RR.
++ * @param rdata_len: length of the rr wire data.
++ * @param str: the string buffer to write to.
++ *    If you pass NULL as the str, the return value of the function is
++ *    the str_len you need for the entire packet.  It does not include
++ *    the 0 byte at the end.
++ * @param str_len: the size of the string buffer.  If more is needed, it'll
++ *    silently truncate the output to fit in the buffer.
++ * @param rrtype: rr type of the data
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_rdata_buf(uint8_t* rdata, size_t rdata_len, char* str,
++      size_t str_len, uint16_t rrtype);
++
++/**
++ * Convert wire RR type to a string, 'MX', 'TYPE12'.  With user buffer.
++ * @param rrtype: the RR type in host order.
++ * @param str: the string to write to.
++ * @param len: length of str.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_type_buf(uint16_t rrtype, char* str, size_t len);
++
++/**
++ * Convert wire RR class to a string, 'IN', 'CLASS12'.  With user buffer.
++ * @param rrclass: the RR class in host order.
++ * @param str: the string to write to.
++ * @param len: length of str.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_class_buf(uint16_t rrclass, char* str, size_t len);
++
++/**
++ * Convert wire RR rcode to a string, 'NOERROR', 'NXDOMAIN'.  With user buffer.
++ * @param rcode: rcode as integer in host order
++ * @param str: the string to write to.
++ * @param len: length of str.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_rcode_buf(int rcode, char* str, size_t len);
++
++/**
++ * Convert wire dname to a string, "example.com.".  With user buffer.
++ * @param dname: the dname in uncompressed wireformat.
++ * @param dname_len: length of the dname.
++ * @param str: the string to write to.
++ * @param len: length of string.
++ * @return the number of characters for this element, excluding zerobyte.
++ *    Is larger than str_len if output was truncated.
++ */
++int sldns_wire2str_dname_buf(uint8_t* dname, size_t dname_len, char* str,
++      size_t len);
++
++/**
++ * Scan wireformat rdf field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param rdftype: the type of the rdata field, enum sldns_rdf_type.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_rdf_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, int rdftype, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat int8 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_int8_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat int16 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_int16_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat int32 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_int32_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat period field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_period_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat tsigtime field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_tsigtime_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat ip4 A field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_a_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat ip6 AAAA field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_aaaa_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat str field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_str_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat apl field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_apl_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat b32_ext field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_b32_ext_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat b64 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_b64_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat hex field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_hex_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat nsec bitmap field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_nsec_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat nsec3_salt field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_nsec3_salt_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat cert_alg field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_cert_alg_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat alg field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_alg_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat type unknown field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_unknown_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat time field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_time_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat LOC field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_loc_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat WKS field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_wks_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat NSAP field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_nsap_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat ATMA field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_atma_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat IPSECKEY field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet for decompression, if NULL no decompression.
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_ipseckey_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++/**
++ * Scan wireformat HIP (algo, HIT, pubkey) field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_hip_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat int16_data field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_int16_data_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat nsec3_next_owner field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_nsec3_next_owner_scan(uint8_t** data, size_t* data_len,
++      char** str, size_t* str_len);
++
++/**
++ * Scan wireformat ILNP64 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_ilnp64_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat EUI48 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_eui48_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat EUI64 field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_eui64_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat TAG field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_tag_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Scan wireformat long_str field to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @return number of characters (except null) needed to print.
++ *    Can return -1 on failure.
++ */
++int sldns_wire2str_long_str_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len);
++
++/**
++ * Print EDNS LLQ option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_llq_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS UL option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_ul_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS NSID option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_nsid_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS DAU option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_dau_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS DHU option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_dhu_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS N3U option data to string.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_n3u_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print EDNS SUBNET option data to string. User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_subnet_print(char** str, size_t* str_len,
++      uint8_t* option_data, size_t option_len);
++
++/**
++ * Print an EDNS option as OPT: VALUE.  User buffers, moves string pointers.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param option_code: host format EDNS option code.
++ * @param option_data: buffer with EDNS option code data.
++ * @param option_len: length of the data for this option.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_option_print(char** str, size_t* str_len,
++      uint16_t option_code, uint8_t* option_data, size_t option_len);
++
++/**
++ * Scan wireformat EDNS OPT to string, with user buffers.
++ * It shifts the arguments to move along (see sldns_wire2str_pkt_scan).
++ * @param data: wireformat data.
++ * @param data_len: length of data buffer.
++ * @param str: string buffer.
++ * @param str_len: length of string buffer.
++ * @param pkt: packet with header and other info (may be NULL)
++ * @param pktlen: length of packet buffer.
++ * @return number of characters (except null) needed to print.
++ */
++int sldns_wire2str_edns_scan(uint8_t** data, size_t* data_len, char** str,
++      size_t* str_len, uint8_t* pkt, size_t pktlen);
++
++#ifdef __cplusplus
++}
++#endif
++
++#endif /* LDNS_WIRE2STR_H */
diff --cc contrib/unbound/smallapp/unbound-anchor.c
index 9df0d95b417ce6c550a8575ef2ae7c6b1b410bf8,0000000000000000000000000000000000000000..576a30f646a9c07fcb3310c6663d3d7763d619cc
mode 100644,000000..100644
--- 1/contrib/unbound/smallapp/unbound-anchor.c
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-anchor.c
@@@ -1,2303 -1,0 +1,2306 @@@
- #include "ldns/rrdef.h"
 +/*
 + * unbound-anchor.c - update the root anchor if necessary.
 + *
 + * Copyright (c) 2010, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file checks to see that the current 5011 keys work to prime the
 + * current root anchor.  If not a certificate is used to update the anchor.
 + *
 + * This is a concept solution for distribution of the DNSSEC root
 + * trust anchor.  It is a small tool, called "unbound-anchor", that
 + * runs before the main validator starts.  I.e. in the init script:
 + * unbound-anchor; unbound.  Thus it is meant to run at system boot time.
 + *
 + * Management-Abstract:
 + *    * first run: fill root.key file with hardcoded DS record.
 + *    * mostly: use RFC5011 tracking, quick . DNSKEY UDP query.
 + *    * failover: use builtin certificate, do https and update.
 + * Special considerations:
 + *    * 30-days RFC5011 timer saves a lot of https traffic.
 + *    * DNSKEY probe must be NOERROR, saves a lot of https traffic.
 + *    * fail if clock before sign date of the root, if cert expired.
 + *    * if the root goes back to unsigned, deals with it.
 + *
 + * It has hardcoded the root DS anchors and the ICANN CA root certificate.
 + * It allows with options to override those.  It also takes root-hints (it
 + * has to do a DNS resolve), and also has hardcoded defaults for those.
 + *
 + * Once it starts, just before the validator starts, it quickly checks if
 + * the root anchor file needs to be updated.  First it tries to use
 + * RFC5011-tracking of the root key.  If that fails (and for 30-days since
 + * last successful probe), then it attempts to update using the
 + * certificate.  So most of the time, the RFC5011 tracking will work fine,
 + * and within a couple milliseconds, the main daemon can start.  It will
 + * have only probed the . DNSKEY, not done expensive https transfers on the
 + * root infrastructure.
 + *
 + * If there is no root key in the root.key file, it bootstraps the
 + * RFC5011-tracking with its builtin DS anchors; if that fails it
 + * bootstraps the RFC5011-tracking using the certificate.  (again to avoid
 + * https, and it is also faster).
 + * 
 + * It uses the XML file by converting it to DS records and writing that to the
 + * key file.  Unbound can detect that the 'special comments' are gone, and
 + * the file contains a list of normal DNSKEY/DS records, and uses that to
 + * bootstrap 5011 (the KSK is made VALID).
 + *
 + * The certificate update is done by fetching root-anchors.xml and
 + * root-anchors.p7s via SSL.  The HTTPS certificate can be logged but is
 + * not validated (https for channel security; the security comes from the
 + * certificate).  The 'data.iana.org' domain name A and AAAA are resolved
 + * without DNSSEC.  It tries a random IP until the transfer succeeds.  It
 + * then checks the p7s signature.
 + *
 + * On any failure, it leaves the root key file untouched.  The main
 + * validator has to cope with it, it cannot fix things (So a failure does
 + * not go 'without DNSSEC', no downgrade).  If it used its builtin stuff or
 + * did the https, it exits with an exit code, so that this can trigger the
 + * init script to log the event and potentially alert the operator that can
 + * do a manual check.
 + *
 + * The date is also checked.  Before 2010-07-15 is a failure (root not
 + * signed yet; avoids attacks on system clock).  The
 + * last-successful-RFC5011-probe (if available) has to be more than 30 days
 + * in the past (otherwise, RFC5011 should have worked).  This keeps
 + * unneccesary https traffic down.  If the main certificate is expired, it
 + * fails.
 + *
 + * The dates on the keys in the xml are checked (uses the libexpat xml
 + * parser), only the valid ones are used to re-enstate RFC5011 tracking.
 + * If 0 keys are valid, the zone has gone to insecure (a special marker is
 + * written in the keyfile that tells the main validator daemon the zone is
 + * insecure).
 + *
 + * Only the root ICANN CA is shipped, not the intermediate ones.  The
 + * intermediate CAs are included in the p7s file that was downloaded.  (the
 + * root cert is valid to 2028 and the intermediate to 2014, today).
 + *
 + * Obviously, the tool also has options so the operator can provide a new
 + * keyfile, a new certificate and new URLs, and fresh root hints.  By
 + * default it logs nothing on failure and success; it 'just works'.
 + *
 + */
 +
 +#include "config.h"
 +#include "libunbound/unbound.h"
-       char* data = malloc(len+1);
++#include "sldns/rrdef.h"
 +#include <expat.h>
 +#ifndef HAVE_EXPAT_H
 +#error "need libexpat to parse root-anchors.xml file."
 +#endif
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include <openssl/ssl.h>
 +#endif
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +#include <openssl/x509.h>
 +#include <openssl/x509v3.h>
 +#include <openssl/pem.h>
 +
 +/** name of server in URL to fetch HTTPS from */
 +#define URLNAME "data.iana.org"
 +/** path on HTTPS server to xml file */
 +#define XMLNAME "root-anchors/root-anchors.xml"
 +/** path on HTTPS server to p7s file */
 +#define P7SNAME "root-anchors/root-anchors.p7s"
 +/** name of the signer of the certificate */
 +#define P7SIGNER "dnssec@iana.org"
 +/** port number for https access */
 +#define HTTPS_PORT 443
 +
 +#ifdef USE_WINSOCK
 +/* sneakily reuse the the wsa_strerror function, on windows */
 +char* wsa_strerror(int err);
 +#endif
 +
 +/** verbosity for this application */
 +static int verb = 0;
 +
 +/** list of IP addresses */
 +struct ip_list {
 +      /** next in list */
 +      struct ip_list* next;
 +      /** length of addr */
 +      socklen_t len;
 +      /** address ready to connect to */
 +      struct sockaddr_storage addr;
 +      /** has the address been used */
 +      int used;
 +};
 +
 +/** Give unbound-anchor usage, and exit (1). */
 +static void
 +usage()
 +{
 +      printf("Usage:  unbound-anchor [opts]\n");
 +      printf("        Setup or update root anchor. "
 +              "Most options have defaults.\n");
 +      printf("        Run this program before you start the validator.\n");
 +      printf("\n");
 +      printf("        The anchor and cert have default builtin content\n");
 +      printf("        if the file does not exist or is empty.\n");
 +      printf("\n");
 +      printf("-a file         root key file, default %s\n", ROOT_ANCHOR_FILE);
 +      printf("                The key is input and output for this tool.\n");
 +      printf("-c file         cert file, default %s\n", ROOT_CERT_FILE);
 +      printf("-l              list builtin key and cert on stdout\n");
 +      printf("-u name         server in https url, default %s\n", URLNAME);
 +      printf("-x path         pathname to xml in url, default %s\n", XMLNAME);
 +      printf("-s path         pathname to p7s in url, default %s\n", P7SNAME);
 +      printf("-n name         signer's subject emailAddress, default %s\n", P7SIGNER);
 +      printf("-4              work using IPv4 only\n");
 +      printf("-6              work using IPv6 only\n");
 +      printf("-f resolv.conf  use given resolv.conf to resolve -u name\n");
 +      printf("-r root.hints   use given root.hints to resolve -u name\n"
 +              "               builtin root hints are used by default\n");
 +      printf("-v              more verbose\n");
 +      printf("-C conf         debug, read config\n");
 +      printf("-P port         use port for https connect, default 443\n");
 +      printf("-F              debug, force update with cert\n");
 +      printf("-h              show this usage help\n");
 +      printf("Version %s\n", PACKAGE_VERSION);
 +      printf("BSD licensed, see LICENSE in source package for details.\n");
 +      printf("Report bugs to %s\n", PACKAGE_BUGREPORT);
 +      exit(1);
 +}
 +
 +/** return the built in root update certificate */
 +static const char*
 +get_builtin_cert(void)
 +{
 +      return
 +/* The ICANN CA fetched at 24 Sep 2010.  Valid to 2028 */
 +"-----BEGIN CERTIFICATE-----\n"
 +"MIIDdzCCAl+gAwIBAgIBATANBgkqhkiG9w0BAQsFADBdMQ4wDAYDVQQKEwVJQ0FO\n"
 +"TjEmMCQGA1UECxMdSUNBTk4gQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkxFjAUBgNV\n"
 +"BAMTDUlDQU5OIFJvb3QgQ0ExCzAJBgNVBAYTAlVTMB4XDTA5MTIyMzA0MTkxMloX\n"
 +"DTI5MTIxODA0MTkxMlowXTEOMAwGA1UEChMFSUNBTk4xJjAkBgNVBAsTHUlDQU5O\n"
 +"IENlcnRpZmljYXRpb24gQXV0aG9yaXR5MRYwFAYDVQQDEw1JQ0FOTiBSb290IENB\n"
 +"MQswCQYDVQQGEwJVUzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKDb\n"
 +"cLhPNNqc1NB+u+oVvOnJESofYS9qub0/PXagmgr37pNublVThIzyLPGCJ8gPms9S\n"
 +"G1TaKNIsMI7d+5IgMy3WyPEOECGIcfqEIktdR1YWfJufXcMReZwU4v/AdKzdOdfg\n"
 +"ONiwc6r70duEr1IiqPbVm5T05l1e6D+HkAvHGnf1LtOPGs4CHQdpIUcy2kauAEy2\n"
 +"paKcOcHASvbTHK7TbbvHGPB+7faAztABLoneErruEcumetcNfPMIjXKdv1V1E3C7\n"
 +"MSJKy+jAqqQJqjZoQGB0necZgUMiUv7JK1IPQRM2CXJllcyJrm9WFxY0c1KjBO29\n"
 +"iIKK69fcglKcBuFShUECAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B\n"
 +"Af8EBAMCAf4wHQYDVR0OBBYEFLpS6UmDJIZSL8eZzfyNa2kITcBQMA0GCSqGSIb3\n"
 +"DQEBCwUAA4IBAQAP8emCogqHny2UYFqywEuhLys7R9UKmYY4suzGO4nkbgfPFMfH\n"
 +"6M+Zj6owwxlwueZt1j/IaCayoKU3QsrYYoDRolpILh+FPwx7wseUEV8ZKpWsoDoD\n"
 +"2JFbLg2cfB8u/OlE4RYmcxxFSmXBg0yQ8/IoQt/bxOcEEhhiQ168H2yE5rxJMt9h\n"
 +"15nu5JBSewrCkYqYYmaxyOC3WrVGfHZxVI7MpIFcGdvSb2a1uyuua8l0BKgk3ujF\n"
 +"0/wsHNeP22qNyVO+XVBzrM8fk8BSUFuiT/6tZTYXRtEt5aKQZgXbKU5dUF3jT9qg\n"
 +"j/Br5BZw3X/zd325TvnswzMC1+ljLzHnQGGk\n"
 +"-----END CERTIFICATE-----\n"
 +              ;
 +}
 +
 +/** return the built in root DS trust anchor */
 +static const char*
 +get_builtin_ds(void)
 +{
 +      return
 +". IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5\n";
 +}
 +
 +/** print hex data */
 +static void
 +print_data(const char* msg, const char* data, int len)
 +{
 +      int i;
 +      printf("%s: ", msg);
 +      for(i=0; i<len; i++) {
 +              printf(" %2.2x", (unsigned char)data[i]);
 +      }
 +      printf("\n");
 +}
 +
 +/** print ub context creation error and exit */
 +static void
 +ub_ctx_error_exit(struct ub_ctx* ctx, const char* str, const char* str2)
 +{
 +      ub_ctx_delete(ctx);
 +      if(str && str2 && verb) printf("%s: %s\n", str, str2);
 +      if(verb) printf("error: could not create unbound resolver context\n");
 +      exit(0);
 +}
 +
 +/**
 + * Create a new unbound context with the commandline settings applied
 + */
 +static struct ub_ctx* 
 +create_unbound_context(const char* res_conf, const char* root_hints,
 +      const char* debugconf, int ip4only, int ip6only)
 +{
 +      int r;
 +      struct ub_ctx* ctx = ub_ctx_create();
 +      if(!ctx) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      /* do not waste time and network traffic to fetch extra nameservers */
 +      r = ub_ctx_set_option(ctx, "target-fetch-policy:", "0 0 0 0 0");
 +      if(r && verb) printf("ctx targetfetchpolicy: %s\n", ub_strerror(r));
 +      /* read config file first, so its settings can be overridden */
 +      if(debugconf) {
 +              r = ub_ctx_config(ctx, debugconf);
 +              if(r) ub_ctx_error_exit(ctx, debugconf, ub_strerror(r));
 +      }
 +      if(res_conf) {
 +              r = ub_ctx_resolvconf(ctx, res_conf);
 +              if(r) ub_ctx_error_exit(ctx, res_conf, ub_strerror(r));
 +      }
 +      if(root_hints) {
 +              r = ub_ctx_set_option(ctx, "root-hints:", root_hints);
 +              if(r) ub_ctx_error_exit(ctx, root_hints, ub_strerror(r));
 +      }
 +      if(ip4only) {
 +              r = ub_ctx_set_option(ctx, "do-ip6:", "no");
 +              if(r) ub_ctx_error_exit(ctx, "ip4only", ub_strerror(r));
 +      }
 +      if(ip6only) {
 +              r = ub_ctx_set_option(ctx, "do-ip4:", "no");
 +              if(r) ub_ctx_error_exit(ctx, "ip6only", ub_strerror(r));
 +      }
 +      return ctx;
 +}
 +
 +/** printout certificate in detail */
 +static void
 +verb_cert(const char* msg, X509* x)
 +{
 +      if(verb == 0 || verb == 1) return;
 +      if(verb == 2) {
 +              if(msg) printf("%s\n", msg);
 +              X509_print_ex_fp(stdout, x, 0, (unsigned long)-1
 +                      ^(X509_FLAG_NO_SUBJECT
 +                      |X509_FLAG_NO_ISSUER|X509_FLAG_NO_VALIDITY));
 +              return;
 +      }
 +      if(msg) printf("%s\n", msg);
 +      X509_print_fp(stdout, x);
 +}
 +
 +/** printout certificates in detail */
 +static void
 +verb_certs(const char* msg, STACK_OF(X509)* sk)
 +{
 +      int i, num = sk_X509_num(sk);
 +      if(verb == 0 || verb == 1) return;
 +      for(i=0; i<num; i++) {
 +              printf("%s (%d/%d)\n", msg, i, num);
 +              verb_cert(NULL, sk_X509_value(sk, i));
 +      }
 +}
 +
 +/** read certificates from a PEM bio */
 +static STACK_OF(X509)*
 +read_cert_bio(BIO* bio)
 +{
 +      STACK_OF(X509) *sk = sk_X509_new_null();
 +      if(!sk) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      while(!BIO_eof(bio)) {
 +              X509* x = PEM_read_bio_X509(bio, NULL, 0, NULL);
 +              if(x == NULL) {
 +                      if(verb) {
 +                              printf("failed to read X509\n");
 +                              ERR_print_errors_fp(stdout);
 +                      }
 +                      continue;
 +              }
 +              if(!sk_X509_push(sk, x)) {
 +                      if(verb) printf("out of memory\n");
 +                      exit(0);
 +              }
 +      }
 +      return sk;
 +}
 +
 +/* read the certificate file */
 +static STACK_OF(X509)*
 +read_cert_file(const char* file)
 +{
 +      STACK_OF(X509)* sk;
 +      FILE* in;
 +      int content = 0;
 +      char buf[128];
 +      if(file == NULL || strcmp(file, "") == 0) {
 +              return NULL;
 +      }
 +      sk = sk_X509_new_null();
 +      if(!sk) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      in = fopen(file, "r");
 +      if(!in) {
 +              if(verb) printf("%s: %s\n", file, strerror(errno));
 +#ifndef S_SPLINT_S
 +              sk_X509_pop_free(sk, X509_free);
 +#endif
 +              return NULL;
 +      }
 +      while(!feof(in)) {
 +              X509* x = PEM_read_X509(in, NULL, 0, NULL);
 +              if(x == NULL) {
 +                      if(verb) {
 +                              printf("failed to read X509 file\n");
 +                              ERR_print_errors_fp(stdout);
 +                      }
 +                      continue;
 +              }
 +              if(!sk_X509_push(sk, x)) {
 +                      if(verb) printf("out of memory\n");
 +                      fclose(in);
 +                      exit(0);
 +              }
 +              content = 1;
 +              /* read away newline after --END CERT-- */
 +              if(!fgets(buf, (int)sizeof(buf), in))
 +                      break;
 +      }
 +      fclose(in);
 +      if(!content) {
 +              if(verb) printf("%s is empty\n", file);
 +#ifndef S_SPLINT_S
 +              sk_X509_pop_free(sk, X509_free);
 +#endif
 +              return NULL;
 +      }
 +      return sk;
 +}
 +
 +/** read certificates from the builtin certificate */
 +static STACK_OF(X509)*
 +read_builtin_cert(void)
 +{
 +      const char* builtin_cert = get_builtin_cert();
 +      STACK_OF(X509)* sk;
 +      BIO *bio = BIO_new_mem_buf((void*)builtin_cert,
 +              (int)strlen(builtin_cert));
 +      if(!bio) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      sk = read_cert_bio(bio);
 +      if(!sk) {
 +              if(verb) printf("internal error, out of memory\n");
 +              exit(0);
 +      }
 +      BIO_free(bio);
 +      return sk;
 +}
 +
 +/** read update cert file or use builtin */
 +static STACK_OF(X509)*
 +read_cert_or_builtin(const char* file)
 +{
 +      STACK_OF(X509) *sk = read_cert_file(file);
 +      if(!sk) {
 +              if(verb) printf("using builtin certificate\n");
 +              sk = read_builtin_cert();
 +      }
 +      if(verb) printf("have %d trusted certificates\n", sk_X509_num(sk));
 +      verb_certs("trusted certificates", sk);
 +      return sk;
 +}
 +
 +static void
 +do_list_builtin(void)
 +{
 +      const char* builtin_cert = get_builtin_cert();
 +      const char* builtin_ds = get_builtin_ds();
 +      printf("%s\n", builtin_ds);
 +      printf("%s\n", builtin_cert);
 +      exit(0);
 +}
 +
 +/** printout IP address with message */
 +static void
 +verb_addr(const char* msg, struct ip_list* ip)
 +{
 +      if(verb) {
 +              char out[100];
 +              void* a = &((struct sockaddr_in*)&ip->addr)->sin_addr;
 +              if(ip->len != (socklen_t)sizeof(struct sockaddr_in))
 +                      a = &((struct sockaddr_in6*)&ip->addr)->sin6_addr;
 +
 +              if(inet_ntop((int)((struct sockaddr_in*)&ip->addr)->sin_family,
 +                      a, out, (socklen_t)sizeof(out))==0)
 +                      printf("%s (inet_ntop error)\n", msg);
 +              else printf("%s %s\n", msg, out);
 +      }
 +}
 +
 +/** free ip_list */
 +static void
 +ip_list_free(struct ip_list* p)
 +{
 +      struct ip_list* np;
 +      while(p) {
 +              np = p->next;
 +              free(p);
 +              p = np;
 +      }
 +}
 +
 +/** create ip_list entry for a RR record */
 +static struct ip_list*
 +RR_to_ip(int tp, char* data, int len, int port)
 +{
 +      struct ip_list* ip = (struct ip_list*)calloc(1, sizeof(*ip));
 +      uint16_t p = (uint16_t)port;
 +      if(tp == LDNS_RR_TYPE_A) {
 +              struct sockaddr_in* sa = (struct sockaddr_in*)&ip->addr;
 +              ip->len = (socklen_t)sizeof(*sa);
 +              sa->sin_family = AF_INET;
 +              sa->sin_port = (in_port_t)htons(p);
 +              if(len != (int)sizeof(sa->sin_addr)) {
 +                      if(verb) printf("skipped badly formatted A\n");
 +                      free(ip);
 +                      return NULL;
 +              }
 +              memmove(&sa->sin_addr, data, sizeof(sa->sin_addr));
 +
 +      } else if(tp == LDNS_RR_TYPE_AAAA) {
 +              struct sockaddr_in6* sa = (struct sockaddr_in6*)&ip->addr;
 +              ip->len = (socklen_t)sizeof(*sa);
 +              sa->sin6_family = AF_INET6;
 +              sa->sin6_port = (in_port_t)htons(p);
 +              if(len != (int)sizeof(sa->sin6_addr)) {
 +                      if(verb) printf("skipped badly formatted AAAA\n");
 +                      free(ip);
 +                      return NULL;
 +              }
 +              memmove(&sa->sin6_addr, data, sizeof(sa->sin6_addr));
 +      } else {
 +              if(verb) printf("internal error: bad type in RRtoip\n");
 +              free(ip);
 +              return NULL;
 +      }
 +      verb_addr("resolved server address", ip);
 +      return ip;
 +}
 +
 +/** Resolve name, type, class and add addresses to iplist */
 +static void
 +resolve_host_ip(struct ub_ctx* ctx, const char* host, int port, int tp, int cl,
 +      struct ip_list** head)
 +{
 +      struct ub_result* res = NULL;
 +      int r;
 +      int i;
 +
 +      r = ub_resolve(ctx, host, tp, cl, &res);
 +      if(r) {
 +              if(verb) printf("error: resolve %s %s: %s\n", host,
 +                      (tp==LDNS_RR_TYPE_A)?"A":"AAAA", ub_strerror(r));
 +              return;
 +      }
 +      if(!res) {
 +              if(verb) printf("out of memory\n");
 +              ub_ctx_delete(ctx);
 +              exit(0);
 +      }
 +      if(!res->havedata || res->rcode || !res->data) {
 +              if(verb) printf("resolve %s %s: no result\n", host,
 +                      (tp==LDNS_RR_TYPE_A)?"A":"AAAA");
 +              return;
 +      }
 +      for(i = 0; res->data[i]; i++) {
 +              struct ip_list* ip = RR_to_ip(tp, res->data[i], res->len[i],
 +                      port);
 +              if(!ip) continue;
 +              ip->next = *head;
 +              *head = ip;
 +      }
 +      ub_resolve_free(res);
 +}
 +
 +/** parse a text IP address into a sockaddr */
 +static struct ip_list*
 +parse_ip_addr(const char* str, int port)
 +{
 +      socklen_t len = 0;
 +      union {
 +              struct sockaddr_in6 a6;
 +              struct sockaddr_in a;
 +      } addr;
 +      struct ip_list* ip;
 +      uint16_t p = (uint16_t)port;
 +      memset(&addr, 0, sizeof(addr));
 +
 +      if(inet_pton(AF_INET6, str, &addr.a6.sin6_addr) > 0) {
 +              /* it is an IPv6 */
 +              addr.a6.sin6_family = AF_INET6;
 +              addr.a6.sin6_port = (in_port_t)htons(p);
 +              len = (socklen_t)sizeof(addr.a6);
 +      }
 +      if(inet_pton(AF_INET, str, &addr.a.sin_addr) > 0) {
 +              /* it is an IPv4 */
 +              addr.a.sin_family = AF_INET;
 +              addr.a.sin_port = (in_port_t)htons(p);
 +              len = (socklen_t)sizeof(struct sockaddr_in);
 +      }
 +      if(!len) return NULL;
 +      ip = (struct ip_list*)calloc(1, sizeof(*ip));
 +      if(!ip) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      ip->len = len;
 +      memmove(&ip->addr, &addr, len);
 +      if(verb) printf("server address is %s\n", str);
 +      return ip;
 +}
 +
 +/**
 + * Resolve a domain name (even though the resolver is down and there is
 + * no trust anchor).  Without DNSSEC validation.
 + * @param host: the name to resolve.
 + *    If this name is an IP4 or IP6 address this address is returned.
 + * @param port: the port number used for the returned IP structs.
 + * @param res_conf: resolv.conf (if any).
 + * @param root_hints: root hints (if any).
 + * @param debugconf: unbound.conf for debugging options.
 + * @param ip4only: use only ip4 for resolve and only lookup A
 + * @param ip6only: use only ip6 for resolve and only lookup AAAA
 + *    default is to lookup A and AAAA using ip4 and ip6.
 + * @return list of IP addresses.
 + */
 +static struct ip_list*
 +resolve_name(const char* host, int port, const char* res_conf,
 +      const char* root_hints, const char* debugconf, int ip4only, int ip6only)
 +{
 +      struct ub_ctx* ctx;
 +      struct ip_list* list = NULL;
 +      /* first see if name is an IP address itself */
 +      if( (list=parse_ip_addr(host, port)) ) {
 +              return list;
 +      }
 +      
 +      /* create resolver context */
 +      ctx = create_unbound_context(res_conf, root_hints, debugconf,
 +              ip4only, ip6only);
 +
 +      /* try resolution of A */
 +      if(!ip6only) {
 +              resolve_host_ip(ctx, host, port, LDNS_RR_TYPE_A,
 +                      LDNS_RR_CLASS_IN, &list);
 +      }
 +
 +      /* try resolution of AAAA */
 +      if(!ip4only) {
 +              resolve_host_ip(ctx, host, port, LDNS_RR_TYPE_AAAA,
 +                      LDNS_RR_CLASS_IN, &list);
 +      }
 +
 +      ub_ctx_delete(ctx);
 +      if(!list) {
 +              if(verb) printf("%s has no IP addresses I can use\n", host);
 +              exit(0);
 +      }
 +      return list;
 +}
 +
 +/** clear used flags */
 +static void
 +wipe_ip_usage(struct ip_list* p)
 +{
 +      while(p) {
 +              p->used = 0;
 +              p = p->next;
 +      }
 +}
 +
 +/** cound unused IPs */
 +static int
 +count_unused(struct ip_list* p)
 +{
 +      int num = 0;
 +      while(p) {
 +              if(!p->used) num++;
 +              p = p->next;
 +      }
 +      return num;
 +}
 +
 +/** pick random unused element from IP list */
 +static struct ip_list*
 +pick_random_ip(struct ip_list* list)
 +{
 +      struct ip_list* p = list;
 +      int num = count_unused(list);
 +      int sel;
 +      if(num == 0) return NULL;
 +      /* not perfect, but random enough */
 +      sel = (int)arc4random_uniform((uint32_t)num);
 +      /* skip over unused elements that we did not select */
 +      while(sel > 0 && p) {
 +              if(!p->used) sel--;
 +              p = p->next;
 +      }
 +      /* find the next unused element */
 +      while(p && p->used)
 +              p = p->next;
 +      if(!p) return NULL; /* robustness */
 +      return p;
 +}
 +
 +/** close the fd */
 +static void
 +fd_close(int fd)
 +{
 +#ifndef USE_WINSOCK
 +      close(fd);
 +#else
 +      closesocket(fd);
 +#endif
 +}
 +
 +/** printout socket errno */
 +static void
 +print_sock_err(const char* msg)
 +{
 +#ifndef USE_WINSOCK
 +      if(verb) printf("%s: %s\n", msg, strerror(errno));
 +#else
 +      if(verb) printf("%s: %s\n", msg, wsa_strerror(WSAGetLastError()));
 +#endif
 +}
 +
 +/** connect to IP address */
 +static int
 +connect_to_ip(struct ip_list* ip)
 +{
 +      int fd;
 +      verb_addr("connect to", ip);
 +      fd = socket(ip->len==(socklen_t)sizeof(struct sockaddr_in)?
 +              AF_INET:AF_INET6, SOCK_STREAM, 0);
 +      if(fd == -1) {
 +              print_sock_err("socket");
 +              return -1;
 +      }
 +      if(connect(fd, (struct sockaddr*)&ip->addr, ip->len) < 0) {
 +              print_sock_err("connect");
 +              fd_close(fd);
 +              return -1;
 +      }
 +      return fd;
 +}
 +
 +/** create SSL context */
 +static SSL_CTX*
 +setup_sslctx(void)
 +{
 +      SSL_CTX* sslctx = SSL_CTX_new(SSLv23_client_method());
 +      if(!sslctx) {
 +              if(verb) printf("SSL_CTX_new error\n");
 +              return NULL;
 +      }
 +      return sslctx;
 +}
 +
 +/** initiate TLS on a connection */
 +static SSL*
 +TLS_initiate(SSL_CTX* sslctx, int fd)
 +{
 +      X509* x;
 +      int r;
 +      SSL* ssl = SSL_new(sslctx);
 +      if(!ssl) {
 +              if(verb) printf("SSL_new error\n");
 +              return NULL;
 +      }
 +      SSL_set_connect_state(ssl);
 +      (void)SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
 +      if(!SSL_set_fd(ssl, fd)) {
 +              if(verb) printf("SSL_set_fd error\n");
 +              SSL_free(ssl);
 +              return NULL;
 +      }
 +      while(1) {
 +              ERR_clear_error();
 +              if( (r=SSL_do_handshake(ssl)) == 1)
 +                      break;
 +              r = SSL_get_error(ssl, r);
 +              if(r != SSL_ERROR_WANT_READ && r != SSL_ERROR_WANT_WRITE) {
 +                      if(verb) printf("SSL handshake failed\n");
 +                      SSL_free(ssl);
 +                      return NULL;
 +              }
 +              /* wants to be called again */
 +      }
 +      x = SSL_get_peer_certificate(ssl);
 +      if(!x) {
 +              if(verb) printf("Server presented no peer certificate\n");
 +              SSL_free(ssl);
 +              return NULL;
 +      }
 +      verb_cert("server SSL certificate", x);
 +      X509_free(x);
 +      return ssl;
 +}
 +
 +/** perform neat TLS shutdown */
 +static void
 +TLS_shutdown(int fd, SSL* ssl, SSL_CTX* sslctx)
 +{
 +      /* shutdown the SSL connection nicely */
 +      if(SSL_shutdown(ssl) == 0) {
 +              SSL_shutdown(ssl);
 +      }
 +      SSL_free(ssl);
 +      SSL_CTX_free(sslctx);
 +      fd_close(fd);
 +}
 +
 +/** write a line over SSL */
 +static int
 +write_ssl_line(SSL* ssl, const char* str, const char* sec)
 +{
 +      char buf[1024];
 +      size_t l;
 +      if(sec) {
 +              snprintf(buf, sizeof(buf), str, sec);
 +      } else {
 +              snprintf(buf, sizeof(buf), "%s", str);
 +      }
 +      l = strlen(buf);
 +      if(l+2 >= sizeof(buf)) {
 +              if(verb) printf("line too long\n");
 +              return 0;
 +      }
 +      if(verb >= 2) printf("SSL_write: %s\n", buf);
 +      buf[l] = '\r';
 +      buf[l+1] = '\n';
 +      buf[l+2] = 0;
 +      /* add \r\n */
 +      if(SSL_write(ssl, buf, (int)strlen(buf)) <= 0) {
 +              if(verb) printf("could not SSL_write %s", str);
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** process header line, check rcode and keeping track of size */
 +static int
 +process_one_header(char* buf, size_t* clen, int* chunked)
 +{
 +      if(verb>=2) printf("header: '%s'\n", buf);
 +      if(strncasecmp(buf, "HTTP/1.1 ", 9) == 0) {
 +              /* check returncode */
 +              if(buf[9] != '2') {
 +                      if(verb) printf("bad status %s\n", buf+9);
 +                      return 0;
 +              }
 +      } else if(strncasecmp(buf, "Content-Length: ", 16) == 0) {
 +              if(!*chunked)
 +                      *clen = (size_t)atoi(buf+16);
 +      } else if(strncasecmp(buf, "Transfer-Encoding: chunked", 19+7) == 0) {
 +              *clen = 0;
 +              *chunked = 1;
 +      }
 +      return 1;
 +}
 +
 +/** 
 + * Read one line from SSL
 + * zero terminates.
 + * skips "\r\n" (but not copied to buf).
 + * @param ssl: the SSL connection to read from (blocking).
 + * @param buf: buffer to return line in.
 + * @param len: size of the buffer.
 + * @return 0 on error, 1 on success.
 + */
 +static int
 +read_ssl_line(SSL* ssl, char* buf, size_t len)
 +{
 +      size_t n = 0;
 +      int r;
 +      int endnl = 0;
 +      while(1) {
 +              if(n >= len) {
 +                      if(verb) printf("line too long\n");
 +                      return 0;
 +              }
 +              if((r = SSL_read(ssl, buf+n, 1)) <= 0) {
 +                      if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN) {
 +                              /* EOF */
 +                              break;
 +                      }
 +                      if(verb) printf("could not SSL_read\n");
 +                      return 0;
 +              }
 +              if(endnl && buf[n] == '\n') {
 +                      break;
 +              } else if(endnl) {
 +                      /* bad data */
 +                      if(verb) printf("error: stray linefeeds\n");
 +                      return 0;
 +              } else if(buf[n] == '\r') {
 +                      /* skip \r, and also \n on the wire */
 +                      endnl = 1;
 +                      continue;
 +              } else if(buf[n] == '\n') {
 +                      /* skip the \n, we are done */
 +                      break;
 +              } else n++;
 +      }
 +      buf[n] = 0;
 +      return 1;
 +}
 +
 +/** read http headers and process them */
 +static size_t
 +read_http_headers(SSL* ssl, size_t* clen)
 +{
 +      char buf[1024];
 +      int chunked = 0;
 +      *clen = 0;
 +      while(read_ssl_line(ssl, buf, sizeof(buf))) {
 +              if(buf[0] == 0)
 +                      return 1;
 +              if(!process_one_header(buf, clen, &chunked))
 +                      return 0;
 +      }
 +      return 0;
 +}
 +
 +/** read a data chunk */
 +static char*
 +read_data_chunk(SSL* ssl, size_t len)
 +{
 +      size_t got = 0;
 +      int r;
++      char* data;
++      if(len >= 0xfffffff0)
++              return NULL; /* to protect against integer overflow in malloc*/
++      data = malloc(len+1);
 +      if(!data) {
 +              if(verb) printf("out of memory\n");
 +              return NULL;
 +      }
 +      while(got < len) {
 +              if((r = SSL_read(ssl, data+got, (int)(len-got))) <= 0) {
 +                      if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN) {
 +                              /* EOF */
 +                              if(verb) printf("could not SSL_read: unexpected EOF\n");
 +                              free(data);
 +                              return NULL;
 +                      }
 +                      if(verb) printf("could not SSL_read\n");
 +                      free(data);
 +                      return NULL;
 +              }
 +              if(verb >= 2) printf("at %d/%d\n", (int)got, (int)len);
 +              got += r;
 +      }
 +      if(verb>=2) printf("read %d data\n", (int)len);
 +      data[len] = 0;
 +      return data;
 +}
 +
 +/** parse chunk header */
 +static int
 +parse_chunk_header(char* buf, size_t* result)
 +{
 +      char* e = NULL;
 +      size_t v = (size_t)strtol(buf, &e, 16);
 +      if(e == buf)
 +              return 0;
 +      *result = v;
 +      return 1;
 +}
 +
 +/** read chunked data from connection */
 +static BIO*
 +do_chunked_read(SSL* ssl)
 +{
 +      char buf[1024];
 +      size_t len;
 +      char* body;
 +      BIO* mem = BIO_new(BIO_s_mem());
 +      if(verb>=3) printf("do_chunked_read\n");
 +      if(!mem) {
 +              if(verb) printf("out of memory\n");
 +              return NULL;
 +      }
 +      while(read_ssl_line(ssl, buf, sizeof(buf))) {
 +              /* read the chunked start line */
 +              if(verb>=2) printf("chunk header: %s\n", buf);
 +              if(!parse_chunk_header(buf, &len)) {
 +                      BIO_free(mem);
 +                      if(verb>=3) printf("could not parse chunk header\n");
 +                      return NULL;
 +              }
 +              if(verb>=2) printf("chunk len: %d\n", (int)len);
 +              /* are we done? */
 +              if(len == 0) {
 +                      char z = 0;
 +                      /* skip end-of-chunk-trailer lines,
 +                       * until the empty line after that */
 +                      do {
 +                              if(!read_ssl_line(ssl, buf, sizeof(buf))) {
 +                                      BIO_free(mem);
 +                                      return NULL;
 +                              }
 +                      } while (strlen(buf) > 0);
 +                      /* end of chunks, zero terminate it */
 +                      if(BIO_write(mem, &z, 1) <= 0) {
 +                              if(verb) printf("out of memory\n");
 +                              BIO_free(mem);
 +                              return NULL;
 +                      }
 +                      return mem;
 +              }
 +              /* read the chunked body */
 +              body = read_data_chunk(ssl, len);
 +              if(!body) {
 +                      BIO_free(mem);
 +                      return NULL;
 +              }
 +              if(BIO_write(mem, body, (int)len) <= 0) {
 +                      if(verb) printf("out of memory\n");
 +                      free(body);
 +                      BIO_free(mem);
 +                      return NULL;
 +              }
 +              free(body);
 +              /* skip empty line after data chunk */
 +              if(!read_ssl_line(ssl, buf, sizeof(buf))) {
 +                      BIO_free(mem);
 +                      return NULL;
 +              }
 +      }
 +      BIO_free(mem);
 +      return NULL;
 +}
 +
 +/** start HTTP1.1 transaction on SSL */
 +static int
 +write_http_get(SSL* ssl, const char* pathname, const char* urlname)
 +{
 +      if(write_ssl_line(ssl, "GET /%s HTTP/1.1", pathname) &&
 +         write_ssl_line(ssl, "Host: %s", urlname) &&
 +         write_ssl_line(ssl, "User-Agent: unbound-anchor/%s",
 +              PACKAGE_VERSION) &&
 +         /* We do not really do multiple queries per connection,
 +          * but this header setting is also not needed.
 +          * write_ssl_line(ssl, "Connection: close", NULL) &&*/
 +         write_ssl_line(ssl, "", NULL)) {
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +/** read chunked data and zero terminate; len is without zero */
 +static char*
 +read_chunked_zero_terminate(SSL* ssl, size_t* len)
 +{
 +      /* do the chunked version */
 +      BIO* tmp = do_chunked_read(ssl);
 +      char* data, *d = NULL;
 +      size_t l;
 +      if(!tmp) {
 +              if(verb) printf("could not read from https\n");
 +              return NULL;
 +      }
 +      l = (size_t)BIO_get_mem_data(tmp, &d);
 +      if(verb>=2) printf("chunked data is %d\n", (int)l);
 +      if(l == 0 || d == NULL) {
 +              if(verb) printf("out of memory\n");
 +              return NULL;
 +      }
 +      *len = l-1;
 +      data = (char*)malloc(l);
 +      if(data == NULL) {
 +              if(verb) printf("out of memory\n");
 +              return NULL;
 +      }
 +      memcpy(data, d, l);
 +      BIO_free(tmp);
 +      return data;
 +}
 +
 +/** read HTTP result from SSL */
 +static BIO*
 +read_http_result(SSL* ssl)
 +{
 +      size_t len = 0;
 +      char* data;
 +      BIO* m;
 +      if(!read_http_headers(ssl, &len)) {
 +              return NULL;
 +      }
 +      if(len == 0) {
 +              data = read_chunked_zero_terminate(ssl, &len);
 +      } else {
 +              data = read_data_chunk(ssl, len);
 +      }
 +      if(!data) return NULL;
 +      if(verb >= 4) print_data("read data", data, (int)len);
 +      m = BIO_new_mem_buf(data, (int)len);
 +      if(!m) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      return m;
 +}
 +
 +/** https to an IP addr, return BIO with pathname or NULL */
 +static BIO*
 +https_to_ip(struct ip_list* ip, const char* pathname, const char* urlname)
 +{
 +      int fd;
 +      SSL* ssl;
 +      BIO* bio;
 +      SSL_CTX* sslctx = setup_sslctx();
 +      if(!sslctx) {
 +              return NULL;
 +      }
 +      fd = connect_to_ip(ip);
 +      if(fd == -1) {
 +              SSL_CTX_free(sslctx);
 +              return NULL;
 +      }
 +      ssl = TLS_initiate(sslctx, fd);
 +      if(!ssl) {
 +              SSL_CTX_free(sslctx);
 +              fd_close(fd);
 +              return NULL;
 +      }
 +      if(!write_http_get(ssl, pathname, urlname)) {
 +              if(verb) printf("could not write to server\n");
 +              SSL_free(ssl);
 +              SSL_CTX_free(sslctx);
 +              fd_close(fd);
 +              return NULL;
 +      }
 +      bio = read_http_result(ssl);
 +      TLS_shutdown(fd, ssl, sslctx);
 +      return bio;
 +}
 +
 +/**
 + * Do a HTTPS, HTTP1.1 over TLS, to fetch a file
 + * @param ip_list: list of IP addresses to use to fetch from.
 + * @param pathname: pathname of file on server to GET.
 + * @param urlname: name to pass as the virtual host for this request.
 + * @return a memory BIO with the file in it.
 + */
 +static BIO*
 +https(struct ip_list* ip_list, const char* pathname, const char* urlname)
 +{
 +      struct ip_list* ip;
 +      BIO* bio = NULL;
 +      /* try random address first, and work through the list */
 +      wipe_ip_usage(ip_list);
 +      while( (ip = pick_random_ip(ip_list)) ) {
 +              ip->used = 1;
 +              bio = https_to_ip(ip, pathname, urlname);
 +              if(bio) break;
 +      }
 +      if(!bio) {
 +              if(verb) printf("could not fetch %s\n", pathname);
 +              exit(0);
 +      } else {
 +              if(verb) printf("fetched %s (%d bytes)\n",
 +                      pathname, (int)BIO_ctrl_pending(bio));
 +      }
 +      return bio;
 +}
 +
 +/** free up a downloaded file BIO */
 +static void
 +free_file_bio(BIO* bio)
 +{
 +      char* pp = NULL;
 +      (void)BIO_reset(bio);
 +      (void)BIO_get_mem_data(bio, &pp);
 +      free(pp);
 +      BIO_free(bio);
 +}
 +
 +/** XML parse private data during the parse */
 +struct xml_data {
 +      /** the parser, reference */
 +      XML_Parser parser;
 +      /** the current tag; malloced; or NULL outside of tags */
 +      char* tag;
 +      /** current date to use during the parse */
 +      time_t date;
 +      /** number of keys usefully read in */
 +      int num_keys;
 +      /** the compiled anchors as DS records */
 +      BIO* ds;
 +
 +      /** do we want to use this anchor? */
 +      int use_key;
 +      /** the current anchor: Zone */
 +      BIO* czone;
 +      /** the current anchor: KeyTag */
 +      BIO* ctag;
 +      /** the current anchor: Algorithm */
 +      BIO* calgo;
 +      /** the current anchor: DigestType */
 +      BIO* cdigtype;
 +      /** the current anchor: Digest*/
 +      BIO* cdigest;
 +};
 +
 +/** The BIO for the tag */
 +static BIO*
 +xml_selectbio(struct xml_data* data, const char* tag)
 +{
 +      BIO* b = NULL;
 +      if(strcasecmp(tag, "KeyTag") == 0)
 +              b = data->ctag;
 +      else if(strcasecmp(tag, "Algorithm") == 0)
 +              b = data->calgo;
 +      else if(strcasecmp(tag, "DigestType") == 0)
 +              b = data->cdigtype;
 +      else if(strcasecmp(tag, "Digest") == 0)
 +              b = data->cdigest;
 +      return b;
 +}
 +
 +/**
 + * XML handle character data, the data inside an element.
 + * @param userData: xml_data structure
 + * @param s: the character data.  May not all be in one callback.
 + *    NOT zero terminated.
 + * @param len: length of this part of the data.
 + */
 +static void
 +xml_charhandle(void *userData, const XML_Char *s, int len)
 +{
 +      struct xml_data* data = (struct xml_data*)userData;
 +      BIO* b = NULL;
 +      /* skip characters outside of elements */
 +      if(!data->tag)
 +              return;
 +      if(verb>=4) {
 +              int i;
 +              printf("%s%s charhandle: '",
 +                      data->use_key?"use ":"",
 +                      data->tag?data->tag:"none");
 +              for(i=0; i<len; i++)
 +                      printf("%c", s[i]);
 +              printf("'\n");
 +      }
 +      if(strcasecmp(data->tag, "Zone") == 0) {
 +              if(BIO_write(data->czone, s, len) < 0) {
 +                      if(verb) printf("out of memory in BIO_write\n");
 +                      exit(0);
 +              }
 +              return;
 +      }
 +      /* only store if key is used */
 +      if(!data->use_key)
 +              return;
 +      b = xml_selectbio(data, data->tag);
 +      if(b) {
 +              if(BIO_write(b, s, len) < 0) {
 +                      if(verb) printf("out of memory in BIO_write\n");
 +                      exit(0);
 +              }
 +      }
 +}
 +
 +/**
 + * XML fetch value of particular attribute(by name) or NULL if not present.
 + * @param atts: attribute array (from xml_startelem).
 + * @param name: name of attribute to look for.
 + * @return the value or NULL. (ptr into atts).
 + */
 +static const XML_Char*
 +find_att(const XML_Char **atts, const XML_Char* name)
 +{
 +      int i;
 +      for(i=0; atts[i]; i+=2) {
 +              if(strcasecmp(atts[i], name) == 0)
 +                      return atts[i+1];
 +      }
 +      return NULL;
 +}
 +
 +/**
 + * XML convert DateTime element to time_t.
 + * [-]CCYY-MM-DDThh:mm:ss[Z|(+|-)hh:mm]
 + * (with optional .ssssss fractional seconds)
 + * @param str: the string
 + * @return a time_t representation or 0 on failure.
 + */
 +static time_t
 +xml_convertdate(const char* str)
 +{
 +      time_t t = 0;
 +      struct tm tm;
 +      const char* s;
 +      /* for this application, ignore minus in front;
 +       * only positive dates are expected */
 +      s = str;
 +      if(s[0] == '-') s++;
 +      memset(&tm, 0, sizeof(tm));
 +      /* parse initial content of the string (lots of whitespace allowed) */
 +      s = strptime(s, "%t%Y%t-%t%m%t-%t%d%tT%t%H%t:%t%M%t:%t%S%t", &tm);
 +      if(!s) {
 +              if(verb) printf("xml_convertdate parse failure %s\n", str);
 +              return 0;
 +      }
 +      /* parse remainder of date string */
 +      if(*s == '.') {
 +              /* optional '.' and fractional seconds */
 +              int frac = 0, n = 0;
 +              if(sscanf(s+1, "%d%n", &frac, &n) < 1) {
 +                      if(verb) printf("xml_convertdate f failure %s\n", str);
 +                      return 0;
 +              }
 +              /* fraction is not used, time_t has second accuracy */
 +              s++;
 +              s+=n;
 +      }
 +      if(*s == 'Z' || *s == 'z') {
 +              /* nothing to do for this */
 +              s++;
 +      } else if(*s == '+' || *s == '-') {
 +              /* optional timezone spec: Z or +hh:mm or -hh:mm */
 +              int hr = 0, mn = 0, n = 0;
 +              if(sscanf(s+1, "%d:%d%n", &hr, &mn, &n) < 2) {
 +                      if(verb) printf("xml_convertdate tz failure %s\n", str);
 +                      return 0;
 +              }
 +              if(*s == '+') {
 +                      tm.tm_hour += hr;
 +                      tm.tm_min += mn;
 +              } else {
 +                      tm.tm_hour -= hr;
 +                      tm.tm_min -= mn;
 +              }
 +              s++;
 +              s += n;
 +      }
 +      if(*s != 0) {
 +              /* not ended properly */
 +              /* but ignore, (lenient) */
 +      }
 +
 +      t = mktime(&tm);
 +      if(t == (time_t)-1) {
 +              if(verb) printf("xml_convertdate mktime failure\n");
 +              return 0;
 +      }
 +      return t;
 +}
 +
 +/**
 + * XML handle the KeyDigest start tag, check validity periods.
 + */
 +static void
 +handle_keydigest(struct xml_data* data, const XML_Char **atts)
 +{
 +      data->use_key = 0;
 +      if(find_att(atts, "validFrom")) {
 +              time_t from = xml_convertdate(find_att(atts, "validFrom"));
 +              if(from == 0) {
 +                      if(verb) printf("error: xml cannot be parsed\n");
 +                      exit(0);
 +              }
 +              if(data->date < from)
 +                      return;
 +      }
 +      if(find_att(atts, "validUntil")) {
 +              time_t until = xml_convertdate(find_att(atts, "validUntil"));
 +              if(until == 0) {
 +                      if(verb) printf("error: xml cannot be parsed\n");
 +                      exit(0);
 +              }
 +              if(data->date > until)
 +                      return;
 +      }
 +      /* yes we want to use this key */
 +      data->use_key = 1;
 +      (void)BIO_reset(data->ctag);
 +      (void)BIO_reset(data->calgo);
 +      (void)BIO_reset(data->cdigtype);
 +      (void)BIO_reset(data->cdigest);
 +}
 +
 +/** See if XML element equals the zone name */
 +static int
 +xml_is_zone_name(BIO* zone, const char* name)
 +{
 +      char buf[1024];
 +      char* z = NULL;
 +      long zlen;
 +      (void)BIO_seek(zone, 0);
 +      zlen = BIO_get_mem_data(zone, &z);
 +      if(!zlen || !z) return 0;
 +      /* zero terminate */
 +      if(zlen >= (long)sizeof(buf)) return 0;
 +      memmove(buf, z, (size_t)zlen);
 +      buf[zlen] = 0;
 +      /* compare */
 +      return (strncasecmp(buf, name, strlen(name)) == 0);
 +}
 +
 +/** 
 + * XML start of element. This callback is called whenever an XML tag starts.
 + * XML_Char is UTF8.
 + * @param userData: the xml_data structure.
 + * @param name: the tag that starts.
 + * @param atts: array of strings, pairs of attr = value, ends with NULL.
 + *    i.e. att[0]="att[1]" att[2]="att[3]" att[4]isNull
 + */
 +static void
 +xml_startelem(void *userData, const XML_Char *name, const XML_Char **atts)
 +{
 +      struct xml_data* data = (struct xml_data*)userData;
 +      BIO* b;
 +      if(verb>=4) printf("xml tag start '%s'\n", name);
 +      free(data->tag);
 +      data->tag = strdup(name);
 +      if(!data->tag) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      if(verb>=4) {
 +              int i;
 +              for(i=0; atts[i]; i+=2) {
 +                      printf("  %s='%s'\n", atts[i], atts[i+1]);
 +              }
 +      }
 +      /* handle attributes to particular types */
 +      if(strcasecmp(name, "KeyDigest") == 0) {
 +              handle_keydigest(data, atts);
 +              return;
 +      } else if(strcasecmp(name, "Zone") == 0) {
 +              (void)BIO_reset(data->czone);
 +              return;
 +      }
 +
 +      /* for other types we prepare to pick up the data */
 +      if(!data->use_key)
 +              return;
 +      b = xml_selectbio(data, data->tag);
 +      if(b) {
 +              /* empty it */
 +              (void)BIO_reset(b);
 +      }
 +}
 +
 +/** Append str to bio */
 +static void
 +xml_append_str(BIO* b, const char* s)
 +{
 +      if(BIO_write(b, s, (int)strlen(s)) < 0) {
 +              if(verb) printf("out of memory in BIO_write\n");
 +              exit(0);
 +      }
 +}
 +
 +/** Append bio to bio */
 +static void
 +xml_append_bio(BIO* b, BIO* a)
 +{
 +      char* z = NULL;
 +      long i, len;
 +      (void)BIO_seek(a, 0);
 +      len = BIO_get_mem_data(a, &z);
 +      if(!len || !z) {
 +              if(verb) printf("out of memory in BIO_write\n");
 +              exit(0);
 +      }
 +      /* remove newlines in the data here */
 +      for(i=0; i<len; i++) {
 +              if(z[i] == '\r' || z[i] == '\n')
 +                      z[i] = ' ';
 +      }
 +      /* write to BIO */
 +      if(BIO_write(b, z, len) < 0) {
 +              if(verb) printf("out of memory in BIO_write\n");
 +              exit(0);
 +      }
 +}
 +
 +/** write the parsed xml-DS to the DS list */
 +static void
 +xml_append_ds(struct xml_data* data)
 +{
 +      /* write DS to accumulated DS */
 +      xml_append_str(data->ds, ". IN DS ");
 +      xml_append_bio(data->ds, data->ctag);
 +      xml_append_str(data->ds, " ");
 +      xml_append_bio(data->ds, data->calgo);
 +      xml_append_str(data->ds, " ");
 +      xml_append_bio(data->ds, data->cdigtype);
 +      xml_append_str(data->ds, " ");
 +      xml_append_bio(data->ds, data->cdigest);
 +      xml_append_str(data->ds, "\n");
 +      data->num_keys++;
 +}
 +
 +/**
 + * XML end of element. This callback is called whenever an XML tag ends.
 + * XML_Char is UTF8.
 + * @param userData: the xml_data structure
 + * @param name: the tag that ends.
 + */
 +static void
 +xml_endelem(void *userData, const XML_Char *name)
 +{
 +      struct xml_data* data = (struct xml_data*)userData;
 +      if(verb>=4) printf("xml tag end   '%s'\n", name);
 +      free(data->tag);
 +      data->tag = NULL;
 +      if(strcasecmp(name, "KeyDigest") == 0) {
 +              if(data->use_key)
 +                      xml_append_ds(data);
 +              data->use_key = 0;
 +      } else if(strcasecmp(name, "Zone") == 0) {
 +              if(!xml_is_zone_name(data->czone, ".")) {
 +                      if(verb) printf("xml not for the right zone\n");
 +                      exit(0);
 +              }
 +      }
 +}
 +
 +/* Stop the parser when an entity declaration is encountered. For safety. */
 +static void
 +xml_entitydeclhandler(void *userData,
 +      const XML_Char *ATTR_UNUSED(entityName),
 +      int ATTR_UNUSED(is_parameter_entity),
 +      const XML_Char *ATTR_UNUSED(value), int ATTR_UNUSED(value_length),
 +      const XML_Char *ATTR_UNUSED(base),
 +      const XML_Char *ATTR_UNUSED(systemId),
 +      const XML_Char *ATTR_UNUSED(publicId),
 +      const XML_Char *ATTR_UNUSED(notationName))
 +{
 +      (void)XML_StopParser((XML_Parser)userData, XML_FALSE);
 +}
 +
 +/**
 + * XML parser setup of the callbacks for the tags
 + */
 +static void
 +xml_parse_setup(XML_Parser parser, struct xml_data* data, time_t now)
 +{
 +      char buf[1024];
 +      memset(data, 0, sizeof(*data));
 +      XML_SetUserData(parser, data);
 +      data->parser = parser;
 +      data->date = now;
 +      data->ds = BIO_new(BIO_s_mem());
 +      data->ctag = BIO_new(BIO_s_mem());
 +      data->czone = BIO_new(BIO_s_mem());
 +      data->calgo = BIO_new(BIO_s_mem());
 +      data->cdigtype = BIO_new(BIO_s_mem());
 +      data->cdigest = BIO_new(BIO_s_mem());
 +      if(!data->ds || !data->ctag || !data->calgo || !data->czone ||
 +              !data->cdigtype || !data->cdigest) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      snprintf(buf, sizeof(buf), "; created by unbound-anchor on %s",
 +              ctime(&now));
 +      if(BIO_write(data->ds, buf, (int)strlen(buf)) < 0) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      XML_SetEntityDeclHandler(parser, xml_entitydeclhandler);
 +      XML_SetElementHandler(parser, xml_startelem, xml_endelem);
 +      XML_SetCharacterDataHandler(parser, xml_charhandle);
 +}
 +
 +/**
 + * Perform XML parsing of the root-anchors file
 + * Its format description can be read here
 + * https://data.iana.org/root-anchors/draft-icann-dnssec-trust-anchor.txt
 + * It uses libexpat.
 + * @param xml: BIO with xml data.
 + * @param now: the current time for checking DS validity periods.
 + * @return memoryBIO with the DS data in zone format.
 + *    or NULL if the zone is insecure.
 + *    (It exit()s on error)
 + */
 +static BIO*
 +xml_parse(BIO* xml, time_t now)
 +{
 +      char* pp;
 +      int len;
 +      XML_Parser parser;
 +      struct xml_data data;
 +
 +      parser = XML_ParserCreate(NULL);
 +      if(!parser) {
 +              if(verb) printf("could not XML_ParserCreate\n");
 +              exit(0);
 +      }
 +
 +      /* setup callbacks */
 +      xml_parse_setup(parser, &data, now);
 +
 +      /* parse it */
 +      (void)BIO_reset(xml);
 +      len = (int)BIO_get_mem_data(xml, &pp);
 +      if(!len || !pp) {
 +              if(verb) printf("out of memory\n");
 +              exit(0);
 +      }
 +      if(!XML_Parse(parser, pp, len, 1 /*isfinal*/ )) {
 +              const char *e = XML_ErrorString(XML_GetErrorCode(parser));
 +              if(verb) printf("XML_Parse failure %s\n", e?e:"");
 +              exit(0);
 +      }
 +
 +      /* parsed */
 +      if(verb) printf("XML was parsed successfully, %d keys\n",
 +                      data.num_keys);
 +      free(data.tag);
 +      XML_ParserFree(parser);
 +
 +      if(verb >= 4) {
 +              (void)BIO_seek(data.ds, 0);
 +              len = BIO_get_mem_data(data.ds, &pp);
 +              printf("got DS bio %d: '", len);
 +              if(!fwrite(pp, (size_t)len, 1, stdout))
 +                      /* compilers do not allow us to ignore fwrite .. */
 +                      fprintf(stderr, "error writing to stdout\n");
 +              printf("'\n");
 +      }
 +      BIO_free(data.czone);
 +      BIO_free(data.ctag);
 +      BIO_free(data.calgo);
 +      BIO_free(data.cdigtype);
 +      BIO_free(data.cdigest);
 +
 +      if(data.num_keys == 0) {
 +              /* the root zone seems to have gone insecure */
 +              BIO_free(data.ds);
 +              return NULL;
 +      } else {
 +              return data.ds;
 +      }
 +}
 +
 +/* get key usage out of its extension, returns 0 if no key_usage extension */
 +static unsigned long
 +get_usage_of_ex(X509* cert)
 +{
 +      unsigned long val = 0;
 +      ASN1_BIT_STRING* s;
 +      if((s=X509_get_ext_d2i(cert, NID_key_usage, NULL, NULL))) {
 +              if(s->length > 0) {
 +                      val = s->data[0];
 +                      if(s->length > 1)
 +                              val |= s->data[1] << 8;
 +              }
 +              ASN1_BIT_STRING_free(s);
 +      }
 +      return val;
 +}
 +
 +/** get valid signers from the list of signers in the signature */
 +static STACK_OF(X509)*
 +get_valid_signers(PKCS7* p7, const char* p7signer)
 +{
 +      int i;
 +      STACK_OF(X509)* validsigners = sk_X509_new_null();
 +      STACK_OF(X509)* signers = PKCS7_get0_signers(p7, NULL, 0);
 +      unsigned long usage = 0;
 +      if(!validsigners) {
 +              if(verb) printf("out of memory\n");
 +              sk_X509_free(signers);
 +              return NULL;
 +      }
 +      if(!signers) {
 +              if(verb) printf("no signers in pkcs7 signature\n");
 +              sk_X509_free(validsigners);
 +              return NULL;
 +      }
 +      for(i=0; i<sk_X509_num(signers); i++) {
 +              X509_NAME* nm = X509_get_subject_name(
 +                      sk_X509_value(signers, i));
 +              char buf[1024];
 +              if(!nm) {
 +                      if(verb) printf("signer %d: cert has no subject name\n", i);
 +                      continue;
 +              }
 +              if(verb && nm) {
 +                      char* nmline = X509_NAME_oneline(nm, buf,
 +                              (int)sizeof(buf));
 +                      printf("signer %d: Subject: %s\n", i,
 +                              nmline?nmline:"no subject");
 +                      if(verb >= 3 && X509_NAME_get_text_by_NID(nm,
 +                              NID_commonName, buf, (int)sizeof(buf)))
 +                              printf("commonName: %s\n", buf);
 +                      if(verb >= 3 && X509_NAME_get_text_by_NID(nm,
 +                              NID_pkcs9_emailAddress, buf, (int)sizeof(buf)))
 +                              printf("emailAddress: %s\n", buf);
 +              }
 +              if(verb) {
 +                      int ku_loc = X509_get_ext_by_NID(
 +                              sk_X509_value(signers, i), NID_key_usage, -1);
 +                      if(verb >= 3 && ku_loc >= 0) {
 +                              X509_EXTENSION *ex = X509_get_ext(
 +                                      sk_X509_value(signers, i), ku_loc);
 +                              if(ex) {
 +                                      printf("keyUsage: ");
 +                                      X509V3_EXT_print_fp(stdout, ex, 0, 0);
 +                                      printf("\n");
 +                              }
 +                      }
 +              }
 +              if(!p7signer || strcmp(p7signer, "")==0) {
 +                      /* there is no name to check, return all records */
 +                      if(verb) printf("did not check commonName of signer\n");
 +              } else {
 +                      if(!X509_NAME_get_text_by_NID(nm,
 +                              NID_pkcs9_emailAddress,
 +                              buf, (int)sizeof(buf))) {
 +                              if(verb) printf("removed cert with no name\n");
 +                              continue; /* no name, no use */
 +                      }
 +                      if(strcmp(buf, p7signer) != 0) {
 +                              if(verb) printf("removed cert with wrong name\n");
 +                              continue; /* wrong name, skip it */
 +                      }
 +              }
 +
 +              /* check that the key usage allows digital signatures
 +               * (the p7s) */
 +              usage = get_usage_of_ex(sk_X509_value(signers, i));
 +              if(!(usage & KU_DIGITAL_SIGNATURE)) {
 +                      if(verb) printf("removed cert with no key usage Digital Signature allowed\n");
 +                      continue;
 +              }
 +
 +              /* we like this cert, add it to our list of valid
 +               * signers certificates */
 +              sk_X509_push(validsigners, sk_X509_value(signers, i));
 +      }
 +      sk_X509_free(signers);
 +      return validsigners;
 +}
 +
 +/** verify a PKCS7 signature, false on failure */
 +static int
 +verify_p7sig(BIO* data, BIO* p7s, STACK_OF(X509)* trust, const char* p7signer)
 +{
 +      PKCS7* p7;
 +      X509_STORE *store = X509_STORE_new();
 +      STACK_OF(X509)* validsigners;
 +      int secure = 0;
 +      int i;
 +#ifdef X509_V_FLAG_CHECK_SS_SIGNATURE
 +      X509_VERIFY_PARAM* param = X509_VERIFY_PARAM_new();
 +      if(!param) {
 +              if(verb) printf("out of memory\n");
 +              X509_STORE_free(store);
 +              return 0;
 +      }
 +      /* do the selfcheck on the root certificate; it checks that the
 +       * input is valid */
 +      X509_VERIFY_PARAM_set_flags(param, X509_V_FLAG_CHECK_SS_SIGNATURE);
 +      if(store) X509_STORE_set1_param(store, param);
 +#endif
 +      if(!store) {
 +              if(verb) printf("out of memory\n");
 +#ifdef X509_V_FLAG_CHECK_SS_SIGNATURE
 +              X509_VERIFY_PARAM_free(param);
 +#endif
 +              return 0;
 +      }
 +#ifdef X509_V_FLAG_CHECK_SS_SIGNATURE
 +      X509_VERIFY_PARAM_free(param);
 +#endif
 +
 +      (void)BIO_reset(p7s);
 +      (void)BIO_reset(data);
 +
 +      /* convert p7s to p7 (the signature) */
 +      p7 = d2i_PKCS7_bio(p7s, NULL);
 +      if(!p7) {
 +              if(verb) printf("could not parse p7s signature file\n");
 +              X509_STORE_free(store);
 +              return 0;
 +      }
 +      if(verb >= 2) printf("parsed the PKCS7 signature\n");
 +
 +      /* convert trust to trusted certificate store */
 +      for(i=0; i<sk_X509_num(trust); i++) {
 +              if(!X509_STORE_add_cert(store, sk_X509_value(trust, i))) {
 +                      if(verb) printf("failed X509_STORE_add_cert\n");
 +                      X509_STORE_free(store);
 +                      PKCS7_free(p7);
 +                      return 0;
 +              }
 +      }
 +      if(verb >= 2) printf("setup the X509_STORE\n");
 +
 +      /* check what is in the Subject name of the certificates,
 +       * and build a stack that contains only the right certificates */
 +      validsigners = get_valid_signers(p7, p7signer);
 +      if(!validsigners) {
 +                      X509_STORE_free(store);
 +                      PKCS7_free(p7);
 +                      return 0;
 +      }
 +      if(PKCS7_verify(p7, validsigners, store, data, NULL, PKCS7_NOINTERN) == 1) {
 +              secure = 1;
 +              if(verb) printf("the PKCS7 signature verified\n");
 +      } else {
 +              if(verb) {
 +                      ERR_print_errors_fp(stdout);
 +              }
 +      }
 +
 +      sk_X509_free(validsigners);
 +      X509_STORE_free(store);
 +      PKCS7_free(p7);
 +      return secure;
 +}
 +
 +/** write unsigned root anchor file, a 5011 revoked tp */
 +static void
 +write_unsigned_root(const char* root_anchor_file)
 +{
 +      FILE* out;
 +      time_t now = time(NULL);
 +      out = fopen(root_anchor_file, "w");
 +      if(!out) {
 +              if(verb) printf("%s: %s\n", root_anchor_file, strerror(errno));
 +              return;
 +      }
 +      if(fprintf(out, "; autotrust trust anchor file\n"
 +              ";;REVOKED\n"
 +              ";;id: . 1\n"
 +              "; This file was written by unbound-anchor on %s"
 +              "; It indicates that the root does not use DNSSEC\n"
 +              "; to restart DNSSEC overwrite this file with a\n"
 +              "; valid trustanchor or (empty-it and run unbound-anchor)\n"
 +              , ctime(&now)) < 0) {
 +              if(verb) printf("failed to write 'unsigned' to %s\n",
 +                      root_anchor_file);
 +              if(verb && errno != 0) printf("%s\n", strerror(errno));
 +      }
 +      fclose(out);
 +}
 +
 +/** write root anchor file */
 +static void
 +write_root_anchor(const char* root_anchor_file, BIO* ds)
 +{
 +      char* pp = NULL;
 +      int len;
 +      FILE* out;
 +      (void)BIO_seek(ds, 0);
 +      len = BIO_get_mem_data(ds, &pp);
 +      if(!len || !pp) {
 +              if(verb) printf("out of memory\n");
 +              return;
 +      }
 +      out = fopen(root_anchor_file, "w");
 +      if(!out) {
 +              if(verb) printf("%s: %s\n", root_anchor_file, strerror(errno));
 +              return;
 +      }
 +      if(fwrite(pp, (size_t)len, 1, out) != 1) {
 +              if(verb) printf("failed to write all data to %s\n",
 +                      root_anchor_file);
 +              if(verb && errno != 0) printf("%s\n", strerror(errno));
 +      }
 +      fclose(out);
 +}
 +
 +/** Perform the verification and update of the trustanchor file */
 +static void
 +verify_and_update_anchor(const char* root_anchor_file, BIO* xml, BIO* p7s,
 +      STACK_OF(X509)* cert, const char* p7signer)
 +{
 +      BIO* ds;
 +
 +      /* verify xml file */
 +      if(!verify_p7sig(xml, p7s, cert, p7signer)) {
 +              printf("the PKCS7 signature failed\n");
 +              exit(0);
 +      }
 +
 +      /* parse the xml file into DS records */
 +      ds = xml_parse(xml, time(NULL));
 +      if(!ds) {
 +              /* the root zone is unsigned now */
 +              write_unsigned_root(root_anchor_file);
 +      } else {
 +              /* reinstate 5011 tracking */
 +              write_root_anchor(root_anchor_file, ds);
 +      }
 +      BIO_free(ds);
 +}
 +
 +#ifdef USE_WINSOCK
 +static void do_wsa_cleanup(void) { WSACleanup(); }
 +#endif
 +
 +/** perform actual certupdate work */
 +static int
 +do_certupdate(const char* root_anchor_file, const char* root_cert_file,
 +      const char* urlname, const char* xmlname, const char* p7sname,
 +      const char* p7signer, const char* res_conf, const char* root_hints,
 +      const char* debugconf, int ip4only, int ip6only, int port,
 +      struct ub_result* dnskey)
 +{
 +      STACK_OF(X509)* cert;
 +      BIO *xml, *p7s;
 +      struct ip_list* ip_list = NULL;
 +
 +      /* read pem file or provide builtin */
 +      cert = read_cert_or_builtin(root_cert_file);
 +
 +      /* lookup A, AAAA for the urlname (or parse urlname if IP address) */
 +      ip_list = resolve_name(urlname, port, res_conf, root_hints, debugconf,
 +              ip4only, ip6only);
 +
 +#ifdef USE_WINSOCK
 +      if(1) { /* libunbound finished, startup WSA for the https connection */
 +              WSADATA wsa_data;
 +              int r;
 +              if((r = WSAStartup(MAKEWORD(2,2), &wsa_data)) != 0) {
 +                      if(verb) printf("WSAStartup failed: %s\n",
 +                              wsa_strerror(r));
 +                      exit(0);
 +              }
 +              atexit(&do_wsa_cleanup);
 +      }
 +#endif
 +
 +      /* fetch the necessary files over HTTPS */
 +      xml = https(ip_list, xmlname, urlname);
 +      p7s = https(ip_list, p7sname, urlname);
 +
 +      /* verify and update the root anchor */
 +      verify_and_update_anchor(root_anchor_file, xml, p7s, cert, p7signer);
 +      if(verb) printf("success: the anchor has been updated "
 +                      "using the cert\n");
 +
 +      free_file_bio(xml);
 +      free_file_bio(p7s);
 +#ifndef S_SPLINT_S
 +      sk_X509_pop_free(cert, X509_free);
 +#endif
 +      ub_resolve_free(dnskey);
 +      ip_list_free(ip_list);
 +      return 1;
 +}
 +
 +/**
 + * Try to read the root RFC5011 autotrust anchor file,
 + * @param file: filename.
 + * @return:
 + *    0 if does not exist or empty
 + *    1 if trust-point-revoked-5011
 + *    2 if it is OK.
 + */
 +static int
 +try_read_anchor(const char* file)
 +{
 +      int empty = 1;
 +      char line[10240];
 +      char* p;
 +      FILE* in = fopen(file, "r");
 +      if(!in) {
 +              /* only if the file does not exist, can we fix it */
 +              if(errno != ENOENT) {
 +                      if(verb) printf("%s: %s\n", file, strerror(errno));
 +                      if(verb) printf("error: cannot access the file\n");
 +                      exit(0);
 +              }
 +              if(verb) printf("%s does not exist\n", file);
 +              return 0;
 +      }
 +      while(fgets(line, (int)sizeof(line), in)) {
 +              line[sizeof(line)-1] = 0;
 +              if(strncmp(line, ";;REVOKED", 9) == 0) {
 +                      fclose(in);
 +                      if(verb) printf("%s : the trust point is revoked\n"
 +                              "and the zone is considered unsigned.\n"
 +                              "if you wish to re-enable, delete the file\n",
 +                              file);
 +                      return 1;
 +              }
 +              p=line;
 +              while(*p == ' ' || *p == '\t')
 +                      p++;
 +              if(p[0]==0 || p[0]=='\n' || p[0]==';') continue;
 +              /* this line is a line of content */
 +              empty = 0;
 +      }
 +      fclose(in);
 +      if(empty) {
 +              if(verb) printf("%s is empty\n", file);
 +              return 0;
 +      }
 +      if(verb) printf("%s has content\n", file);
 +      return 2;
 +}
 +
 +/** Write the builtin root anchor to a file */
 +static void
 +write_builtin_anchor(const char* file)
 +{
 +      const char* builtin_root_anchor = get_builtin_ds();
 +      FILE* out = fopen(file, "w");
 +      if(!out) {
 +              if(verb) printf("%s: %s\n", file, strerror(errno));
 +              if(verb) printf("  could not write builtin anchor\n");
 +              return;
 +      }
 +      if(!fwrite(builtin_root_anchor, strlen(builtin_root_anchor), 1, out)) {
 +              if(verb) printf("%s: %s\n", file, strerror(errno));
 +              if(verb) printf("  could not complete write builtin anchor\n");
 +      }
 +      fclose(out);
 +}
 +
 +/** 
 + * Check the root anchor file.
 + * If does not exist, provide builtin and write file.
 + * If empty, provide builtin and write file.
 + * If trust-point-revoked-5011 file: make the program exit.
 + * @param root_anchor_file: filename of the root anchor.
 + * @param used_builtin: set to 1 if the builtin is written.
 + * @return 0 if trustpoint is insecure, 1 on success.  Exit on failure.
 + */
 +static int
 +provide_builtin(const char* root_anchor_file, int* used_builtin)
 +{
 +      /* try to read it */
 +      switch(try_read_anchor(root_anchor_file))
 +      {
 +              case 0: /* no exist or empty */
 +                      write_builtin_anchor(root_anchor_file);
 +                      *used_builtin = 1;
 +                      break;
 +              case 1: /* revoked tp */
 +                      return 0;       
 +              case 2: /* it is fine */
 +              default:
 +                      break;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * add an autotrust anchor for the root to the context
 + */
 +static void
 +add_5011_probe_root(struct ub_ctx* ctx, const char* root_anchor_file)
 +{
 +      int r;
 +      r = ub_ctx_set_option(ctx, "auto-trust-anchor-file:", root_anchor_file);
 +      if(r) {
 +              if(verb) printf("add 5011 probe to ctx: %s\n", ub_strerror(r));
 +              ub_ctx_delete(ctx);
 +              exit(0);
 +      }
 +}
 +
 +/**
 + * Prime the root key and return the result.  Exit on error.
 + * @param ctx: the unbound context to perform the priming with.
 + * @return: the result of the prime, on error it exit()s.
 + */
 +static struct ub_result*
 +prime_root_key(struct ub_ctx* ctx)
 +{
 +      struct ub_result* res = NULL;
 +      int r;
 +      r = ub_resolve(ctx, ".", LDNS_RR_TYPE_DNSKEY, LDNS_RR_CLASS_IN, &res);
 +      if(r) {
 +              if(verb) printf("resolve DNSKEY: %s\n", ub_strerror(r));
 +              ub_ctx_delete(ctx);
 +              exit(0);
 +      }
 +      if(!res) {
 +              if(verb) printf("out of memory\n");
 +              ub_ctx_delete(ctx);
 +              exit(0);
 +      }
 +      return res;
 +}
 +
 +/** see if ADDPEND keys exist in autotrust file (if possible) */
 +static int
 +read_if_pending_keys(const char* file)
 +{
 +      FILE* in = fopen(file, "r");
 +      char line[8192];
 +      if(!in) {
 +              if(verb>=2) printf("%s: %s\n", file, strerror(errno));
 +              return 0;
 +      }
 +      while(fgets(line, (int)sizeof(line), in)) {
 +              if(line[0]==';') continue;
 +              if(strstr(line, "[ ADDPEND ]")) {
 +                      fclose(in);
 +                      if(verb) printf("RFC5011-state has ADDPEND keys\n");
 +                      return 1;
 +              }
 +      }
 +      fclose(in);
 +      return 0;
 +}
 +
 +/** read last successful probe time from autotrust file (if possible) */
 +static int32_t
 +read_last_success_time(const char* file)
 +{
 +      FILE* in = fopen(file, "r");
 +      char line[1024];
 +      if(!in) {
 +              if(verb) printf("%s: %s\n", file, strerror(errno));
 +              return 0;
 +      }
 +      while(fgets(line, (int)sizeof(line), in)) {
 +              if(strncmp(line, ";;last_success: ", 16) == 0) {
 +                      char* e;
 +                      time_t x = (unsigned int)strtol(line+16, &e, 10);
 +                      fclose(in);
 +                      if(line+16 == e) {
 +                              if(verb) printf("failed to parse "
 +                                      "last_success probe time\n");
 +                              return 0;
 +                      }
 +                      if(verb) printf("last successful probe: %s", ctime(&x));
 +                      return (int32_t)x;
 +              }
 +      }
 +      fclose(in);
 +      if(verb) printf("no last_success probe time in anchor file\n");
 +      return 0;
 +}
 +
 +/**
 + * Read autotrust 5011 probe file and see if the date
 + * compared to the current date allows a certupdate.
 + * If the last successful probe was recent then 5011 cannot be behind,
 + * and the failure cannot be solved with a certupdate.
 + * The debugconf is to validation-override the date for testing.
 + * @param root_anchor_file: filename of root key
 + * @return true if certupdate is ok.
 + */
 +static int
 +probe_date_allows_certupdate(const char* root_anchor_file)
 +{
 +      int has_pending_keys = read_if_pending_keys(root_anchor_file);
 +      int32_t last_success = read_last_success_time(root_anchor_file);
 +      int32_t now = (int32_t)time(NULL);
 +      int32_t leeway = 30 * 24 * 3600; /* 30 days leeway */
 +      /* if the date is before 2010-07-15:00.00.00 then the root has not
 +       * been signed yet, and thus we refuse to take action. */
 +      if(time(NULL) < xml_convertdate("2010-07-15T00:00:00")) {
 +              if(verb) printf("the date is before the root was first signed,"
 +                      " please correct the clock\n");
 +              return 0;
 +      }
 +      if(last_success == 0)
 +              return 1; /* no probe time */
 +      if(has_pending_keys)
 +              return 1; /* key in ADDPEND state, a previous probe has
 +              inserted that, and it was present in all recent probes,
 +              but it has not become active.  The 30 day timer may not have
 +              expired, but we know(for sure) there is a rollover going on.
 +              If we only managed to pickup the new key on its last day
 +              of announcement (for example) this can happen. */
 +      if(now - last_success < 0) {
 +              if(verb) printf("the last successful probe is in the future,"
 +                      " clock was modified\n");
 +              return 0;
 +      }
 +      if(now - last_success >= leeway) {
 +              if(verb) printf("the last successful probe was more than 30 "
 +                      "days ago\n");
 +              return 1;
 +      }
 +      if(verb) printf("the last successful probe is recent\n");
 +      return 0;
 +}
 +
 +/** perform the unbound-anchor work */
 +static int
 +do_root_update_work(const char* root_anchor_file, const char* root_cert_file,
 +      const char* urlname, const char* xmlname, const char* p7sname,
 +      const char* p7signer, const char* res_conf, const char* root_hints,
 +      const char* debugconf, int ip4only, int ip6only, int force, int port)
 +{
 +      struct ub_ctx* ctx;
 +      struct ub_result* dnskey;
 +      int used_builtin = 0;
 +
 +      /* see if builtin rootanchor needs to be provided, or if
 +       * rootanchor is 'revoked-trust-point' */
 +      if(!provide_builtin(root_anchor_file, &used_builtin))
 +              return 0;
 +
 +      /* make unbound context with 5011-probe for root anchor,
 +       * and probe . DNSKEY */
 +      ctx = create_unbound_context(res_conf, root_hints, debugconf,
 +              ip4only, ip6only);
 +      add_5011_probe_root(ctx, root_anchor_file);
 +      dnskey = prime_root_key(ctx);
 +      ub_ctx_delete(ctx);
 +      
 +      /* if secure: exit */
 +      if(dnskey->secure && !force) {
 +              if(verb) printf("success: the anchor is ok\n");
 +              ub_resolve_free(dnskey);
 +              return used_builtin;
 +      }
 +      if(force && verb) printf("debug cert update forced\n");
 +
 +      /* if not (and NOERROR): check date and do certupdate */
 +      if((dnskey->rcode == 0 &&
 +              probe_date_allows_certupdate(root_anchor_file)) || force) {
 +              if(do_certupdate(root_anchor_file, root_cert_file, urlname,
 +                      xmlname, p7sname, p7signer, res_conf, root_hints,
 +                      debugconf, ip4only, ip6only, port, dnskey))
 +                      return 1;
 +              return used_builtin;
 +      }
 +      if(verb) printf("fail: the anchor is NOT ok and could not be fixed\n");
 +      ub_resolve_free(dnskey);
 +      return used_builtin;
 +}
 +
 +/** getopt global, in case header files fail to declare it. */
 +extern int optind;
 +/** getopt global, in case header files fail to declare it. */
 +extern char* optarg;
 +
 +/** Main routine for unbound-anchor */
 +int main(int argc, char* argv[])
 +{
 +      int c;
 +      const char* root_anchor_file = ROOT_ANCHOR_FILE;
 +      const char* root_cert_file = ROOT_CERT_FILE;
 +      const char* urlname = URLNAME;
 +      const char* xmlname = XMLNAME;
 +      const char* p7sname = P7SNAME;
 +      const char* p7signer = P7SIGNER;
 +      const char* res_conf = NULL;
 +      const char* root_hints = NULL;
 +      const char* debugconf = NULL;
 +      int dolist=0, ip4only=0, ip6only=0, force=0, port = HTTPS_PORT;
 +      /* parse the options */
 +      while( (c=getopt(argc, argv, "46C:FP:a:c:f:hln:r:s:u:vx:")) != -1) {
 +              switch(c) {
 +              case 'l':
 +                      dolist = 1;
 +                      break;
 +              case '4':
 +                      ip4only = 1;
 +                      break;
 +              case '6':
 +                      ip6only = 1;
 +                      break;
 +              case 'a':
 +                      root_anchor_file = optarg;
 +                      break;
 +              case 'c':
 +                      root_cert_file = optarg;
 +                      break;
 +              case 'u':
 +                      urlname = optarg;
 +                      break;
 +              case 'x':
 +                      xmlname = optarg;
 +                      break;
 +              case 's':
 +                      p7sname = optarg;
 +                      break;
 +              case 'n':
 +                      p7signer = optarg;
 +                      break;
 +              case 'f':
 +                      res_conf = optarg;
 +                      break;
 +              case 'r':
 +                      root_hints = optarg;
 +                      break;
 +              case 'C':
 +                      debugconf = optarg;
 +                      break;
 +              case 'F':
 +                      force = 1;
 +                      break;
 +              case 'P':
 +                      port = atoi(optarg);
 +                      break;
 +              case 'v':
 +                      verb++;
 +                      break;
 +              case '?':
 +              case 'h':
 +              default:
 +                      usage();
 +              }
 +      }
 +      argc -= optind;
 +      argv += optind;
 +      if(argc != 0)
 +              usage();
 +
 +      ERR_load_crypto_strings();
 +      ERR_load_SSL_strings();
 +      OpenSSL_add_all_algorithms();
 +      (void)SSL_library_init();
 +
 +      if(dolist) do_list_builtin();
 +
 +      return do_root_update_work(root_anchor_file, root_cert_file, urlname,
 +              xmlname, p7sname, p7signer, res_conf, root_hints, debugconf,
 +              ip4only, ip6only, force, port);
 +}
diff --cc contrib/unbound/smallapp/unbound-checkconf.c
index b5d7b9f44419c3ec20fb46bd4a9f9ffe8e8b237a,0000000000000000000000000000000000000000..0524edeaab1230b24395c62f496f4d7e65b01f3c
mode 100644,000000..100644
--- 1/contrib/unbound/smallapp/unbound-checkconf.c
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-checkconf.c
@@@ -1,539 -1,0 +1,539 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * checkconf/unbound-checkconf.c - config file checker for unbound.conf file.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * The config checker checks for syntax and other errors in the unbound.conf
 + * file, and can be used to check for errors before the server is started
 + * or sigHUPped.
 + * Exit status 1 means an error.
 + */
 +
 +#include "config.h"
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/module.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_fwd.h"
 +#include "iterator/iter_hints.h"
 +#include "validator/validator.h"
 +#include "services/localzone.h"
++#include "sldns/sbuffer.h"
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +#ifdef HAVE_PWD_H
 +#include <pwd.h>
 +#endif
 +#ifdef HAVE_SYS_STAT_H
 +#include <sys/stat.h>
 +#endif
 +#ifdef HAVE_GLOB_H
 +#include <glob.h>
 +#endif
 +#ifdef WITH_PYTHONMODULE
 +#include "pythonmod/pythonmod.h"
 +#endif
 +
 +/** Give checkconf usage, and exit (1). */
 +static void
 +usage()
 +{
 +      printf("Usage:  unbound-checkconf [file]\n");
 +      printf("        Checks unbound configuration file for errors.\n");
 +      printf("file    if omitted %s is used.\n", CONFIGFILE);
 +      printf("-o option       print value of option to stdout.\n");
 +      printf("-f              output full pathname with chroot applied, eg. with -o pidfile.\n");
 +      printf("-h              show this usage help.\n");
 +      printf("Version %s\n", PACKAGE_VERSION);
 +      printf("BSD licensed, see LICENSE in source package for details.\n");
 +      printf("Report bugs to %s\n", PACKAGE_BUGREPORT);
 +      exit(1);
 +}
 +
 +/** 
 + * Print given option to stdout 
 + * @param cfg: config
 + * @param opt: option name without trailing :. 
 + *    This is different from config_set_option.
 + * @param final: if final pathname with chroot applied has to be printed.
 + */
 +static void
 +print_option(struct config_file* cfg, const char* opt, int final)
 +{
 +      if(strcmp(opt, "pidfile") == 0 && final) {
 +              printf("%s\n", fname_after_chroot(cfg->pidfile, cfg, 1));
 +              return;
 +      }
 +      if(!config_get_option(cfg, opt, config_print_func, stdout))
 +              fatal_exit("cannot print option '%s'", opt);
 +}
 +
 +/** check if module works with config */
 +static void
 +check_mod(struct config_file* cfg, struct module_func_block* fb)
 +{
 +      struct module_env env;
 +      memset(&env, 0, sizeof(env));
 +      env.cfg = cfg;
 +      env.scratch = regional_create();
 +      env.scratch_buffer = sldns_buffer_new(BUFSIZ);
 +      if(!env.scratch || !env.scratch_buffer)
 +              fatal_exit("out of memory");
 +      if(!(*fb->init)(&env, 0)) {
 +              fatal_exit("bad config for %s module", fb->name);
 +      }
 +      (*fb->deinit)(&env, 0);
 +      sldns_buffer_free(env.scratch_buffer);
 +      regional_destroy(env.scratch);
 +}
 +
 +/** check localzones */
 +static void
 +localzonechecks(struct config_file* cfg)
 +{
 +      struct local_zones* zs;
 +      if(!(zs = local_zones_create()))
 +              fatal_exit("out of memory");
 +      if(!local_zones_apply_cfg(zs, cfg))
 +              fatal_exit("failed local-zone, local-data configuration");
 +      local_zones_delete(zs);
 +}
 +
 +/** emit warnings for IP in hosts */
 +static void
 +warn_hosts(const char* typ, struct config_stub* list)
 +{
 +      struct sockaddr_storage a;
 +      socklen_t alen;
 +      struct config_stub* s;
 +      struct config_strlist* h;
 +      for(s=list; s; s=s->next) {
 +              for(h=s->hosts; h; h=h->next) {
 +                      if(extstrtoaddr(h->str, &a, &alen)) {
 +                              fprintf(stderr, "unbound-checkconf: warning:"
 +                                " %s %s: \"%s\" is an IP%s address, "
 +                                "and when looked up as a host name "
 +                                "during use may not resolve.\n", 
 +                                s->name, typ, h->str,
 +                                addr_is_ip6(&a, alen)?"6":"4");
 +                      }
 +              }
 +      }
 +}
 +
 +/** check interface strings */
 +static void
 +interfacechecks(struct config_file* cfg)
 +{
 +      struct sockaddr_storage a;
 +      socklen_t alen;
 +      int i, j;
 +      for(i=0; i<cfg->num_ifs; i++) {
 +              if(!extstrtoaddr(cfg->ifs[i], &a, &alen)) {
 +                      fatal_exit("cannot parse interface specified as '%s'",
 +                              cfg->ifs[i]);
 +              }
 +              for(j=0; j<cfg->num_ifs; j++) {
 +                      if(i!=j && strcmp(cfg->ifs[i], cfg->ifs[j])==0)
 +                              fatal_exit("interface: %s present twice, "
 +                                      "cannot bind same ports twice.",
 +                                      cfg->ifs[i]);
 +              }
 +      }
 +      for(i=0; i<cfg->num_out_ifs; i++) {
 +              if(!ipstrtoaddr(cfg->out_ifs[i], UNBOUND_DNS_PORT, 
 +                      &a, &alen)) {
 +                      fatal_exit("cannot parse outgoing-interface "
 +                              "specified as '%s'", cfg->out_ifs[i]);
 +              }
 +              for(j=0; j<cfg->num_out_ifs; j++) {
 +                      if(i!=j && strcmp(cfg->out_ifs[i], cfg->out_ifs[j])==0)
 +                              fatal_exit("outgoing-interface: %s present "
 +                                      "twice, cannot bind same ports twice.",
 +                                      cfg->out_ifs[i]);
 +              }
 +      }
 +}
 +
 +/** check acl ips */
 +static void
 +aclchecks(struct config_file* cfg)
 +{
 +      int d;
 +      struct sockaddr_storage a;
 +      socklen_t alen;
 +      struct config_str2list* acl;
 +      for(acl=cfg->acls; acl; acl = acl->next) {
 +              if(!netblockstrtoaddr(acl->str, UNBOUND_DNS_PORT, &a, &alen, 
 +                      &d)) {
 +                      fatal_exit("cannot parse access control address %s %s",
 +                              acl->str, acl->str2);
 +              }
 +      }
 +}
 +
 +/** true if fname is a file */
 +static int
 +is_file(const char* fname) 
 +{
 +      struct stat buf;
 +      if(stat(fname, &buf) < 0) {
 +              if(errno==EACCES) {
 +                      printf("warning: no search permission for one of the directories in path: %s\n", fname);
 +                      return 1;
 +              }
 +              perror(fname);
 +              return 0;
 +      }
 +      if(S_ISDIR(buf.st_mode)) {
 +              printf("%s is not a file\n", fname);
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** true if fname is a directory */
 +static int
 +is_dir(const char* fname) 
 +{
 +      struct stat buf;
 +      if(stat(fname, &buf) < 0) {
 +              if(errno==EACCES) {
 +                      printf("warning: no search permission for one of the directories in path: %s\n", fname);
 +                      return 1;
 +              }
 +              perror(fname);
 +              return 0;
 +      }
 +      if(!(S_ISDIR(buf.st_mode))) {
 +              printf("%s is not a directory\n", fname);
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** get base dir of a fname */
 +static char*
 +basedir(char* fname)
 +{
 +      char* rev;
 +      if(!fname) fatal_exit("out of memory");
 +      rev = strrchr(fname, '/');
 +      if(!rev) return NULL;
 +      if(fname == rev) return NULL;
 +      rev[0] = 0;
 +      return fname;
 +}
 +
 +/** check chroot for a file string */
 +static void
 +check_chroot_string(const char* desc, char** ss,
 +      const char* chrootdir, struct config_file* cfg)
 +{
 +      char* str = *ss;
 +      if(str && str[0]) {
 +              *ss = fname_after_chroot(str, cfg, 1);
 +              if(!*ss) fatal_exit("out of memory");
 +              if(!is_file(*ss)) {
 +                      if(chrootdir && chrootdir[0])
 +                              fatal_exit("%s: \"%s\" does not exist in "
 +                                      "chrootdir %s", desc, str, chrootdir);
 +                      else
 +                              fatal_exit("%s: \"%s\" does not exist", 
 +                                      desc, str);
 +              }
 +              /* put in a new full path for continued checking */
 +              free(str);
 +      }
 +}
 +
 +/** check file list, every file must be inside the chroot location */
 +static void
 +check_chroot_filelist(const char* desc, struct config_strlist* list,
 +      const char* chrootdir, struct config_file* cfg)
 +{
 +      struct config_strlist* p;
 +      for(p=list; p; p=p->next) {
 +              check_chroot_string(desc, &p->str, chrootdir, cfg);
 +      }
 +}
 +
 +/** check file list, with wildcard processing */
 +static void
 +check_chroot_filelist_wild(const char* desc, struct config_strlist* list,
 +      const char* chrootdir, struct config_file* cfg)
 +{
 +      struct config_strlist* p;
 +      for(p=list; p; p=p->next) {
 +#ifdef HAVE_GLOB
 +              if(strchr(p->str, '*') || strchr(p->str, '[') || 
 +                      strchr(p->str, '?') || strchr(p->str, '{') || 
 +                      strchr(p->str, '~')) {
 +                      char* s = p->str;
 +                      /* adjust whole pattern for chroot and check later */
 +                      p->str = fname_after_chroot(p->str, cfg, 1);
 +                      free(s);
 +              } else
 +#endif /* HAVE_GLOB */
 +                      check_chroot_string(desc, &p->str, chrootdir, cfg);
 +      }
 +}
 +
 +/** check configuration for errors */
 +static void
 +morechecks(struct config_file* cfg, const char* fname)
 +{
 +      warn_hosts("stub-host", cfg->stubs);
 +      warn_hosts("forward-host", cfg->forwards);
 +      interfacechecks(cfg);
 +      aclchecks(cfg);
 +
 +      if(cfg->verbosity < 0)
 +              fatal_exit("verbosity value < 0");
 +      if(cfg->num_threads <= 0 || cfg->num_threads > 10000)
 +              fatal_exit("num_threads value weird");
 +      if(!cfg->do_ip4 && !cfg->do_ip6)
 +              fatal_exit("ip4 and ip6 are both disabled, pointless");
 +      if(!cfg->do_udp && !cfg->do_tcp)
 +              fatal_exit("udp and tcp are both disabled, pointless");
 +      if(cfg->edns_buffer_size > cfg->msg_buffer_size)
 +              fatal_exit("edns-buffer-size larger than msg-buffer-size, "
 +                      "answers will not fit in processing buffer");
 +
 +      if(cfg->chrootdir && cfg->chrootdir[0] && 
 +              cfg->chrootdir[strlen(cfg->chrootdir)-1] == '/')
 +              fatal_exit("chootdir %s has trailing slash '/' please remove.",
 +                      cfg->chrootdir);
 +      if(cfg->chrootdir && cfg->chrootdir[0] && 
 +              !is_dir(cfg->chrootdir)) {
 +              fatal_exit("bad chroot directory");
 +      }
 +      if(cfg->chrootdir && cfg->chrootdir[0]) {
 +              char buf[10240];
 +              buf[0] = 0;
 +              if(fname[0] != '/') {
 +                      if(getcwd(buf, sizeof(buf)) == NULL)
 +                              fatal_exit("getcwd: %s", strerror(errno));
 +                      (void)strlcat(buf, "/", sizeof(buf));
 +              }
 +              (void)strlcat(buf, fname, sizeof(buf));
 +              if(strncmp(buf, cfg->chrootdir, strlen(cfg->chrootdir)) != 0)
 +                      fatal_exit("config file %s is not inside chroot %s",
 +                              buf, cfg->chrootdir);
 +      }
 +      if(cfg->directory && cfg->directory[0]) {
 +              char* ad = fname_after_chroot(cfg->directory, cfg, 0);
 +              if(!ad) fatal_exit("out of memory");
 +              if(!is_dir(ad)) fatal_exit("bad chdir directory");
 +              free(ad);
 +      }
 +      if( (cfg->chrootdir && cfg->chrootdir[0]) ||
 +          (cfg->directory && cfg->directory[0])) {
 +              if(cfg->pidfile && cfg->pidfile[0]) {
 +                      char* ad = (cfg->pidfile[0]=='/')?strdup(cfg->pidfile):
 +                              fname_after_chroot(cfg->pidfile, cfg, 1);
 +                      char* bd = basedir(ad);
 +                      if(bd && !is_dir(bd))
 +                              fatal_exit("pidfile directory does not exist");
 +                      free(ad);
 +              }
 +              if(cfg->logfile && cfg->logfile[0]) {
 +                      char* ad = fname_after_chroot(cfg->logfile, cfg, 1);
 +                      char* bd = basedir(ad);
 +                      if(bd && !is_dir(bd))
 +                              fatal_exit("logfile directory does not exist");
 +                      free(ad);
 +              }
 +      }
 +
 +      check_chroot_filelist("file with root-hints", 
 +              cfg->root_hints, cfg->chrootdir, cfg);
 +      check_chroot_filelist("trust-anchor-file", 
 +              cfg->trust_anchor_file_list, cfg->chrootdir, cfg);
 +      check_chroot_filelist("auto-trust-anchor-file", 
 +              cfg->auto_trust_anchor_file_list, cfg->chrootdir, cfg);
 +      check_chroot_filelist_wild("trusted-keys-file", 
 +              cfg->trusted_keys_file_list, cfg->chrootdir, cfg);
 +      check_chroot_string("dlv-anchor-file", &cfg->dlv_anchor_file, 
 +              cfg->chrootdir, cfg);
 +      /* remove chroot setting so that modules are not stripping pathnames*/
 +      free(cfg->chrootdir);
 +      cfg->chrootdir = NULL;
 +      
 +      if(strcmp(cfg->module_conf, "iterator") != 0 
 +              && strcmp(cfg->module_conf, "validator iterator") != 0
 +              && strcmp(cfg->module_conf, "dns64 validator iterator") != 0
 +              && strcmp(cfg->module_conf, "dns64 iterator") != 0
 +#ifdef WITH_PYTHONMODULE
 +              && strcmp(cfg->module_conf, "python iterator") != 0 
 +              && strcmp(cfg->module_conf, "python validator iterator") != 0 
 +              && strcmp(cfg->module_conf, "validator python iterator") != 0
 +              && strcmp(cfg->module_conf, "dns64 python iterator") != 0 
 +              && strcmp(cfg->module_conf, "dns64 python validator iterator") != 0 
 +              && strcmp(cfg->module_conf, "dns64 validator python iterator") != 0
 +              && strcmp(cfg->module_conf, "python dns64 iterator") != 0 
 +              && strcmp(cfg->module_conf, "python dns64 validator iterator") != 0 
 +#endif
 +              ) {
 +              fatal_exit("module conf '%s' is not known to work",
 +                      cfg->module_conf);
 +      }
 +
 +#ifdef HAVE_GETPWNAM
 +      if(cfg->username && cfg->username[0]) {
 +              if(getpwnam(cfg->username) == NULL)
 +                      fatal_exit("user '%s' does not exist.", cfg->username);
 +              endpwent();
 +      }
 +#endif
 +      if(cfg->remote_control_enable && cfg->remote_control_use_cert) {
 +              check_chroot_string("server-key-file", &cfg->server_key_file,
 +                      cfg->chrootdir, cfg);
 +              check_chroot_string("server-cert-file", &cfg->server_cert_file,
 +                      cfg->chrootdir, cfg);
 +              if(!is_file(cfg->control_key_file))
 +                      fatal_exit("control-key-file: \"%s\" does not exist",
 +                              cfg->control_key_file);
 +              if(!is_file(cfg->control_cert_file))
 +                      fatal_exit("control-cert-file: \"%s\" does not exist",
 +                              cfg->control_cert_file);
 +      }
 +
 +      localzonechecks(cfg);
 +}
 +
 +/** check forwards */
 +static void
 +check_fwd(struct config_file* cfg)
 +{
 +      struct iter_forwards* fwd = forwards_create();
 +      if(!fwd || !forwards_apply_cfg(fwd, cfg)) {
 +              fatal_exit("Could not set forward zones");
 +      }
 +      forwards_delete(fwd);
 +}
 +
 +/** check hints */
 +static void
 +check_hints(struct config_file* cfg)
 +{
 +      struct iter_hints* hints = hints_create();
 +      if(!hints || !hints_apply_cfg(hints, cfg)) {
 +              fatal_exit("Could not set root or stub hints");
 +      }
 +      hints_delete(hints);
 +}
 +
 +/** check config file */
 +static void
 +checkconf(const char* cfgfile, const char* opt, int final)
 +{
 +      struct config_file* cfg = config_create();
 +      if(!cfg)
 +              fatal_exit("out of memory");
 +      if(!config_read(cfg, cfgfile, NULL)) {
 +              /* config_read prints messages to stderr */
 +              config_delete(cfg);
 +              exit(1);
 +      }
 +      if(opt) {
 +              print_option(cfg, opt, final);
 +              config_delete(cfg);
 +              return;
 +      }
 +      morechecks(cfg, cfgfile);
 +      check_mod(cfg, iter_get_funcblock());
 +      check_mod(cfg, val_get_funcblock());
 +#ifdef WITH_PYTHONMODULE
 +      if(strstr(cfg->module_conf, "python"))
 +              check_mod(cfg, pythonmod_get_funcblock());
 +#endif
 +      check_fwd(cfg);
 +      check_hints(cfg);
 +      printf("unbound-checkconf: no errors in %s\n", cfgfile);
 +      config_delete(cfg);
 +}
 +
 +/** getopt global, in case header files fail to declare it. */
 +extern int optind;
 +/** getopt global, in case header files fail to declare it. */
 +extern char* optarg;
 +
 +/** Main routine for checkconf */
 +int main(int argc, char* argv[])
 +{
 +      int c;
 +      int final = 0;
 +      const char* f;
 +      const char* opt = NULL;
 +      const char* cfgfile = CONFIGFILE;
 +      log_ident_set("unbound-checkconf");
 +      log_init(NULL, 0, NULL);
 +      checklock_start();
 +#ifdef USE_WINSOCK
 +      /* use registry config file in preference to compiletime location */
 +      if(!(cfgfile=w_lookup_reg_str("Software\\Unbound", "ConfigFile")))
 +              cfgfile = CONFIGFILE;
 +#endif /* USE_WINSOCK */
 +      /* parse the options */
 +      while( (c=getopt(argc, argv, "fho:")) != -1) {
 +              switch(c) {
 +              case 'f':
 +                      final = 1;
 +                      break;
 +              case 'o':
 +                      opt = optarg;
 +                      break;
 +              case '?':
 +              case 'h':
 +              default:
 +                      usage();
 +              }
 +      }
 +      argc -= optind;
 +      argv += optind;
 +      if(argc != 0 && argc != 1)
 +              usage();
 +      if(argc == 1)
 +              f = argv[0];
 +      else    f = cfgfile;
 +      checkconf(f, opt, final);
 +      checklock_stop();
 +      return 0;
 +}
diff --cc contrib/unbound/smallapp/unbound-control-setup.sh
index 010bfd427f0c5a00811d719c7a8edb5b4cf55074,0000000000000000000000000000000000000000..816b4f5f5d08e5f92f4a1118b4821ad6e55ee161
mode 100755,000000..100755
--- 1/contrib/unbound/smallapp/unbound-control-setup.sh
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-control-setup.sh
@@@ -1,162 -1,0 +1,162 @@@
- BITS=1536
 +#!/bin/sh
 +#
 +# unbound-control-setup.sh - set up SSL certificates for unbound-control
 +#
 +# Copyright (c) 2008, NLnet Labs. All rights reserved.
 +#
 +# This software is open source.
 +# 
 +# Redistribution and use in source and binary forms, with or without
 +# modification, are permitted provided that the following conditions
 +# are met:
 +# 
 +# Redistributions of source code must retain the above copyright notice,
 +# this list of conditions and the following disclaimer.
 +# 
 +# Redistributions in binary form must reproduce the above copyright notice,
 +# this list of conditions and the following disclaimer in the documentation
 +# and/or other materials provided with the distribution.
 +# 
 +# Neither the name of the NLNET LABS nor the names of its contributors may
 +# be used to endorse or promote products derived from this software without
 +# specific prior written permission.
 +# 
 +# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 +# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 +# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 +# A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 +# HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 +# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 +# TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 +# PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 +# LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 +# NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 +# SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 +
 +# settings:
 +
 +# directory for files
 +DESTDIR=/var/unbound
 +
 +# issuer and subject name for certificates
 +SERVERNAME=unbound
 +CLIENTNAME=unbound-control
 +
 +# validity period for certificates
 +DAYS=7200
 +
 +# size of keys in bits
++BITS=3072
 +
 +# hash algorithm
 +HASH=sha256
 +
 +# base name for unbound server keys
 +SVR_BASE=unbound_server
 +
 +# base name for unbound-control keys
 +CTL_BASE=unbound_control
 +
 +# we want -rw-r----- access (say you run this as root: grp=yes (server), all=no).
 +umask 0027
 +
 +# end of options
 +
 +# functions:
 +error ( ) {
 +      echo "$0 fatal error: $1"
 +      exit 1
 +}
 +
 +# check arguments:
 +while test $# -ne 0; do
 +      case $1 in
 +      -d)
 +      if test $# -eq 1; then error "need argument for -d"; fi
 +      DESTDIR="$2"
 +      shift
 +      ;;
 +      *)
 +      echo "unbound-control-setup.sh - setup SSL keys for unbound-control"
 +      echo "  -d dir  use directory to store keys and certificates."
 +      echo "          default: $DESTDIR"
 +      echo "please run this command using the same user id that the "
 +      echo "unbound daemon uses, it needs read privileges."
 +      exit 1
 +      ;;
 +      esac
 +      shift
 +done
 +
 +# go!:
 +echo "setup in directory $DESTDIR"
 +cd "$DESTDIR" || error "could not cd to $DESTDIR"
 +
 +# create certificate keys; do not recreate if they already exist.
 +if test -f $SVR_BASE.key; then
 +      echo "$SVR_BASE.key exists"
 +else
 +      echo "generating $SVR_BASE.key"
 +      openssl genrsa -out $SVR_BASE.key $BITS || error "could not genrsa"
 +fi
 +if test -f $CTL_BASE.key; then
 +      echo "$CTL_BASE.key exists"
 +else
 +      echo "generating $CTL_BASE.key"
 +      openssl genrsa -out $CTL_BASE.key $BITS || error "could not genrsa"
 +fi
 +
 +# create self-signed cert for server
 +cat >request.cfg <<EOF
 +[req]
 +default_bits=$BITS
 +default_md=$HASH
 +prompt=no
 +distinguished_name=req_distinguished_name
 +
 +[req_distinguished_name]
 +commonName=$SERVERNAME
 +EOF
 +test -f request.cfg || error "could not create request.cfg"
 +
 +echo "create $SVR_BASE.pem (self signed certificate)"
 +openssl req -key $SVR_BASE.key -config request.cfg  -new -x509 -days $DAYS -out $SVR_BASE.pem || error "could not create $SVR_BASE.pem"
 +# create trusted usage pem
 +openssl x509 -in $SVR_BASE.pem -addtrust serverAuth -out $SVR_BASE"_trust.pem"
 +
 +# create client request and sign it, piped
 +cat >request.cfg <<EOF
 +[req]
 +default_bits=$BITS
 +default_md=$HASH
 +prompt=no
 +distinguished_name=req_distinguished_name
 +
 +[req_distinguished_name]
 +commonName=$CLIENTNAME
 +EOF
 +test -f request.cfg || error "could not create request.cfg"
 +
 +echo "create $CTL_BASE.pem (signed client certificate)"
 +openssl req -key $CTL_BASE.key -config request.cfg -new | openssl x509 -req -days $DAYS -CA $SVR_BASE"_trust.pem" -CAkey $SVR_BASE.key -CAcreateserial -$HASH -out $CTL_BASE.pem
 +test -f $CTL_BASE.pem || error "could not create $CTL_BASE.pem"
 +# create trusted usage pem
 +# openssl x509 -in $CTL_BASE.pem -addtrust clientAuth -out $CTL_BASE"_trust.pem"
 +
 +# see details with openssl x509 -noout -text < $SVR_BASE.pem
 +# echo "create $CTL_BASE""_browser.pfx (web client certificate)"
 +# echo "create webbrowser PKCS#12 .PFX certificate file. In Firefox import in:"
 +# echo "preferences - advanced - encryption - view certificates - your certs"
 +# echo "empty password is used, simply click OK on the password dialog box."
 +# openssl pkcs12 -export -in $CTL_BASE"_trust.pem" -inkey $CTL_BASE.key -name "unbound remote control client cert" -out $CTL_BASE"_browser.pfx" -password "pass:" || error "could not create browser certificate"
 +
 +# remove unused permissions
 +chmod o-rw $SVR_BASE.pem $SVR_BASE.key $CTL_BASE.pem $CTL_BASE.key
 +
 +# remove crap
 +rm -f request.cfg
 +rm -f $CTL_BASE"_trust.pem" $SVR_BASE"_trust.pem" $SVR_BASE"_trust.srl"
 +
 +echo "Setup success. Certificates created. Enable in unbound.conf file to use"
 +
 +exit 0
diff --cc contrib/unbound/smallapp/unbound-control-setup.sh.in
index 75e76e25d967c807b803b2681d7d7ea59f6839fb,0000000000000000000000000000000000000000..682ab260a60548337736b4f4c66fd06c79a37a4c
mode 100755,000000..100755
--- 1/contrib/unbound/smallapp/unbound-control-setup.sh.in
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-control-setup.sh.in
@@@ -1,162 -1,0 +1,162 @@@
- BITS=1536
 +#!/bin/sh
 +#
 +# unbound-control-setup.sh - set up SSL certificates for unbound-control
 +#
 +# Copyright (c) 2008, NLnet Labs. All rights reserved.
 +#
 +# This software is open source.
 +# 
 +# Redistribution and use in source and binary forms, with or without
 +# modification, are permitted provided that the following conditions
 +# are met:
 +# 
 +# Redistributions of source code must retain the above copyright notice,
 +# this list of conditions and the following disclaimer.
 +# 
 +# Redistributions in binary form must reproduce the above copyright notice,
 +# this list of conditions and the following disclaimer in the documentation
 +# and/or other materials provided with the distribution.
 +# 
 +# Neither the name of the NLNET LABS nor the names of its contributors may
 +# be used to endorse or promote products derived from this software without
 +# specific prior written permission.
 +# 
 +# THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 +# "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 +# LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 +# A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 +# HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 +# SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 +# TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 +# PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 +# LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 +# NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 +# SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 +
 +# settings:
 +
 +# directory for files
 +DESTDIR=@ub_conf_dir@
 +
 +# issuer and subject name for certificates
 +SERVERNAME=unbound
 +CLIENTNAME=unbound-control
 +
 +# validity period for certificates
 +DAYS=7200
 +
 +# size of keys in bits
++BITS=3072
 +
 +# hash algorithm
 +HASH=sha256
 +
 +# base name for unbound server keys
 +SVR_BASE=unbound_server
 +
 +# base name for unbound-control keys
 +CTL_BASE=unbound_control
 +
 +# we want -rw-r----- access (say you run this as root: grp=yes (server), all=no).
 +umask 0027
 +
 +# end of options
 +
 +# functions:
 +error ( ) {
 +      echo "$0 fatal error: $1"
 +      exit 1
 +}
 +
 +# check arguments:
 +while test $# -ne 0; do
 +      case $1 in
 +      -d)
 +      if test $# -eq 1; then error "need argument for -d"; fi
 +      DESTDIR="$2"
 +      shift
 +      ;;
 +      *)
 +      echo "unbound-control-setup.sh - setup SSL keys for unbound-control"
 +      echo "  -d dir  use directory to store keys and certificates."
 +      echo "          default: $DESTDIR"
 +      echo "please run this command using the same user id that the "
 +      echo "unbound daemon uses, it needs read privileges."
 +      exit 1
 +      ;;
 +      esac
 +      shift
 +done
 +
 +# go!:
 +echo "setup in directory $DESTDIR"
 +cd "$DESTDIR" || error "could not cd to $DESTDIR"
 +
 +# create certificate keys; do not recreate if they already exist.
 +if test -f $SVR_BASE.key; then
 +      echo "$SVR_BASE.key exists"
 +else
 +      echo "generating $SVR_BASE.key"
 +      openssl genrsa -out $SVR_BASE.key $BITS || error "could not genrsa"
 +fi
 +if test -f $CTL_BASE.key; then
 +      echo "$CTL_BASE.key exists"
 +else
 +      echo "generating $CTL_BASE.key"
 +      openssl genrsa -out $CTL_BASE.key $BITS || error "could not genrsa"
 +fi
 +
 +# create self-signed cert for server
 +cat >request.cfg <<EOF
 +[req]
 +default_bits=$BITS
 +default_md=$HASH
 +prompt=no
 +distinguished_name=req_distinguished_name
 +
 +[req_distinguished_name]
 +commonName=$SERVERNAME
 +EOF
 +test -f request.cfg || error "could not create request.cfg"
 +
 +echo "create $SVR_BASE.pem (self signed certificate)"
 +openssl req -key $SVR_BASE.key -config request.cfg  -new -x509 -days $DAYS -out $SVR_BASE.pem || error "could not create $SVR_BASE.pem"
 +# create trusted usage pem
 +openssl x509 -in $SVR_BASE.pem -addtrust serverAuth -out $SVR_BASE"_trust.pem"
 +
 +# create client request and sign it, piped
 +cat >request.cfg <<EOF
 +[req]
 +default_bits=$BITS
 +default_md=$HASH
 +prompt=no
 +distinguished_name=req_distinguished_name
 +
 +[req_distinguished_name]
 +commonName=$CLIENTNAME
 +EOF
 +test -f request.cfg || error "could not create request.cfg"
 +
 +echo "create $CTL_BASE.pem (signed client certificate)"
 +openssl req -key $CTL_BASE.key -config request.cfg -new | openssl x509 -req -days $DAYS -CA $SVR_BASE"_trust.pem" -CAkey $SVR_BASE.key -CAcreateserial -$HASH -out $CTL_BASE.pem
 +test -f $CTL_BASE.pem || error "could not create $CTL_BASE.pem"
 +# create trusted usage pem
 +# openssl x509 -in $CTL_BASE.pem -addtrust clientAuth -out $CTL_BASE"_trust.pem"
 +
 +# see details with openssl x509 -noout -text < $SVR_BASE.pem
 +# echo "create $CTL_BASE""_browser.pfx (web client certificate)"
 +# echo "create webbrowser PKCS#12 .PFX certificate file. In Firefox import in:"
 +# echo "preferences - advanced - encryption - view certificates - your certs"
 +# echo "empty password is used, simply click OK on the password dialog box."
 +# openssl pkcs12 -export -in $CTL_BASE"_trust.pem" -inkey $CTL_BASE.key -name "unbound remote control client cert" -out $CTL_BASE"_browser.pfx" -password "pass:" || error "could not create browser certificate"
 +
 +# remove unused permissions
 +chmod o-rw $SVR_BASE.pem $SVR_BASE.key $CTL_BASE.pem $CTL_BASE.key
 +
 +# remove crap
 +rm -f request.cfg
 +rm -f $CTL_BASE"_trust.pem" $SVR_BASE"_trust.pem" $SVR_BASE"_trust.srl"
 +
 +echo "Setup success. Certificates created. Enable in unbound.conf file to use"
 +
 +exit 0
diff --cc contrib/unbound/smallapp/unbound-control.c
index 3b47d3bf885af625f43e98609fa0776b517cd5a6,0000000000000000000000000000000000000000..d4b147d67095249698c377802ae9bab4dc262a54
mode 100644,000000..100644
--- 1/contrib/unbound/smallapp/unbound-control.c
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-control.c
@@@ -1,469 -1,0 +1,472 @@@
 +/*
 + * checkconf/unbound-control.c - remote control utility for unbound.
 + *
 + * Copyright (c) 2008, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * The remote control utility contacts the unbound server over ssl and
 + * sends the command, receives the answer, and displays the result
 + * from the commandline.
 + */
 +
 +#include "config.h"
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include <openssl/ssl.h>
 +#endif
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +#include "util/log.h"
 +#include "util/config_file.h"
 +#include "util/locks.h"
 +#include "util/net_help.h"
 +
 +#ifdef HAVE_SYS_UN_H
 +#include <sys/un.h>
 +#endif
 +
 +/** Give unbound-control usage, and exit (1). */
 +static void
 +usage()
 +{
 +      printf("Usage:  unbound-control [options] command\n");
 +      printf("        Remote control utility for unbound server.\n");
 +      printf("Options:\n");
 +      printf("  -c file       config file, default is %s\n", CONFIGFILE);
 +      printf("  -s ip[@port]  server address, if omitted config is used.\n");
 +      printf("  -q            quiet (don't print anything if it works ok).\n");
 +      printf("  -h            show this usage help.\n");
 +      printf("Commands:\n");
 +      printf("  start                         start server; runs unbound(8)\n");
 +      printf("  stop                          stops the server\n");
 +      printf("  reload                        reloads the server\n");
 +      printf("                                (this flushes data, stats, requestlist)\n");
 +      printf("  stats                         print statistics\n");
 +      printf("  stats_noreset                 peek at statistics\n");
 +      printf("  status                        display status of server\n");
 +      printf("  verbosity <number>            change logging detail\n");
 +      printf("  log_reopen                    close and open the logfile\n");
 +      printf("  local_zone <name> <type>      add new local zone\n");
 +      printf("  local_zone_remove <name>      remove local zone and its contents\n");
 +      printf("  local_data <RR data...>       add local data, for example\n");
 +      printf("                                local_data www.example.com A 192.0.2.1\n");
 +      printf("  local_data_remove <name>      remove local RR data from name\n");
 +      printf("  dump_cache                    print cache to stdout\n");
 +      printf("  load_cache                    load cache from stdin\n");
 +      printf("  lookup <name>                 print nameservers for name\n");
 +      printf("  flush <name>                  flushes common types for name from cache\n");
 +      printf("                                types:  A, AAAA, MX, PTR, NS,\n");
 +      printf("                                        SOA, CNAME, DNAME, SRV, NAPTR\n");
 +      printf("  flush_type <name> <type>      flush name, type from cache\n");
 +      printf("  flush_zone <name>             flush everything at or under name\n");
 +      printf("                                from rr and dnssec caches\n");
 +      printf("  flush_bogus                   flush all bogus data\n");
 +      printf("  flush_negative                flush all negative data\n");
 +      printf("  flush_stats                   flush statistics, make zero\n");
 +      printf("  flush_requestlist             drop queries that are worked on\n");
 +      printf("  dump_requestlist              show what is worked on\n");
 +      printf("  flush_infra [all | ip]        remove ping, edns for one IP or all\n");
 +      printf("  dump_infra                    show ping and edns entries\n");
 +      printf("  set_option opt: val           set option to value, no reload\n");
 +      printf("  get_option opt                get option value\n");
 +      printf("  list_stubs                    list stub-zones and root hints in use\n");
 +      printf("  list_forwards                 list forward-zones in use\n");
++      printf("  list_insecure                 list domain-insecure zones\n");
 +      printf("  list_local_zones              list local-zones in use\n");
 +      printf("  list_local_data               list local-data RRs in use\n");
 +      printf("  insecure_add zone             add domain-insecure zone\n");
 +      printf("  insecure_remove zone          remove domain-insecure zone\n");
 +      printf("  forward_add [+i] zone addr..  add forward-zone with servers\n");
 +      printf("  forward_remove [+i] zone      remove forward zone\n");
 +      printf("  stub_add [+ip] zone addr..    add stub-zone with servers\n");
 +      printf("  stub_remove [+i] zone         remove stub zone\n");
 +      printf("                +i              also do dnssec insecure point\n");
 +      printf("                +p              set stub to use priming\n");
 +      printf("  forward [off | addr ...]      without arg show forward setup\n");
 +      printf("                                or off to turn off root forwarding\n");
 +      printf("                                or give list of ip addresses\n");
++      printf("  ratelimit_list [+a]           list ratelimited domains\n");
++      printf("                +a              list all, also not ratelimited\n");
 +      printf("Version %s\n", PACKAGE_VERSION);
 +      printf("BSD licensed, see LICENSE in source package for details.\n");
 +      printf("Report bugs to %s\n", PACKAGE_BUGREPORT);
 +      exit(1);
 +}
 +
 +/** exit with ssl error */
 +static void ssl_err(const char* s)
 +{
 +      fprintf(stderr, "error: %s\n", s);
 +      ERR_print_errors_fp(stderr);
 +      exit(1);
 +}
 +
 +/** setup SSL context */
 +static SSL_CTX*
 +setup_ctx(struct config_file* cfg)
 +{
 +      char* s_cert=NULL, *c_key=NULL, *c_cert=NULL;
 +      SSL_CTX* ctx;
 +
 +      if(cfg->remote_control_use_cert) {
 +              s_cert = fname_after_chroot(cfg->server_cert_file, cfg, 1);
 +              c_key = fname_after_chroot(cfg->control_key_file, cfg, 1);
 +              c_cert = fname_after_chroot(cfg->control_cert_file, cfg, 1);
 +              if(!s_cert || !c_key || !c_cert)
 +                      fatal_exit("out of memory");
 +      }
 +        ctx = SSL_CTX_new(SSLv23_client_method());
 +      if(!ctx)
 +              ssl_err("could not allocate SSL_CTX pointer");
 +        if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) & SSL_OP_NO_SSLv2))
 +              ssl_err("could not set SSL_OP_NO_SSLv2");
 +        if(cfg->remote_control_use_cert) {
 +              if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv3) & SSL_OP_NO_SSLv3))
 +                      ssl_err("could not set SSL_OP_NO_SSLv3");
 +              if(!SSL_CTX_use_certificate_file(ctx,c_cert,SSL_FILETYPE_PEM) ||
 +                  !SSL_CTX_use_PrivateKey_file(ctx,c_key,SSL_FILETYPE_PEM)
 +                  || !SSL_CTX_check_private_key(ctx))
 +                      ssl_err("Error setting up SSL_CTX client key and cert");
 +              if (SSL_CTX_load_verify_locations(ctx, s_cert, NULL) != 1)
 +                      ssl_err("Error setting up SSL_CTX verify, server cert");
 +              SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
 +
 +              free(s_cert);
 +              free(c_key);
 +              free(c_cert);
 +      } else {
 +              /* Use ciphers that don't require authentication  */
 +              if(!SSL_CTX_set_cipher_list(ctx, "aNULL"))
 +                      ssl_err("Error setting NULL cipher!");
 +      }
 +      return ctx;
 +}
 +
 +/** contact the server with TCP connect */
 +static int
 +contact_server(const char* svr, struct config_file* cfg, int statuscmd)
 +{
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +      int addrfamily = 0;
 +      int fd;
 +      /* use svr or the first config entry */
 +      if(!svr) {
 +              if(cfg->control_ifs)
 +                      svr = cfg->control_ifs->str;
 +              else    svr = "127.0.0.1";
 +              /* config 0 addr (everything), means ask localhost */
 +              if(strcmp(svr, "0.0.0.0") == 0)
 +                      svr = "127.0.0.1";
 +              else if(strcmp(svr, "::0") == 0 ||
 +                      strcmp(svr, "0::0") == 0 ||
 +                      strcmp(svr, "0::") == 0 ||
 +                      strcmp(svr, "::") == 0)
 +                      svr = "::1";
 +      }
 +      if(strchr(svr, '@')) {
 +              if(!extstrtoaddr(svr, &addr, &addrlen))
 +                      fatal_exit("could not parse IP@port: %s", svr);
 +#ifdef HAVE_SYS_UN_H
 +      } else if(svr[0] == '/') {
 +              struct sockaddr_un* usock = (struct sockaddr_un *) &addr;
 +              usock->sun_family = AF_LOCAL;
 +#ifdef HAVE_STRUCT_SOCKADDR_UN_SUN_LEN
 +              usock->sun_len = (socklen_t)sizeof(usock);
 +#endif
 +              (void)strlcpy(usock->sun_path, svr, sizeof(usock->sun_path));
 +              addrlen = (socklen_t)sizeof(struct sockaddr_un);
 +              addrfamily = AF_LOCAL;
 +#endif
 +      } else {
 +              if(!ipstrtoaddr(svr, cfg->control_port, &addr, &addrlen))
 +                      fatal_exit("could not parse IP: %s", svr);
 +      }
 +
 +      if(addrfamily == 0)
 +              addrfamily = addr_is_ip6(&addr, addrlen)?AF_INET6:AF_INET;
 +      fd = socket(addrfamily, SOCK_STREAM, 0);
 +      if(fd == -1) {
 +#ifndef USE_WINSOCK
 +              fatal_exit("socket: %s", strerror(errno));
 +#else
 +              fatal_exit("socket: %s", wsa_strerror(WSAGetLastError()));
 +#endif
 +      }
 +      if(connect(fd, (struct sockaddr*)&addr, addrlen) < 0) {
 +#ifndef USE_WINSOCK
 +              log_err_addr("connect", strerror(errno), &addr, addrlen);
 +              if(errno == ECONNREFUSED && statuscmd) {
 +                      printf("unbound is stopped\n");
 +                      exit(3);
 +              }
 +#else
 +              log_err_addr("connect", wsa_strerror(WSAGetLastError()), &addr, addrlen);
 +              if(WSAGetLastError() == WSAECONNREFUSED && statuscmd) {
 +                      printf("unbound is stopped\n");
 +                      exit(3);
 +              }
 +#endif
 +              exit(1);
 +      }
 +      return fd;
 +}
 +
 +/** setup SSL on the connection */
 +static SSL*
 +setup_ssl(SSL_CTX* ctx, int fd, struct config_file* cfg)
 +{
 +      SSL* ssl;
 +      X509* x;
 +      int r;
 +
 +      ssl = SSL_new(ctx);
 +      if(!ssl)
 +              ssl_err("could not SSL_new");
 +      SSL_set_connect_state(ssl);
 +      (void)SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
 +      if(!SSL_set_fd(ssl, fd))
 +              ssl_err("could not SSL_set_fd");
 +      while(1) {
 +              ERR_clear_error();
 +              if( (r=SSL_do_handshake(ssl)) == 1)
 +                      break;
 +              r = SSL_get_error(ssl, r);
 +              if(r != SSL_ERROR_WANT_READ && r != SSL_ERROR_WANT_WRITE)
 +                      ssl_err("SSL handshake failed");
 +              /* wants to be called again */
 +      }
 +
 +      /* check authenticity of server */
 +      if(SSL_get_verify_result(ssl) != X509_V_OK)
 +              ssl_err("SSL verification failed");
 +      if(cfg->remote_control_use_cert) {
 +              x = SSL_get_peer_certificate(ssl);
 +              if(!x)
 +                      ssl_err("Server presented no peer certificate");
 +              X509_free(x);
 +      }
 +
 +      return ssl;
 +}
 +
 +/** send stdin to server */
 +static void
 +send_file(SSL* ssl, FILE* in, char* buf, size_t sz)
 +{
 +      while(fgets(buf, (int)sz, in)) {
 +              if(SSL_write(ssl, buf, (int)strlen(buf)) <= 0)
 +                      ssl_err("could not SSL_write contents");
 +      }
 +}
 +
 +/** send command and display result */
 +static int
 +go_cmd(SSL* ssl, int quiet, int argc, char* argv[])
 +{
 +      char pre[10];
 +      const char* space=" ";
 +      const char* newline="\n";
 +      int was_error = 0, first_line = 1;
 +      int r, i;
 +      char buf[1024];
 +      snprintf(pre, sizeof(pre), "UBCT%d ", UNBOUND_CONTROL_VERSION);
 +      if(SSL_write(ssl, pre, (int)strlen(pre)) <= 0)
 +              ssl_err("could not SSL_write");
 +      for(i=0; i<argc; i++) {
 +              if(SSL_write(ssl, space, (int)strlen(space)) <= 0)
 +                      ssl_err("could not SSL_write");
 +              if(SSL_write(ssl, argv[i], (int)strlen(argv[i])) <= 0)
 +                      ssl_err("could not SSL_write");
 +      }
 +      if(SSL_write(ssl, newline, (int)strlen(newline)) <= 0)
 +              ssl_err("could not SSL_write");
 +
 +      if(argc == 1 && strcmp(argv[0], "load_cache") == 0) {
 +              send_file(ssl, stdin, buf, sizeof(buf));
 +      }
 +
 +      while(1) {
 +              ERR_clear_error();
 +              if((r = SSL_read(ssl, buf, (int)sizeof(buf)-1)) <= 0) {
 +                      if(SSL_get_error(ssl, r) == SSL_ERROR_ZERO_RETURN) {
 +                              /* EOF */
 +                              break;
 +                      }
 +                      ssl_err("could not SSL_read");
 +              }
 +              buf[r] = 0;
 +              if(first_line && strncmp(buf, "error", 5) == 0) {
 +                      printf("%s", buf);
 +                      was_error = 1;
 +              } else if (!quiet)
 +                      printf("%s", buf);
 +
 +              first_line = 0;
 +      }
 +      return was_error;
 +}
 +
 +/** go ahead and read config, contact server and perform command and display */
 +static int
 +go(const char* cfgfile, char* svr, int quiet, int argc, char* argv[])
 +{
 +      struct config_file* cfg;
 +      int fd, ret;
 +      SSL_CTX* ctx;
 +      SSL* ssl;
 +
 +      /* read config */
 +      if(!(cfg = config_create()))
 +              fatal_exit("out of memory");
 +      if(!config_read(cfg, cfgfile, NULL))
 +              fatal_exit("could not read config file");
 +      if(!cfg->remote_control_enable)
 +              log_warn("control-enable is 'no' in the config file.");
 +      ctx = setup_ctx(cfg);
 +
 +      /* contact server */
 +      fd = contact_server(svr, cfg, argc>0&&strcmp(argv[0],"status")==0);
 +      ssl = setup_ssl(ctx, fd, cfg);
 +
 +      /* send command */
 +      ret = go_cmd(ssl, quiet, argc, argv);
 +
 +      SSL_free(ssl);
 +#ifndef USE_WINSOCK
 +      close(fd);
 +#else
 +      closesocket(fd);
 +#endif
 +      SSL_CTX_free(ctx);
 +      config_delete(cfg);
 +      return ret;
 +}
 +
 +/** getopt global, in case header files fail to declare it. */
 +extern int optind;
 +/** getopt global, in case header files fail to declare it. */
 +extern char* optarg;
 +
 +/** Main routine for unbound-control */
 +int main(int argc, char* argv[])
 +{
 +      int c, ret;
 +      int quiet = 0;
 +      const char* cfgfile = CONFIGFILE;
 +      char* svr = NULL;
 +#ifdef USE_WINSOCK
 +      int r;
 +      WSADATA wsa_data;
 +#endif
 +#ifdef USE_THREAD_DEBUG
 +      /* stop the file output from unbound-control, overwites the servers */
 +      extern int check_locking_order;
 +      check_locking_order = 0;
 +#endif /* USE_THREAD_DEBUG */
 +      log_ident_set("unbound-control");
 +      log_init(NULL, 0, NULL);
 +      checklock_start();
 +#ifdef USE_WINSOCK
 +      if((r = WSAStartup(MAKEWORD(2,2), &wsa_data)) != 0)
 +              fatal_exit("WSAStartup failed: %s", wsa_strerror(r));
 +      /* use registry config file in preference to compiletime location */
 +      if(!(cfgfile=w_lookup_reg_str("Software\\Unbound", "ConfigFile")))
 +              cfgfile = CONFIGFILE;
 +#endif
 +
 +      ERR_load_crypto_strings();
 +      ERR_load_SSL_strings();
 +      OpenSSL_add_all_algorithms();
 +      (void)SSL_library_init();
 +
 +      if(!RAND_status()) {
 +                /* try to seed it */
 +                unsigned char buf[256];
 +                unsigned int seed=(unsigned)time(NULL) ^ (unsigned)getpid();
 +              unsigned int v = seed;
 +                size_t i;
 +                for(i=0; i<256/sizeof(v); i++) {
 +                        memmove(buf+i*sizeof(v), &v, sizeof(v));
 +                        v = v*seed + (unsigned int)i;
 +                }
 +                RAND_seed(buf, 256);
 +              log_warn("no entropy, seeding openssl PRNG with time\n");
 +      }
 +
 +      /* parse the options */
 +      while( (c=getopt(argc, argv, "c:s:qh")) != -1) {
 +              switch(c) {
 +              case 'c':
 +                      cfgfile = optarg;
 +                      break;
 +              case 's':
 +                      svr = optarg;
 +                      break;
 +              case 'q':
 +                      quiet = 1;
 +                      break;
 +              case '?':
 +              case 'h':
 +              default:
 +                      usage();
 +              }
 +      }
 +      argc -= optind;
 +      argv += optind;
 +      if(argc == 0)
 +              usage();
 +      if(argc >= 1 && strcmp(argv[0], "start")==0) {
 +              if(execlp("unbound", "unbound", "-c", cfgfile, 
 +                      (char*)NULL) < 0) {
 +                      fatal_exit("could not exec unbound: %s",
 +                              strerror(errno));
 +              }
 +      }
 +
 +      ret = go(cfgfile, svr, quiet, argc, argv);
 +
 +#ifdef USE_WINSOCK
 +        WSACleanup();
 +#endif
 +      checklock_stop();
 +      return ret;
 +}
diff --cc contrib/unbound/smallapp/unbound-host.c
index 95973410924f93d37a1241ab558d9ed2ad6c2508,0000000000000000000000000000000000000000..30fef51fdc6f575828508b76dd3a1803f3ec9199
mode 100644,000000..100644
--- 1/contrib/unbound/smallapp/unbound-host.c
--- /dev/null
+++ b/contrib/unbound/smallapp/unbound-host.c
@@@ -1,497 -1,0 +1,497 @@@
- #include "ldns/rrdef.h"
- #include "ldns/wire2str.h"
 +/*
 + * checkconf/unbound-host.c - replacement for host that supports validation.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file performs functionality like 'host', and also supports validation.
 + * It uses the libunbound library.
 + */
 +
 +#include "config.h"
 +#ifdef HAVE_GETOPT_H
 +#include <getopt.h>
 +#endif
 +/* remove alloc checks, not in this part of the code */
 +#ifdef UNBOUND_ALLOC_STATS
 +#undef malloc
 +#undef calloc
 +#undef free
 +#undef realloc
 +#endif
 +#ifdef UNBOUND_ALLOC_LITE
 +#undef malloc
 +#undef calloc
 +#undef free
 +#undef realloc
 +#undef strdup
 +#define unbound_lite_wrapstr(s) s
 +#endif
 +#include "libunbound/unbound.h"
++#include "sldns/rrdef.h"
++#include "sldns/wire2str.h"
 +#ifdef HAVE_NSS
 +/* nss3 */
 +#include "nss.h"
 +#endif
 +
 +/** verbosity for unbound-host app */
 +static int verb = 0;
 +
 +/** Give unbound-host usage, and exit (1). */
 +static void
 +usage()
 +{
 +      printf("Usage:  unbound-host [-vdhr46] [-c class] [-t type] hostname\n");
 +      printf("                     [-y key] [-f keyfile] [-F namedkeyfile]\n");
 +      printf("                     [-C configfile]\n");
 +      printf("  Queries the DNS for information.\n");
 +      printf("  The hostname is looked up for IP4, IP6 and mail.\n");
 +      printf("  If an ip-address is given a reverse lookup is done.\n");
 +      printf("  Use the -v option to see DNSSEC security information.\n");
 +      printf("    -t type             what type to look for.\n");
 +      printf("    -c class            what class to look for, if not class IN.\n");
 +      printf("    -y 'keystring'      specify trust anchor, DS or DNSKEY, like\n");
 +      printf("                        -y 'example.com DS 31560 5 1 1CFED8478...'\n");
 +      printf("    -D                  DNSSEC enable with default root anchor\n");
 +      printf("                        from %s\n", ROOT_ANCHOR_FILE);
 +      printf("    -f keyfile          read trust anchors from file, with lines as -y.\n");
 +      printf("    -F keyfile          read named.conf-style trust anchors.\n");
 +      printf("    -C config           use the specified unbound.conf (none read by default)\n");
 +      printf("    -r                  read forwarder information from /etc/resolv.conf\n");
 +      printf("                        breaks validation if the fwder does not do DNSSEC.\n");
 +      printf("    -v                  be more verbose, shows nodata and security.\n");
 +      printf("    -d                  debug, traces the action, -d -d shows more.\n");
 +      printf("    -4                  use ipv4 network, avoid ipv6.\n");
 +      printf("    -6                  use ipv6 network, avoid ipv4.\n");
 +      printf("    -h                  show this usage help.\n");
 +      printf("Version %s\n", PACKAGE_VERSION);
 +      printf("BSD licensed, see LICENSE in source package for details.\n");
 +      printf("Report bugs to %s\n", PACKAGE_BUGREPORT);
 +      exit(1);
 +}
 +
 +/** determine if str is ip4 and put into reverse lookup format */
 +static int
 +isip4(const char* nm, char** res)
 +{
 +      struct in_addr addr;
 +      /* ddd.ddd.ddd.ddd.in-addr.arpa. is less than 32 */
 +      char buf[32];
 +      if(inet_pton(AF_INET, nm, &addr) <= 0) {
 +              return 0;
 +      }
 +      snprintf(buf, sizeof(buf), "%u.%u.%u.%u.in-addr.arpa",
 +              (unsigned)((uint8_t*)&addr)[3], (unsigned)((uint8_t*)&addr)[2],
 +              (unsigned)((uint8_t*)&addr)[1], (unsigned)((uint8_t*)&addr)[0]);
 +      *res = strdup(buf);
 +      return 1;
 +}
 +
 +/** determine if str is ip6 and put into reverse lookup format */
 +static int
 +isip6(const char* nm, char** res)
 +{
 +      struct in6_addr addr;
 +      /* [nibble.]{32}.ip6.arpa. is less than 128 */
 +      const char* hex = "0123456789abcdef";
 +      char buf[128];
 +      char *p;
 +      int i;
 +      if(inet_pton(AF_INET6, nm, &addr) <= 0) {
 +              return 0;
 +      }
 +      p = buf;
 +      for(i=15; i>=0; i--) {
 +              uint8_t b = ((uint8_t*)&addr)[i];
 +              *p++ = hex[ (b&0x0f) ];
 +              *p++ = '.';
 +              *p++ = hex[ (b&0xf0) >> 4 ];
 +              *p++ = '.';
 +      }
 +      snprintf(buf+16*4, sizeof(buf)-16*4, "ip6.arpa");
 +      *res = strdup(buf);
 +      if(!*res) {
 +              fprintf(stderr, "error: out of memory\n");
 +              exit(1);
 +      }
 +      return 1;
 +}
 +
 +/** massage input name */
 +static char*
 +massage_qname(const char* nm, int* reverse)
 +{
 +      /* recognise IP4 and IP6, create reverse addresses if needed */
 +      char* res;
 +      if(isip4(nm, &res)) {
 +              *reverse = 1;
 +      } else if(isip6(nm, &res)) {
 +              *reverse = 1;
 +      } else {
 +              res = strdup(nm);
 +      }
 +      if(!res) {
 +              fprintf(stderr, "error: out of memory\n");
 +              exit(1);
 +      }
 +      return res;
 +}
 +
 +/** massage input type */
 +static int
 +massage_type(const char* t, int reverse, int* multi)
 +{
 +      if(t) {
 +              int r = sldns_get_rr_type_by_name(t);
 +              if(r == 0 && strcasecmp(t, "TYPE0") != 0 && 
 +                      strcmp(t, "") != 0) {
 +                      fprintf(stderr, "error unknown type %s\n", t);
 +                      exit(1);
 +              }
 +              return r;
 +      }
 +      if(!t && reverse)
 +              return LDNS_RR_TYPE_PTR;
 +      *multi = 1;
 +      return LDNS_RR_TYPE_A;
 +}
 +
 +/** massage input class */
 +static int
 +massage_class(const char* c)
 +{
 +      if(c) {
 +              int r = sldns_get_rr_class_by_name(c);
 +              if(r == 0 && strcasecmp(c, "CLASS0") != 0 && 
 +                      strcmp(c, "") != 0) {
 +                      fprintf(stderr, "error unknown class %s\n", c);
 +                      exit(1);
 +              }
 +              return r;
 +      }
 +      return LDNS_RR_CLASS_IN;
 +}
 +
 +/** nice security status string */
 +static const char* 
 +secure_str(struct ub_result* result)
 +{
 +      if(result->secure) return "(secure)";
 +      if(result->bogus) return "(BOGUS (security failure))";
 +      return "(insecure)";
 +}
 +
 +/** nice string for type */
 +static void
 +pretty_type(char* s, size_t len, int t)
 +{
 +      char d[16];
 +      sldns_wire2str_type_buf((uint16_t)t, d, sizeof(d));
 +      snprintf(s, len, "%s", d);
 +}
 +
 +/** nice string for class */
 +static void
 +pretty_class(char* s, size_t len, int c)
 +{
 +      char d[16];
 +      sldns_wire2str_class_buf((uint16_t)c, d, sizeof(d));
 +      snprintf(s, len, "%s", d);
 +}
 +
 +/** nice string for rcode */
 +static void
 +pretty_rcode(char* s, size_t len, int r)
 +{
 +      char d[16];
 +      sldns_wire2str_rcode_buf(r, d, sizeof(d));
 +      snprintf(s, len, "%s", d);
 +}
 +
 +/** convert and print rdata */
 +static void
 +print_rd(int t, char* data, size_t len)
 +{
 +      char s[65535];
 +      sldns_wire2str_rdata_buf((uint8_t*)data, len, s, sizeof(s), (uint16_t)t);
 +      printf(" %s", s);
 +}
 +
 +/** pretty line of RR data for results */
 +static void
 +pretty_rdata(char* q, char* cstr, char* tstr, int t, const char* sec, 
 +      char* data, size_t len)
 +{
 +      printf("%s", q);
 +      if(strcmp(cstr, "IN") != 0)
 +              printf(" in class %s", cstr);
 +      if(t == LDNS_RR_TYPE_A)
 +              printf(" has address");
 +      else if(t == LDNS_RR_TYPE_AAAA)
 +              printf(" has IPv6 address");
 +      else if(t == LDNS_RR_TYPE_MX)
 +              printf(" mail is handled by");
 +      else if(t == LDNS_RR_TYPE_PTR)
 +              printf(" domain name pointer");
 +      else    printf(" has %s record", tstr);
 +      print_rd(t, data, len);
 +      if(verb > 0)
 +              printf(" %s", sec);
 +      printf("\n");
 +}
 +
 +/** pretty line of output for results */
 +static void
 +pretty_output(char* q, int t, int c, struct ub_result* result, int docname)
 +{
 +      int i;
 +      const char *secstatus = secure_str(result);
 +      char tstr[16];
 +      char cstr[16];
 +      char rcodestr[16];
 +      pretty_type(tstr, 16, t);
 +      pretty_class(cstr, 16, c);
 +      pretty_rcode(rcodestr, 16, result->rcode);
 +
 +      if(!result->havedata && result->rcode) {
 +              printf("Host %s not found: %d(%s).",
 +                      q, result->rcode, rcodestr);
 +              if(verb > 0)
 +                      printf(" %s", secstatus);
 +              printf("\n");
 +              if(result->bogus && result->why_bogus)
 +                      printf("%s\n", result->why_bogus);
 +              return;
 +      }
 +      if(docname && result->canonname &&
 +              result->canonname != result->qname) {
 +              printf("%s is an alias for %s", result->qname, 
 +                      result->canonname);
 +              if(verb > 0)
 +                      printf(" %s", secstatus);
 +              printf("\n");
 +      }
 +      /* remove trailing . from long canonnames for nicer output */
 +      if(result->canonname && strlen(result->canonname) > 1 &&
 +              result->canonname[strlen(result->canonname)-1] == '.')
 +              result->canonname[strlen(result->canonname)-1] = 0;
 +      if(!result->havedata) {
 +              if(verb > 0) {
 +                      printf("%s", result->canonname?result->canonname:q);
 +                      if(strcmp(cstr, "IN") != 0)
 +                              printf(" in class %s", cstr);
 +                      if(t == LDNS_RR_TYPE_A)
 +                              printf(" has no address");
 +                      else if(t == LDNS_RR_TYPE_AAAA)
 +                              printf(" has no IPv6 address");
 +                      else if(t == LDNS_RR_TYPE_PTR)
 +                              printf(" has no domain name ptr");
 +                      else if(t == LDNS_RR_TYPE_MX)
 +                              printf(" has no mail handler record");
 +                      else if(t == LDNS_RR_TYPE_ANY) {
 +                              char* s = sldns_wire2str_pkt(
 +                                      result->answer_packet,
 +                                      (size_t)result->answer_len);
 +                              if(!s) {
 +                                      fprintf(stderr, "alloc failure\n");
 +                                      exit(1);
 +                              }
 +                              printf("%s\n", s);
 +                      } else  printf(" has no %s record", tstr);
 +                      printf(" %s\n", secstatus);
 +              }
 +              /* else: emptiness to indicate no data */
 +              if(result->bogus && result->why_bogus)
 +                      printf("%s\n", result->why_bogus);
 +              return;
 +      }
 +      i=0;
 +      while(result->data[i])
 +      {
 +              pretty_rdata(
 +                      result->canonname?result->canonname:q,
 +                      cstr, tstr, t, secstatus, result->data[i],
 +                      (size_t)result->len[i]);
 +              i++;
 +      }
 +      if(result->bogus && result->why_bogus)
 +              printf("%s\n", result->why_bogus);
 +}
 +
 +/** perform a lookup and printout return if domain existed */
 +static int
 +dnslook(struct ub_ctx* ctx, char* q, int t, int c, int docname)
 +{
 +      int ret;
 +      struct ub_result* result;
 +
 +      ret = ub_resolve(ctx, q, t, c, &result);
 +      if(ret != 0) {
 +              fprintf(stderr, "resolve error: %s\n", ub_strerror(ret));
 +              exit(1);
 +      }
 +      pretty_output(q, t, c, result, docname);
 +      ret = result->nxdomain;
 +      ub_resolve_free(result);
 +      return ret;
 +}
 +
 +/** perform host lookup */
 +static void
 +lookup(struct ub_ctx* ctx, const char* nm, const char* qt, const char* qc)
 +{
 +      /* massage input into a query name, type and class */
 +      int multi = 0;   /* no type, so do A, AAAA, MX */
 +      int reverse = 0; /* we are doing a reverse lookup */
 +      char* realq = massage_qname(nm, &reverse);
 +      int t = massage_type(qt, reverse, &multi);
 +      int c = massage_class(qc);
 +
 +      /* perform the query */
 +      if(multi) {
 +              if(!dnslook(ctx, realq, LDNS_RR_TYPE_A, c, 1)) {
 +                      /* domain exists, lookup more */
 +                      (void)dnslook(ctx, realq, LDNS_RR_TYPE_AAAA, c, 0);
 +                      (void)dnslook(ctx, realq, LDNS_RR_TYPE_MX, c, 0);
 +              }
 +      } else {
 +              (void)dnslook(ctx, realq, t, c, 1);
 +      }
 +      ub_ctx_delete(ctx);
 +      free(realq);
 +}
 +
 +/** print error if any */
 +static void
 +check_ub_res(int r)
 +{
 +      if(r != 0) {
 +              fprintf(stderr, "error: %s\n", ub_strerror(r));
 +              exit(1);
 +      }
 +}
 +
 +/** getopt global, in case header files fail to declare it. */
 +extern int optind;
 +/** getopt global, in case header files fail to declare it. */
 +extern char* optarg;
 +
 +/** Main routine for unbound-host */
 +int main(int argc, char* argv[])
 +{
 +      int c;
 +      char* qclass = NULL;
 +      char* qtype = NULL;
 +      struct ub_ctx* ctx = NULL;
 +      int debuglevel = 0;
 +      
 +      ctx = ub_ctx_create();
 +      if(!ctx) {
 +              fprintf(stderr, "error: out of memory\n");
 +              exit(1);
 +      }
 +      /* no need to fetch additional targets, we only do few lookups */
 +      check_ub_res(ub_ctx_set_option(ctx, "target-fetch-policy:", "0 0 0 0 0"));
 +
 +      /* parse the options */
 +      while( (c=getopt(argc, argv, "46DF:c:df:hrt:vy:C:")) != -1) {
 +              switch(c) {
 +              case '4':
 +                      check_ub_res(ub_ctx_set_option(ctx, "do-ip6:", "no"));
 +                      break;
 +              case '6':
 +                      check_ub_res(ub_ctx_set_option(ctx, "do-ip4:", "no"));
 +                      break;
 +              case 'c':
 +                      qclass = optarg;
 +                      break;
 +              case 'C':
 +                      check_ub_res(ub_ctx_config(ctx, optarg));
 +                      break;
 +              case 'D':
 +                      check_ub_res(ub_ctx_add_ta_file(ctx, ROOT_ANCHOR_FILE));
 +                      break;
 +              case 'd':
 +                      debuglevel++;
 +                      if(debuglevel < 2) 
 +                              debuglevel = 2; /* at least VERB_DETAIL */
 +                      break;
 +              case 'r':
 +                      check_ub_res(ub_ctx_resolvconf(ctx, "/etc/resolv.conf"));
 +                      break;
 +              case 't':
 +                      qtype = optarg;
 +                      break;
 +              case 'v':
 +                      verb++;
 +                      break;
 +              case 'y':
 +                      check_ub_res(ub_ctx_add_ta(ctx, optarg));
 +                      break;
 +              case 'f':
 +                      check_ub_res(ub_ctx_add_ta_file(ctx, optarg));
 +                      break;
 +              case 'F':
 +                      check_ub_res(ub_ctx_trustedkeys(ctx, optarg));
 +                      break;
 +              case '?':
 +              case 'h':
 +              default:
 +                      usage();
 +              }
 +      }
 +      if(debuglevel != 0) /* set after possible -C options */
 +              check_ub_res(ub_ctx_debuglevel(ctx, debuglevel));
 +      if(ub_ctx_get_option(ctx, "use-syslog", &optarg) == 0) {
 +              if(strcmp(optarg, "yes") == 0) /* disable use-syslog */
 +                      check_ub_res(ub_ctx_set_option(ctx, 
 +                              "use-syslog:", "no"));
 +              free(optarg);
 +      }
 +      argc -= optind;
 +      argv += optind;
 +      if(argc != 1)
 +              usage();
 +
 +#ifdef HAVE_NSS
 +        if(NSS_NoDB_Init(".") != SECSuccess) {
 +              fprintf(stderr, "could not init NSS\n");
 +              return 1;
 +      }
 +#endif
 +      lookup(ctx, argv[0], qtype, qclass);
 +      return 0;
 +}
diff --cc contrib/unbound/util/alloc.c
index 4b81beb4c4cb50f549bcbb829d52662d2f4cae5a,0000000000000000000000000000000000000000..05d2fa36207ba976282e046f32f5a31de60a7e15
mode 100644,000000..100644
--- 1/contrib/unbound/util/alloc.c
--- /dev/null
+++ b/contrib/unbound/util/alloc.c
@@@ -1,642 -1,0 +1,653 @@@
-       size_t s = (nmemb*size==0)?(size_t)1:nmemb*size;
-       void* res = calloc(1, s+16);
 +/*
 + * util/alloc.c - memory allocation service. 
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains memory allocation functions.
 + */
 +
 +#include "config.h"
 +#include "util/alloc.h"
 +#include "util/regional.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/fptr_wlist.h"
 +
 +/** custom size of cached regional blocks */
 +#define ALLOC_REG_SIZE        16384
 +/** number of bits for ID part of uint64, rest for number of threads. */
 +#define THRNUM_SHIFT  48      /* for 65k threads, 2^48 rrsets per thr. */
 +
 +/** setup new special type */
 +static void
 +alloc_setup_special(alloc_special_t* t)
 +{
 +      memset(t, 0, sizeof(*t));
 +      lock_rw_init(&t->entry.lock);
 +      t->entry.key = t;
 +}
 +
 +/** prealloc some entries in the cache. To minimize contention. 
 + * Result is 1 lock per alloc_max newly created entries.
 + * @param alloc: the structure to fill up.
 + */
 +static void
 +prealloc(struct alloc_cache* alloc)
 +{
 +      alloc_special_t* p;
 +      int i;
 +      for(i=0; i<ALLOC_SPECIAL_MAX; i++) {
 +              if(!(p = (alloc_special_t*)malloc(sizeof(alloc_special_t)))) {
 +                      log_err("prealloc: out of memory");
 +                      return;
 +              }
 +              alloc_setup_special(p);
 +              alloc_set_special_next(p, alloc->quar);
 +              alloc->quar = p;
 +              alloc->num_quar++;
 +      }
 +}
 +
 +/** prealloc region blocks */
 +static void
 +prealloc_blocks(struct alloc_cache* alloc, size_t num)
 +{
 +      size_t i;
 +      struct regional* r;
 +      for(i=0; i<num; i++) {
 +              r = regional_create_custom(ALLOC_REG_SIZE);
 +              if(!r) {
 +                      log_err("prealloc blocks: out of memory");
 +                      return;
 +              }
 +              r->next = (char*)alloc->reg_list;
 +              alloc->reg_list = r;
 +              alloc->num_reg_blocks ++;
 +      }
 +}
 +
 +void 
 +alloc_init(struct alloc_cache* alloc, struct alloc_cache* super,
 +      int thread_num)
 +{
 +      memset(alloc, 0, sizeof(*alloc));
 +      alloc->super = super;
 +      alloc->thread_num = thread_num;
 +      alloc->next_id = (uint64_t)thread_num;  /* in steps, so that type */
 +      alloc->next_id <<= THRNUM_SHIFT;        /* of *_id is used. */
 +      alloc->last_id = 1;                     /* so no 64bit constants, */
 +      alloc->last_id <<= THRNUM_SHIFT;        /* or implicit 'int' ops. */
 +      alloc->last_id -= 1;                    /* for compiler portability. */
 +      alloc->last_id |= alloc->next_id;
 +      alloc->next_id += 1;                    /* because id=0 is special. */
 +      alloc->max_reg_blocks = 100;
 +      alloc->num_reg_blocks = 0;
 +      alloc->reg_list = NULL;
 +      alloc->cleanup = NULL;
 +      alloc->cleanup_arg = NULL;
 +      if(alloc->super)
 +              prealloc_blocks(alloc, alloc->max_reg_blocks);
 +      if(!alloc->super) {
 +              lock_quick_init(&alloc->lock);
 +              lock_protect(&alloc->lock, alloc, sizeof(*alloc));
 +      }
 +}
 +
 +void 
 +alloc_clear(struct alloc_cache* alloc)
 +{
 +      alloc_special_t* p, *np;
 +      struct regional* r, *nr;
 +      if(!alloc)
 +              return;
 +      if(!alloc->super) {
 +              lock_quick_destroy(&alloc->lock);
 +      }
 +      if(alloc->super && alloc->quar) {
 +              /* push entire list into super */
 +              p = alloc->quar;
 +              while(alloc_special_next(p)) /* find last */
 +                      p = alloc_special_next(p);
 +              lock_quick_lock(&alloc->super->lock);
 +              alloc_set_special_next(p, alloc->super->quar);
 +              alloc->super->quar = alloc->quar;
 +              alloc->super->num_quar += alloc->num_quar;
 +              lock_quick_unlock(&alloc->super->lock);
 +      } else {
 +              /* free */
 +              p = alloc->quar;
 +              while(p) {
 +                      np = alloc_special_next(p);
 +                      /* deinit special type */
 +                      lock_rw_destroy(&p->entry.lock);
 +                      free(p);
 +                      p = np;
 +              }
 +      }
 +      alloc->quar = 0;
 +      alloc->num_quar = 0;
 +      r = alloc->reg_list;
 +      while(r) {
 +              nr = (struct regional*)r->next;
 +              free(r);
 +              r = nr;
 +      }
 +      alloc->reg_list = NULL;
 +      alloc->num_reg_blocks = 0;
 +}
 +
 +uint64_t
 +alloc_get_id(struct alloc_cache* alloc)
 +{
 +      uint64_t id = alloc->next_id++;
 +      if(id == alloc->last_id) {
 +              log_warn("rrset alloc: out of 64bit ids. Clearing cache.");
 +              fptr_ok(fptr_whitelist_alloc_cleanup(alloc->cleanup));
 +              (*alloc->cleanup)(alloc->cleanup_arg);
 +
 +              /* start back at first number */        /* like in alloc_init*/
 +              alloc->next_id = (uint64_t)alloc->thread_num;   
 +              alloc->next_id <<= THRNUM_SHIFT;        /* in steps for comp. */
 +              alloc->next_id += 1;                    /* portability. */
 +              /* and generate new and safe id */
 +              id = alloc->next_id++;
 +      }
 +      return id;
 +}
 +
 +alloc_special_t* 
 +alloc_special_obtain(struct alloc_cache* alloc)
 +{
 +      alloc_special_t* p;
 +      log_assert(alloc);
 +      /* see if in local cache */
 +      if(alloc->quar) {
 +              p = alloc->quar;
 +              alloc->quar = alloc_special_next(p);
 +              alloc->num_quar--;
 +              p->id = alloc_get_id(alloc);
 +              return p;
 +      }
 +      /* see if in global cache */
 +      if(alloc->super) {
 +              /* could maybe grab alloc_max/2 entries in one go,
 +               * but really, isn't that just as fast as this code? */
 +              lock_quick_lock(&alloc->super->lock);
 +              if((p = alloc->super->quar)) {
 +                      alloc->super->quar = alloc_special_next(p);
 +                      alloc->super->num_quar--;
 +              }
 +              lock_quick_unlock(&alloc->super->lock);
 +              if(p) {
 +                      p->id = alloc_get_id(alloc);
 +                      return p;
 +              }
 +      }
 +      /* allocate new */
 +      prealloc(alloc);
 +      if(!(p = (alloc_special_t*)malloc(sizeof(alloc_special_t)))) {
 +              log_err("alloc_special_obtain: out of memory");
 +              return NULL;
 +      }
 +      alloc_setup_special(p);
 +      p->id = alloc_get_id(alloc);
 +      return p;
 +}
 +
 +/** push mem and some more items to the super */
 +static void 
 +pushintosuper(struct alloc_cache* alloc, alloc_special_t* mem)
 +{
 +      int i;
 +      alloc_special_t *p = alloc->quar;
 +      log_assert(p);
 +      log_assert(alloc && alloc->super && 
 +              alloc->num_quar >= ALLOC_SPECIAL_MAX);
 +      /* push ALLOC_SPECIAL_MAX/2 after mem */
 +      alloc_set_special_next(mem, alloc->quar);
 +      for(i=1; i<ALLOC_SPECIAL_MAX/2; i++) {
 +              p = alloc_special_next(p);
 +      }
 +      alloc->quar = alloc_special_next(p);
 +      alloc->num_quar -= ALLOC_SPECIAL_MAX/2;
 +
 +      /* dump mem+list into the super quar list */
 +      lock_quick_lock(&alloc->super->lock);
 +      alloc_set_special_next(p, alloc->super->quar);
 +      alloc->super->quar = mem;
 +      alloc->super->num_quar += ALLOC_SPECIAL_MAX/2 + 1;
 +      lock_quick_unlock(&alloc->super->lock);
 +      /* so 1 lock per mem+alloc/2 deletes */
 +}
 +
 +void 
 +alloc_special_release(struct alloc_cache* alloc, alloc_special_t* mem)
 +{
 +      log_assert(alloc);
 +      if(!mem)
 +              return;
 +      if(!alloc->super) { 
 +              lock_quick_lock(&alloc->lock); /* superalloc needs locking */
 +      }
 +
 +      alloc_special_clean(mem);
 +      if(alloc->super && alloc->num_quar >= ALLOC_SPECIAL_MAX) {
 +              /* push it to the super structure */
 +              pushintosuper(alloc, mem);
 +              return;
 +      }
 +
 +      alloc_set_special_next(mem, alloc->quar);
 +      alloc->quar = mem;
 +      alloc->num_quar++;
 +      if(!alloc->super) {
 +              lock_quick_unlock(&alloc->lock);
 +      }
 +}
 +
 +void 
 +alloc_stats(struct alloc_cache* alloc)
 +{
 +      log_info("%salloc: %d in cache, %d blocks.", alloc->super?"":"sup",
 +              (int)alloc->num_quar, (int)alloc->num_reg_blocks);
 +}
 +
 +size_t alloc_get_mem(struct alloc_cache* alloc)
 +{
 +      alloc_special_t* p;
 +      size_t s = sizeof(*alloc);
 +      if(!alloc->super) { 
 +              lock_quick_lock(&alloc->lock); /* superalloc needs locking */
 +      }
 +      s += sizeof(alloc_special_t) * alloc->num_quar;
 +      for(p = alloc->quar; p; p = alloc_special_next(p)) {
 +              s += lock_get_mem(&p->entry.lock);
 +      }
 +      s += alloc->num_reg_blocks * ALLOC_REG_SIZE;
 +      if(!alloc->super) {
 +              lock_quick_unlock(&alloc->lock);
 +      }
 +      return s;
 +}
 +
 +struct regional* 
 +alloc_reg_obtain(struct alloc_cache* alloc)
 +{
 +      if(alloc->num_reg_blocks > 0) {
 +              struct regional* r = alloc->reg_list;
 +              alloc->reg_list = (struct regional*)r->next;
 +              r->next = NULL;
 +              alloc->num_reg_blocks--;
 +              return r;
 +      }
 +      return regional_create_custom(ALLOC_REG_SIZE);
 +}
 +
 +void 
 +alloc_reg_release(struct alloc_cache* alloc, struct regional* r)
 +{
 +      if(alloc->num_reg_blocks >= alloc->max_reg_blocks) {
 +              regional_destroy(r);
 +              return;
 +      }
 +      if(!r) return;
 +      regional_free_all(r);
 +      log_assert(r->next == NULL);
 +      r->next = (char*)alloc->reg_list;
 +      alloc->reg_list = r;
 +      alloc->num_reg_blocks++;
 +}
 +
 +void 
 +alloc_set_id_cleanup(struct alloc_cache* alloc, void (*cleanup)(void*),
 +        void* arg)
 +{
 +      alloc->cleanup = cleanup;
 +      alloc->cleanup_arg = arg;
 +}
 +
 +/** global debug value to keep track of total memory mallocs */
 +size_t unbound_mem_alloc = 0;
 +/** global debug value to keep track of total memory frees */
 +size_t unbound_mem_freed = 0;
 +#ifdef UNBOUND_ALLOC_STATS
 +/** special value to know if the memory is being tracked */
 +uint64_t mem_special = (uint64_t)0xfeed43327766abcdLL;
 +#ifdef malloc
 +#undef malloc
 +#endif
 +/** malloc with stats */
 +void *unbound_stat_malloc(size_t size)
 +{
 +      void* res;
 +      if(size == 0) size = 1;
 +      res = malloc(size+16);
 +      if(!res) return NULL;
 +      unbound_mem_alloc += size;
 +      log_info("stat %p=malloc(%u)", res+16, (unsigned)size);
 +      memcpy(res, &size, sizeof(size));
 +      memcpy(res+8, &mem_special, sizeof(mem_special));
 +      return res+16;
 +}
 +#ifdef calloc
 +#undef calloc
 +#endif
++#ifndef INT_MAX
++#define INT_MAX (((int)-1)>>1)
++#endif
 +/** calloc with stats */
 +void *unbound_stat_calloc(size_t nmemb, size_t size)
 +{
-       size_t req = nmemb * size;
-       void* res = malloc(req+lite_pad*2+sizeof(size_t));
++      size_t s;
++      void* res;
++      if(nmemb != 0 && INT_MAX/nmemb < size)
++              return NULL; /* integer overflow check */
++      s = (nmemb*size==0)?(size_t)1:nmemb*size;
++      res = calloc(1, s+16);
 +      if(!res) return NULL;
 +      log_info("stat %p=calloc(%u, %u)", res+16, (unsigned)nmemb, (unsigned)size);
 +      unbound_mem_alloc += s;
 +      memcpy(res, &s, sizeof(s));
 +      memcpy(res+8, &mem_special, sizeof(mem_special));
 +      return res+16;
 +}
 +#ifdef free
 +#undef free
 +#endif
 +/** free with stats */
 +void unbound_stat_free(void *ptr)
 +{
 +      size_t s;
 +      if(!ptr) return;
 +      if(memcmp(ptr-8, &mem_special, sizeof(mem_special)) != 0) {
 +              free(ptr);
 +              return;
 +      }
 +      ptr-=16;
 +      memcpy(&s, ptr, sizeof(s));
 +      log_info("stat free(%p) size %u", ptr+16, (unsigned)s);
 +      memset(ptr+8, 0, 8);
 +      unbound_mem_freed += s;
 +      free(ptr);
 +}
 +#ifdef realloc
 +#undef realloc
 +#endif
 +/** realloc with stats */
 +void *unbound_stat_realloc(void *ptr, size_t size)
 +{
 +      size_t cursz;
 +      void* res;
 +      if(!ptr) return unbound_stat_malloc(size);
 +      if(memcmp(ptr-8, &mem_special, sizeof(mem_special)) != 0) {
 +              return realloc(ptr, size);
 +      }
 +      if(size==0) {
 +              unbound_stat_free(ptr);
 +              return NULL;
 +      }
 +      ptr -= 16;
 +      memcpy(&cursz, ptr, sizeof(cursz));
 +      if(cursz == size) {
 +              /* nothing changes */
 +              return ptr;
 +      }
 +      res = malloc(size+16);
 +      if(!res) return NULL;
 +      unbound_mem_alloc += size;
 +      unbound_mem_freed += cursz;
 +      log_info("stat realloc(%p, %u) from %u", ptr+16, (unsigned)size, (unsigned)cursz);
 +      if(cursz > size) {
 +              memcpy(res+16, ptr+16, size);
 +      } else if(size > cursz) {
 +              memcpy(res+16, ptr+16, cursz);
 +      }
 +      memset(ptr+8, 0, 8);
 +      free(ptr);
 +      memcpy(res, &size, sizeof(size));
 +      memcpy(res+8, &mem_special, sizeof(mem_special));
 +      return res+16;
 +}
 +
 +/** log to file where alloc was done */
 +void *unbound_stat_malloc_log(size_t size, const char* file, int line,
 +        const char* func)
 +{
 +      log_info("%s:%d %s malloc(%u)", file, line, func, (unsigned)size);
 +      return unbound_stat_malloc(size);
 +}
 +
 +/** log to file where alloc was done */
 +void *unbound_stat_calloc_log(size_t nmemb, size_t size, const char* file,
 +        int line, const char* func)
 +{
 +      log_info("%s:%d %s calloc(%u, %u)", file, line, func, 
 +              (unsigned) nmemb, (unsigned)size);
 +      return unbound_stat_calloc(nmemb, size);
 +}
 +
 +/** log to file where free was done */
 +void unbound_stat_free_log(void *ptr, const char* file, int line,
 +        const char* func)
 +{
 +      if(ptr && memcmp(ptr-8, &mem_special, sizeof(mem_special)) == 0) {
 +              size_t s;
 +              memcpy(&s, ptr-16, sizeof(s));
 +              log_info("%s:%d %s free(%p) size %u", 
 +                      file, line, func, ptr, (unsigned)s);
 +      } else
 +              log_info("%s:%d %s unmatched free(%p)", file, line, func, ptr);
 +      unbound_stat_free(ptr);
 +}
 +
 +/** log to file where alloc was done */
 +void *unbound_stat_realloc_log(void *ptr, size_t size, const char* file,
 +        int line, const char* func)
 +{
 +      log_info("%s:%d %s realloc(%p, %u)", file, line, func, 
 +              ptr, (unsigned)size);
 +      return unbound_stat_realloc(ptr, size);
 +}
 +
 +#endif /* UNBOUND_ALLOC_STATS */
 +#ifdef UNBOUND_ALLOC_LITE
 +#undef malloc
 +#undef calloc
 +#undef free
 +#undef realloc
 +/** length of prefix and suffix */
 +static size_t lite_pad = 16;
 +/** prefix value to check */
 +static char* lite_pre = "checkfront123456";
 +/** suffix value to check */
 +static char* lite_post= "checkafter123456";
 +
 +void *unbound_stat_malloc_lite(size_t size, const char* file, int line,
 +        const char* func)
 +{
 +      /*  [prefix .. len .. actual data .. suffix] */
 +      void* res = malloc(size+lite_pad*2+sizeof(size_t));
 +      if(!res) return NULL;
 +      memmove(res, lite_pre, lite_pad);
 +      memmove(res+lite_pad, &size, sizeof(size_t));
 +      memset(res+lite_pad+sizeof(size_t), 0x1a, size); /* init the memory */
 +      memmove(res+lite_pad+size+sizeof(size_t), lite_post, lite_pad);
 +      return res+lite_pad+sizeof(size_t);
 +}
 +
 +void *unbound_stat_calloc_lite(size_t nmemb, size_t size, const char* file,
 +        int line, const char* func)
 +{
++      size_t req;
++      void* res;
++      if(nmemb != 0 && INT_MAX/nmemb < size)
++              return NULL; /* integer overflow check */
++      req = nmemb * size;
++      res = malloc(req+lite_pad*2+sizeof(size_t));
 +      if(!res) return NULL;
 +      memmove(res, lite_pre, lite_pad);
 +      memmove(res+lite_pad, &req, sizeof(size_t));
 +      memset(res+lite_pad+sizeof(size_t), 0, req);
 +      memmove(res+lite_pad+req+sizeof(size_t), lite_post, lite_pad);
 +      return res+lite_pad+sizeof(size_t);
 +}
 +
 +void unbound_stat_free_lite(void *ptr, const char* file, int line,
 +        const char* func)
 +{
 +      void* real;
 +      size_t orig = 0;
 +      if(!ptr) return;
 +      real = ptr-lite_pad-sizeof(size_t);
 +      if(memcmp(real, lite_pre, lite_pad) != 0) {
 +              log_err("free(): prefix failed %s:%d %s", file, line, func);
 +              log_hex("prefix here", real, lite_pad);
 +              log_hex("  should be", lite_pre, lite_pad);
 +              fatal_exit("alloc assertion failed");
 +      }
 +      memmove(&orig, real+lite_pad, sizeof(size_t));
 +      if(memcmp(real+lite_pad+orig+sizeof(size_t), lite_post, lite_pad)!=0){
 +              log_err("free(): suffix failed %s:%d %s", file, line, func);
 +              log_err("alloc size is %d", (int)orig);
 +              log_hex("suffix here", real+lite_pad+orig+sizeof(size_t), 
 +                      lite_pad);
 +              log_hex("  should be", lite_post, lite_pad);
 +              fatal_exit("alloc assertion failed");
 +      }
 +      memset(real, 0xdd, orig+lite_pad*2+sizeof(size_t)); /* mark it */
 +      free(real);
 +}
 +
 +void *unbound_stat_realloc_lite(void *ptr, size_t size, const char* file,
 +        int line, const char* func)
 +{
 +      /* always free and realloc (no growing) */
 +      void* real, *newa;
 +      size_t orig = 0;
 +      if(!ptr) {
 +              /* like malloc() */
 +              return unbound_stat_malloc_lite(size, file, line, func);
 +      }
 +      if(!size) {
 +              /* like free() */
 +              unbound_stat_free_lite(ptr, file, line, func);
 +              return NULL;
 +      }
 +      /* change allocation size and copy */
 +      real = ptr-lite_pad-sizeof(size_t);
 +      if(memcmp(real, lite_pre, lite_pad) != 0) {
 +              log_err("realloc(): prefix failed %s:%d %s", file, line, func);
 +              log_hex("prefix here", real, lite_pad);
 +              log_hex("  should be", lite_pre, lite_pad);
 +              fatal_exit("alloc assertion failed");
 +      }
 +      memmove(&orig, real+lite_pad, sizeof(size_t));
 +      if(memcmp(real+lite_pad+orig+sizeof(size_t), lite_post, lite_pad)!=0){
 +              log_err("realloc(): suffix failed %s:%d %s", file, line, func);
 +              log_err("alloc size is %d", (int)orig);
 +              log_hex("suffix here", real+lite_pad+orig+sizeof(size_t), 
 +                      lite_pad);
 +              log_hex("  should be", lite_post, lite_pad);
 +              fatal_exit("alloc assertion failed");
 +      }
 +      /* new alloc and copy over */
 +      newa = unbound_stat_malloc_lite(size, file, line, func);
 +      if(!newa)
 +              return NULL;
 +      if(orig < size)
 +              memmove(newa, ptr, orig);
 +      else    memmove(newa, ptr, size);
 +      memset(real, 0xdd, orig+lite_pad*2+sizeof(size_t)); /* mark it */
 +      free(real);
 +      return newa;
 +}
 +
 +char* unbound_strdup_lite(const char* s, const char* file, int line, 
 +        const char* func)
 +{
 +      /* this routine is made to make sure strdup() uses the malloc_lite */
 +      size_t l = strlen(s)+1;
 +      char* n = (char*)unbound_stat_malloc_lite(l, file, line, func);
 +      if(!n) return NULL;
 +      memmove(n, s, l);
 +      return n;
 +}
 +
 +char* unbound_lite_wrapstr(char* s)
 +{
 +      char* n = unbound_strdup_lite(s, __FILE__, __LINE__, __func__);
 +      free(s);
 +      return n;
 +}
 +
 +#undef sldns_pkt2wire
 +sldns_status unbound_lite_pkt2wire(uint8_t **dest, const sldns_pkt *p, 
 +      size_t *size)
 +{
 +      uint8_t* md = NULL;
 +      size_t ms = 0;
 +      sldns_status s = sldns_pkt2wire(&md, p, &ms);
 +      if(md) {
 +              *dest = unbound_stat_malloc_lite(ms, __FILE__, __LINE__, 
 +                      __func__);
 +              *size = ms;
 +              if(!*dest) { free(md); return LDNS_STATUS_MEM_ERR; }
 +              memcpy(*dest, md, ms);
 +              free(md);
 +      } else {
 +              *dest = NULL;
 +              *size = 0;
 +      }
 +      return s;
 +}
 +
 +#undef i2d_DSA_SIG
 +int unbound_lite_i2d_DSA_SIG(DSA_SIG* dsasig, unsigned char** sig)
 +{
 +      unsigned char* n = NULL;
 +      int r= i2d_DSA_SIG(dsasig, &n);
 +      if(n) {
 +              *sig = unbound_stat_malloc_lite((size_t)r, __FILE__, __LINE__, 
 +                      __func__);
 +              if(!*sig) return -1;
 +              memcpy(*sig, n, (size_t)r);
 +              free(n);
 +              return r;
 +      }
 +      *sig = NULL;
 +      return r;
 +}
 +
 +#endif /* UNBOUND_ALLOC_LITE */
diff --cc contrib/unbound/util/alloc.h
index ffd605c5dc1687f802ed6c44bf9610b2db844129,0000000000000000000000000000000000000000..43fc30f98f215abf51bf50a5c6f45e9eb5ac18e9
mode 100644,000000..100644
--- 1/contrib/unbound/util/alloc.h
--- /dev/null
+++ b/contrib/unbound/util/alloc.h
@@@ -1,217 -1,0 +1,217 @@@
- #  include <ldns/ldns.h>
- #  include <ldns/packet.h>
 +/*
 + * util/alloc.h - memory allocation service. 
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains memory allocation functions.
 + *
 + * The reasons for this service are:
 + *    o Avoid locking costs of getting global lock to call malloc().
 + *    o The packed rrset type needs to be kept on special freelists,
 + *      so that they are reused for other packet rrset allocations.
 + *
 + */
 +
 +#ifndef UTIL_ALLOC_H
 +#define UTIL_ALLOC_H
 +
 +#include "util/locks.h"
 +struct ub_packed_rrset_key;
 +struct regional;
 +
 +/** The special type, packed rrset. Not allowed to be used for other memory */
 +typedef struct ub_packed_rrset_key alloc_special_t;
 +/** clean the special type. Pass pointer. */
 +#define alloc_special_clean(x) (x)->id = 0;
 +/** access next pointer. (in available spot). Pass pointer. */
 +#define alloc_special_next(x) ((alloc_special_t*)((x)->entry.overflow_next))
 +/** set next pointer. (in available spot). Pass pointers. */
 +#define alloc_set_special_next(x, y) \
 +      ((x)->entry.overflow_next) = (struct lruhash_entry*)(y);
 +
 +/** how many blocks to cache locally. */
 +#define ALLOC_SPECIAL_MAX 10
 +
 +/**
 + * Structure that provides allocation. Use one per thread.
 + * The one on top has a NULL super pointer.
 + */
 +struct alloc_cache {
 +      /** lock, only used for the super. */
 +      lock_quick_t lock;
 +      /** global allocator above this one. NULL for none (malloc/free) */
 +      struct alloc_cache* super;
 +      /** singly linked lists of special type. These are free for use. */
 +      alloc_special_t* quar;
 +      /** number of items in quarantine. */
 +      size_t num_quar;
 +      /** thread number for id creation */
 +      int thread_num;
 +      /** next id number to pass out */
 +      uint64_t next_id;
 +      /** last id number possible */
 +      uint64_t last_id;
 +      /** what function to call to cleanup when last id is reached */
 +      void (*cleanup)(void*);
 +      /** user arg for cleanup */
 +      void* cleanup_arg;
 +
 +      /** how many regional blocks to keep back max */
 +      size_t max_reg_blocks;
 +      /** how many regional blocks are kept now */
 +      size_t num_reg_blocks;
 +      /** linked list of regional blocks, using regional->next */
 +      struct regional* reg_list;
 +};
 +
 +/**
 + * Init alloc (zeroes the struct).
 + * @param alloc: this parameter is allocated by the caller.
 + * @param super: super to use (init that before with super_init).
 + *    Pass this argument NULL to init the toplevel alloc structure.
 + * @param thread_num: thread number for id creation of special type.
 + */
 +void alloc_init(struct alloc_cache* alloc, struct alloc_cache* super,
 +      int thread_num);
 +
 +/**
 + * Free the alloc. Pushes all the cached items into the super structure.
 + * Or deletes them if alloc->super is NULL.
 + * Does not free the alloc struct itself (it was also allocated by caller).
 + * @param alloc: is almost zeroed on exit (except some stats).
 + */
 +void alloc_clear(struct alloc_cache* alloc);
 +
 +/**
 + * Get a new special_t element.
 + * @param alloc: where to alloc it.
 + * @return: memory block. Will not return NULL (instead fatal_exit).
 + *    The block is zeroed.
 + */
 +alloc_special_t* alloc_special_obtain(struct alloc_cache* alloc);
 +
 +/**
 + * Return special_t back to pool.
 + * The block is cleaned up (zeroed) which also invalidates the ID inside.
 + * @param alloc: where to alloc it.
 + * @param mem: block to free.
 + */
 +void alloc_special_release(struct alloc_cache* alloc, alloc_special_t* mem);
 +
 +/**
 + * Set ID number of special type to a fresh new ID number.
 + * In case of ID number overflow, the rrset cache has to be cleared.
 + * @param alloc: the alloc cache
 + * @return: fresh id is returned.
 + */
 +uint64_t alloc_get_id(struct alloc_cache* alloc);
 +
 +/**
 + * Get memory size of alloc cache, alloc structure including special types.
 + * @param alloc: on what alloc.
 + * @return size in bytes.
 + */
 +size_t alloc_get_mem(struct alloc_cache* alloc);
 +
 +/**
 + * Print debug information (statistics).
 + * @param alloc: on what alloc.
 + */
 +void alloc_stats(struct alloc_cache* alloc);
 +
 +/**
 + * Get a new regional for query states
 + * @param alloc: where to alloc it.
 + * @return regional for use or NULL on alloc failure.
 + */
 +struct regional* alloc_reg_obtain(struct alloc_cache* alloc);
 +
 +/**
 + * Put regional for query states back into alloc cache.
 + * @param alloc: where to alloc it.
 + * @param r: regional to put back.
 + */
 +void alloc_reg_release(struct alloc_cache* alloc, struct regional* r);
 +
 +/**
 + * Set cleanup on ID overflow callback function. This should remove all
 + * RRset ID references from the program. Clear the caches.
 + * @param alloc: the alloc
 + * @param cleanup: the callback function, called as cleanup(arg).
 + * @param arg: user argument to callback function.
 + */
 +void alloc_set_id_cleanup(struct alloc_cache* alloc, void (*cleanup)(void*),
 +      void* arg);
 +
 +#ifdef UNBOUND_ALLOC_LITE
++#  include <sldns/ldns.h>
++#  include <sldns/packet.h>
 +#  ifdef HAVE_OPENSSL_SSL_H
 +#    include <openssl/ssl.h>
 +#  endif
 +#  define malloc(s) unbound_stat_malloc_lite(s, __FILE__, __LINE__, __func__)
 +#  define calloc(n,s) unbound_stat_calloc_lite(n, s, __FILE__, __LINE__, __func__)
 +#  define free(p) unbound_stat_free_lite(p, __FILE__, __LINE__, __func__)
 +#  define realloc(p,s) unbound_stat_realloc_lite(p, s, __FILE__, __LINE__, __func__)
 +void *unbound_stat_malloc_lite(size_t size, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_calloc_lite(size_t nmemb, size_t size, const char* file,
 +      int line, const char* func);
 +void unbound_stat_free_lite(void *ptr, const char* file, int line,
 +      const char* func);
 +void *unbound_stat_realloc_lite(void *ptr, size_t size, const char* file,
 +      int line, const char* func);
 +#  ifdef strdup
 +#    undef strdup
 +#  endif
 +#  define strdup(s) unbound_strdup_lite(s, __FILE__, __LINE__, __func__)
 +char* unbound_strdup_lite(const char* s, const char* file, int line, 
 +      const char* func);
 +char* unbound_lite_wrapstr(char* s);
 +#  define sldns_rr2str(rr) unbound_lite_wrapstr(sldns_rr2str(rr))
 +#  define sldns_rdf2str(rdf) unbound_lite_wrapstr(sldns_rdf2str(rdf))
 +#  define sldns_rr_type2str(t) unbound_lite_wrapstr(sldns_rr_type2str(t))
 +#  define sldns_rr_class2str(c) unbound_lite_wrapstr(sldns_rr_class2str(c))
 +#  define sldns_rr_list2str(r) unbound_lite_wrapstr(sldns_rr_list2str(r))
 +#  define sldns_pkt2str(p) unbound_lite_wrapstr(sldns_pkt2str(p))
 +#  define sldns_pkt_rcode2str(r) unbound_lite_wrapstr(sldns_pkt_rcode2str(r))
 +#  define sldns_pkt2wire(a, r, s) unbound_lite_pkt2wire(a, r, s)
 +sldns_status unbound_lite_pkt2wire(uint8_t **dest, const sldns_pkt *p, size_t *size);
 +#  define i2d_DSA_SIG(d, s) unbound_lite_i2d_DSA_SIG(d, s)
 +int unbound_lite_i2d_DSA_SIG(DSA_SIG* dsasig, unsigned char** sig);
 +#endif /* UNBOUND_ALLOC_LITE */
 +
 +#endif /* UTIL_ALLOC_H */
diff --cc contrib/unbound/util/config_file.c
index cdb2b33364e6d016632d89f6599c25469b149451,0000000000000000000000000000000000000000..f2851999216814d3f5912e078b62d44d839acaef
mode 100644,000000..100644
--- 1/contrib/unbound/util/config_file.c
--- /dev/null
+++ b/contrib/unbound/util/config_file.c
@@@ -1,1605 -1,0 +1,1645 @@@
- #include "ldns/wire2str.h"
- #include "ldns/parseutil.h"
 +/*
 + * util/config_file.c - reads and stores the config file for unbound.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions for the config file.
 + */
 +
 +#include "config.h"
 +#include <ctype.h>
 +#include <stdarg.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#include "util/log.h"
 +#include "util/configyyrename.h"
 +#include "util/config_file.h"
 +#include "configparser.h"
 +#include "util/net_help.h"
 +#include "util/data/msgparse.h"
 +#include "util/module.h"
 +#include "util/regional.h"
 +#include "util/fptr_wlist.h"
 +#include "util/data/dname.h"
 +#include "util/rtt.h"
-               char** oi = (char**)malloc((cfg->num_out_ifs+1)*sizeof(char*));
++#include "services/cache/infra.h"
++#include "sldns/wire2str.h"
++#include "sldns/parseutil.h"
 +#ifdef HAVE_GLOB_H
 +# include <glob.h>
 +#endif
 +#ifdef HAVE_PWD_H
 +#include <pwd.h>
 +#endif
 +
 +/** from cfg username, after daemonise setup performed */
 +uid_t cfg_uid = (uid_t)-1;
 +/** from cfg username, after daemonise setup performed */
 +gid_t cfg_gid = (gid_t)-1;
 +
 +/** global config during parsing */
 +struct config_parser_state* cfg_parser = 0;
 +
 +/** init ports possible for use */
 +static void init_outgoing_availports(int* array, int num);
 +
 +struct config_file* 
 +config_create(void)
 +{
 +      struct config_file* cfg;
 +      cfg = (struct config_file*)calloc(1, sizeof(struct config_file));
 +      if(!cfg)
 +              return NULL;
 +      /* the defaults if no config is present */
 +      cfg->verbosity = 1;
 +      cfg->stat_interval = 0;
 +      cfg->stat_cumulative = 0;
 +      cfg->stat_extended = 0;
 +      cfg->num_threads = 1;
 +      cfg->port = UNBOUND_DNS_PORT;
 +      cfg->do_ip4 = 1;
 +      cfg->do_ip6 = 1;
 +      cfg->do_udp = 1;
 +      cfg->do_tcp = 1;
 +      cfg->tcp_upstream = 0;
 +      cfg->ssl_service_key = NULL;
 +      cfg->ssl_service_pem = NULL;
 +      cfg->ssl_port = 443;
 +      cfg->ssl_upstream = 0;
 +      cfg->use_syslog = 1;
 +      cfg->log_time_ascii = 0;
 +      cfg->log_queries = 0;
 +#ifndef USE_WINSOCK
 +#  ifdef USE_MINI_EVENT
 +      /* select max 1024 sockets */
 +      cfg->outgoing_num_ports = 960;
 +      cfg->num_queries_per_thread = 512;
 +#  else
 +      /* libevent can use many sockets */
 +      cfg->outgoing_num_ports = 4096;
 +      cfg->num_queries_per_thread = 1024;
 +#  endif
 +      cfg->outgoing_num_tcp = 10;
 +      cfg->incoming_num_tcp = 10;
 +#else
 +      cfg->outgoing_num_ports = 48; /* windows is limited in num fds */
 +      cfg->num_queries_per_thread = 24;
 +      cfg->outgoing_num_tcp = 2; /* leaves 64-52=12 for: 4if,1stop,thread4 */
 +      cfg->incoming_num_tcp = 2; 
 +#endif
 +      cfg->edns_buffer_size = 4096; /* 4k from rfc recommendation */
 +      cfg->msg_buffer_size = 65552; /* 64 k + a small margin */
 +      cfg->msg_cache_size = 4 * 1024 * 1024;
 +      cfg->msg_cache_slabs = 4;
 +      cfg->jostle_time = 200;
 +      cfg->rrset_cache_size = 4 * 1024 * 1024;
 +      cfg->rrset_cache_slabs = 4;
 +      cfg->host_ttl = 900;
 +      cfg->bogus_ttl = 60;
 +      cfg->min_ttl = 0;
 +      cfg->max_ttl = 3600 * 24;
++      cfg->max_negative_ttl = 3600;
 +      cfg->prefetch = 0;
 +      cfg->prefetch_key = 0;
 +      cfg->infra_cache_slabs = 4;
 +      cfg->infra_cache_numhosts = 10000;
 +      cfg->infra_cache_min_rtt = 50;
 +      cfg->delay_close = 0;
 +      if(!(cfg->outgoing_avail_ports = (int*)calloc(65536, sizeof(int))))
 +              goto error_exit;
 +      init_outgoing_availports(cfg->outgoing_avail_ports, 65536);
 +      if(!(cfg->username = strdup(UB_USERNAME))) goto error_exit;
 +#ifdef HAVE_CHROOT
 +      if(!(cfg->chrootdir = strdup(CHROOT_DIR))) goto error_exit;
 +#endif
 +      if(!(cfg->directory = strdup(RUN_DIR))) goto error_exit;
 +      if(!(cfg->logfile = strdup(""))) goto error_exit;
 +      if(!(cfg->pidfile = strdup(PIDFILE))) goto error_exit;
 +      if(!(cfg->target_fetch_policy = strdup("3 2 1 0 0"))) goto error_exit;
 +      cfg->donotqueryaddrs = NULL;
 +      cfg->donotquery_localhost = 1;
 +      cfg->root_hints = NULL;
 +      cfg->do_daemonize = 1;
 +      cfg->if_automatic = 0;
 +      cfg->so_rcvbuf = 0;
 +      cfg->so_sndbuf = 0;
 +      cfg->so_reuseport = 0;
++      cfg->ip_transparent = 0;
 +      cfg->num_ifs = 0;
 +      cfg->ifs = NULL;
 +      cfg->num_out_ifs = 0;
 +      cfg->out_ifs = NULL;
 +      cfg->stubs = NULL;
 +      cfg->forwards = NULL;
 +      cfg->acls = NULL;
 +      cfg->harden_short_bufsize = 0;
 +      cfg->harden_large_queries = 0;
 +      cfg->harden_glue = 1;
 +      cfg->harden_dnssec_stripped = 1;
 +      cfg->harden_below_nxdomain = 0;
 +      cfg->harden_referral_path = 0;
++      cfg->harden_algo_downgrade = 1;
 +      cfg->use_caps_bits_for_id = 0;
++      cfg->caps_whitelist = NULL;
 +      cfg->private_address = NULL;
 +      cfg->private_domain = NULL;
 +      cfg->unwanted_threshold = 0;
 +      cfg->hide_identity = 0;
 +      cfg->hide_version = 0;
 +      cfg->identity = NULL;
 +      cfg->version = NULL;
 +      cfg->auto_trust_anchor_file_list = NULL;
 +      cfg->trust_anchor_file_list = NULL;
 +      cfg->trust_anchor_list = NULL;
 +      cfg->trusted_keys_file_list = NULL;
 +      cfg->dlv_anchor_file = NULL;
 +      cfg->dlv_anchor_list = NULL;
 +      cfg->domain_insecure = NULL;
 +      cfg->val_date_override = 0;
 +      cfg->val_sig_skew_min = 3600; /* at least daylight savings trouble */
 +      cfg->val_sig_skew_max = 86400; /* at most timezone settings trouble */
 +      cfg->val_clean_additional = 1;
 +      cfg->val_log_level = 0;
 +      cfg->val_log_squelch = 0;
 +      cfg->val_permissive_mode = 0;
 +      cfg->ignore_cd = 0;
 +      cfg->add_holddown = 30*24*3600;
 +      cfg->del_holddown = 30*24*3600;
 +      cfg->keep_missing = 366*24*3600; /* one year plus a little leeway */
 +      cfg->key_cache_size = 4 * 1024 * 1024;
 +      cfg->key_cache_slabs = 4;
 +      cfg->neg_cache_size = 1 * 1024 * 1024;
 +      cfg->local_zones = NULL;
 +      cfg->local_zones_nodefault = NULL;
 +      cfg->local_data = NULL;
 +      cfg->unblock_lan_zones = 0;
 +      cfg->python_script = NULL;
 +      cfg->remote_control_enable = 0;
 +      cfg->control_ifs = NULL;
 +      cfg->control_port = UNBOUND_CONTROL_PORT;
 +      cfg->remote_control_use_cert = 1;
 +      cfg->minimal_responses = 0;
 +      cfg->rrset_roundrobin = 0;
 +      cfg->max_udp_size = 4096;
 +      if(!(cfg->server_key_file = strdup(RUN_DIR"/unbound_server.key"))) 
 +              goto error_exit;
 +      if(!(cfg->server_cert_file = strdup(RUN_DIR"/unbound_server.pem"))) 
 +              goto error_exit;
 +      if(!(cfg->control_key_file = strdup(RUN_DIR"/unbound_control.key"))) 
 +              goto error_exit;
 +      if(!(cfg->control_cert_file = strdup(RUN_DIR"/unbound_control.pem"))) 
 +              goto error_exit;
 +
 +      if(!(cfg->module_conf = strdup("validator iterator"))) goto error_exit;
 +      if(!(cfg->val_nsec3_key_iterations = 
 +              strdup("1024 150 2048 500 4096 2500"))) goto error_exit;
 +#if defined(DNSTAP_SOCKET_PATH)
 +      if(!(cfg->dnstap_socket_path = strdup(DNSTAP_SOCKET_PATH)))
 +              goto error_exit;
 +#endif
++      cfg->ratelimit = 0;
++      cfg->ratelimit_slabs = 4;
++      cfg->ratelimit_size = 4*1024*1024;
++      cfg->ratelimit_for_domain = NULL;
++      cfg->ratelimit_below_domain = NULL;
++      cfg->ratelimit_factor = 10;
 +      return cfg;
 +error_exit:
 +      config_delete(cfg); 
 +      return NULL;
 +}
 +
 +struct config_file* config_create_forlib(void)
 +{
 +      struct config_file* cfg = config_create();
 +      if(!cfg) return NULL;
 +      /* modifications for library use, less verbose, less memory */
 +      free(cfg->chrootdir);
 +      cfg->chrootdir = NULL;
 +      cfg->verbosity = 0;
 +      cfg->outgoing_num_ports = 16; /* in library use, this is 'reasonable'
 +              and probably within the ulimit(maxfds) of the user */
 +      cfg->outgoing_num_tcp = 2;
 +      cfg->msg_cache_size = 1024*1024;
 +      cfg->msg_cache_slabs = 1;
 +      cfg->rrset_cache_size = 1024*1024;
 +      cfg->rrset_cache_slabs = 1;
 +      cfg->infra_cache_slabs = 1;
 +      cfg->use_syslog = 0;
 +      cfg->key_cache_size = 1024*1024;
 +      cfg->key_cache_slabs = 1;
 +      cfg->neg_cache_size = 100 * 1024;
 +      cfg->donotquery_localhost = 0; /* allow, so that you can ask a
 +              forward nameserver running on localhost */
 +      cfg->val_log_level = 2; /* to fill why_bogus with */
 +      cfg->val_log_squelch = 1;
 +      return cfg;
 +}
 +
 +/** check that the value passed is >= 0 */
 +#define IS_NUMBER_OR_ZERO \
 +      if(atoi(val) == 0 && strcmp(val, "0") != 0) return 0
 +/** check that the value passed is > 0 */
 +#define IS_NONZERO_NUMBER \
 +      if(atoi(val) == 0) return 0
 +/** check that the value passed is not 0 and a power of 2 */
 +#define IS_POW2_NUMBER \
 +      if(atoi(val) == 0 || !is_pow2((size_t)atoi(val))) return 0
 +/** check that the value passed is yes or no */
 +#define IS_YES_OR_NO \
 +      if(strcmp(val, "yes") != 0 && strcmp(val, "no") != 0) return 0
 +/** put integer_or_zero into variable */
 +#define S_NUMBER_OR_ZERO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_NUMBER_OR_ZERO; cfg->var = atoi(val); }
 +/** put integer_nonzero into variable */
 +#define S_NUMBER_NONZERO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_NONZERO_NUMBER; cfg->var = atoi(val); }
 +/** put integer_or_zero into unsigned */
 +#define S_UNSIGNED_OR_ZERO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_NUMBER_OR_ZERO; cfg->var = (unsigned)atoi(val); }
 +/** put integer_or_zero into size_t */
 +#define S_SIZET_OR_ZERO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_NUMBER_OR_ZERO; cfg->var = (size_t)atoi(val); }
 +/** put integer_nonzero into size_t */
 +#define S_SIZET_NONZERO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_NONZERO_NUMBER; cfg->var = (size_t)atoi(val); }
 +/** put yesno into variable */
 +#define S_YNO(str, var) if(strcmp(opt, str) == 0) \
 +      { IS_YES_OR_NO; cfg->var = (strcmp(val, "yes") == 0); }
 +/** put memsize into variable */
 +#define S_MEMSIZE(str, var) if(strcmp(opt, str)==0) \
 +      { return cfg_parse_memsize(val, &cfg->var); }
 +/** put pow2 number into variable */
 +#define S_POW2(str, var) if(strcmp(opt, str)==0) \
 +      { IS_POW2_NUMBER; cfg->var = (size_t)atoi(val); }
 +/** put string into variable */
 +#define S_STR(str, var) if(strcmp(opt, str)==0) \
 +      { free(cfg->var); return (cfg->var = strdup(val)) != NULL; }
 +/** put string into strlist */
 +#define S_STRLIST(str, var) if(strcmp(opt, str)==0) \
 +      { return cfg_strlist_insert(&cfg->var, strdup(val)); }
 +
 +int config_set_option(struct config_file* cfg, const char* opt,
 +      const char* val)
 +{
 +      S_NUMBER_OR_ZERO("verbosity:", verbosity)
 +      else if(strcmp(opt, "statistics-interval:") == 0) {
 +              if(strcmp(val, "0") == 0 || strcmp(val, "") == 0)
 +                      cfg->stat_interval = 0;
 +              else if(atoi(val) == 0)
 +                      return 0;
 +              else cfg->stat_interval = atoi(val);
 +      } else if(strcmp(opt, "num_threads:") == 0) {
 +              /* not supported, library must have 1 thread in bgworker */
 +              return 0;
 +      } else if(strcmp(opt, "outgoing-port-permit:") == 0) {
 +              return cfg_mark_ports(val, 1, 
 +                      cfg->outgoing_avail_ports, 65536);
 +      } else if(strcmp(opt, "outgoing-port-avoid:") == 0) {
 +              return cfg_mark_ports(val, 0, 
 +                      cfg->outgoing_avail_ports, 65536);
 +      } else if(strcmp(opt, "local-zone:") == 0) {
 +              return cfg_parse_local_zone(cfg, val);
 +      } else if(strcmp(opt, "val-override-date:") == 0) {
 +              if(strcmp(val, "") == 0 || strcmp(val, "0") == 0) {
 +                      cfg->val_date_override = 0;
 +              } else if(strlen(val) == 14) {
 +                      cfg->val_date_override = cfg_convert_timeval(val);
 +                      return cfg->val_date_override != 0;
 +              } else {
 +                      if(atoi(val) == 0) return 0;
 +                      cfg->val_date_override = (uint32_t)atoi(val);
 +              }
 +      } else if(strcmp(opt, "local-data-ptr:") == 0) { 
 +              char* ptr = cfg_ptr_reverse((char*)opt);
 +              return cfg_strlist_insert(&cfg->local_data, ptr);
 +      } else if(strcmp(opt, "logfile:") == 0) {
 +              cfg->use_syslog = 0;
 +              free(cfg->logfile);
 +              return (cfg->logfile = strdup(val)) != NULL;
 +      }
 +      else if(strcmp(opt, "log-time-ascii:") == 0)
 +      { IS_YES_OR_NO; cfg->log_time_ascii = (strcmp(val, "yes") == 0);
 +        log_set_time_asc(cfg->log_time_ascii); }
 +      else S_SIZET_NONZERO("max-udp-size:", max_udp_size)
 +      else S_YNO("use-syslog:", use_syslog)
 +      else S_YNO("extended-statistics:", stat_extended)
 +      else S_YNO("statistics-cumulative:", stat_cumulative)
 +      else S_YNO("do-ip4:", do_ip4)
 +      else S_YNO("do-ip6:", do_ip6)
 +      else S_YNO("do-udp:", do_udp)
 +      else S_YNO("do-tcp:", do_tcp)
 +      else S_YNO("tcp-upstream:", tcp_upstream)
 +      else S_YNO("ssl-upstream:", ssl_upstream)
 +      else S_STR("ssl-service-key:", ssl_service_key)
 +      else S_STR("ssl-service-pem:", ssl_service_pem)
 +      else S_NUMBER_NONZERO("ssl-port:", ssl_port)
 +      else S_YNO("interface-automatic:", if_automatic)
 +      else S_YNO("do-daemonize:", do_daemonize)
 +      else S_NUMBER_NONZERO("port:", port)
 +      else S_NUMBER_NONZERO("outgoing-range:", outgoing_num_ports)
 +      else S_SIZET_OR_ZERO("outgoing-num-tcp:", outgoing_num_tcp)
 +      else S_SIZET_OR_ZERO("incoming-num-tcp:", incoming_num_tcp)
 +      else S_SIZET_NONZERO("edns-buffer-size:", edns_buffer_size)
 +      else S_SIZET_NONZERO("msg-buffer-size:", msg_buffer_size)
 +      else S_MEMSIZE("msg-cache-size:", msg_cache_size)
 +      else S_POW2("msg-cache-slabs:", msg_cache_slabs)
 +      else S_SIZET_NONZERO("num-queries-per-thread:",num_queries_per_thread)
 +      else S_SIZET_OR_ZERO("jostle-timeout:", jostle_time)
 +      else S_MEMSIZE("so-rcvbuf:", so_rcvbuf)
 +      else S_MEMSIZE("so-sndbuf:", so_sndbuf)
 +      else S_YNO("so-reuseport:", so_reuseport)
++      else S_YNO("ip-transparent:", ip_transparent)
 +      else S_MEMSIZE("rrset-cache-size:", rrset_cache_size)
 +      else S_POW2("rrset-cache-slabs:", rrset_cache_slabs)
 +      else S_YNO("prefetch:", prefetch)
 +      else S_YNO("prefetch-key:", prefetch_key)
 +      else if(strcmp(opt, "cache-max-ttl:") == 0)
 +      { IS_NUMBER_OR_ZERO; cfg->max_ttl = atoi(val); MAX_TTL=(time_t)cfg->max_ttl;}
++      else if(strcmp(opt, "cache-max-negative-ttl:") == 0)
++      { IS_NUMBER_OR_ZERO; cfg->max_negative_ttl = atoi(val); MAX_NEG_TTL=(time_t)cfg->max_negative_ttl;}
 +      else if(strcmp(opt, "cache-min-ttl:") == 0)
 +      { IS_NUMBER_OR_ZERO; cfg->min_ttl = atoi(val); MIN_TTL=(time_t)cfg->min_ttl;}
 +      else if(strcmp(opt, "infra-cache-min-rtt:") == 0) {
 +          IS_NUMBER_OR_ZERO; cfg->infra_cache_min_rtt = atoi(val);
 +          RTT_MIN_TIMEOUT=cfg->infra_cache_min_rtt;
 +      }
 +      else S_NUMBER_OR_ZERO("infra-host-ttl:", host_ttl)
 +      else S_POW2("infra-cache-slabs:", infra_cache_slabs)
 +      else S_SIZET_NONZERO("infra-cache-numhosts:", infra_cache_numhosts)
 +      else S_NUMBER_OR_ZERO("delay-close:", delay_close)
 +      else S_STR("chroot:", chrootdir)
 +      else S_STR("username:", username)
 +      else S_STR("directory:", directory)
 +      else S_STR("pidfile:", pidfile)
 +      else S_YNO("hide-identity:", hide_identity)
 +      else S_YNO("hide-version:", hide_version)
 +      else S_STR("identity:", identity)
 +      else S_STR("version:", version)
 +      else S_STRLIST("root-hints:", root_hints)
 +      else S_STR("target-fetch-policy:", target_fetch_policy)
 +      else S_YNO("harden-glue:", harden_glue)
 +      else S_YNO("harden-short-bufsize:", harden_short_bufsize)
 +      else S_YNO("harden-large-queries:", harden_large_queries)
 +      else S_YNO("harden-dnssec-stripped:", harden_dnssec_stripped)
 +      else S_YNO("harden-below-nxdomain:", harden_below_nxdomain)
 +      else S_YNO("harden-referral-path:", harden_referral_path)
++      else S_YNO("harden-algo-downgrade:", harden_algo_downgrade)
 +      else S_YNO("use-caps-for-id", use_caps_bits_for_id)
++      else S_STRLIST("caps-whitelist:", caps_whitelist)
 +      else S_SIZET_OR_ZERO("unwanted-reply-threshold:", unwanted_threshold)
 +      else S_STRLIST("private-address:", private_address)
 +      else S_STRLIST("private-domain:", private_domain)
 +      else S_YNO("do-not-query-localhost:", donotquery_localhost)
 +      else S_STRLIST("do-not-query-address:", donotqueryaddrs)
 +      else S_STRLIST("auto-trust-anchor-file:", auto_trust_anchor_file_list)
 +      else S_STRLIST("trust-anchor-file:", trust_anchor_file_list)
 +      else S_STRLIST("trust-anchor:", trust_anchor_list)
 +      else S_STRLIST("trusted-keys-file:", trusted_keys_file_list)
 +      else S_STR("dlv-anchor-file:", dlv_anchor_file)
 +      else S_STRLIST("dlv-anchor:", dlv_anchor_list)
 +      else S_STRLIST("domain-insecure:", domain_insecure)
 +      else S_NUMBER_OR_ZERO("val-bogus-ttl:", bogus_ttl)
 +      else S_YNO("val-clean-additional:", val_clean_additional)
 +      else S_NUMBER_OR_ZERO("val-log-level:", val_log_level)
 +      else S_YNO("val-log-squelch:", val_log_squelch)
 +      else S_YNO("log-queries:", log_queries)
 +      else S_YNO("val-permissive-mode:", val_permissive_mode)
 +      else S_YNO("ignore-cd-flag:", ignore_cd)
 +      else S_STR("val-nsec3-keysize-iterations:", val_nsec3_key_iterations)
 +      else S_UNSIGNED_OR_ZERO("add-holddown:", add_holddown)
 +      else S_UNSIGNED_OR_ZERO("del-holddown:", del_holddown)
 +      else S_UNSIGNED_OR_ZERO("keep-missing:", keep_missing)
 +      else S_MEMSIZE("key-cache-size:", key_cache_size)
 +      else S_POW2("key-cache-slabs:", key_cache_slabs)
 +      else S_MEMSIZE("neg-cache-size:", neg_cache_size)
 +      else S_YNO("minimal-responses:", minimal_responses)
 +      else S_YNO("rrset-roundrobin:", rrset_roundrobin)
 +      else S_STRLIST("local-data:", local_data)
 +      else S_YNO("unblock-lan-zones:", unblock_lan_zones)
 +      else S_YNO("control-enable:", remote_control_enable)
 +      else S_STRLIST("control-interface:", control_ifs)
 +      else S_NUMBER_NONZERO("control-port:", control_port)
 +      else S_STR("server-key-file:", server_key_file)
 +      else S_STR("server-cert-file:", server_cert_file)
 +      else S_STR("control-key-file:", control_key_file)
 +      else S_STR("control-cert-file:", control_cert_file)
 +      else S_STR("module-config:", module_conf)
 +      else S_STR("python-script:", python_script)
++      else if(strcmp(opt, "ratelimit:") == 0) {
++          IS_NUMBER_OR_ZERO; cfg->ratelimit = atoi(val);
++          infra_dp_ratelimit=cfg->ratelimit;
++      }
++      else S_MEMSIZE("ratelimit-size:", ratelimit_size)
++      else S_POW2("ratelimit-slabs:", ratelimit_slabs)
++      else S_NUMBER_OR_ZERO("ratelimit-factor:", ratelimit_factor)
 +      /* val_sig_skew_min and max are copied into val_env during init,
 +       * so this does not update val_env with set_option */
 +      else if(strcmp(opt, "val-sig-skew-min:") == 0)
 +      { IS_NUMBER_OR_ZERO; cfg->val_sig_skew_min = (int32_t)atoi(val); }
 +      else if(strcmp(opt, "val-sig-skew-max:") == 0)
 +      { IS_NUMBER_OR_ZERO; cfg->val_sig_skew_max = (int32_t)atoi(val); }
 +      else if (strcmp(opt, "outgoing-interface:") == 0) {
 +              char* d = strdup(val);
-                * forward-zone, name, forward-addr, forward-host */
++              char** oi = 
++              (char**)reallocarray(NULL, (size_t)cfg->num_out_ifs+1, sizeof(char*));
 +              if(!d || !oi) { free(d); free(oi); return -1; }
 +              if(cfg->out_ifs && cfg->num_out_ifs) {
 +                      memmove(oi, cfg->out_ifs, cfg->num_out_ifs*sizeof(char*));
 +                      free(cfg->out_ifs);
 +              }
 +              oi[cfg->num_out_ifs++] = d;
 +              cfg->out_ifs = oi;
 +      } else {
 +              /* unknown or unsupported (from the set_option interface):
 +               * interface, outgoing-interface, access-control, 
 +               * stub-zone, name, stub-addr, stub-host, stub-prime
 +               * forward-first, stub-first,
-         snprintf(buf, len, "%u%6.6u\n", (unsigned)f, (unsigned)b); \
-       } else snprintf(buf, len, "%u\n", (unsigned)cfg->var); \
++               * forward-zone, name, forward-addr, forward-host,
++               * ratelimit-for-domain, ratelimit-below-domain */
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +void config_print_func(char* line, void* arg)
 +{
 +      FILE* f = (FILE*)arg;
 +      (void)fprintf(f, "%s\n", line);
 +}
 +
 +/** collate func arg */
 +struct config_collate_arg {
 +      /** list of result items */
 +      struct config_strlist_head list;
 +      /** if a malloc error occurred, 0 is OK */
 +      int status;
 +};
 +
 +void config_collate_func(char* line, void* arg)
 +{
 +      struct config_collate_arg* m = (struct config_collate_arg*)arg;
 +      if(m->status)
 +              return;
 +      if(!cfg_strlist_append(&m->list, strdup(line)))
 +              m->status = 1;
 +}
 +
 +int config_get_option_list(struct config_file* cfg, const char* opt,
 +      struct config_strlist** list)
 +{
 +      struct config_collate_arg m;
 +      memset(&m, 0, sizeof(m));
 +      *list = NULL;
 +      if(!config_get_option(cfg, opt, config_collate_func, &m))
 +              return 1;
 +      if(m.status) {
 +              config_delstrlist(m.list.first);
 +              return 2;
 +      }
 +      *list = m.list.first;
 +      return 0;
 +}
 +
 +int
 +config_get_option_collate(struct config_file* cfg, const char* opt, char** str)
 +{
 +      struct config_strlist* list = NULL;
 +      int r;
 +      *str = NULL;
 +      if((r = config_get_option_list(cfg, opt, &list)) != 0)
 +              return r;
 +      *str = config_collate_cat(list);
 +      config_delstrlist(list);
 +      if(!*str) return 2;
 +      return 0;
 +}
 +
 +char*
 +config_collate_cat(struct config_strlist* list)
 +{
 +      size_t total = 0, left;
 +      struct config_strlist* s;
 +      char *r, *w;
 +      if(!list) /* no elements */
 +              return strdup("");
 +      if(list->next == NULL) /* one element , no newline at end. */
 +              return strdup(list->str);
 +      /* count total length */
 +      for(s=list; s; s=s->next)
 +              total += strlen(s->str) + 1; /* len + newline */
 +      left = total+1; /* one extra for nul at end */
 +      r = malloc(left); 
 +      if(!r)
 +              return NULL;
 +      w = r;
 +      for(s=list; s; s=s->next) {
 +              size_t this = strlen(s->str);
 +              if(this+2 > left) { /* sanity check */
 +                      free(r);
 +                      return NULL;
 +              }
 +              snprintf(w, left, "%s\n", s->str);
 +              this = strlen(w);
 +              w += this;
 +              left -= this;
 +      }
 +      return r;
 +}
 +
 +/** compare and print decimal option */
 +#define O_DEC(opt, str, var) if(strcmp(opt, str)==0) \
 +      {snprintf(buf, len, "%d", (int)cfg->var); \
 +      func(buf, arg);}
 +/** compare and print unsigned option */
 +#define O_UNS(opt, str, var) if(strcmp(opt, str)==0) \
 +      {snprintf(buf, len, "%u", (unsigned)cfg->var); \
 +      func(buf, arg);}
 +/** compare and print yesno option */
 +#define O_YNO(opt, str, var) if(strcmp(opt, str)==0) \
 +      {func(cfg->var?"yes":"no", arg);}
 +/** compare and print string option */
 +#define O_STR(opt, str, var) if(strcmp(opt, str)==0) \
 +      {func(cfg->var?cfg->var:"", arg);}
 +/** compare and print array option */
 +#define O_IFC(opt, str, num, arr) if(strcmp(opt, str)==0) \
 +      {int i; for(i=0; i<cfg->num; i++) func(cfg->arr[i], arg);}
 +/** compare and print memorysize option */
 +#define O_MEM(opt, str, var) if(strcmp(opt, str)==0) { \
 +      if(cfg->var > 1024*1024*1024) { \
 +        size_t f=cfg->var/(size_t)1000000, b=cfg->var%(size_t)1000000; \
-       *avail = (int*)malloc(sizeof(int)*num);
++        snprintf(buf, len, "%u%6.6u", (unsigned)f, (unsigned)b); \
++      } else snprintf(buf, len, "%u", (unsigned)cfg->var); \
 +      func(buf, arg);}
 +/** compare and print list option */
 +#define O_LST(opt, name, lst) if(strcmp(opt, name)==0) { \
 +      struct config_strlist* p = cfg->lst; \
 +      for(p = cfg->lst; p; p = p->next) \
 +              func(p->str, arg); \
 +      }
 +/** compare and print list option */
 +#define O_LS2(opt, name, lst) if(strcmp(opt, name)==0) { \
 +      struct config_str2list* p = cfg->lst; \
 +      for(p = cfg->lst; p; p = p->next) \
 +              snprintf(buf, len, "%s %s\n", p->str, p->str2); \
 +              func(buf, arg); \
 +      }
 +
 +int
 +config_get_option(struct config_file* cfg, const char* opt, 
 +      void (*func)(char*,void*), void* arg)
 +{
 +      char buf[1024];
 +      size_t len = sizeof(buf);
 +      fptr_ok(fptr_whitelist_print_func(func));
 +      O_DEC(opt, "verbosity", verbosity)
 +      else O_DEC(opt, "statistics-interval", stat_interval)
 +      else O_YNO(opt, "statistics-cumulative", stat_cumulative)
 +      else O_YNO(opt, "extended-statistics", stat_extended)
 +      else O_YNO(opt, "use-syslog", use_syslog)
 +      else O_YNO(opt, "log-time-ascii", log_time_ascii)
 +      else O_DEC(opt, "num-threads", num_threads)
 +      else O_IFC(opt, "interface", num_ifs, ifs)
 +      else O_IFC(opt, "outgoing-interface", num_out_ifs, out_ifs)
 +      else O_YNO(opt, "interface-automatic", if_automatic)
 +      else O_DEC(opt, "port", port)
 +      else O_DEC(opt, "outgoing-range", outgoing_num_ports)
 +      else O_DEC(opt, "outgoing-num-tcp", outgoing_num_tcp)
 +      else O_DEC(opt, "incoming-num-tcp", incoming_num_tcp)
 +      else O_DEC(opt, "edns-buffer-size", edns_buffer_size)
 +      else O_DEC(opt, "msg-buffer-size", msg_buffer_size)
 +      else O_MEM(opt, "msg-cache-size", msg_cache_size)
 +      else O_DEC(opt, "msg-cache-slabs", msg_cache_slabs)
 +      else O_DEC(opt, "num-queries-per-thread", num_queries_per_thread)
 +      else O_UNS(opt, "jostle-timeout", jostle_time)
 +      else O_MEM(opt, "so-rcvbuf", so_rcvbuf)
 +      else O_MEM(opt, "so-sndbuf", so_sndbuf)
 +      else O_YNO(opt, "so-reuseport", so_reuseport)
++      else O_YNO(opt, "ip-transparent", ip_transparent)
 +      else O_MEM(opt, "rrset-cache-size", rrset_cache_size)
 +      else O_DEC(opt, "rrset-cache-slabs", rrset_cache_slabs)
 +      else O_YNO(opt, "prefetch-key", prefetch_key)
 +      else O_YNO(opt, "prefetch", prefetch)
 +      else O_DEC(opt, "cache-max-ttl", max_ttl)
++      else O_DEC(opt, "cache-max-negative-ttl", max_negative_ttl)
 +      else O_DEC(opt, "cache-min-ttl", min_ttl)
 +      else O_DEC(opt, "infra-host-ttl", host_ttl)
 +      else O_DEC(opt, "infra-cache-slabs", infra_cache_slabs)
 +      else O_DEC(opt, "infra-cache-min-rtt", infra_cache_min_rtt)
 +      else O_MEM(opt, "infra-cache-numhosts", infra_cache_numhosts)
 +      else O_UNS(opt, "delay-close", delay_close)
 +      else O_YNO(opt, "do-ip4", do_ip4)
 +      else O_YNO(opt, "do-ip6", do_ip6)
 +      else O_YNO(opt, "do-udp", do_udp)
 +      else O_YNO(opt, "do-tcp", do_tcp)
 +      else O_YNO(opt, "tcp-upstream", tcp_upstream)
 +      else O_YNO(opt, "ssl-upstream", ssl_upstream)
 +      else O_STR(opt, "ssl-service-key", ssl_service_key)
 +      else O_STR(opt, "ssl-service-pem", ssl_service_pem)
 +      else O_DEC(opt, "ssl-port", ssl_port)
 +      else O_YNO(opt, "do-daemonize", do_daemonize)
 +      else O_STR(opt, "chroot", chrootdir)
 +      else O_STR(opt, "username", username)
 +      else O_STR(opt, "directory", directory)
 +      else O_STR(opt, "logfile", logfile)
 +      else O_YNO(opt, "log-queries", log_queries)
 +      else O_STR(opt, "pidfile", pidfile)
 +      else O_YNO(opt, "hide-identity", hide_identity)
 +      else O_YNO(opt, "hide-version", hide_version)
 +      else O_STR(opt, "identity", identity)
 +      else O_STR(opt, "version", version)
 +      else O_STR(opt, "target-fetch-policy", target_fetch_policy)
 +      else O_YNO(opt, "harden-short-bufsize", harden_short_bufsize)
 +      else O_YNO(opt, "harden-large-queries", harden_large_queries)
 +      else O_YNO(opt, "harden-glue", harden_glue)
 +      else O_YNO(opt, "harden-dnssec-stripped", harden_dnssec_stripped)
 +      else O_YNO(opt, "harden-below-nxdomain", harden_below_nxdomain)
 +      else O_YNO(opt, "harden-referral-path", harden_referral_path)
++      else O_YNO(opt, "harden-algo-downgrade", harden_algo_downgrade)
 +      else O_YNO(opt, "use-caps-for-id", use_caps_bits_for_id)
++      else O_LST(opt, "caps-whitelist", caps_whitelist)
 +      else O_DEC(opt, "unwanted-reply-threshold", unwanted_threshold)
 +      else O_YNO(opt, "do-not-query-localhost", donotquery_localhost)
 +      else O_STR(opt, "module-config", module_conf)
 +      else O_STR(opt, "dlv-anchor-file", dlv_anchor_file)
 +      else O_DEC(opt, "val-bogus-ttl", bogus_ttl)
 +      else O_YNO(opt, "val-clean-additional", val_clean_additional)
 +      else O_DEC(opt, "val-log-level", val_log_level)
 +      else O_YNO(opt, "val-permissive-mode", val_permissive_mode)
 +      else O_YNO(opt, "ignore-cd-flag", ignore_cd)
 +      else O_STR(opt, "val-nsec3-keysize-iterations",val_nsec3_key_iterations)
 +      else O_UNS(opt, "add-holddown", add_holddown)
 +      else O_UNS(opt, "del-holddown", del_holddown)
 +      else O_UNS(opt, "keep-missing", keep_missing)
 +      else O_MEM(opt, "key-cache-size", key_cache_size)
 +      else O_DEC(opt, "key-cache-slabs", key_cache_slabs)
 +      else O_MEM(opt, "neg-cache-size", neg_cache_size)
 +      else O_YNO(opt, "control-enable", remote_control_enable)
 +      else O_DEC(opt, "control-port", control_port)
 +      else O_STR(opt, "server-key-file", server_key_file)
 +      else O_STR(opt, "server-cert-file", server_cert_file)
 +      else O_STR(opt, "control-key-file", control_key_file)
 +      else O_STR(opt, "control-cert-file", control_cert_file)
 +      else O_LST(opt, "root-hints", root_hints)
 +      else O_LS2(opt, "access-control", acls)
 +      else O_LST(opt, "do-not-query-address", donotqueryaddrs)
 +      else O_LST(opt, "private-address", private_address)
 +      else O_LST(opt, "private-domain", private_domain)
 +      else O_LST(opt, "auto-trust-anchor-file", auto_trust_anchor_file_list)
 +      else O_LST(opt, "trust-anchor-file", trust_anchor_file_list)
 +      else O_LST(opt, "trust-anchor", trust_anchor_list)
 +      else O_LST(opt, "trusted-keys-file", trusted_keys_file_list)
 +      else O_LST(opt, "dlv-anchor", dlv_anchor_list)
 +      else O_LST(opt, "control-interface", control_ifs)
 +      else O_LST(opt, "domain-insecure", domain_insecure)
 +      else O_UNS(opt, "val-override-date", val_date_override)
 +      else O_YNO(opt, "minimal-responses", minimal_responses)
 +      else O_YNO(opt, "rrset-roundrobin", rrset_roundrobin)
 +      else O_YNO(opt, "unblock-lan-zones", unblock_lan_zones)
 +      else O_DEC(opt, "max-udp-size", max_udp_size)
 +      else O_STR(opt, "python-script", python_script)
++      else O_DEC(opt, "ratelimit", ratelimit)
++      else O_MEM(opt, "ratelimit-size", ratelimit_size)
++      else O_DEC(opt, "ratelimit-slabs", ratelimit_slabs)
++      else O_LS2(opt, "ratelimit-for-domain", ratelimit_for_domain)
++      else O_LS2(opt, "ratelimit-below-domain", ratelimit_below_domain)
++      else O_DEC(opt, "ratelimit-factor", ratelimit_factor)
 +      else O_DEC(opt, "val-sig-skew-min", val_sig_skew_min)
 +      else O_DEC(opt, "val-sig-skew-max", val_sig_skew_max)
 +      /* not here:
 +       * outgoing-permit, outgoing-avoid - have list of ports
 +       * local-zone - zones and nodefault variables
 +       * local-data - see below
 +       * local-data-ptr - converted to local-data entries
 +       * stub-zone, name, stub-addr, stub-host, stub-prime
 +       * forward-zone, name, forward-addr, forward-host
 +       */
 +      else return 0;
 +      return 1;
 +}
 +
 +/** initialize the global cfg_parser object */
 +static void
 +create_cfg_parser(struct config_file* cfg, char* filename, const char* chroot)
 +{
 +      static struct config_parser_state st;
 +      cfg_parser = &st;
 +      cfg_parser->filename = filename;
 +      cfg_parser->line = 1;
 +      cfg_parser->errors = 0;
 +      cfg_parser->cfg = cfg;
 +      cfg_parser->chroot = chroot;
 +      init_cfg_parse();
 +}
 +
 +int 
 +config_read(struct config_file* cfg, const char* filename, const char* chroot)
 +{
 +      FILE *in;
 +      char *fname = (char*)filename;
 +#ifdef HAVE_GLOB
 +      glob_t g;
 +      size_t i;
 +      int r, flags;
 +#endif
 +      if(!fname)
 +              return 1;
 +
 +      /* check for wildcards */
 +#ifdef HAVE_GLOB
 +      if(!(!strchr(fname, '*') && !strchr(fname, '?') && !strchr(fname, '[') &&
 +              !strchr(fname, '{') && !strchr(fname, '~'))) {
 +              verbose(VERB_QUERY, "wildcard found, processing %s", fname);
 +              flags = 0
 +#ifdef GLOB_ERR
 +                      | GLOB_ERR
 +#endif
 +#ifdef GLOB_NOSORT
 +                      | GLOB_NOSORT
 +#endif
 +#ifdef GLOB_BRACE
 +                      | GLOB_BRACE
 +#endif
 +#ifdef GLOB_TILDE
 +                      | GLOB_TILDE
 +#endif
 +              ;
 +              memset(&g, 0, sizeof(g));
 +              r = glob(fname, flags, NULL, &g);
 +              if(r) {
 +                      /* some error */
 +                      globfree(&g);
 +                      if(r == GLOB_NOMATCH) {
 +                              verbose(VERB_QUERY, "include: "
 +                              "no matches for %s", fname);
 +                              return 1; 
 +                      } else if(r == GLOB_NOSPACE) {
 +                              log_err("include: %s: "
 +                                      "fnametern out of memory", fname);
 +                      } else if(r == GLOB_ABORTED) {
 +                              log_err("wildcard include: %s: expansion "
 +                                      "aborted (%s)", fname, strerror(errno));
 +                      } else {
 +                              log_err("wildcard include: %s: expansion "
 +                                      "failed (%s)", fname, strerror(errno));
 +                      }
 +                      /* ignore globs that yield no files */
 +                      return 1;
 +              }
 +              /* process files found, if any */
 +              for(i=0; i<(size_t)g.gl_pathc; i++) {
 +                      if(!config_read(cfg, g.gl_pathv[i], chroot)) {
 +                              log_err("error reading wildcard "
 +                                      "include: %s", g.gl_pathv[i]);
 +                              globfree(&g);
 +                              return 0;
 +                      }
 +              }
 +              globfree(&g);
 +              return 1;
 +      }
 +#endif /* HAVE_GLOB */
 +
 +      in = fopen(fname, "r");
 +      if(!in) {
 +              log_err("Could not open %s: %s", fname, strerror(errno));
 +              return 0;
 +      }
 +      create_cfg_parser(cfg, fname, chroot);
 +      ub_c_in = in;
 +      ub_c_parse();
 +      fclose(in);
 +
 +      if(cfg_parser->errors != 0) {
 +              fprintf(stderr, "read %s failed: %d errors in configuration file\n",
 +                      fname, cfg_parser->errors);
 +              errno=EINVAL;
 +              return 0;
 +      }
 +
 +      return 1;
 +}
 +
 +void
 +config_delstrlist(struct config_strlist* p)
 +{
 +      struct config_strlist *np;
 +      while(p) {
 +              np = p->next;
 +              free(p->str);
 +              free(p);
 +              p = np;
 +      }
 +}
 +
 +void
 +config_deldblstrlist(struct config_str2list* p)
 +{
 +      struct config_str2list *np;
 +      while(p) {
 +              np = p->next;
 +              free(p->str);
 +              free(p->str2);
 +              free(p);
 +              p = np;
 +      }
 +}
 +
 +void
 +config_delstubs(struct config_stub* p)
 +{
 +      struct config_stub* np;
 +      while(p) {
 +              np = p->next;
 +              free(p->name);
 +              config_delstrlist(p->hosts);
 +              config_delstrlist(p->addrs);
 +              free(p);
 +              p = np;
 +      }
 +}
 +
 +void 
 +config_delete(struct config_file* cfg)
 +{
 +      if(!cfg) return;
 +      free(cfg->username);
 +      free(cfg->chrootdir);
 +      free(cfg->directory);
 +      free(cfg->logfile);
 +      free(cfg->pidfile);
 +      free(cfg->target_fetch_policy);
 +      free(cfg->ssl_service_key);
 +      free(cfg->ssl_service_pem);
 +      if(cfg->ifs) {
 +              int i;
 +              for(i=0; i<cfg->num_ifs; i++)
 +                      free(cfg->ifs[i]);
 +              free(cfg->ifs);
 +      }
 +      if(cfg->out_ifs) {
 +              int i;
 +              for(i=0; i<cfg->num_out_ifs; i++)
 +                      free(cfg->out_ifs[i]);
 +              free(cfg->out_ifs);
 +      }
 +      config_delstubs(cfg->stubs);
 +      config_delstubs(cfg->forwards);
 +      config_delstrlist(cfg->donotqueryaddrs);
 +      config_delstrlist(cfg->root_hints);
 +      free(cfg->identity);
 +      free(cfg->version);
 +      free(cfg->module_conf);
 +      free(cfg->outgoing_avail_ports);
++      config_delstrlist(cfg->caps_whitelist);
 +      config_delstrlist(cfg->private_address);
 +      config_delstrlist(cfg->private_domain);
 +      config_delstrlist(cfg->auto_trust_anchor_file_list);
 +      config_delstrlist(cfg->trust_anchor_file_list);
 +      config_delstrlist(cfg->trusted_keys_file_list);
 +      config_delstrlist(cfg->trust_anchor_list);
 +      config_delstrlist(cfg->domain_insecure);
 +      free(cfg->dlv_anchor_file);
 +      config_delstrlist(cfg->dlv_anchor_list);
 +      config_deldblstrlist(cfg->acls);
 +      free(cfg->val_nsec3_key_iterations);
 +      config_deldblstrlist(cfg->local_zones);
 +      config_delstrlist(cfg->local_zones_nodefault);
 +      config_delstrlist(cfg->local_data);
 +      config_delstrlist(cfg->control_ifs);
 +      free(cfg->server_key_file);
 +      free(cfg->server_cert_file);
 +      free(cfg->control_key_file);
 +      free(cfg->control_cert_file);
++      free(cfg->dns64_prefix);
 +      free(cfg->dnstap_socket_path);
 +      free(cfg->dnstap_identity);
 +      free(cfg->dnstap_version);
++      config_deldblstrlist(cfg->ratelimit_for_domain);
++      config_deldblstrlist(cfg->ratelimit_below_domain);
 +      free(cfg);
 +}
 +
 +static void 
 +init_outgoing_availports(int* a, int num)
 +{
 +      /* generated with make iana_update */
 +      const int iana_assigned[] = {
 +#include "util/iana_ports.inc"
 +              -1 }; /* end marker to put behind trailing comma */
 +
 +      int i;
 +      /* do not use <1024, that could be trouble with the system, privs */
 +      for(i=1024; i<num; i++) {
 +              a[i] = i;
 +      }
 +      /* create empty spot at 49152 to keep ephemeral ports available 
 +       * to other programs */
 +      for(i=49152; i<49152+256; i++)
 +              a[i] = 0;
 +      /* pick out all the IANA assigned ports */
 +      for(i=0; iana_assigned[i]!=-1; i++) {
 +              if(iana_assigned[i] < num)
 +                      a[iana_assigned[i]] = 0;
 +      }
 +}
 +
 +int 
 +cfg_mark_ports(const char* str, int allow, int* avail, int num)
 +{
 +      char* mid = strchr(str, '-');
 +      if(!mid) {
 +              int port = atoi(str);
 +              if(port == 0 && strcmp(str, "0") != 0) {
 +                      log_err("cannot parse port number '%s'", str);
 +                      return 0;
 +              }
 +              if(port < num)
 +                      avail[port] = (allow?port:0);
 +      } else {
 +              int i, low, high = atoi(mid+1);
 +              char buf[16];
 +              if(high == 0 && strcmp(mid+1, "0") != 0) {
 +                      log_err("cannot parse port number '%s'", mid+1);
 +                      return 0;
 +              }
 +              if( (int)(mid-str)+1 >= (int)sizeof(buf) ) {
 +                      log_err("cannot parse port number '%s'", str);
 +                      return 0;
 +              }
 +              if(mid > str)
 +                      memcpy(buf, str, (size_t)(mid-str));
 +              buf[mid-str] = 0;
 +              low = atoi(buf);
 +              if(low == 0 && strcmp(buf, "0") != 0) {
 +                      log_err("cannot parse port number '%s'", buf);
 +                      return 0;
 +              }
 +              for(i=low; i<=high; i++) {
 +                      if(i < num)
 +                              avail[i] = (allow?i:0);
 +              }
 +              return 1;
 +      }
 +      return 1;
 +}
 +
 +int 
 +cfg_scan_ports(int* avail, int num)
 +{
 +      int i;
 +      int count = 0;
 +      for(i=0; i<num; i++) {
 +              if(avail[i])
 +                      count++;
 +      }
 +      return count;
 +}
 +
 +int cfg_condense_ports(struct config_file* cfg, int** avail)
 +{
 +      int num = cfg_scan_ports(cfg->outgoing_avail_ports, 65536);
 +      int i, at = 0;
 +      *avail = NULL;
 +      if(num == 0)
 +              return 0;
++      *avail = (int*)reallocarray(NULL, (size_t)num, sizeof(int));
 +      if(!*avail)
 +              return 0;
 +      for(i=0; i<65536; i++) {
 +              if(cfg->outgoing_avail_ports[i])
 +                      (*avail)[at++] = cfg->outgoing_avail_ports[i];
 +      }
 +      log_assert(at == num);
 +      return num;
 +}
 +
 +/** print error with file and line number */
 +static void ub_c_error_va_list(const char *fmt, va_list args)
 +{
 +      cfg_parser->errors++;
 +      fprintf(stderr, "%s:%d: error: ", cfg_parser->filename,
 +      cfg_parser->line);
 +      vfprintf(stderr, fmt, args);
 +      fprintf(stderr, "\n");
 +}
 +
 +/** print error with file and line number */
 +void ub_c_error_msg(const char* fmt, ...)
 +{
 +      va_list args;
 +      va_start(args, fmt);
 +      ub_c_error_va_list(fmt, args);
 +      va_end(args);
 +}
 +
 +void ub_c_error(const char *str)
 +{
 +      cfg_parser->errors++;
 +      fprintf(stderr, "%s:%d: error: %s\n", cfg_parser->filename,
 +              cfg_parser->line, str);
 +}
 +
 +int ub_c_wrap(void)
 +{
 +      return 1;
 +}
 +
 +int cfg_strlist_append(struct config_strlist_head* list, char* item)
 +{
 +      struct config_strlist *s;
 +      if(!item || !list)
 +              return 0;
 +      s = (struct config_strlist*)calloc(1, sizeof(struct config_strlist));
 +      if(!s)
 +              return 0;
 +      s->str = item;
 +      s->next = NULL;
 +      if(list->last)
 +              list->last->next = s;
 +      else
 +              list->first = s;
 +      list->last = s;
 +      return 1;
 +}
 +
 +int 
 +cfg_strlist_insert(struct config_strlist** head, char* item)
 +{
 +      struct config_strlist *s;
 +      if(!item || !head)
 +              return 0;
 +      s = (struct config_strlist*)calloc(1, sizeof(struct config_strlist));
 +      if(!s)
 +              return 0;
 +      s->str = item;
 +      s->next = *head;
 +      *head = s;
 +      return 1;
 +}
 +
 +int 
 +cfg_str2list_insert(struct config_str2list** head, char* item, char* i2)
 +{
 +      struct config_str2list *s;
 +      if(!item || !i2 || !head)
 +              return 0;
 +      s = (struct config_str2list*)calloc(1, sizeof(struct config_str2list));
 +      if(!s)
 +              return 0;
 +      s->str = item;
 +      s->str2 = i2;
 +      s->next = *head;
 +      *head = s;
 +      return 1;
 +}
 +
 +time_t 
 +cfg_convert_timeval(const char* str)
 +{
 +      time_t t;
 +      struct tm tm;
 +      memset(&tm, 0, sizeof(tm));
 +      if(strlen(str) < 14)
 +              return 0;
 +      if(sscanf(str, "%4d%2d%2d%2d%2d%2d", &tm.tm_year, &tm.tm_mon, 
 +              &tm.tm_mday, &tm.tm_hour, &tm.tm_min, &tm.tm_sec) != 6)
 +              return 0;
 +      tm.tm_year -= 1900;
 +      tm.tm_mon--;
 +      /* Check values */
 +      if (tm.tm_year < 70)    return 0;
 +      if (tm.tm_mon < 0 || tm.tm_mon > 11)    return 0;
 +      if (tm.tm_mday < 1 || tm.tm_mday > 31)  return 0;
 +      if (tm.tm_hour < 0 || tm.tm_hour > 23)  return 0;
 +      if (tm.tm_min < 0 || tm.tm_min > 59)    return 0;
 +      if (tm.tm_sec < 0 || tm.tm_sec > 59)    return 0;
 +      /* call ldns conversion function */
 +      t = sldns_mktime_from_utc(&tm);
 +      return t;
 +}
 +
 +int 
 +cfg_count_numbers(const char* s)
 +{
 +      /* format ::= (sp num)+ sp  */
 +      /* num ::= [-](0-9)+        */
 +      /* sp ::= (space|tab)*      */
 +      int num = 0;
 +      while(*s) {
 +              while(*s && isspace((unsigned char)*s))
 +                      s++;
 +              if(!*s) /* end of string */
 +                      break;
 +              if(*s == '-')
 +                      s++;
 +              if(!*s) /* only - not allowed */
 +                      return 0;
 +              if(!isdigit((unsigned char)*s)) /* bad character */
 +                      return 0;
 +              while(*s && isdigit((unsigned char)*s))
 +                      s++;
 +              num++;
 +      }
 +      return num;
 +}
 +
 +/** all digit number */
 +static int isalldigit(const char* str, size_t l)
 +{
 +      size_t i;
 +      for(i=0; i<l; i++)
 +              if(!isdigit((unsigned char)str[i]))
 +                      return 0;
 +      return 1;
 +}
 +
 +int 
 +cfg_parse_memsize(const char* str, size_t* res)
 +{
 +      size_t len;
 +      size_t mult = 1;
 +      if(!str || (len=(size_t)strlen(str)) == 0) {
 +              log_err("not a size: '%s'", str);
 +              return 0;
 +      }
 +      if(isalldigit(str, len)) {
 +              *res = (size_t)atol(str);
 +              return 1;
 +      }
 +      /* check appended num */
 +      while(len>0 && str[len-1]==' ')
 +              len--;
 +      if(len > 1 && str[len-1] == 'b') 
 +              len--;
 +      else if(len > 1 && str[len-1] == 'B') 
 +              len--;
 +      
 +      if(len > 1 && tolower((unsigned char)str[len-1]) == 'g')
 +              mult = 1024*1024*1024;
 +      else if(len > 1 && tolower((unsigned char)str[len-1]) == 'm')
 +              mult = 1024*1024;
 +      else if(len > 1 && tolower((unsigned char)str[len-1]) == 'k')
 +              mult = 1024;
 +      else if(len > 0 && isdigit((unsigned char)str[len-1]))
 +              mult = 1;
 +      else {
 +              log_err("unknown size specifier: '%s'", str);
 +              return 0;
 +      }
 +      while(len>1 && str[len-2]==' ')
 +              len--;
 +
 +      if(!isalldigit(str, len-1)) {
 +              log_err("unknown size specifier: '%s'", str);
 +              return 0;
 +      }
 +      *res = ((size_t)atol(str)) * mult;
 +      return 1;
 +}
 +
 +void 
 +config_apply(struct config_file* config)
 +{
 +      MAX_TTL = (time_t)config->max_ttl;
 +      MIN_TTL = (time_t)config->min_ttl;
++      MAX_NEG_TTL = (time_t)config->max_negative_ttl;
 +      RTT_MIN_TIMEOUT = config->infra_cache_min_rtt;
 +      EDNS_ADVERTISED_SIZE = (uint16_t)config->edns_buffer_size;
 +      MINIMAL_RESPONSES = config->minimal_responses;
 +      RRSET_ROUNDROBIN = config->rrset_roundrobin;
 +      log_set_time_asc(config->log_time_ascii);
 +}
 +
 +void config_lookup_uid(struct config_file* cfg)
 +{
 +#ifdef HAVE_GETPWNAM
 +      /* translate username into uid and gid */
 +      if(cfg->username && cfg->username[0]) {
 +              struct passwd *pwd;
 +              if((pwd = getpwnam(cfg->username)) != NULL) {
 +                      cfg_uid = pwd->pw_uid;
 +                      cfg_gid = pwd->pw_gid;
 +              }
 +      }
 +#else
 +      (void)cfg;
 +#endif
 +}
 +
 +/** 
 + * Calculate string length of full pathname in original filesys
 + * @param fname: the path name to convert.
 + *    Must not be null or empty.
 + * @param cfg: config struct for chroot and chdir (if set).
 + * @param use_chdir: if false, only chroot is applied.
 + * @return length of string.
 + *    remember to allocate one more for 0 at end in mallocs.
 + */
 +static size_t
 +strlen_after_chroot(const char* fname, struct config_file* cfg, int use_chdir)
 +{
 +      size_t len = 0;
 +      int slashit = 0;
 +      if(cfg->chrootdir && cfg->chrootdir[0] && 
 +              strncmp(cfg->chrootdir, fname, strlen(cfg->chrootdir)) == 0) {
 +              /* already full pathname, return it */
 +              return strlen(fname);
 +      }
 +      /* chroot */
 +      if(cfg->chrootdir && cfg->chrootdir[0]) {
 +              /* start with chrootdir */
 +              len += strlen(cfg->chrootdir);
 +              slashit = 1;
 +      }
 +      /* chdir */
 +#ifdef UB_ON_WINDOWS
 +      if(fname[0] != 0 && fname[1] == ':') {
 +              /* full path, no chdir */
 +      } else
 +#endif
 +      if(fname[0] == '/' || !use_chdir) {
 +              /* full path, no chdir */
 +      } else if(cfg->directory && cfg->directory[0]) {
 +              /* prepend chdir */
 +              if(slashit && cfg->directory[0] != '/')
 +                      len++;
 +              if(cfg->chrootdir && cfg->chrootdir[0] && 
 +                      strncmp(cfg->chrootdir, cfg->directory, 
 +                      strlen(cfg->chrootdir)) == 0)
 +                      len += strlen(cfg->directory)-strlen(cfg->chrootdir);
 +              else    len += strlen(cfg->directory);
 +              slashit = 1;
 +      }
 +      /* fname */
 +      if(slashit && fname[0] != '/')
 +              len++;
 +      len += strlen(fname);
 +      return len;
 +}
 +
 +char*
 +fname_after_chroot(const char* fname, struct config_file* cfg, int use_chdir)
 +{
 +      size_t len = strlen_after_chroot(fname, cfg, use_chdir)+1;
 +      int slashit = 0;
 +      char* buf = (char*)malloc(len);
 +      if(!buf)
 +              return NULL;
 +      buf[0] = 0;
 +      /* is fname already in chroot ? */
 +      if(cfg->chrootdir && cfg->chrootdir[0] && 
 +              strncmp(cfg->chrootdir, fname, strlen(cfg->chrootdir)) == 0) {
 +              /* already full pathname, return it */
 +              (void)strlcpy(buf, fname, len);
 +              buf[len-1] = 0;
 +              return buf;
 +      }
 +      /* chroot */
 +      if(cfg->chrootdir && cfg->chrootdir[0]) {
 +              /* start with chrootdir */
 +              (void)strlcpy(buf, cfg->chrootdir, len);
 +              slashit = 1;
 +      }
 +#ifdef UB_ON_WINDOWS
 +      if(fname[0] != 0 && fname[1] == ':') {
 +              /* full path, no chdir */
 +      } else
 +#endif
 +      /* chdir */
 +      if(fname[0] == '/' || !use_chdir) {
 +              /* full path, no chdir */
 +      } else if(cfg->directory && cfg->directory[0]) {
 +              /* prepend chdir */
 +              if(slashit && cfg->directory[0] != '/')
 +                      (void)strlcat(buf, "/", len);
 +              /* is the directory already in the chroot? */
 +              if(cfg->chrootdir && cfg->chrootdir[0] && 
 +                      strncmp(cfg->chrootdir, cfg->directory, 
 +                      strlen(cfg->chrootdir)) == 0)
 +                      (void)strlcat(buf, cfg->directory+strlen(cfg->chrootdir), 
 +                                 len);
 +              else (void)strlcat(buf, cfg->directory, len);
 +              slashit = 1;
 +      }
 +      /* fname */
 +      if(slashit && fname[0] != '/')
 +              (void)strlcat(buf, "/", len);
 +      (void)strlcat(buf, fname, len);
 +      buf[len-1] = 0;
 +      return buf;
 +}
 +
 +/** return next space character in string */
 +static char* next_space_pos(const char* str)
 +{
 +      char* sp = strchr(str, ' ');
 +      char* tab = strchr(str, '\t');
 +      if(!tab && !sp)
 +              return NULL;
 +      if(!sp) return tab;
 +      if(!tab) return sp;
 +      return (sp<tab)?sp:tab;
 +}
 +
 +/** return last space character in string */
 +static char* last_space_pos(const char* str)
 +{
 +      char* sp = strrchr(str, ' ');
 +      char* tab = strrchr(str, '\t');
 +      if(!tab && !sp)
 +              return NULL;
 +      if(!sp) return tab;
 +      if(!tab) return sp;
 +      return (sp>tab)?sp:tab;
 +}
 +
 +int 
 +cfg_parse_local_zone(struct config_file* cfg, const char* val)
 +{
 +      const char *type, *name_end, *name;
 +      char buf[256];
 +
 +      /* parse it as: [zone_name] [between stuff] [zone_type] */
 +      name = val;
 +      while(*name && isspace((unsigned char)*name))
 +              name++;
 +      if(!*name) {
 +              log_err("syntax error: too short: %s", val);
 +              return 0;
 +      }
 +      name_end = next_space_pos(name);
 +      if(!name_end || !*name_end) {
 +              log_err("syntax error: expected zone type: %s", val);
 +              return 0;
 +      }
 +      if (name_end - name > 255) {
 +              log_err("syntax error: bad zone name: %s", val);
 +              return 0;
 +      }
 +      (void)strlcpy(buf, name, sizeof(buf));
 +      buf[name_end-name] = '\0';
 +
 +      type = last_space_pos(name_end);
 +      while(type && *type && isspace((unsigned char)*type))
 +              type++;
 +      if(!type || !*type) {
 +              log_err("syntax error: expected zone type: %s", val);
 +              return 0;
 +      }
 +
 +      if(strcmp(type, "nodefault")==0) {
 +              return cfg_strlist_insert(&cfg->local_zones_nodefault, 
 +                      strdup(name));
 +      } else {
 +              return cfg_str2list_insert(&cfg->local_zones, strdup(buf),
 +                      strdup(type));
 +      }
 +}
 +
 +char* cfg_ptr_reverse(char* str)
 +{
 +      char* ip, *ip_end;
 +      char* name;
 +      char* result;
 +      char buf[1024];
 +      struct sockaddr_storage addr;
 +      socklen_t addrlen;
 +
 +      /* parse it as: [IP] [between stuff] [name] */
 +      ip = str;
 +      while(*ip && isspace((unsigned char)*ip))
 +              ip++;
 +      if(!*ip) {
 +              log_err("syntax error: too short: %s", str);
 +              return NULL;
 +      }
 +      ip_end = next_space_pos(ip);
 +      if(!ip_end || !*ip_end) {
 +              log_err("syntax error: expected name: %s", str);
 +              return NULL;
 +      }
 +
 +      name = last_space_pos(ip_end);
 +      if(!name || !*name) {
 +              log_err("syntax error: expected name: %s", str);
 +              return NULL;
 +      }
 +
 +      sscanf(ip, "%100s", buf);
 +      buf[sizeof(buf)-1]=0;
 +
 +      if(!ipstrtoaddr(buf, UNBOUND_DNS_PORT, &addr, &addrlen)) {
 +              log_err("syntax error: cannot parse address: %s", str);
 +              return NULL;
 +      }
 +
 +      /* reverse IPv4:
 +       * ddd.ddd.ddd.ddd.in-addr-arpa.
 +       * IPv6: (h.){32}.ip6.arpa.  */
 +
 +      if(addr_is_ip6(&addr, addrlen)) {
 +              uint8_t ad[16];
 +              const char* hex = "0123456789abcdef";
 +              char *p = buf;
 +              int i;
 +              memmove(ad, &((struct sockaddr_in6*)&addr)->sin6_addr, 
 +                      sizeof(ad));
 +              for(i=15; i>=0; i--) {
 +                      uint8_t b = ad[i];
 +                      *p++ = hex[ (b&0x0f) ];
 +                      *p++ = '.';
 +                      *p++ = hex[ (b&0xf0) >> 4 ];
 +                      *p++ = '.';
 +              }
 +              snprintf(buf+16*4, sizeof(buf)-16*4, "ip6.arpa. ");
 +      } else {
 +              uint8_t ad[4];
 +              memmove(ad, &((struct sockaddr_in*)&addr)->sin_addr, 
 +                      sizeof(ad));
 +              snprintf(buf, sizeof(buf), "%u.%u.%u.%u.in-addr.arpa. ",
 +                      (unsigned)ad[3], (unsigned)ad[2],
 +                      (unsigned)ad[1], (unsigned)ad[0]);
 +      }
 +
 +      /* printed the reverse address, now the between goop and name on end */
 +      while(*ip_end && isspace((unsigned char)*ip_end))
 +              ip_end++;
 +      if(name>ip_end) {
 +              snprintf(buf+strlen(buf), sizeof(buf)-strlen(buf), "%.*s", 
 +                      (int)(name-ip_end), ip_end);
 +      }
 +      snprintf(buf+strlen(buf), sizeof(buf)-strlen(buf), " PTR %s", name);
 +
 +      result = strdup(buf);
 +      if(!result) {
 +              log_err("out of memory parsing %s", str);
 +              return NULL;
 +      }
 +      return result;
 +}
 +
 +#ifdef UB_ON_WINDOWS
 +char*
 +w_lookup_reg_str(const char* key, const char* name)
 +{
 +      HKEY hk = NULL;
 +      DWORD type = 0;
 +      BYTE buf[1024];
 +      DWORD len = (DWORD)sizeof(buf);
 +      LONG ret;
 +      char* result = NULL;
 +      ret = RegOpenKeyEx(HKEY_LOCAL_MACHINE, key, 0, KEY_READ, &hk);
 +      if(ret == ERROR_FILE_NOT_FOUND)
 +              return NULL; /* key does not exist */
 +      else if(ret != ERROR_SUCCESS) {
 +              log_err("RegOpenKeyEx failed");
 +              return NULL;
 +      }
 +      ret = RegQueryValueEx(hk, (LPCTSTR)name, 0, &type, buf, &len);
 +      if(RegCloseKey(hk))
 +              log_err("RegCloseKey");
 +      if(ret == ERROR_FILE_NOT_FOUND)
 +              return NULL; /* name does not exist */
 +      else if(ret != ERROR_SUCCESS) {
 +              log_err("RegQueryValueEx failed");
 +              return NULL;
 +      }
 +      if(type == REG_SZ || type == REG_MULTI_SZ || type == REG_EXPAND_SZ) {
 +              buf[sizeof(buf)-1] = 0;
 +              buf[sizeof(buf)-2] = 0; /* for multi_sz */
 +              result = strdup((char*)buf);
 +              if(!result) log_err("out of memory");
 +      }
 +      return result;
 +}
 +#endif /* UB_ON_WINDOWS */
 +
 +void errinf(struct module_qstate* qstate, const char* str)
 +{
 +      struct config_strlist* p;
 +      if(qstate->env->cfg->val_log_level < 2 || !str)
 +              return;
 +      p = (struct config_strlist*)regional_alloc(qstate->region, sizeof(*p));
 +      if(!p) {
 +              log_err("malloc failure in validator-error-info string");
 +              return;
 +      }
 +      p->next = NULL;
 +      p->str = regional_strdup(qstate->region, str);
 +      if(!p->str) {
 +              log_err("malloc failure in validator-error-info string");
 +              return;
 +      }
 +      /* add at end */
 +      if(qstate->errinf) {
 +              struct config_strlist* q = qstate->errinf;
 +              while(q->next) 
 +                      q = q->next;
 +              q->next = p;
 +      } else  qstate->errinf = p;
 +}
 +
 +void errinf_origin(struct module_qstate* qstate, struct sock_list *origin)
 +{
 +      struct sock_list* p;
 +      if(qstate->env->cfg->val_log_level < 2)
 +              return;
 +      for(p=origin; p; p=p->next) {
 +              char buf[256];
 +              if(p == origin)
 +                      snprintf(buf, sizeof(buf), "from ");
 +              else    snprintf(buf, sizeof(buf), "and ");
 +              if(p->len == 0)
 +                      snprintf(buf+strlen(buf), sizeof(buf)-strlen(buf), 
 +                              "cache");
 +              else 
 +                      addr_to_str(&p->addr, p->len, buf+strlen(buf),
 +                              sizeof(buf)-strlen(buf));
 +              errinf(qstate, buf);
 +      }
 +}
 +
 +char* errinf_to_str(struct module_qstate* qstate)
 +{
 +      char buf[20480];
 +      char* p = buf;
 +      size_t left = sizeof(buf);
 +      struct config_strlist* s;
 +      char dname[LDNS_MAX_DOMAINLEN+1];
 +      char t[16], c[16];
 +      sldns_wire2str_type_buf(qstate->qinfo.qtype, t, sizeof(t));
 +      sldns_wire2str_class_buf(qstate->qinfo.qclass, c, sizeof(c));
 +      dname_str(qstate->qinfo.qname, dname);
 +      snprintf(p, left, "validation failure <%s %s %s>:", dname, t, c);
 +      left -= strlen(p); p += strlen(p);
 +      if(!qstate->errinf)
 +              snprintf(p, left, " misc failure");
 +      else for(s=qstate->errinf; s; s=s->next) {
 +              snprintf(p, left, " %s", s->str);
 +              left -= strlen(p); p += strlen(p);
 +      }
 +      p = strdup(buf);
 +      if(!p)
 +              log_err("malloc failure in errinf_to_str");
 +      return p;
 +}
 +
 +void errinf_rrset(struct module_qstate* qstate, struct ub_packed_rrset_key *rr)
 +{
 +      char buf[1024];
 +      char dname[LDNS_MAX_DOMAINLEN+1];
 +      char t[16], c[16];
 +      if(qstate->env->cfg->val_log_level < 2 || !rr)
 +              return;
 +      sldns_wire2str_type_buf(ntohs(rr->rk.type), t, sizeof(t));
 +      sldns_wire2str_class_buf(ntohs(rr->rk.rrset_class), c, sizeof(c));
 +      dname_str(rr->rk.dname, dname);
 +      snprintf(buf, sizeof(buf), "for <%s %s %s>", dname, t, c);
 +      errinf(qstate, buf);
 +}
 +
 +void errinf_dname(struct module_qstate* qstate, const char* str, uint8_t* dname)
 +{
 +      char b[1024];
 +      char buf[LDNS_MAX_DOMAINLEN+1];
 +      if(qstate->env->cfg->val_log_level < 2 || !str || !dname)
 +              return;
 +      dname_str(dname, buf);
 +      snprintf(b, sizeof(b), "%s %s", str, buf);
 +      errinf(qstate, b);
 +}
diff --cc contrib/unbound/util/config_file.h
index ca512d720ebdeae423bae33ee5a5e16ede9713cd,0000000000000000000000000000000000000000..1c3c31dcf136e934b4782b46a34d7deda2cedf35
mode 100644,000000..100644
--- 1/contrib/unbound/util/config_file.h
--- /dev/null
+++ b/contrib/unbound/util/config_file.h
@@@ -1,719 -1,0 +1,740 @@@
 +/*
 + * util/config_file.h - reads and stores the config file for unbound.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions for the config file.
 + */
 +
 +#ifndef UTIL_CONFIG_FILE_H
 +#define UTIL_CONFIG_FILE_H
 +struct config_stub;
 +struct config_strlist;
 +struct config_str2list;
 +struct module_qstate;
 +struct sock_list;
 +struct ub_packed_rrset_key;
 +
 +/**
 + * The configuration options.
 + * Strings are malloced.
 + */
 +struct config_file {
 +      /** verbosity level as specified in the config file */
 +      int verbosity;
 +
 +      /** statistics interval (in seconds) */
 +      int stat_interval;
 +      /** if false, statistics values are reset after printing them */
 +      int stat_cumulative;
 +      /** if true, the statistics are kept in greater detail */
 +      int stat_extended;
 +
 +      /** number of threads to create */
 +      int num_threads;
 +
 +      /** port on which queries are answered. */
 +      int port;
 +      /** do ip4 query support. */
 +      int do_ip4;
 +      /** do ip6 query support. */
 +      int do_ip6;
 +      /** do udp query support. */
 +      int do_udp;
 +      /** do tcp query support. */
 +      int do_tcp;
 +      /** tcp upstream queries (no UDP upstream queries) */
 +      int tcp_upstream;
 +
 +      /** private key file for dnstcp-ssl service (enabled if not NULL) */
 +      char* ssl_service_key;
 +      /** public key file for dnstcp-ssl service */
 +      char* ssl_service_pem;
 +      /** port on which to provide ssl service */
 +      int ssl_port;
 +      /** if outgoing tcp connections use SSL */
 +      int ssl_upstream;
 +
 +      /** outgoing port range number of ports (per thread) */
 +      int outgoing_num_ports;
 +      /** number of outgoing tcp buffers per (per thread) */
 +      size_t outgoing_num_tcp;
 +      /** number of incoming tcp buffers per (per thread) */
 +      size_t incoming_num_tcp;
 +      /** allowed udp port numbers, array with 0 if not allowed */
 +      int* outgoing_avail_ports;
 +
 +      /** EDNS buffer size to use */
 +      size_t edns_buffer_size;
 +      /** number of bytes buffer size for DNS messages */
 +      size_t msg_buffer_size;
 +      /** size of the message cache */
 +      size_t msg_cache_size;
 +      /** slabs in the message cache. */
 +      size_t msg_cache_slabs;
 +      /** number of queries every thread can service */
 +      size_t num_queries_per_thread;
 +      /** number of msec to wait before items can be jostled out */
 +      size_t jostle_time;
 +      /** size of the rrset cache */
 +      size_t rrset_cache_size;
 +      /** slabs in the rrset cache */
 +      size_t rrset_cache_slabs;
 +      /** host cache ttl in seconds */
 +      int host_ttl;
 +      /** number of slabs in the infra host cache */
 +      size_t infra_cache_slabs;
 +      /** max number of hosts in the infra cache */
 +      size_t infra_cache_numhosts;
 +      /** min value for infra cache rtt */
 +      int infra_cache_min_rtt;
 +      /** delay close of udp-timeouted ports, if 0 no delayclose. in msec */
 +      int delay_close;
 +
 +      /** the target fetch policy for the iterator */
 +      char* target_fetch_policy;
 +
 +      /** automatic interface for incoming messages. Uses ipv6 remapping,
 +       * and recvmsg/sendmsg ancillary data to detect interfaces, boolean */
 +      int if_automatic;
 +      /** SO_RCVBUF size to set on port 53 UDP socket */
 +      size_t so_rcvbuf;
 +      /** SO_SNDBUF size to set on port 53 UDP socket */
 +      size_t so_sndbuf;
 +      /** SO_REUSEPORT requested on port 53 sockets */
 +      int so_reuseport;
++      /** IP_TRANSPARENT socket option requested on port 53 sockets */
++      int ip_transparent;
 +
 +      /** number of interfaces to open. If 0 default all interfaces. */
 +      int num_ifs;
 +      /** interface description strings (IP addresses) */
 +      char **ifs;
 +
 +      /** number of outgoing interfaces to open. 
 +       * If 0 default all interfaces. */
 +      int num_out_ifs;
 +      /** outgoing interface description strings (IP addresses) */
 +      char **out_ifs;
 +
 +      /** the root hints */
 +      struct config_strlist* root_hints;
 +      /** the stub definitions, linked list */
 +      struct config_stub* stubs;
 +      /** the forward zone definitions, linked list */
 +      struct config_stub* forwards;
 +      /** list of donotquery addresses, linked list */
 +      struct config_strlist* donotqueryaddrs;
 +      /** list of access control entries, linked list */
 +      struct config_str2list* acls;
 +      /** use default localhost donotqueryaddr entries */
 +      int donotquery_localhost;
 +
 +      /** harden against very small edns buffer sizes */
 +      int harden_short_bufsize;
 +      /** harden against very large query sizes */
 +      int harden_large_queries;
 +      /** harden against spoofed glue (out of zone data) */
 +      int harden_glue;
 +      /** harden against receiving no DNSSEC data for trust anchor */
 +      int harden_dnssec_stripped;
 +      /** harden against queries that fall under known nxdomain names */
 +      int harden_below_nxdomain;
 +      /** harden the referral path, query for NS,A,AAAA and validate */
 +      int harden_referral_path;
++      /** harden against algorithm downgrade */
++      int harden_algo_downgrade;
 +      /** use 0x20 bits in query as random ID bits */
 +      int use_caps_bits_for_id;
++      /** 0x20 whitelist, domains that do not use capsforid */
++      struct config_strlist* caps_whitelist;
 +      /** strip away these private addrs from answers, no DNS Rebinding */
 +      struct config_strlist* private_address;
 +      /** allow domain (and subdomains) to use private address space */
 +      struct config_strlist* private_domain;
 +      /** what threshold for unwanted action. */
 +      size_t unwanted_threshold;
 +      /** the number of seconds maximal TTL used for RRsets and messages */
 +      int max_ttl;
 +      /** the number of seconds minimum TTL used for RRsets and messages */
 +      int min_ttl;
++      /** the number of seconds maximal negative TTL for SOA in auth */
++      int max_negative_ttl;
 +      /** if prefetching of messages should be performed. */
 +      int prefetch;
 +      /** if prefetching of DNSKEYs should be performed. */
 +      int prefetch_key;
 +
 +      /** chrootdir, if not "" or chroot will be done */
 +      char* chrootdir;
 +      /** username to change to, if not "". */
 +      char* username;
 +      /** working directory */
 +      char* directory;
 +      /** filename to log to. */
 +      char* logfile;
 +      /** pidfile to write pid to. */
 +      char* pidfile;
 +
 +      /** should log messages be sent to syslogd */
 +      int use_syslog;
 +      /** log timestamp in ascii UTC */
 +      int log_time_ascii;
 +      /** log queries with one line per query */
 +      int log_queries;
 +
 +      /** do not report identity (id.server, hostname.bind) */
 +      int hide_identity;
 +      /** do not report version (version.server, version.bind) */
 +      int hide_version;
 +      /** identity, hostname is returned if "". */
 +      char* identity;
 +      /** version, package version returned if "". */
 +      char* version;
 +
 +      /** the module configuration string */
 +      char* module_conf;
 +      
 +      /** files with trusted DS and DNSKEYs in zonefile format, list */
 +      struct config_strlist* trust_anchor_file_list;
 +      /** list of trustanchor keys, linked list */
 +      struct config_strlist* trust_anchor_list;
 +      /** files with 5011 autotrust tracked keys */
 +      struct config_strlist* auto_trust_anchor_file_list;
 +      /** files with trusted DNSKEYs in named.conf format, list */
 +      struct config_strlist* trusted_keys_file_list;
 +      /** DLV anchor file */
 +      char* dlv_anchor_file;
 +      /** DLV anchor inline */
 +      struct config_strlist* dlv_anchor_list;
 +      /** insecure domain list */
 +      struct config_strlist* domain_insecure;
 +
 +      /** if not 0, this value is the validation date for RRSIGs */
 +      int32_t val_date_override;
 +      /** the minimum for signature clock skew */
 +      int32_t val_sig_skew_min;
 +      /** the maximum for signature clock skew */
 +      int32_t val_sig_skew_max;
 +      /** this value sets the number of seconds before revalidating bogus */
 +      int bogus_ttl; 
 +      /** should validator clean additional section for secure msgs */
 +      int val_clean_additional;
 +      /** log bogus messages by the validator */
 +      int val_log_level;
 +      /** squelch val_log_level to log - this is library goes to callback */
 +      int val_log_squelch;
 +      /** should validator allow bogus messages to go through */
 +      int val_permissive_mode;
 +      /** ignore the CD flag in incoming queries and refuse them bogus data */
 +      int ignore_cd;
 +      /** nsec3 maximum iterations per key size, string */
 +      char* val_nsec3_key_iterations;
 +      /** autotrust add holddown time, in seconds */
 +      unsigned int add_holddown;
 +      /** autotrust del holddown time, in seconds */
 +      unsigned int del_holddown;
 +      /** autotrust keep_missing time, in seconds. 0 is forever. */
 +      unsigned int keep_missing;
 +
 +      /** size of the key cache */
 +      size_t key_cache_size;
 +      /** slabs in the key cache. */
 +      size_t key_cache_slabs;
 +      /** size of the neg cache */
 +      size_t neg_cache_size;
 +
 +      /** local zones config */
 +      struct config_str2list* local_zones;
 +      /** local zones nodefault list */
 +      struct config_strlist* local_zones_nodefault;
 +      /** local data RRs configged */
 +      struct config_strlist* local_data;
 +      /** unblock lan zones (reverse lookups for 10/8 and so on) */
 +      int unblock_lan_zones;
 +
 +      /** remote control section. enable toggle. */
 +      int remote_control_enable;
 +      /** the interfaces the remote control should listen on */
 +      struct config_strlist* control_ifs;
 +      /** port number for the control port */
 +      int control_port;
 +      /** use certificates for remote control */
 +      int remote_control_use_cert;
 +      /** private key file for server */
 +      char* server_key_file;
 +      /** certificate file for server */
 +      char* server_cert_file;
 +      /** private key file for unbound-control */
 +      char* control_key_file;
 +      /** certificate file for unbound-control */
 +      char* control_cert_file;
 +
 +      /** Python script file */
 +      char* python_script;
 +
 +      /** daemonize, i.e. fork into the background. */
 +      int do_daemonize;
 +
 +      /* minimal response when positive answer */
 +      int minimal_responses;
 +
 +      /* RRSet roundrobin */
 +      int rrset_roundrobin;
 +
 +      /* maximum UDP response size */
 +      size_t max_udp_size;
 +
 +      /* DNS64 prefix */
 +      char* dns64_prefix;
 +
 +      /* Synthetize all AAAA record despite the presence of an authoritative one */
 +      int dns64_synthall;
 +
 +      /** true to enable dnstap support */
 +      int dnstap;
 +      /** dnstap socket path */
 +      char* dnstap_socket_path;
 +      /** true to send "identity" via dnstap */
 +      int dnstap_send_identity;
 +      /** true to send "version" via dnstap */
 +      int dnstap_send_version;
 +      /** dnstap "identity", hostname is used if "". */
 +      char* dnstap_identity;
 +      /** dnstap "version", package version is used if "". */
 +      char* dnstap_version;
 +
 +      /** true to log dnstap RESOLVER_QUERY message events */
 +      int dnstap_log_resolver_query_messages;
 +      /** true to log dnstap RESOLVER_RESPONSE message events */
 +      int dnstap_log_resolver_response_messages;
 +      /** true to log dnstap CLIENT_QUERY message events */
 +      int dnstap_log_client_query_messages;
 +      /** true to log dnstap CLIENT_RESPONSE message events */
 +      int dnstap_log_client_response_messages;
 +      /** true to log dnstap FORWARDER_QUERY message events */
 +      int dnstap_log_forwarder_query_messages;
 +      /** true to log dnstap FORWARDER_RESPONSE message events */
 +      int dnstap_log_forwarder_response_messages;
++
++      /** ratelimit 0 is off, otherwise qps (unless overridden) */
++      int ratelimit;
++      /** number of slabs for ratelimit cache */
++      size_t ratelimit_slabs;
++      /** memory size in bytes for ratelimit cache */
++      size_t ratelimit_size;
++      /** ratelimits for domain (exact match) */
++      struct config_str2list* ratelimit_for_domain;
++      /** ratelimits below domain */
++      struct config_str2list* ratelimit_below_domain;
++      /** ratelimit factor, 0 blocks all, 10 allows 1/10 of traffic */
++      int ratelimit_factor;
 +};
 +
 +/** from cfg username, after daemonise setup performed */
 +extern uid_t cfg_uid;
 +/** from cfg username, after daemonise setup performed */
 +extern gid_t cfg_gid;
 +
 +/**
 + * Stub config options
 + */
 +struct config_stub {
 +      /** next in list */
 +      struct config_stub* next;
 +      /** domain name (in text) of the stub apex domain */
 +      char* name;
 +      /** list of stub nameserver hosts (domain name) */
 +      struct config_strlist* hosts;
 +      /** list of stub nameserver addresses (IP address) */
 +      struct config_strlist* addrs;
 +      /** if stub-prime is set */
 +      int isprime;
 +      /** if forward-first is set (failover to without if fails) */
 +      int isfirst;
 +};
 +
 +/**
 + * List of strings for config options
 + */
 +struct config_strlist {
 +      /** next item in list */
 +      struct config_strlist* next;
 +      /** config option string */
 +      char* str;
 +};
 +
 +/**
 + * List of two strings for config options
 + */
 +struct config_str2list {
 +      /** next item in list */
 +      struct config_str2list* next;
 +      /** first string */
 +      char* str;
 +      /** second string */
 +      char* str2;
 +};
 +
 +/** List head for strlist processing, used for append operation. */
 +struct config_strlist_head {
 +      /** first in list of text items */
 +      struct config_strlist* first;
 +      /** last in list of text items */
 +      struct config_strlist* last;
 +};
 +
 +/**
 + * Create config file structure. Filled with default values.
 + * @return: the new structure or NULL on memory error.
 + */
 +struct config_file* config_create(void);
 +
 +/**
 + * Create config file structure for library use. Filled with default values.
 + * @return: the new structure or NULL on memory error.
 + */
 +struct config_file* config_create_forlib(void);
 +
 +/**
 + * Read the config file from the specified filename.
 + * @param config: where options are stored into, must be freshly created.
 + * @param filename: name of configfile. If NULL nothing is done.
 + * @param chroot: if not NULL, the chroot dir currently in use (for include).
 + * @return: false on error. In that case errno is set, ENOENT means 
 + *    file not found.
 + */
 +int config_read(struct config_file* config, const char* filename,
 +      const char* chroot);
 +
 +/**
 + * Destroy the config file structure.
 + * @param config: to delete.
 + */
 +void config_delete(struct config_file* config);
 +
 +/**
 + * Apply config to global constants; this routine is called in single thread.
 + * @param config: to apply. Side effect: global constants change.
 + */
 +void config_apply(struct config_file* config);
 +
 +/**
 + * Find username, sets cfg_uid and cfg_gid.
 + * @param config: the config structure.
 + */
 +void config_lookup_uid(struct config_file* config);
 +
 +/**
 + * Set the given keyword to the given value.
 + * @param config: where to store config
 + * @param option: option name, including the ':' character.
 + * @param value: value, this string is copied if needed, or parsed.
 + *    The caller owns the value string.
 + * @return 0 on error (malloc or syntax error).
 + */
 +int config_set_option(struct config_file* config, const char* option,
 +      const char* value);
 +
 +/** 
 + * Call print routine for the given option.
 + * @param cfg: config.
 + * @param opt: option name without trailing :. 
 + *    This is different from config_set_option.
 + * @param func: print func, called as (str, arg) for every data element.
 + * @param arg: user argument for print func.
 + * @return false if the option name is not supported (syntax error).
 + */
 +int config_get_option(struct config_file* cfg, const char* opt, 
 +      void (*func)(char*,void*), void* arg);
 +
 +/**
 + * Get an option and return strlist
 + * @param cfg: config file
 + * @param opt: option name.
 + * @param list: list is returned here. malloced, caller must free it.
 + * @return 0=OK, 1=syntax error, 2=malloc failed.
 + */
 +int config_get_option_list(struct config_file* cfg, const char* opt,
 +      struct config_strlist** list);
 +
 +/**
 + * Get an option and collate results into string
 + * @param cfg: config file
 + * @param opt: option name.
 + * @param str: string. malloced, caller must free it.
 + * @return 0=OK, 1=syntax error, 2=malloc failed.
 + */
 +int config_get_option_collate(struct config_file* cfg, const char* opt, 
 +      char** str);
 +
 +/**
 + * function to print to a file, use as func with config_get_option.
 + * @param line: text to print. \n appended.
 + * @param arg: pass a FILE*, like stdout.
 + */
 +void config_print_func(char* line, void* arg);
 +
 +/**
 + * function to collate the text strings into a strlist_head.
 + * @param line: text to append.
 + * @param arg: pass a strlist_head structure. zeroed on start.
 + */
 +void config_collate_func(char* line, void* arg);
 +
 +/**
 + * take a strlist_head list and return a malloc string. separated with newline.
 + * @param list: strlist first to collate. zeroes return "".
 + * @return NULL on malloc failure. Or if malloc failure happened in strlist.
 + */
 +char* config_collate_cat(struct config_strlist* list);
 +
 +/**
 + * Append text at end of list.
 + * @param list: list head. zeroed at start.
 + * @param item: new item. malloced by caller. if NULL the insertion fails.
 + * @return true on success.
 + */
 +int cfg_strlist_append(struct config_strlist_head* list, char* item);
 +
 +/**
 + * Insert string into strlist.
 + * @param head: pointer to strlist head variable.
 + * @param item: new item. malloced by caller. If NULL the insertion fails.
 + * @return: true on success.
 + */
 +int cfg_strlist_insert(struct config_strlist** head, char* item);
 +
 +/**
 + * Insert string into str2list.
 + * @param head: pointer to str2list head variable.
 + * @param item: new item. malloced by caller. If NULL the insertion fails.
 + * @param i2: 2nd string, malloced by caller. If NULL the insertion fails.
 + * @return: true on success.
 + */
 +int cfg_str2list_insert(struct config_str2list** head, char* item, char* i2);
 +
 +/**
 + * Delete items in config string list.
 + * @param list: list.
 + */
 +void config_delstrlist(struct config_strlist* list);
 +
 +/**
 + * Delete items in config double string list.
 + * @param list: list.
 + */
 +void config_deldblstrlist(struct config_str2list* list);
 +
 +/**
 + * Delete items in config stub list.
 + * @param list: list.
 + */
 +void config_delstubs(struct config_stub* list);
 +
 +/**
 + * Convert 14digit to time value
 + * @param str: string of 14 digits
 + * @return time value or 0 for error.
 + */
 +time_t cfg_convert_timeval(const char* str);
 +
 +/**
 + * Count number of values in the string.
 + * format ::= (sp num)+ sp
 + * num ::= [-](0-9)+
 + * sp ::= (space|tab)*
 + *
 + * @param str: string
 + * @return: 0 on parse error, or empty string, else
 + *    number of integer values in the string.
 + */
 +int cfg_count_numbers(const char* str);
 +
 +/**
 + * Convert a 'nice' memory or file size into a bytecount
 + * From '100k' to 102400. and so on. Understands kKmMgG.
 + * k=1024, m=1024*1024, g=1024*1024*1024.
 + * @param str: string
 + * @param res: result is stored here, size in bytes.
 + * @return: true if parsed correctly, or 0 on a parse error (and an error 
 + * is logged).
 + */
 +int cfg_parse_memsize(const char* str, size_t* res);
 +
 +/**
 + * Parse local-zone directive into two strings and register it in the config.
 + * @param cfg: to put it in.
 + * @param val: argument strings to local-zone, "example.com nodefault".
 + * @return: false on failure
 + */
 +int cfg_parse_local_zone(struct config_file* cfg, const char* val);
 +
 +/**
 + * Mark "number" or "low-high" as available or not in ports array.
 + * @param str: string in input
 + * @param allow: give true if this range is permitted.
 + * @param avail: the array from cfg.
 + * @param num: size of the array (65536).
 + * @return: true if parsed correctly, or 0 on a parse error (and an error 
 + * is logged).
 + */
 +int cfg_mark_ports(const char* str, int allow, int* avail, int num);
 +
 +/**
 + * Get a condensed list of ports returned. allocated.
 + * @param cfg: config file.
 + * @param avail: the available ports array is returned here.
 + * @return: number of ports in array or 0 on error.
 + */
 +int cfg_condense_ports(struct config_file* cfg, int** avail);
 +
 +/**
 + * Scan ports available
 + * @param avail: the array from cfg.
 + * @param num: size of the array (65536).
 + * @return the number of ports available for use.
 + */
 +int cfg_scan_ports(int* avail, int num);
 +
 +/** 
 + * Convert a filename to full pathname in original filesys
 + * @param fname: the path name to convert.
 + *      Must not be null or empty.
 + * @param cfg: config struct for chroot and chdir (if set).
 + * @param use_chdir: if false, only chroot is applied.
 + * @return pointer to malloced buffer which is: [chroot][chdir]fname
 + *      or NULL on malloc failure.
 + */
 +char* fname_after_chroot(const char* fname, struct config_file* cfg, 
 +      int use_chdir);
 +
 +/**
 + * Convert a ptr shorthand into a full reverse-notation PTR record.
 + * @param str: input string, "IP name"
 + * @return: malloced string "reversed-ip-name PTR name"
 + */
 +char* cfg_ptr_reverse(char* str);
 +
 +/**
 + * Append text to the error info for validation.
 + * @param qstate: query state.
 + * @param str: copied into query region and appended.
 + * Failures to allocate are logged.
 + */
 +void errinf(struct module_qstate* qstate, const char* str);
 +
 +/**
 + * Append text to error info:  from 1.2.3.4
 + * @param qstate: query state.
 + * @param origin: sock list with origin of trouble. 
 + *    Every element added.
 + *    If NULL: nothing is added.
 + *    if 0len element: 'from cache' is added.
 + */
 +void errinf_origin(struct module_qstate* qstate, struct sock_list *origin);
 +
 +/**
 + * Append text to error info:  for RRset name type class
 + * @param qstate: query state.
 + * @param rr: rrset_key.
 + */
 +void errinf_rrset(struct module_qstate* qstate, struct ub_packed_rrset_key *rr);
 +
 +/**
 + * Append text to error info:  str dname
 + * @param qstate: query state.
 + * @param str: explanation string
 + * @param dname: the dname.
 + */
 +void errinf_dname(struct module_qstate* qstate, const char* str, 
 +      uint8_t* dname);
 +
 +/**
 + * Create error info in string
 + * @param qstate: query state.
 + * @return string or NULL on malloc failure (already logged).
 + *    This string is malloced and has to be freed by caller.
 + */
 +char* errinf_to_str(struct module_qstate* qstate);
 +
 +/**
 + * Used during options parsing
 + */
 +struct config_parser_state {
 +      /** name of file being parser */
 +      char* filename;
 +      /** line number in the file, starts at 1 */
 +      int line;
 +      /** number of errors encountered */
 +      int errors;
 +      /** the result of parsing is stored here. */
 +      struct config_file* cfg;
 +      /** the current chroot dir (or NULL if none) */
 +      const char* chroot;
 +};
 +
 +/** global config parser object used during config parsing */
 +extern struct config_parser_state* cfg_parser;
 +/** init lex state */
 +void init_cfg_parse(void);
 +/** lex in file */
 +extern FILE* ub_c_in;
 +/** lex out file */
 +extern FILE* ub_c_out;
 +/** the yacc lex generated parse function */
 +int ub_c_parse(void);
 +/** the lexer function */
 +int ub_c_lex(void);
 +/** wrap function */
 +int ub_c_wrap(void);
 +/** parsing helpers: print error with file and line numbers */
 +void ub_c_error(const char* msg);
 +/** parsing helpers: print error with file and line numbers */
 +void ub_c_error_msg(const char* fmt, ...) ATTR_FORMAT(printf, 1, 2);
 +
 +#ifdef UB_ON_WINDOWS
 +/**
 + * Obtain registry string (if it exists).
 + * @param key: key string
 + * @param name: name of value to fetch.
 + * @return malloced string with the result or NULL if it did not
 + *    exist on an error (logged with log_err) was encountered.
 + */
 +char* w_lookup_reg_str(const char* key, const char* name);
 +#endif /* UB_ON_WINDOWS */
 +
 +#endif /* UTIL_CONFIG_FILE_H */
diff --cc contrib/unbound/util/configlexer.lex
index 0e2294686c181ed8c8ce5031a8aa90f28ad88d08,0000000000000000000000000000000000000000..26974c69a0940c3eb597de4d054148810353d6b7
mode 100644,000000..100644
--- 1/contrib/unbound/util/configlexer.lex
--- /dev/null
+++ b/contrib/unbound/util/configlexer.lex
@@@ -1,448 -1,0 +1,458 @@@
 +%{
 +/*
 + * configlexer.lex - lexical analyzer for unbound config file
 + *
 + * Copyright (c) 2001-2006, NLnet Labs. All rights reserved
 + *
 + * See LICENSE for the license.
 + *
 + */
 +#include "config.h"
 +
 +#include <ctype.h>
 +#include <string.h>
 +#include <strings.h>
 +#ifdef HAVE_GLOB_H
 +# include <glob.h>
 +#endif
 +
 +#include "util/config_file.h"
 +#include "configparser.h"
 +void ub_c_error(const char *message);
 +
 +#if 0
 +#define LEXOUT(s)  printf s /* used ONLY when debugging */
 +#else
 +#define LEXOUT(s)
 +#endif
 +
 +/** avoid warning in about fwrite return value */
 +#define ECHO ub_c_error_msg("syntax error at text: %s", ub_c_text)
 +
 +/** A parser variable, this is a statement in the config file which is
 + * of the form variable: value1 value2 ...  nargs is the number of values. */
 +#define YDVAR(nargs, var) \
 +      num_args=(nargs); \
 +      LEXOUT(("v(%s%d) ", ub_c_text, num_args)); \
 +      if(num_args > 0) { BEGIN(val); } \
 +      return (var);
 +
 +struct inc_state {
 +      char* filename;
 +      int line;
 +      YY_BUFFER_STATE buffer;
 +      struct inc_state* next;
 +};
 +static struct inc_state* config_include_stack = NULL;
 +static int inc_depth = 0;
 +static int inc_prev = 0;
 +static int num_args = 0;
 +
 +void init_cfg_parse(void)
 +{
 +      config_include_stack = NULL;
 +      inc_depth = 0;
 +      inc_prev = 0;
 +      num_args = 0;
 +}
 +
 +static void config_start_include(const char* filename)
 +{
 +      FILE *input;
 +      struct inc_state* s;
 +      char* nm;
 +      if(inc_depth++ > 100000) {
 +              ub_c_error_msg("too many include files");
 +              return;
 +      }
 +      if(strlen(filename) == 0) {
 +              ub_c_error_msg("empty include file name");
 +              return;
 +      }
 +      s = (struct inc_state*)malloc(sizeof(*s));
 +      if(!s) {
 +              ub_c_error_msg("include %s: malloc failure", filename);
 +              return;
 +      }
 +      if(cfg_parser->chroot && strncmp(filename, cfg_parser->chroot,
 +              strlen(cfg_parser->chroot)) == 0) {
 +              filename += strlen(cfg_parser->chroot);
 +      }
 +      nm = strdup(filename);
 +      if(!nm) {
 +              ub_c_error_msg("include %s: strdup failure", filename);
 +              free(s);
 +              return;
 +      }
 +      input = fopen(filename, "r");
 +      if(!input) {
 +              ub_c_error_msg("cannot open include file '%s': %s",
 +                      filename, strerror(errno));
 +              free(s);
 +              free(nm);
 +              return;
 +      }
 +      LEXOUT(("switch_to_include_file(%s)\n", filename));
 +      s->filename = cfg_parser->filename;
 +      s->line = cfg_parser->line;
 +      s->buffer = YY_CURRENT_BUFFER;
 +      s->next = config_include_stack;
 +      config_include_stack = s;
 +      cfg_parser->filename = nm;
 +      cfg_parser->line = 1;
 +      yy_switch_to_buffer(yy_create_buffer(input, YY_BUF_SIZE));
 +}
 +
 +static void config_start_include_glob(const char* filename)
 +{
 +
 +      /* check for wildcards */
 +#ifdef HAVE_GLOB
 +      glob_t g;
 +      size_t i;
 +      int r, flags;
 +      if(!(!strchr(filename, '*') && !strchr(filename, '?') && !strchr(filename, '[') &&
 +              !strchr(filename, '{') && !strchr(filename, '~'))) {
 +              flags = 0
 +#ifdef GLOB_ERR
 +                      | GLOB_ERR
 +#endif
 +#ifdef GLOB_NOSORT
 +                      | GLOB_NOSORT
 +#endif
 +#ifdef GLOB_BRACE
 +                      | GLOB_BRACE
 +#endif
 +#ifdef GLOB_TILDE
 +                      | GLOB_TILDE
 +#endif
 +              ;
 +              memset(&g, 0, sizeof(g));
 +              r = glob(filename, flags, NULL, &g);
 +              if(r) {
 +                      /* some error */
 +                      globfree(&g);
 +                      if(r == GLOB_NOMATCH)
 +                              return; /* no matches for pattern */
 +                      config_start_include(filename); /* let original deal with it */
 +                      return;
 +              }
 +              /* process files found, if any */
 +              for(i=0; i<(size_t)g.gl_pathc; i++) {
 +                      config_start_include(g.gl_pathv[i]);
 +              }
 +              globfree(&g);
 +              return;
 +      }
 +#endif /* HAVE_GLOB */
 +
 +      config_start_include(filename);
 +}
 +
 +static void config_end_include(void)
 +{
 +      struct inc_state* s = config_include_stack;
 +      --inc_depth;
 +      if(!s) return;
 +      free(cfg_parser->filename);
 +      cfg_parser->filename = s->filename;
 +      cfg_parser->line = s->line;
 +      yy_delete_buffer(YY_CURRENT_BUFFER);
 +      yy_switch_to_buffer(s->buffer);
 +      config_include_stack = s->next;
 +      free(s);
 +}
 +
 +#ifndef yy_set_bol /* compat definition, for flex 2.4.6 */
 +#define yy_set_bol(at_bol) \
 +        { \
 +              if ( ! yy_current_buffer ) \
 +                      yy_current_buffer = yy_create_buffer( ub_c_in, YY_BUF_SIZE ); \
 +              yy_current_buffer->yy_ch_buf[0] = ((at_bol)?'\n':' '); \
 +        }
 +#endif
 +
 +%}
 +%option noinput
 +%option nounput
 +%{
 +#ifndef YY_NO_UNPUT
 +#define YY_NO_UNPUT 1
 +#endif
 +#ifndef YY_NO_INPUT
 +#define YY_NO_INPUT 1
 +#endif
 +%}
 +
 +SPACE   [ \t]
 +LETTER  [a-zA-Z]
 +UNQUOTEDLETTER [^\'\"\n\r \t\\]|\\.
 +UNQUOTEDLETTER_NOCOLON [^\:\'\"\n\r \t\\]|\\.
 +NEWLINE [\r\n]
 +COMMENT \#
 +COLON         \:
 +DQANY     [^\"\n\r\\]|\\.
 +SQANY     [^\'\n\r\\]|\\.
 +
 +%x    quotedstring singlequotedstr include include_quoted val
 +
 +%%
 +<INITIAL,val>{SPACE}* { 
 +      LEXOUT(("SP ")); /* ignore */ }
 +<INITIAL,val>{SPACE}*{COMMENT}.*      { 
 +      /* note that flex makes the longest match and '.' is any but not nl */
 +      LEXOUT(("comment(%s) ", ub_c_text)); /* ignore */ }
 +server{COLON}                 { YDVAR(0, VAR_SERVER) }
 +num-threads{COLON}            { YDVAR(1, VAR_NUM_THREADS) }
 +verbosity{COLON}              { YDVAR(1, VAR_VERBOSITY) }
 +port{COLON}                   { YDVAR(1, VAR_PORT) }
 +outgoing-range{COLON}         { YDVAR(1, VAR_OUTGOING_RANGE) }
 +outgoing-port-permit{COLON}   { YDVAR(1, VAR_OUTGOING_PORT_PERMIT) }
 +outgoing-port-avoid{COLON}    { YDVAR(1, VAR_OUTGOING_PORT_AVOID) }
 +outgoing-num-tcp{COLON}               { YDVAR(1, VAR_OUTGOING_NUM_TCP) }
 +incoming-num-tcp{COLON}               { YDVAR(1, VAR_INCOMING_NUM_TCP) }
 +do-ip4{COLON}                 { YDVAR(1, VAR_DO_IP4) }
 +do-ip6{COLON}                 { YDVAR(1, VAR_DO_IP6) }
 +do-udp{COLON}                 { YDVAR(1, VAR_DO_UDP) }
 +do-tcp{COLON}                 { YDVAR(1, VAR_DO_TCP) }
 +tcp-upstream{COLON}           { YDVAR(1, VAR_TCP_UPSTREAM) }
 +ssl-upstream{COLON}           { YDVAR(1, VAR_SSL_UPSTREAM) }
 +ssl-service-key{COLON}                { YDVAR(1, VAR_SSL_SERVICE_KEY) }
 +ssl-service-pem{COLON}                { YDVAR(1, VAR_SSL_SERVICE_PEM) }
 +ssl-port{COLON}                       { YDVAR(1, VAR_SSL_PORT) }
 +do-daemonize{COLON}           { YDVAR(1, VAR_DO_DAEMONIZE) }
 +interface{COLON}              { YDVAR(1, VAR_INTERFACE) }
 +ip-address{COLON}             { YDVAR(1, VAR_INTERFACE) }
 +outgoing-interface{COLON}     { YDVAR(1, VAR_OUTGOING_INTERFACE) }
 +interface-automatic{COLON}    { YDVAR(1, VAR_INTERFACE_AUTOMATIC) }
 +so-rcvbuf{COLON}              { YDVAR(1, VAR_SO_RCVBUF) }
 +so-sndbuf{COLON}              { YDVAR(1, VAR_SO_SNDBUF) }
 +so-reuseport{COLON}           { YDVAR(1, VAR_SO_REUSEPORT) }
++ip-transparent{COLON}         { YDVAR(1, VAR_IP_TRANSPARENT) }
 +chroot{COLON}                 { YDVAR(1, VAR_CHROOT) }
 +username{COLON}                       { YDVAR(1, VAR_USERNAME) }
 +directory{COLON}              { YDVAR(1, VAR_DIRECTORY) }
 +logfile{COLON}                        { YDVAR(1, VAR_LOGFILE) }
 +pidfile{COLON}                        { YDVAR(1, VAR_PIDFILE) }
 +root-hints{COLON}             { YDVAR(1, VAR_ROOT_HINTS) }
 +edns-buffer-size{COLON}               { YDVAR(1, VAR_EDNS_BUFFER_SIZE) }
 +msg-buffer-size{COLON}                { YDVAR(1, VAR_MSG_BUFFER_SIZE) }
 +msg-cache-size{COLON}         { YDVAR(1, VAR_MSG_CACHE_SIZE) }
 +msg-cache-slabs{COLON}                { YDVAR(1, VAR_MSG_CACHE_SLABS) }
 +rrset-cache-size{COLON}               { YDVAR(1, VAR_RRSET_CACHE_SIZE) }
 +rrset-cache-slabs{COLON}      { YDVAR(1, VAR_RRSET_CACHE_SLABS) }
 +cache-max-ttl{COLON}          { YDVAR(1, VAR_CACHE_MAX_TTL) }
++cache-max-negative-ttl{COLON}   { YDVAR(1, VAR_CACHE_MAX_NEGATIVE_TTL) }
 +cache-min-ttl{COLON}          { YDVAR(1, VAR_CACHE_MIN_TTL) }
 +infra-host-ttl{COLON}         { YDVAR(1, VAR_INFRA_HOST_TTL) }
 +infra-lame-ttl{COLON}         { YDVAR(1, VAR_INFRA_LAME_TTL) }
 +infra-cache-slabs{COLON}      { YDVAR(1, VAR_INFRA_CACHE_SLABS) }
 +infra-cache-numhosts{COLON}   { YDVAR(1, VAR_INFRA_CACHE_NUMHOSTS) }
 +infra-cache-lame-size{COLON}  { YDVAR(1, VAR_INFRA_CACHE_LAME_SIZE) }
 +infra-cache-min-rtt{COLON}    { YDVAR(1, VAR_INFRA_CACHE_MIN_RTT) }
 +num-queries-per-thread{COLON} { YDVAR(1, VAR_NUM_QUERIES_PER_THREAD) }
 +jostle-timeout{COLON}         { YDVAR(1, VAR_JOSTLE_TIMEOUT) }
 +delay-close{COLON}            { YDVAR(1, VAR_DELAY_CLOSE) }
 +target-fetch-policy{COLON}    { YDVAR(1, VAR_TARGET_FETCH_POLICY) }
 +harden-short-bufsize{COLON}   { YDVAR(1, VAR_HARDEN_SHORT_BUFSIZE) }
 +harden-large-queries{COLON}   { YDVAR(1, VAR_HARDEN_LARGE_QUERIES) }
 +harden-glue{COLON}            { YDVAR(1, VAR_HARDEN_GLUE) }
 +harden-dnssec-stripped{COLON} { YDVAR(1, VAR_HARDEN_DNSSEC_STRIPPED) }
 +harden-below-nxdomain{COLON}  { YDVAR(1, VAR_HARDEN_BELOW_NXDOMAIN) }
 +harden-referral-path{COLON}   { YDVAR(1, VAR_HARDEN_REFERRAL_PATH) }
++harden-algo-downgrade{COLON}  { YDVAR(1, VAR_HARDEN_ALGO_DOWNGRADE) }
 +use-caps-for-id{COLON}                { YDVAR(1, VAR_USE_CAPS_FOR_ID) }
++caps-whitelist{COLON}         { YDVAR(1, VAR_CAPS_WHITELIST) }
 +unwanted-reply-threshold{COLON}       { YDVAR(1, VAR_UNWANTED_REPLY_THRESHOLD) }
 +private-address{COLON}                { YDVAR(1, VAR_PRIVATE_ADDRESS) }
 +private-domain{COLON}         { YDVAR(1, VAR_PRIVATE_DOMAIN) }
 +prefetch-key{COLON}           { YDVAR(1, VAR_PREFETCH_KEY) }
 +prefetch{COLON}                       { YDVAR(1, VAR_PREFETCH) }
 +stub-zone{COLON}              { YDVAR(0, VAR_STUB_ZONE) }
 +name{COLON}                   { YDVAR(1, VAR_NAME) }
 +stub-addr{COLON}              { YDVAR(1, VAR_STUB_ADDR) }
 +stub-host{COLON}              { YDVAR(1, VAR_STUB_HOST) }
 +stub-prime{COLON}             { YDVAR(1, VAR_STUB_PRIME) }
 +stub-first{COLON}             { YDVAR(1, VAR_STUB_FIRST) }
 +forward-zone{COLON}           { YDVAR(0, VAR_FORWARD_ZONE) }
 +forward-addr{COLON}           { YDVAR(1, VAR_FORWARD_ADDR) }
 +forward-host{COLON}           { YDVAR(1, VAR_FORWARD_HOST) }
 +forward-first{COLON}          { YDVAR(1, VAR_FORWARD_FIRST) }
 +do-not-query-address{COLON}   { YDVAR(1, VAR_DO_NOT_QUERY_ADDRESS) }
 +do-not-query-localhost{COLON} { YDVAR(1, VAR_DO_NOT_QUERY_LOCALHOST) }
 +access-control{COLON}         { YDVAR(2, VAR_ACCESS_CONTROL) }
 +hide-identity{COLON}          { YDVAR(1, VAR_HIDE_IDENTITY) }
 +hide-version{COLON}           { YDVAR(1, VAR_HIDE_VERSION) }
 +identity{COLON}                       { YDVAR(1, VAR_IDENTITY) }
 +version{COLON}                        { YDVAR(1, VAR_VERSION) }
 +module-config{COLON}          { YDVAR(1, VAR_MODULE_CONF) }
 +dlv-anchor{COLON}             { YDVAR(1, VAR_DLV_ANCHOR) }
 +dlv-anchor-file{COLON}                { YDVAR(1, VAR_DLV_ANCHOR_FILE) }
 +trust-anchor-file{COLON}      { YDVAR(1, VAR_TRUST_ANCHOR_FILE) }
 +auto-trust-anchor-file{COLON} { YDVAR(1, VAR_AUTO_TRUST_ANCHOR_FILE) }
 +trusted-keys-file{COLON}      { YDVAR(1, VAR_TRUSTED_KEYS_FILE) }
 +trust-anchor{COLON}           { YDVAR(1, VAR_TRUST_ANCHOR) }
 +val-override-date{COLON}      { YDVAR(1, VAR_VAL_OVERRIDE_DATE) }
 +val-sig-skew-min{COLON}               { YDVAR(1, VAR_VAL_SIG_SKEW_MIN) }
 +val-sig-skew-max{COLON}               { YDVAR(1, VAR_VAL_SIG_SKEW_MAX) }
 +val-bogus-ttl{COLON}          { YDVAR(1, VAR_BOGUS_TTL) }
 +val-clean-additional{COLON}   { YDVAR(1, VAR_VAL_CLEAN_ADDITIONAL) }
 +val-permissive-mode{COLON}    { YDVAR(1, VAR_VAL_PERMISSIVE_MODE) }
 +ignore-cd-flag{COLON}         { YDVAR(1, VAR_IGNORE_CD_FLAG) }
 +val-log-level{COLON}          { YDVAR(1, VAR_VAL_LOG_LEVEL) }
 +key-cache-size{COLON}         { YDVAR(1, VAR_KEY_CACHE_SIZE) }
 +key-cache-slabs{COLON}                { YDVAR(1, VAR_KEY_CACHE_SLABS) }
 +neg-cache-size{COLON}         { YDVAR(1, VAR_NEG_CACHE_SIZE) }
 +val-nsec3-keysize-iterations{COLON}   { 
 +                                YDVAR(1, VAR_VAL_NSEC3_KEYSIZE_ITERATIONS) }
 +add-holddown{COLON}           { YDVAR(1, VAR_ADD_HOLDDOWN) }
 +del-holddown{COLON}           { YDVAR(1, VAR_DEL_HOLDDOWN) }
 +keep-missing{COLON}           { YDVAR(1, VAR_KEEP_MISSING) }
 +use-syslog{COLON}             { YDVAR(1, VAR_USE_SYSLOG) }
 +log-time-ascii{COLON}         { YDVAR(1, VAR_LOG_TIME_ASCII) }
 +log-queries{COLON}            { YDVAR(1, VAR_LOG_QUERIES) }
 +local-zone{COLON}             { YDVAR(2, VAR_LOCAL_ZONE) }
 +local-data{COLON}             { YDVAR(1, VAR_LOCAL_DATA) }
 +local-data-ptr{COLON}         { YDVAR(1, VAR_LOCAL_DATA_PTR) }
 +unblock-lan-zones{COLON}      { YDVAR(1, VAR_UNBLOCK_LAN_ZONES) }
 +statistics-interval{COLON}    { YDVAR(1, VAR_STATISTICS_INTERVAL) }
 +statistics-cumulative{COLON}  { YDVAR(1, VAR_STATISTICS_CUMULATIVE) }
 +extended-statistics{COLON}    { YDVAR(1, VAR_EXTENDED_STATISTICS) }
 +remote-control{COLON}         { YDVAR(0, VAR_REMOTE_CONTROL) }
 +control-enable{COLON}         { YDVAR(1, VAR_CONTROL_ENABLE) }
 +control-interface{COLON}      { YDVAR(1, VAR_CONTROL_INTERFACE) }
 +control-port{COLON}           { YDVAR(1, VAR_CONTROL_PORT) }
 +control-use-cert{COLON}               { YDVAR(1, VAR_CONTROL_USE_CERT) }
 +server-key-file{COLON}                { YDVAR(1, VAR_SERVER_KEY_FILE) }
 +server-cert-file{COLON}               { YDVAR(1, VAR_SERVER_CERT_FILE) }
 +control-key-file{COLON}               { YDVAR(1, VAR_CONTROL_KEY_FILE) }
 +control-cert-file{COLON}      { YDVAR(1, VAR_CONTROL_CERT_FILE) }
 +python-script{COLON}          { YDVAR(1, VAR_PYTHON_SCRIPT) }
 +python{COLON}                 { YDVAR(0, VAR_PYTHON) }
 +domain-insecure{COLON}                { YDVAR(1, VAR_DOMAIN_INSECURE) }
 +minimal-responses{COLON}      { YDVAR(1, VAR_MINIMAL_RESPONSES) }
 +rrset-roundrobin{COLON}               { YDVAR(1, VAR_RRSET_ROUNDROBIN) }
 +max-udp-size{COLON}           { YDVAR(1, VAR_MAX_UDP_SIZE) }
 +dns64-prefix{COLON}           { YDVAR(1, VAR_DNS64_PREFIX) }
 +dns64-synthall{COLON}         { YDVAR(1, VAR_DNS64_SYNTHALL) }
 +dnstap{COLON}                 { YDVAR(0, VAR_DNSTAP) }
 +dnstap-enable{COLON}          { YDVAR(1, VAR_DNSTAP_ENABLE) }
 +dnstap-socket-path{COLON}     { YDVAR(1, VAR_DNSTAP_SOCKET_PATH) }
 +dnstap-send-identity{COLON}   { YDVAR(1, VAR_DNSTAP_SEND_IDENTITY) }
 +dnstap-send-version{COLON}    { YDVAR(1, VAR_DNSTAP_SEND_VERSION) }
 +dnstap-identity{COLON}                { YDVAR(1, VAR_DNSTAP_IDENTITY) }
 +dnstap-version{COLON}         { YDVAR(1, VAR_DNSTAP_VERSION) }
 +dnstap-log-resolver-query-messages{COLON}     {
 +              YDVAR(1, VAR_DNSTAP_LOG_RESOLVER_QUERY_MESSAGES) }
 +dnstap-log-resolver-response-messages{COLON}  {
 +              YDVAR(1, VAR_DNSTAP_LOG_RESOLVER_RESPONSE_MESSAGES) }
 +dnstap-log-client-query-messages{COLON}               {
 +              YDVAR(1, VAR_DNSTAP_LOG_CLIENT_QUERY_MESSAGES) }
 +dnstap-log-client-response-messages{COLON}    {
 +              YDVAR(1, VAR_DNSTAP_LOG_CLIENT_RESPONSE_MESSAGES) }
 +dnstap-log-forwarder-query-messages{COLON}    {
 +              YDVAR(1, VAR_DNSTAP_LOG_FORWARDER_QUERY_MESSAGES) }
 +dnstap-log-forwarder-response-messages{COLON} {
 +              YDVAR(1, VAR_DNSTAP_LOG_FORWARDER_RESPONSE_MESSAGES) }
++ratelimit{COLON}              { YDVAR(1, VAR_RATELIMIT) }
++ratelimit-slabs{COLON}                { YDVAR(1, VAR_RATELIMIT_SLABS) }
++ratelimit-size{COLON}         { YDVAR(1, VAR_RATELIMIT_SIZE) }
++ratelimit-for-domain{COLON}   { YDVAR(2, VAR_RATELIMIT_FOR_DOMAIN) }
++ratelimit-below-domain{COLON} { YDVAR(2, VAR_RATELIMIT_BELOW_DOMAIN) }
++ratelimit-factor{COLON}               { YDVAR(1, VAR_RATELIMIT_FACTOR) }
 +<INITIAL,val>{NEWLINE}                { LEXOUT(("NL\n")); cfg_parser->line++; }
 +
 +      /* Quoted strings. Strip leading and ending quotes */
 +<val>\"                       { BEGIN(quotedstring); LEXOUT(("QS ")); }
 +<quotedstring><<EOF>>   {
 +        ub_c_error("EOF inside quoted string");
 +      if(--num_args == 0) { BEGIN(INITIAL); }
 +      else                { BEGIN(val); }
 +}
 +<quotedstring>{DQANY}*  { LEXOUT(("STR(%s) ", ub_c_text)); yymore(); }
 +<quotedstring>{NEWLINE} { ub_c_error("newline inside quoted string, no end \""); 
 +                        cfg_parser->line++; BEGIN(INITIAL); }
 +<quotedstring>\" {
 +        LEXOUT(("QE "));
 +      if(--num_args == 0) { BEGIN(INITIAL); }
 +      else                { BEGIN(val); }
 +        ub_c_text[ub_c_leng - 1] = '\0';
 +      ub_c_lval.str = strdup(ub_c_text);
 +      if(!ub_c_lval.str)
 +              ub_c_error("out of memory");
 +        return STRING_ARG;
 +}
 +
 +      /* Single Quoted strings. Strip leading and ending quotes */
 +<val>\'                       { BEGIN(singlequotedstr); LEXOUT(("SQS ")); }
 +<singlequotedstr><<EOF>>   {
 +        ub_c_error("EOF inside quoted string");
 +      if(--num_args == 0) { BEGIN(INITIAL); }
 +      else                { BEGIN(val); }
 +}
 +<singlequotedstr>{SQANY}*  { LEXOUT(("STR(%s) ", ub_c_text)); yymore(); }
 +<singlequotedstr>{NEWLINE} { ub_c_error("newline inside quoted string, no end '"); 
 +                           cfg_parser->line++; BEGIN(INITIAL); }
 +<singlequotedstr>\' {
 +        LEXOUT(("SQE "));
 +      if(--num_args == 0) { BEGIN(INITIAL); }
 +      else                { BEGIN(val); }
 +        ub_c_text[ub_c_leng - 1] = '\0';
 +      ub_c_lval.str = strdup(ub_c_text);
 +      if(!ub_c_lval.str)
 +              ub_c_error("out of memory");
 +        return STRING_ARG;
 +}
 +
 +      /* include: directive */
 +<INITIAL,val>include{COLON}   { 
 +      LEXOUT(("v(%s) ", ub_c_text)); inc_prev = YYSTATE; BEGIN(include); }
 +<include><<EOF>>      {
 +        ub_c_error("EOF inside include directive");
 +        BEGIN(inc_prev);
 +}
 +<include>{SPACE}*     { LEXOUT(("ISP ")); /* ignore */ }
 +<include>{NEWLINE}    { LEXOUT(("NL\n")); cfg_parser->line++;}
 +<include>\"           { LEXOUT(("IQS ")); BEGIN(include_quoted); }
 +<include>{UNQUOTEDLETTER}*    {
 +      LEXOUT(("Iunquotedstr(%s) ", ub_c_text));
 +      config_start_include_glob(ub_c_text);
 +      BEGIN(inc_prev);
 +}
 +<include_quoted><<EOF>>       {
 +        ub_c_error("EOF inside quoted string");
 +        BEGIN(inc_prev);
 +}
 +<include_quoted>{DQANY}*      { LEXOUT(("ISTR(%s) ", ub_c_text)); yymore(); }
 +<include_quoted>{NEWLINE}     { ub_c_error("newline before \" in include name"); 
 +                                cfg_parser->line++; BEGIN(inc_prev); }
 +<include_quoted>\"    {
 +      LEXOUT(("IQE "));
 +      ub_c_text[ub_c_leng - 1] = '\0';
 +      config_start_include_glob(ub_c_text);
 +      BEGIN(inc_prev);
 +}
 +<INITIAL,val><<EOF>>  {
 +      LEXOUT(("LEXEOF "));
 +      yy_set_bol(1); /* Set beginning of line, so "^" rules match.  */
 +      if (!config_include_stack) {
 +              yyterminate();
 +      } else {
 +              fclose(ub_c_in);
 +              config_end_include();
 +      }
 +}
 +
 +<val>{UNQUOTEDLETTER}*        { LEXOUT(("unquotedstr(%s) ", ub_c_text)); 
 +                      if(--num_args == 0) { BEGIN(INITIAL); }
 +                      ub_c_lval.str = strdup(ub_c_text); return STRING_ARG; }
 +
 +{UNQUOTEDLETTER_NOCOLON}*     {
 +      ub_c_error_msg("unknown keyword '%s'", ub_c_text);
 +      }
 +
 +<*>.  {
 +      ub_c_error_msg("stray '%s'", ub_c_text);
 +      }
 +
 +%%
diff --cc contrib/unbound/util/configparser.y
index 396ea3c64d64ab9b20978e7e4dba4624e6d10256,0000000000000000000000000000000000000000..ad7f3d292cc86b684ca7e0e090dce44d38154b6d
mode 100644,000000..100644
--- 1/contrib/unbound/util/configparser.y
--- /dev/null
+++ b/contrib/unbound/util/configparser.y
@@@ -1,1485 -1,0 +1,1595 @@@
-       server_infra_cache_min_rtt
 +/*
 + * configparser.y -- yacc grammar for unbound configuration files
 + *
 + * Copyright (c) 2001-2006, NLnet Labs. All rights reserved.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + * 
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +%{
 +#include "config.h"
 +
 +#include <stdarg.h>
 +#include <stdio.h>
 +#include <string.h>
 +#include <stdlib.h>
 +#include <assert.h>
 +
 +#include "util/configyyrename.h"
 +#include "util/config_file.h"
 +#include "util/net_help.h"
 +
 +int ub_c_lex(void);
 +void ub_c_error(const char *message);
 +
 +/* these need to be global, otherwise they cannot be used inside yacc */
 +extern struct config_parser_state* cfg_parser;
 +
 +#if 0
 +#define OUTYY(s)  printf s /* used ONLY when debugging */
 +#else
 +#define OUTYY(s)
 +#endif
 +
 +%}
 +%union {
 +      char*   str;
 +};
 +
 +%token SPACE LETTER NEWLINE COMMENT COLON ANY ZONESTR
 +%token <str> STRING_ARG
 +%token VAR_SERVER VAR_VERBOSITY VAR_NUM_THREADS VAR_PORT
 +%token VAR_OUTGOING_RANGE VAR_INTERFACE
 +%token VAR_DO_IP4 VAR_DO_IP6 VAR_DO_UDP VAR_DO_TCP 
 +%token VAR_CHROOT VAR_USERNAME VAR_DIRECTORY VAR_LOGFILE VAR_PIDFILE
 +%token VAR_MSG_CACHE_SIZE VAR_MSG_CACHE_SLABS VAR_NUM_QUERIES_PER_THREAD
 +%token VAR_RRSET_CACHE_SIZE VAR_RRSET_CACHE_SLABS VAR_OUTGOING_NUM_TCP
 +%token VAR_INFRA_HOST_TTL VAR_INFRA_LAME_TTL VAR_INFRA_CACHE_SLABS
 +%token VAR_INFRA_CACHE_NUMHOSTS VAR_INFRA_CACHE_LAME_SIZE VAR_NAME
 +%token VAR_STUB_ZONE VAR_STUB_HOST VAR_STUB_ADDR VAR_TARGET_FETCH_POLICY
 +%token VAR_HARDEN_SHORT_BUFSIZE VAR_HARDEN_LARGE_QUERIES
 +%token VAR_FORWARD_ZONE VAR_FORWARD_HOST VAR_FORWARD_ADDR
 +%token VAR_DO_NOT_QUERY_ADDRESS VAR_HIDE_IDENTITY VAR_HIDE_VERSION
 +%token VAR_IDENTITY VAR_VERSION VAR_HARDEN_GLUE VAR_MODULE_CONF
 +%token VAR_TRUST_ANCHOR_FILE VAR_TRUST_ANCHOR VAR_VAL_OVERRIDE_DATE
 +%token VAR_BOGUS_TTL VAR_VAL_CLEAN_ADDITIONAL VAR_VAL_PERMISSIVE_MODE
 +%token VAR_INCOMING_NUM_TCP VAR_MSG_BUFFER_SIZE VAR_KEY_CACHE_SIZE
 +%token VAR_KEY_CACHE_SLABS VAR_TRUSTED_KEYS_FILE 
 +%token VAR_VAL_NSEC3_KEYSIZE_ITERATIONS VAR_USE_SYSLOG 
 +%token VAR_OUTGOING_INTERFACE VAR_ROOT_HINTS VAR_DO_NOT_QUERY_LOCALHOST
 +%token VAR_CACHE_MAX_TTL VAR_HARDEN_DNSSEC_STRIPPED VAR_ACCESS_CONTROL
 +%token VAR_LOCAL_ZONE VAR_LOCAL_DATA VAR_INTERFACE_AUTOMATIC
 +%token VAR_STATISTICS_INTERVAL VAR_DO_DAEMONIZE VAR_USE_CAPS_FOR_ID
 +%token VAR_STATISTICS_CUMULATIVE VAR_OUTGOING_PORT_PERMIT 
 +%token VAR_OUTGOING_PORT_AVOID VAR_DLV_ANCHOR_FILE VAR_DLV_ANCHOR
 +%token VAR_NEG_CACHE_SIZE VAR_HARDEN_REFERRAL_PATH VAR_PRIVATE_ADDRESS
 +%token VAR_PRIVATE_DOMAIN VAR_REMOTE_CONTROL VAR_CONTROL_ENABLE
 +%token VAR_CONTROL_INTERFACE VAR_CONTROL_PORT VAR_SERVER_KEY_FILE
 +%token VAR_SERVER_CERT_FILE VAR_CONTROL_KEY_FILE VAR_CONTROL_CERT_FILE
 +%token VAR_CONTROL_USE_CERT
 +%token VAR_EXTENDED_STATISTICS VAR_LOCAL_DATA_PTR VAR_JOSTLE_TIMEOUT
 +%token VAR_STUB_PRIME VAR_UNWANTED_REPLY_THRESHOLD VAR_LOG_TIME_ASCII
 +%token VAR_DOMAIN_INSECURE VAR_PYTHON VAR_PYTHON_SCRIPT VAR_VAL_SIG_SKEW_MIN
 +%token VAR_VAL_SIG_SKEW_MAX VAR_CACHE_MIN_TTL VAR_VAL_LOG_LEVEL
 +%token VAR_AUTO_TRUST_ANCHOR_FILE VAR_KEEP_MISSING VAR_ADD_HOLDDOWN 
 +%token VAR_DEL_HOLDDOWN VAR_SO_RCVBUF VAR_EDNS_BUFFER_SIZE VAR_PREFETCH
 +%token VAR_PREFETCH_KEY VAR_SO_SNDBUF VAR_SO_REUSEPORT VAR_HARDEN_BELOW_NXDOMAIN
 +%token VAR_IGNORE_CD_FLAG VAR_LOG_QUERIES VAR_TCP_UPSTREAM VAR_SSL_UPSTREAM
 +%token VAR_SSL_SERVICE_KEY VAR_SSL_SERVICE_PEM VAR_SSL_PORT VAR_FORWARD_FIRST
 +%token VAR_STUB_FIRST VAR_MINIMAL_RESPONSES VAR_RRSET_ROUNDROBIN
 +%token VAR_MAX_UDP_SIZE VAR_DELAY_CLOSE VAR_UNBLOCK_LAN_ZONES
 +%token VAR_INFRA_CACHE_MIN_RTT
 +%token VAR_DNS64_PREFIX VAR_DNS64_SYNTHALL
 +%token VAR_DNSTAP VAR_DNSTAP_ENABLE VAR_DNSTAP_SOCKET_PATH
 +%token VAR_DNSTAP_SEND_IDENTITY VAR_DNSTAP_SEND_VERSION
 +%token VAR_DNSTAP_IDENTITY VAR_DNSTAP_VERSION
 +%token VAR_DNSTAP_LOG_RESOLVER_QUERY_MESSAGES
 +%token VAR_DNSTAP_LOG_RESOLVER_RESPONSE_MESSAGES
 +%token VAR_DNSTAP_LOG_CLIENT_QUERY_MESSAGES
 +%token VAR_DNSTAP_LOG_CLIENT_RESPONSE_MESSAGES
 +%token VAR_DNSTAP_LOG_FORWARDER_QUERY_MESSAGES
 +%token VAR_DNSTAP_LOG_FORWARDER_RESPONSE_MESSAGES
++%token VAR_HARDEN_ALGO_DOWNGRADE VAR_IP_TRANSPARENT
++%token VAR_RATELIMIT VAR_RATELIMIT_SLABS VAR_RATELIMIT_SIZE
++%token VAR_RATELIMIT_FOR_DOMAIN VAR_RATELIMIT_BELOW_DOMAIN VAR_RATELIMIT_FACTOR
++%token VAR_CAPS_WHITELIST VAR_CACHE_MAX_NEGATIVE_TTL
 +
 +%%
 +toplevelvars: /* empty */ | toplevelvars toplevelvar ;
 +toplevelvar: serverstart contents_server | stubstart contents_stub |
 +      forwardstart contents_forward | pythonstart contents_py | 
 +      rcstart contents_rc | dtstart contents_dt
 +      ;
 +
 +/* server: declaration */
 +serverstart: VAR_SERVER
 +      { 
 +              OUTYY(("\nP(server:)\n")); 
 +      }
 +      ;
 +contents_server: contents_server content_server 
 +      | ;
 +content_server: server_num_threads | server_verbosity | server_port |
 +      server_outgoing_range | server_do_ip4 |
 +      server_do_ip6 | server_do_udp | server_do_tcp | 
 +      server_interface | server_chroot | server_username | 
 +      server_directory | server_logfile | server_pidfile |
 +      server_msg_cache_size | server_msg_cache_slabs |
 +      server_num_queries_per_thread | server_rrset_cache_size | 
 +      server_rrset_cache_slabs | server_outgoing_num_tcp | 
 +      server_infra_host_ttl | server_infra_lame_ttl | 
 +      server_infra_cache_slabs | server_infra_cache_numhosts |
 +      server_infra_cache_lame_size | server_target_fetch_policy | 
 +      server_harden_short_bufsize | server_harden_large_queries |
 +      server_do_not_query_address | server_hide_identity |
 +      server_hide_version | server_identity | server_version |
 +      server_harden_glue | server_module_conf | server_trust_anchor_file |
 +      server_trust_anchor | server_val_override_date | server_bogus_ttl |
 +      server_val_clean_additional | server_val_permissive_mode |
 +      server_incoming_num_tcp | server_msg_buffer_size | 
 +      server_key_cache_size | server_key_cache_slabs | 
 +      server_trusted_keys_file | server_val_nsec3_keysize_iterations |
 +      server_use_syslog | server_outgoing_interface | server_root_hints |
 +      server_do_not_query_localhost | server_cache_max_ttl |
 +      server_harden_dnssec_stripped | server_access_control |
 +      server_local_zone | server_local_data | server_interface_automatic |
 +      server_statistics_interval | server_do_daemonize | 
 +      server_use_caps_for_id | server_statistics_cumulative |
 +      server_outgoing_port_permit | server_outgoing_port_avoid |
 +      server_dlv_anchor_file | server_dlv_anchor | server_neg_cache_size |
 +      server_harden_referral_path | server_private_address |
 +      server_private_domain | server_extended_statistics | 
 +      server_local_data_ptr | server_jostle_timeout | 
 +      server_unwanted_reply_threshold | server_log_time_ascii | 
 +      server_domain_insecure | server_val_sig_skew_min | 
 +      server_val_sig_skew_max | server_cache_min_ttl | server_val_log_level |
 +      server_auto_trust_anchor_file | server_add_holddown | 
 +      server_del_holddown | server_keep_missing | server_so_rcvbuf |
 +      server_edns_buffer_size | server_prefetch | server_prefetch_key |
 +      server_so_sndbuf | server_harden_below_nxdomain | server_ignore_cd_flag |
 +      server_log_queries | server_tcp_upstream | server_ssl_upstream |
 +      server_ssl_service_key | server_ssl_service_pem | server_ssl_port |
 +      server_minimal_responses | server_rrset_roundrobin | server_max_udp_size |
 +      server_so_reuseport | server_delay_close | server_unblock_lan_zones |
 +      server_dns64_prefix | server_dns64_synthall |
-                  strcmp($3, "inform")!=0)
++      server_infra_cache_min_rtt | server_harden_algo_downgrade |
++      server_ip_transparent | server_ratelimit | server_ratelimit_slabs |
++      server_ratelimit_size | server_ratelimit_for_domain |
++      server_ratelimit_below_domain | server_ratelimit_factor |
++      server_caps_whitelist | server_cache_max_negative_ttl
 +      ;
 +stubstart: VAR_STUB_ZONE
 +      {
 +              struct config_stub* s;
 +              OUTYY(("\nP(stub_zone:)\n")); 
 +              s = (struct config_stub*)calloc(1, sizeof(struct config_stub));
 +              if(s) {
 +                      s->next = cfg_parser->cfg->stubs;
 +                      cfg_parser->cfg->stubs = s;
 +              } else 
 +                      yyerror("out of memory");
 +      }
 +      ;
 +contents_stub: contents_stub content_stub 
 +      | ;
 +content_stub: stub_name | stub_host | stub_addr | stub_prime | stub_first
 +      ;
 +forwardstart: VAR_FORWARD_ZONE
 +      {
 +              struct config_stub* s;
 +              OUTYY(("\nP(forward_zone:)\n")); 
 +              s = (struct config_stub*)calloc(1, sizeof(struct config_stub));
 +              if(s) {
 +                      s->next = cfg_parser->cfg->forwards;
 +                      cfg_parser->cfg->forwards = s;
 +              } else 
 +                      yyerror("out of memory");
 +      }
 +      ;
 +contents_forward: contents_forward content_forward 
 +      | ;
 +content_forward: forward_name | forward_host | forward_addr | forward_first
 +      ;
 +server_num_threads: VAR_NUM_THREADS STRING_ARG 
 +      { 
 +              OUTYY(("P(server_num_threads:%s)\n", $2)); 
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->num_threads = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_verbosity: VAR_VERBOSITY STRING_ARG 
 +      { 
 +              OUTYY(("P(server_verbosity:%s)\n", $2)); 
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->verbosity = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_statistics_interval: VAR_STATISTICS_INTERVAL STRING_ARG 
 +      { 
 +              OUTYY(("P(server_statistics_interval:%s)\n", $2)); 
 +              if(strcmp($2, "") == 0 || strcmp($2, "0") == 0)
 +                      cfg_parser->cfg->stat_interval = 0;
 +              else if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->stat_interval = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_statistics_cumulative: VAR_STATISTICS_CUMULATIVE STRING_ARG
 +      {
 +              OUTYY(("P(server_statistics_cumulative:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->stat_cumulative = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_extended_statistics: VAR_EXTENDED_STATISTICS STRING_ARG
 +      {
 +              OUTYY(("P(server_extended_statistics:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->stat_extended = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_port: VAR_PORT STRING_ARG
 +      {
 +              OUTYY(("P(server_port:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("port number expected");
 +              else cfg_parser->cfg->port = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_interface: VAR_INTERFACE STRING_ARG
 +      {
 +              OUTYY(("P(server_interface:%s)\n", $2));
 +              if(cfg_parser->cfg->num_ifs == 0)
 +                      cfg_parser->cfg->ifs = calloc(1, sizeof(char*));
 +              else    cfg_parser->cfg->ifs = realloc(cfg_parser->cfg->ifs,
 +                              (cfg_parser->cfg->num_ifs+1)*sizeof(char*));
 +              if(!cfg_parser->cfg->ifs)
 +                      yyerror("out of memory");
 +              else
 +                      cfg_parser->cfg->ifs[cfg_parser->cfg->num_ifs++] = $2;
 +      }
 +      ;
 +server_outgoing_interface: VAR_OUTGOING_INTERFACE STRING_ARG
 +      {
 +              OUTYY(("P(server_outgoing_interface:%s)\n", $2));
 +              if(cfg_parser->cfg->num_out_ifs == 0)
 +                      cfg_parser->cfg->out_ifs = calloc(1, sizeof(char*));
 +              else    cfg_parser->cfg->out_ifs = realloc(
 +                      cfg_parser->cfg->out_ifs, 
 +                      (cfg_parser->cfg->num_out_ifs+1)*sizeof(char*));
 +              if(!cfg_parser->cfg->out_ifs)
 +                      yyerror("out of memory");
 +              else
 +                      cfg_parser->cfg->out_ifs[
 +                              cfg_parser->cfg->num_out_ifs++] = $2;
 +      }
 +      ;
 +server_outgoing_range: VAR_OUTGOING_RANGE STRING_ARG
 +      {
 +              OUTYY(("P(server_outgoing_range:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->outgoing_num_ports = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_outgoing_port_permit: VAR_OUTGOING_PORT_PERMIT STRING_ARG
 +      {
 +              OUTYY(("P(server_outgoing_port_permit:%s)\n", $2));
 +              if(!cfg_mark_ports($2, 1, 
 +                      cfg_parser->cfg->outgoing_avail_ports, 65536))
 +                      yyerror("port number or range (\"low-high\") expected");
 +              free($2);
 +      }
 +      ;
 +server_outgoing_port_avoid: VAR_OUTGOING_PORT_AVOID STRING_ARG
 +      {
 +              OUTYY(("P(server_outgoing_port_avoid:%s)\n", $2));
 +              if(!cfg_mark_ports($2, 0, 
 +                      cfg_parser->cfg->outgoing_avail_ports, 65536))
 +                      yyerror("port number or range (\"low-high\") expected");
 +              free($2);
 +      }
 +      ;
 +server_outgoing_num_tcp: VAR_OUTGOING_NUM_TCP STRING_ARG
 +      {
 +              OUTYY(("P(server_outgoing_num_tcp:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->outgoing_num_tcp = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_incoming_num_tcp: VAR_INCOMING_NUM_TCP STRING_ARG
 +      {
 +              OUTYY(("P(server_incoming_num_tcp:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->incoming_num_tcp = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_interface_automatic: VAR_INTERFACE_AUTOMATIC STRING_ARG
 +      {
 +              OUTYY(("P(server_interface_automatic:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->if_automatic = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_do_ip4: VAR_DO_IP4 STRING_ARG
 +      {
 +              OUTYY(("P(server_do_ip4:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->do_ip4 = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_do_ip6: VAR_DO_IP6 STRING_ARG
 +      {
 +              OUTYY(("P(server_do_ip6:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->do_ip6 = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_do_udp: VAR_DO_UDP STRING_ARG
 +      {
 +              OUTYY(("P(server_do_udp:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->do_udp = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_do_tcp: VAR_DO_TCP STRING_ARG
 +      {
 +              OUTYY(("P(server_do_tcp:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->do_tcp = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_tcp_upstream: VAR_TCP_UPSTREAM STRING_ARG
 +      {
 +              OUTYY(("P(server_tcp_upstream:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->tcp_upstream = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_ssl_upstream: VAR_SSL_UPSTREAM STRING_ARG
 +      {
 +              OUTYY(("P(server_ssl_upstream:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->ssl_upstream = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_ssl_service_key: VAR_SSL_SERVICE_KEY STRING_ARG
 +      {
 +              OUTYY(("P(server_ssl_service_key:%s)\n", $2));
 +              free(cfg_parser->cfg->ssl_service_key);
 +              cfg_parser->cfg->ssl_service_key = $2;
 +      }
 +      ;
 +server_ssl_service_pem: VAR_SSL_SERVICE_PEM STRING_ARG
 +      {
 +              OUTYY(("P(server_ssl_service_pem:%s)\n", $2));
 +              free(cfg_parser->cfg->ssl_service_pem);
 +              cfg_parser->cfg->ssl_service_pem = $2;
 +      }
 +      ;
 +server_ssl_port: VAR_SSL_PORT STRING_ARG
 +      {
 +              OUTYY(("P(server_ssl_port:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("port number expected");
 +              else cfg_parser->cfg->ssl_port = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_do_daemonize: VAR_DO_DAEMONIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_do_daemonize:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->do_daemonize = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_use_syslog: VAR_USE_SYSLOG STRING_ARG
 +      {
 +              OUTYY(("P(server_use_syslog:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->use_syslog = (strcmp($2, "yes")==0);
 +#if !defined(HAVE_SYSLOG_H) && !defined(UB_ON_WINDOWS)
 +              if(strcmp($2, "yes") == 0)
 +                      yyerror("no syslog services are available. "
 +                              "(reconfigure and compile to add)");
 +#endif
 +              free($2);
 +      }
 +      ;
 +server_log_time_ascii: VAR_LOG_TIME_ASCII STRING_ARG
 +      {
 +              OUTYY(("P(server_log_time_ascii:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->log_time_ascii = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_log_queries: VAR_LOG_QUERIES STRING_ARG
 +      {
 +              OUTYY(("P(server_log_queries:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->log_queries = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_chroot: VAR_CHROOT STRING_ARG
 +      {
 +              OUTYY(("P(server_chroot:%s)\n", $2));
 +              free(cfg_parser->cfg->chrootdir);
 +              cfg_parser->cfg->chrootdir = $2;
 +      }
 +      ;
 +server_username: VAR_USERNAME STRING_ARG
 +      {
 +              OUTYY(("P(server_username:%s)\n", $2));
 +              free(cfg_parser->cfg->username);
 +              cfg_parser->cfg->username = $2;
 +      }
 +      ;
 +server_directory: VAR_DIRECTORY STRING_ARG
 +      {
 +              OUTYY(("P(server_directory:%s)\n", $2));
 +              free(cfg_parser->cfg->directory);
 +              cfg_parser->cfg->directory = $2;
 +      }
 +      ;
 +server_logfile: VAR_LOGFILE STRING_ARG
 +      {
 +              OUTYY(("P(server_logfile:%s)\n", $2));
 +              free(cfg_parser->cfg->logfile);
 +              cfg_parser->cfg->logfile = $2;
 +              cfg_parser->cfg->use_syslog = 0;
 +      }
 +      ;
 +server_pidfile: VAR_PIDFILE STRING_ARG
 +      {
 +              OUTYY(("P(server_pidfile:%s)\n", $2));
 +              free(cfg_parser->cfg->pidfile);
 +              cfg_parser->cfg->pidfile = $2;
 +      }
 +      ;
 +server_root_hints: VAR_ROOT_HINTS STRING_ARG
 +      {
 +              OUTYY(("P(server_root_hints:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->root_hints, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_dlv_anchor_file: VAR_DLV_ANCHOR_FILE STRING_ARG
 +      {
 +              OUTYY(("P(server_dlv_anchor_file:%s)\n", $2));
 +              free(cfg_parser->cfg->dlv_anchor_file);
 +              cfg_parser->cfg->dlv_anchor_file = $2;
 +      }
 +      ;
 +server_dlv_anchor: VAR_DLV_ANCHOR STRING_ARG
 +      {
 +              OUTYY(("P(server_dlv_anchor:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->dlv_anchor_list, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_auto_trust_anchor_file: VAR_AUTO_TRUST_ANCHOR_FILE STRING_ARG
 +      {
 +              OUTYY(("P(server_auto_trust_anchor_file:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->
 +                      auto_trust_anchor_file_list, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_trust_anchor_file: VAR_TRUST_ANCHOR_FILE STRING_ARG
 +      {
 +              OUTYY(("P(server_trust_anchor_file:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->
 +                      trust_anchor_file_list, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_trusted_keys_file: VAR_TRUSTED_KEYS_FILE STRING_ARG
 +      {
 +              OUTYY(("P(server_trusted_keys_file:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->
 +                      trusted_keys_file_list, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_trust_anchor: VAR_TRUST_ANCHOR STRING_ARG
 +      {
 +              OUTYY(("P(server_trust_anchor:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->trust_anchor_list, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_domain_insecure: VAR_DOMAIN_INSECURE STRING_ARG
 +      {
 +              OUTYY(("P(server_domain_insecure:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->domain_insecure, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_hide_identity: VAR_HIDE_IDENTITY STRING_ARG
 +      {
 +              OUTYY(("P(server_hide_identity:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->hide_identity = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_hide_version: VAR_HIDE_VERSION STRING_ARG
 +      {
 +              OUTYY(("P(server_hide_version:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->hide_version = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_identity: VAR_IDENTITY STRING_ARG
 +      {
 +              OUTYY(("P(server_identity:%s)\n", $2));
 +              free(cfg_parser->cfg->identity);
 +              cfg_parser->cfg->identity = $2;
 +      }
 +      ;
 +server_version: VAR_VERSION STRING_ARG
 +      {
 +              OUTYY(("P(server_version:%s)\n", $2));
 +              free(cfg_parser->cfg->version);
 +              cfg_parser->cfg->version = $2;
 +      }
 +      ;
 +server_so_rcvbuf: VAR_SO_RCVBUF STRING_ARG
 +      {
 +              OUTYY(("P(server_so_rcvbuf:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->so_rcvbuf))
 +                      yyerror("buffer size expected");
 +              free($2);
 +      }
 +      ;
 +server_so_sndbuf: VAR_SO_SNDBUF STRING_ARG
 +      {
 +              OUTYY(("P(server_so_sndbuf:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->so_sndbuf))
 +                      yyerror("buffer size expected");
 +              free($2);
 +      }
 +      ;
 +server_so_reuseport: VAR_SO_REUSEPORT STRING_ARG
 +    {
 +        OUTYY(("P(server_so_reuseport:%s)\n", $2));
 +        if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +            yyerror("expected yes or no.");
 +        else cfg_parser->cfg->so_reuseport =
 +            (strcmp($2, "yes")==0);
 +        free($2);
 +    }
 +    ;
++server_ip_transparent: VAR_IP_TRANSPARENT STRING_ARG
++    {
++        OUTYY(("P(server_ip_transparent:%s)\n", $2));
++        if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
++            yyerror("expected yes or no.");
++        else cfg_parser->cfg->ip_transparent =
++            (strcmp($2, "yes")==0);
++        free($2);
++    }
++    ;
 +server_edns_buffer_size: VAR_EDNS_BUFFER_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_edns_buffer_size:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else if (atoi($2) < 12)
 +                      yyerror("edns buffer size too small");
 +              else if (atoi($2) > 65535)
 +                      cfg_parser->cfg->edns_buffer_size = 65535;
 +              else cfg_parser->cfg->edns_buffer_size = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_msg_buffer_size: VAR_MSG_BUFFER_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_msg_buffer_size:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else if (atoi($2) < 4096)
 +                      yyerror("message buffer size too small (use 4096)");
 +              else cfg_parser->cfg->msg_buffer_size = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_msg_cache_size: VAR_MSG_CACHE_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_msg_cache_size:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->msg_cache_size))
 +                      yyerror("memory size expected");
 +              free($2);
 +      }
 +      ;
 +server_msg_cache_slabs: VAR_MSG_CACHE_SLABS STRING_ARG
 +      {
 +              OUTYY(("P(server_msg_cache_slabs:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else {
 +                      cfg_parser->cfg->msg_cache_slabs = atoi($2);
 +                      if(!is_pow2(cfg_parser->cfg->msg_cache_slabs))
 +                              yyerror("must be a power of 2");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_num_queries_per_thread: VAR_NUM_QUERIES_PER_THREAD STRING_ARG
 +      {
 +              OUTYY(("P(server_num_queries_per_thread:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->num_queries_per_thread = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_jostle_timeout: VAR_JOSTLE_TIMEOUT STRING_ARG
 +      {
 +              OUTYY(("P(server_jostle_timeout:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->jostle_time = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_delay_close: VAR_DELAY_CLOSE STRING_ARG
 +      {
 +              OUTYY(("P(server_delay_close:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->delay_close = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_unblock_lan_zones: VAR_UNBLOCK_LAN_ZONES STRING_ARG
 +      {
 +              OUTYY(("P(server_unblock_lan_zones:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->unblock_lan_zones = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_rrset_cache_size: VAR_RRSET_CACHE_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_rrset_cache_size:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->rrset_cache_size))
 +                      yyerror("memory size expected");
 +              free($2);
 +      }
 +      ;
 +server_rrset_cache_slabs: VAR_RRSET_CACHE_SLABS STRING_ARG
 +      {
 +              OUTYY(("P(server_rrset_cache_slabs:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else {
 +                      cfg_parser->cfg->rrset_cache_slabs = atoi($2);
 +                      if(!is_pow2(cfg_parser->cfg->rrset_cache_slabs))
 +                              yyerror("must be a power of 2");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_infra_host_ttl: VAR_INFRA_HOST_TTL STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_host_ttl:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->host_ttl = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_infra_lame_ttl: VAR_INFRA_LAME_TTL STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_lame_ttl:%s)\n", $2));
 +              verbose(VERB_DETAIL, "ignored infra-lame-ttl: %s (option "
 +                      "removed, use infra-host-ttl)", $2);
 +              free($2);
 +      }
 +      ;
 +server_infra_cache_numhosts: VAR_INFRA_CACHE_NUMHOSTS STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_cache_numhosts:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->infra_cache_numhosts = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_infra_cache_lame_size: VAR_INFRA_CACHE_LAME_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_cache_lame_size:%s)\n", $2));
 +              verbose(VERB_DETAIL, "ignored infra-cache-lame-size: %s "
 +                      "(option removed, use infra-cache-numhosts)", $2);
 +              free($2);
 +      }
 +      ;
 +server_infra_cache_slabs: VAR_INFRA_CACHE_SLABS STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_cache_slabs:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else {
 +                      cfg_parser->cfg->infra_cache_slabs = atoi($2);
 +                      if(!is_pow2(cfg_parser->cfg->infra_cache_slabs))
 +                              yyerror("must be a power of 2");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_infra_cache_min_rtt: VAR_INFRA_CACHE_MIN_RTT STRING_ARG
 +      {
 +              OUTYY(("P(server_infra_cache_min_rtt:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->infra_cache_min_rtt = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_target_fetch_policy: VAR_TARGET_FETCH_POLICY STRING_ARG
 +      {
 +              OUTYY(("P(server_target_fetch_policy:%s)\n", $2));
 +              free(cfg_parser->cfg->target_fetch_policy);
 +              cfg_parser->cfg->target_fetch_policy = $2;
 +      }
 +      ;
 +server_harden_short_bufsize: VAR_HARDEN_SHORT_BUFSIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_short_bufsize:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_short_bufsize = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_harden_large_queries: VAR_HARDEN_LARGE_QUERIES STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_large_queries:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_large_queries = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_harden_glue: VAR_HARDEN_GLUE STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_glue:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_glue = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_harden_dnssec_stripped: VAR_HARDEN_DNSSEC_STRIPPED STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_dnssec_stripped:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_dnssec_stripped = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_harden_below_nxdomain: VAR_HARDEN_BELOW_NXDOMAIN STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_below_nxdomain:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_below_nxdomain = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_harden_referral_path: VAR_HARDEN_REFERRAL_PATH STRING_ARG
 +      {
 +              OUTYY(("P(server_harden_referral_path:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->harden_referral_path = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
++server_harden_algo_downgrade: VAR_HARDEN_ALGO_DOWNGRADE STRING_ARG
++      {
++              OUTYY(("P(server_harden_algo_downgrade:%s)\n", $2));
++              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
++                      yyerror("expected yes or no.");
++              else cfg_parser->cfg->harden_algo_downgrade = 
++                      (strcmp($2, "yes")==0);
++              free($2);
++      }
++      ;
 +server_use_caps_for_id: VAR_USE_CAPS_FOR_ID STRING_ARG
 +      {
 +              OUTYY(("P(server_use_caps_for_id:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->use_caps_bits_for_id = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
++server_caps_whitelist: VAR_CAPS_WHITELIST STRING_ARG
++      {
++              OUTYY(("P(server_caps_whitelist:%s)\n", $2));
++              if(!cfg_strlist_insert(&cfg_parser->cfg->caps_whitelist, $2))
++                      yyerror("out of memory");
++      }
++      ;
 +server_private_address: VAR_PRIVATE_ADDRESS STRING_ARG
 +      {
 +              OUTYY(("P(server_private_address:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->private_address, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_private_domain: VAR_PRIVATE_DOMAIN STRING_ARG
 +      {
 +              OUTYY(("P(server_private_domain:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->private_domain, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_prefetch: VAR_PREFETCH STRING_ARG
 +      {
 +              OUTYY(("P(server_prefetch:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->prefetch = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_prefetch_key: VAR_PREFETCH_KEY STRING_ARG
 +      {
 +              OUTYY(("P(server_prefetch_key:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->prefetch_key = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_unwanted_reply_threshold: VAR_UNWANTED_REPLY_THRESHOLD STRING_ARG
 +      {
 +              OUTYY(("P(server_unwanted_reply_threshold:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->unwanted_threshold = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_do_not_query_address: VAR_DO_NOT_QUERY_ADDRESS STRING_ARG
 +      {
 +              OUTYY(("P(server_do_not_query_address:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->donotqueryaddrs, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +server_do_not_query_localhost: VAR_DO_NOT_QUERY_LOCALHOST STRING_ARG
 +      {
 +              OUTYY(("P(server_do_not_query_localhost:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->donotquery_localhost = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_access_control: VAR_ACCESS_CONTROL STRING_ARG STRING_ARG
 +      {
 +              OUTYY(("P(server_access_control:%s %s)\n", $2, $3));
 +              if(strcmp($3, "deny")!=0 && strcmp($3, "refuse")!=0 &&
 +                      strcmp($3, "deny_non_local")!=0 &&
 +                      strcmp($3, "refuse_non_local")!=0 &&
 +                      strcmp($3, "allow")!=0 && 
 +                      strcmp($3, "allow_snoop")!=0) {
 +                      yyerror("expected deny, refuse, deny_non_local, "
 +                              "refuse_non_local, allow or allow_snoop "
 +                              "in access control action");
 +              } else {
 +                      if(!cfg_str2list_insert(&cfg_parser->cfg->acls, $2, $3))
 +                              fatal_exit("out of memory adding acl");
 +              }
 +      }
 +      ;
 +server_module_conf: VAR_MODULE_CONF STRING_ARG
 +      {
 +              OUTYY(("P(server_module_conf:%s)\n", $2));
 +              free(cfg_parser->cfg->module_conf);
 +              cfg_parser->cfg->module_conf = $2;
 +      }
 +      ;
 +server_val_override_date: VAR_VAL_OVERRIDE_DATE STRING_ARG
 +      {
 +              OUTYY(("P(server_val_override_date:%s)\n", $2));
 +              if(strlen($2) == 0 || strcmp($2, "0") == 0) {
 +                      cfg_parser->cfg->val_date_override = 0;
 +              } else if(strlen($2) == 14) {
 +                      cfg_parser->cfg->val_date_override = 
 +                              cfg_convert_timeval($2);
 +                      if(!cfg_parser->cfg->val_date_override)
 +                              yyerror("bad date/time specification");
 +              } else {
 +                      if(atoi($2) == 0)
 +                              yyerror("number expected");
 +                      cfg_parser->cfg->val_date_override = atoi($2);
 +              }
 +              free($2);
 +      }
 +      ;
 +server_val_sig_skew_min: VAR_VAL_SIG_SKEW_MIN STRING_ARG
 +      {
 +              OUTYY(("P(server_val_sig_skew_min:%s)\n", $2));
 +              if(strlen($2) == 0 || strcmp($2, "0") == 0) {
 +                      cfg_parser->cfg->val_sig_skew_min = 0;
 +              } else {
 +                      cfg_parser->cfg->val_sig_skew_min = atoi($2);
 +                      if(!cfg_parser->cfg->val_sig_skew_min)
 +                              yyerror("number expected");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_val_sig_skew_max: VAR_VAL_SIG_SKEW_MAX STRING_ARG
 +      {
 +              OUTYY(("P(server_val_sig_skew_max:%s)\n", $2));
 +              if(strlen($2) == 0 || strcmp($2, "0") == 0) {
 +                      cfg_parser->cfg->val_sig_skew_max = 0;
 +              } else {
 +                      cfg_parser->cfg->val_sig_skew_max = atoi($2);
 +                      if(!cfg_parser->cfg->val_sig_skew_max)
 +                              yyerror("number expected");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_cache_max_ttl: VAR_CACHE_MAX_TTL STRING_ARG
 +      {
 +              OUTYY(("P(server_cache_max_ttl:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->max_ttl = atoi($2);
 +              free($2);
 +      }
 +      ;
++server_cache_max_negative_ttl: VAR_CACHE_MAX_NEGATIVE_TTL STRING_ARG
++      {
++              OUTYY(("P(server_cache_max_negative_ttl:%s)\n", $2));
++              if(atoi($2) == 0 && strcmp($2, "0") != 0)
++                      yyerror("number expected");
++              else cfg_parser->cfg->max_negative_ttl = atoi($2);
++              free($2);
++      }
++      ;
 +server_cache_min_ttl: VAR_CACHE_MIN_TTL STRING_ARG
 +      {
 +              OUTYY(("P(server_cache_min_ttl:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->min_ttl = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_bogus_ttl: VAR_BOGUS_TTL STRING_ARG
 +      {
 +              OUTYY(("P(server_bogus_ttl:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->bogus_ttl = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_val_clean_additional: VAR_VAL_CLEAN_ADDITIONAL STRING_ARG
 +      {
 +              OUTYY(("P(server_val_clean_additional:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->val_clean_additional = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_val_permissive_mode: VAR_VAL_PERMISSIVE_MODE STRING_ARG
 +      {
 +              OUTYY(("P(server_val_permissive_mode:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->val_permissive_mode = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_ignore_cd_flag: VAR_IGNORE_CD_FLAG STRING_ARG
 +      {
 +              OUTYY(("P(server_ignore_cd_flag:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->ignore_cd = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_val_log_level: VAR_VAL_LOG_LEVEL STRING_ARG
 +      {
 +              OUTYY(("P(server_val_log_level:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->val_log_level = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_val_nsec3_keysize_iterations: VAR_VAL_NSEC3_KEYSIZE_ITERATIONS STRING_ARG
 +      {
 +              OUTYY(("P(server_val_nsec3_keysize_iterations:%s)\n", $2));
 +              free(cfg_parser->cfg->val_nsec3_key_iterations);
 +              cfg_parser->cfg->val_nsec3_key_iterations = $2;
 +      }
 +      ;
 +server_add_holddown: VAR_ADD_HOLDDOWN STRING_ARG
 +      {
 +              OUTYY(("P(server_add_holddown:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->add_holddown = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_del_holddown: VAR_DEL_HOLDDOWN STRING_ARG
 +      {
 +              OUTYY(("P(server_del_holddown:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->del_holddown = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_keep_missing: VAR_KEEP_MISSING STRING_ARG
 +      {
 +              OUTYY(("P(server_keep_missing:%s)\n", $2));
 +              if(atoi($2) == 0 && strcmp($2, "0") != 0)
 +                      yyerror("number expected");
 +              else cfg_parser->cfg->keep_missing = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_key_cache_size: VAR_KEY_CACHE_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_key_cache_size:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->key_cache_size))
 +                      yyerror("memory size expected");
 +              free($2);
 +      }
 +      ;
 +server_key_cache_slabs: VAR_KEY_CACHE_SLABS STRING_ARG
 +      {
 +              OUTYY(("P(server_key_cache_slabs:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("number expected");
 +              else {
 +                      cfg_parser->cfg->key_cache_slabs = atoi($2);
 +                      if(!is_pow2(cfg_parser->cfg->key_cache_slabs))
 +                              yyerror("must be a power of 2");
 +              }
 +              free($2);
 +      }
 +      ;
 +server_neg_cache_size: VAR_NEG_CACHE_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_neg_cache_size:%s)\n", $2));
 +              if(!cfg_parse_memsize($2, &cfg_parser->cfg->neg_cache_size))
 +                      yyerror("memory size expected");
 +              free($2);
 +      }
 +      ;
 +server_local_zone: VAR_LOCAL_ZONE STRING_ARG STRING_ARG
 +      {
 +              OUTYY(("P(server_local_zone:%s %s)\n", $2, $3));
 +              if(strcmp($3, "static")!=0 && strcmp($3, "deny")!=0 &&
 +                 strcmp($3, "refuse")!=0 && strcmp($3, "redirect")!=0 &&
 +                 strcmp($3, "transparent")!=0 && strcmp($3, "nodefault")!=0
 +                 && strcmp($3, "typetransparent")!=0 &&
-                               "typetransparent, inform or nodefault");
++                 strcmp($3, "inform")!=0 && strcmp($3, "inform_deny")!=0)
 +                      yyerror("local-zone type: expected static, deny, "
 +                              "refuse, redirect, transparent, "
++                              "typetransparent, inform, inform_deny "
++                              "or nodefault");
 +              else if(strcmp($3, "nodefault")==0) {
 +                      if(!cfg_strlist_insert(&cfg_parser->cfg->
 +                              local_zones_nodefault, $2))
 +                              fatal_exit("out of memory adding local-zone");
 +                      free($3);
 +              } else {
 +                      if(!cfg_str2list_insert(&cfg_parser->cfg->local_zones, 
 +                              $2, $3))
 +                              fatal_exit("out of memory adding local-zone");
 +              }
 +      }
 +      ;
 +server_local_data: VAR_LOCAL_DATA STRING_ARG
 +      {
 +              OUTYY(("P(server_local_data:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->local_data, $2))
 +                      fatal_exit("out of memory adding local-data");
 +      }
 +      ;
 +server_local_data_ptr: VAR_LOCAL_DATA_PTR STRING_ARG
 +      {
 +              char* ptr;
 +              OUTYY(("P(server_local_data_ptr:%s)\n", $2));
 +              ptr = cfg_ptr_reverse($2);
 +              free($2);
 +              if(ptr) {
 +                      if(!cfg_strlist_insert(&cfg_parser->cfg->
 +                              local_data, ptr))
 +                              fatal_exit("out of memory adding local-data");
 +              } else {
 +                      yyerror("local-data-ptr could not be reversed");
 +              }
 +      }
 +      ;
 +server_minimal_responses: VAR_MINIMAL_RESPONSES STRING_ARG
 +      {
 +              OUTYY(("P(server_minimal_responses:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->minimal_responses =
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_rrset_roundrobin: VAR_RRSET_ROUNDROBIN STRING_ARG
 +      {
 +              OUTYY(("P(server_rrset_roundrobin:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->rrset_roundrobin =
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +server_max_udp_size: VAR_MAX_UDP_SIZE STRING_ARG
 +      {
 +              OUTYY(("P(server_max_udp_size:%s)\n", $2));
 +              cfg_parser->cfg->max_udp_size = atoi($2);
 +              free($2);
 +      }
 +      ;
 +server_dns64_prefix: VAR_DNS64_PREFIX STRING_ARG
 +      {
 +              OUTYY(("P(dns64_prefix:%s)\n", $2));
 +              free(cfg_parser->cfg->dns64_prefix);
 +              cfg_parser->cfg->dns64_prefix = $2;
 +      }
 +      ;
 +server_dns64_synthall: VAR_DNS64_SYNTHALL STRING_ARG
 +      {
 +              OUTYY(("P(server_dns64_synthall:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dns64_synthall = (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
++server_ratelimit: VAR_RATELIMIT STRING_ARG 
++      { 
++              OUTYY(("P(server_ratelimit:%s)\n", $2)); 
++              if(atoi($2) == 0 && strcmp($2, "0") != 0)
++                      yyerror("number expected");
++              else cfg_parser->cfg->ratelimit = atoi($2);
++              free($2);
++      }
++      ;
++server_ratelimit_size: VAR_RATELIMIT_SIZE STRING_ARG
++      {
++              OUTYY(("P(server_ratelimit_size:%s)\n", $2));
++              if(!cfg_parse_memsize($2, &cfg_parser->cfg->ratelimit_size))
++                      yyerror("memory size expected");
++              free($2);
++      }
++      ;
++server_ratelimit_slabs: VAR_RATELIMIT_SLABS STRING_ARG
++      {
++              OUTYY(("P(server_ratelimit_slabs:%s)\n", $2));
++              if(atoi($2) == 0)
++                      yyerror("number expected");
++              else {
++                      cfg_parser->cfg->ratelimit_slabs = atoi($2);
++                      if(!is_pow2(cfg_parser->cfg->ratelimit_slabs))
++                              yyerror("must be a power of 2");
++              }
++              free($2);
++      }
++      ;
++server_ratelimit_for_domain: VAR_RATELIMIT_FOR_DOMAIN STRING_ARG STRING_ARG
++      {
++              OUTYY(("P(server_ratelimit_for_domain:%s %s)\n", $2, $3));
++              if(atoi($3) == 0 && strcmp($3, "0") != 0) {
++                      yyerror("number expected");
++              } else {
++                      if(!cfg_str2list_insert(&cfg_parser->cfg->
++                              ratelimit_for_domain, $2, $3))
++                              fatal_exit("out of memory adding "
++                                      "ratelimit-for-domain");
++              }
++      }
++      ;
++server_ratelimit_below_domain: VAR_RATELIMIT_BELOW_DOMAIN STRING_ARG STRING_ARG
++      {
++              OUTYY(("P(server_ratelimit_below_domain:%s %s)\n", $2, $3));
++              if(atoi($3) == 0 && strcmp($3, "0") != 0) {
++                      yyerror("number expected");
++              } else {
++                      if(!cfg_str2list_insert(&cfg_parser->cfg->
++                              ratelimit_below_domain, $2, $3))
++                              fatal_exit("out of memory adding "
++                                      "ratelimit-below-domain");
++              }
++      }
++      ;
++server_ratelimit_factor: VAR_RATELIMIT_FACTOR STRING_ARG 
++      { 
++              OUTYY(("P(server_ratelimit_factor:%s)\n", $2)); 
++              if(atoi($2) == 0 && strcmp($2, "0") != 0)
++                      yyerror("number expected");
++              else cfg_parser->cfg->ratelimit_factor = atoi($2);
++              free($2);
++      }
++      ;
 +stub_name: VAR_NAME STRING_ARG
 +      {
 +              OUTYY(("P(name:%s)\n", $2));
 +              if(cfg_parser->cfg->stubs->name)
 +                      yyerror("stub name override, there must be one name "
 +                              "for one stub-zone");
 +              free(cfg_parser->cfg->stubs->name);
 +              cfg_parser->cfg->stubs->name = $2;
 +      }
 +      ;
 +stub_host: VAR_STUB_HOST STRING_ARG
 +      {
 +              OUTYY(("P(stub-host:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->stubs->hosts, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +stub_addr: VAR_STUB_ADDR STRING_ARG
 +      {
 +              OUTYY(("P(stub-addr:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->stubs->addrs, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +stub_first: VAR_STUB_FIRST STRING_ARG
 +      {
 +              OUTYY(("P(stub-first:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->stubs->isfirst=(strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +stub_prime: VAR_STUB_PRIME STRING_ARG
 +      {
 +              OUTYY(("P(stub-prime:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->stubs->isprime = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +forward_name: VAR_NAME STRING_ARG
 +      {
 +              OUTYY(("P(name:%s)\n", $2));
 +              if(cfg_parser->cfg->forwards->name)
 +                      yyerror("forward name override, there must be one "
 +                              "name for one forward-zone");
 +              free(cfg_parser->cfg->forwards->name);
 +              cfg_parser->cfg->forwards->name = $2;
 +      }
 +      ;
 +forward_host: VAR_FORWARD_HOST STRING_ARG
 +      {
 +              OUTYY(("P(forward-host:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->forwards->hosts, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +forward_addr: VAR_FORWARD_ADDR STRING_ARG
 +      {
 +              OUTYY(("P(forward-addr:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->forwards->addrs, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +forward_first: VAR_FORWARD_FIRST STRING_ARG
 +      {
 +              OUTYY(("P(forward-first:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->forwards->isfirst=(strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +rcstart: VAR_REMOTE_CONTROL
 +      { 
 +              OUTYY(("\nP(remote-control:)\n")); 
 +      }
 +      ;
 +contents_rc: contents_rc content_rc 
 +      | ;
 +content_rc: rc_control_enable | rc_control_interface | rc_control_port |
 +      rc_server_key_file | rc_server_cert_file | rc_control_key_file |
 +      rc_control_cert_file | rc_control_use_cert
 +      ;
 +rc_control_enable: VAR_CONTROL_ENABLE STRING_ARG
 +      {
 +              OUTYY(("P(control_enable:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->remote_control_enable = 
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +rc_control_port: VAR_CONTROL_PORT STRING_ARG
 +      {
 +              OUTYY(("P(control_port:%s)\n", $2));
 +              if(atoi($2) == 0)
 +                      yyerror("control port number expected");
 +              else cfg_parser->cfg->control_port = atoi($2);
 +              free($2);
 +      }
 +      ;
 +rc_control_interface: VAR_CONTROL_INTERFACE STRING_ARG
 +      {
 +              OUTYY(("P(control_interface:%s)\n", $2));
 +              if(!cfg_strlist_insert(&cfg_parser->cfg->control_ifs, $2))
 +                      yyerror("out of memory");
 +      }
 +      ;
 +rc_control_use_cert: VAR_CONTROL_USE_CERT STRING_ARG
 +      {
 +              OUTYY(("P(control_use_cert:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->remote_control_use_cert =
 +                      (strcmp($2, "yes")==0);
 +              free($2);
 +      }
 +      ;
 +rc_server_key_file: VAR_SERVER_KEY_FILE STRING_ARG
 +      {
 +              OUTYY(("P(rc_server_key_file:%s)\n", $2));
 +              free(cfg_parser->cfg->server_key_file);
 +              cfg_parser->cfg->server_key_file = $2;
 +      }
 +      ;
 +rc_server_cert_file: VAR_SERVER_CERT_FILE STRING_ARG
 +      {
 +              OUTYY(("P(rc_server_cert_file:%s)\n", $2));
 +              free(cfg_parser->cfg->server_cert_file);
 +              cfg_parser->cfg->server_cert_file = $2;
 +      }
 +      ;
 +rc_control_key_file: VAR_CONTROL_KEY_FILE STRING_ARG
 +      {
 +              OUTYY(("P(rc_control_key_file:%s)\n", $2));
 +              free(cfg_parser->cfg->control_key_file);
 +              cfg_parser->cfg->control_key_file = $2;
 +      }
 +      ;
 +rc_control_cert_file: VAR_CONTROL_CERT_FILE STRING_ARG
 +      {
 +              OUTYY(("P(rc_control_cert_file:%s)\n", $2));
 +              free(cfg_parser->cfg->control_cert_file);
 +              cfg_parser->cfg->control_cert_file = $2;
 +      }
 +      ;
 +dtstart: VAR_DNSTAP
 +      {
 +              OUTYY(("\nP(dnstap:)\n"));
 +      }
 +      ;
 +contents_dt: contents_dt content_dt
 +      | ;
 +content_dt: dt_dnstap_enable | dt_dnstap_socket_path |
 +      dt_dnstap_send_identity | dt_dnstap_send_version |
 +      dt_dnstap_identity | dt_dnstap_version |
 +      dt_dnstap_log_resolver_query_messages |
 +      dt_dnstap_log_resolver_response_messages |
 +      dt_dnstap_log_client_query_messages |
 +      dt_dnstap_log_client_response_messages |
 +      dt_dnstap_log_forwarder_query_messages |
 +      dt_dnstap_log_forwarder_response_messages
 +      ;
 +dt_dnstap_enable: VAR_DNSTAP_ENABLE STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_enable:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap = (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_socket_path: VAR_DNSTAP_SOCKET_PATH STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_socket_path:%s)\n", $2));
 +              free(cfg_parser->cfg->dnstap_socket_path);
 +              cfg_parser->cfg->dnstap_socket_path = $2;
 +      }
 +      ;
 +dt_dnstap_send_identity: VAR_DNSTAP_SEND_IDENTITY STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_send_identity:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_send_identity = (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_send_version: VAR_DNSTAP_SEND_VERSION STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_send_version:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_send_version = (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_identity: VAR_DNSTAP_IDENTITY STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_identity:%s)\n", $2));
 +              free(cfg_parser->cfg->dnstap_identity);
 +              cfg_parser->cfg->dnstap_identity = $2;
 +      }
 +      ;
 +dt_dnstap_version: VAR_DNSTAP_VERSION STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_version:%s)\n", $2));
 +              free(cfg_parser->cfg->dnstap_version);
 +              cfg_parser->cfg->dnstap_version = $2;
 +      }
 +      ;
 +dt_dnstap_log_resolver_query_messages: VAR_DNSTAP_LOG_RESOLVER_QUERY_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_resolver_query_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_resolver_query_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_log_resolver_response_messages: VAR_DNSTAP_LOG_RESOLVER_RESPONSE_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_resolver_response_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_resolver_response_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_log_client_query_messages: VAR_DNSTAP_LOG_CLIENT_QUERY_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_client_query_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_client_query_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_log_client_response_messages: VAR_DNSTAP_LOG_CLIENT_RESPONSE_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_client_response_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_client_response_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_log_forwarder_query_messages: VAR_DNSTAP_LOG_FORWARDER_QUERY_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_forwarder_query_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_forwarder_query_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +dt_dnstap_log_forwarder_response_messages: VAR_DNSTAP_LOG_FORWARDER_RESPONSE_MESSAGES STRING_ARG
 +      {
 +              OUTYY(("P(dt_dnstap_log_forwarder_response_messages:%s)\n", $2));
 +              if(strcmp($2, "yes") != 0 && strcmp($2, "no") != 0)
 +                      yyerror("expected yes or no.");
 +              else cfg_parser->cfg->dnstap_log_forwarder_response_messages =
 +                      (strcmp($2, "yes")==0);
 +      }
 +      ;
 +pythonstart: VAR_PYTHON
 +      { 
 +              OUTYY(("\nP(python:)\n")); 
 +      }
 +      ;
 +contents_py: contents_py content_py
 +      | ;
 +content_py: py_script
 +      ;
 +py_script: VAR_PYTHON_SCRIPT STRING_ARG
 +      {
 +              OUTYY(("P(python-script:%s)\n", $2));
 +              free(cfg_parser->cfg->python_script);
 +              cfg_parser->cfg->python_script = $2;
 +      }
 +%%
 +
 +/* parse helper routines could be here */
diff --cc contrib/unbound/util/data/dname.c
index d43bbf6d24076d0d9f5a1a2c8d8dbfc74ac8eb1a,0000000000000000000000000000000000000000..79bf52ad47283a4a70b688082e8c55f1c0481d77
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/dname.c
--- /dev/null
+++ b/contrib/unbound/util/data/dname.c
@@@ -1,782 -1,0 +1,782 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * util/data/dname.h - domain name handling
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains domain name handling functions.
 + */
 +
 +#include "config.h"
 +#include <ctype.h>
 +#include "util/data/dname.h"
 +#include "util/data/msgparse.h"
 +#include "util/log.h"
 +#include "util/storage/lookup3.h"
++#include "sldns/sbuffer.h"
 +
 +/* determine length of a dname in buffer, no compression pointers allowed */
 +size_t
 +query_dname_len(sldns_buffer* query)
 +{
 +      size_t len = 0;
 +      size_t labellen;
 +      while(1) {
 +              if(sldns_buffer_remaining(query) < 1)
 +                      return 0; /* parse error, need label len */
 +              labellen = sldns_buffer_read_u8(query);
 +              if(labellen&0xc0)
 +                      return 0; /* no compression allowed in queries */
 +              len += labellen + 1;
 +              if(len > LDNS_MAX_DOMAINLEN)
 +                      return 0; /* too long */
 +              if(labellen == 0)
 +                      return len;
 +              if(sldns_buffer_remaining(query) < labellen)
 +                      return 0; /* parse error, need content */
 +              sldns_buffer_skip(query, (ssize_t)labellen);
 +      }
 +}
 +
 +size_t 
 +dname_valid(uint8_t* dname, size_t maxlen)
 +{
 +      size_t len = 0;
 +      size_t labellen;
 +      labellen = *dname++;
 +      while(labellen) {
 +              if(labellen&0xc0)
 +                      return 0; /* no compression ptrs allowed */
 +              len += labellen + 1;
 +              if(len >= LDNS_MAX_DOMAINLEN)
 +                      return 0; /* too long */
 +              if(len > maxlen)
 +                      return 0; /* does not fit in memory allocation */
 +              dname += labellen;
 +              labellen = *dname++;
 +      }
 +      len += 1;
 +      if(len > maxlen)
 +              return 0; /* does not fit in memory allocation */
 +      return len;
 +}
 +
 +/** compare uncompressed, noncanonical, registers are hints for speed */
 +int 
 +query_dname_compare(register uint8_t* d1, register uint8_t* d2)
 +{
 +      register uint8_t lab1, lab2;
 +      log_assert(d1 && d2);
 +      lab1 = *d1++;
 +      lab2 = *d2++;
 +      while( lab1 != 0 || lab2 != 0 ) {
 +              /* compare label length */
 +              /* if one dname ends, it has labellength 0 */
 +              if(lab1 != lab2) {
 +                      if(lab1 < lab2)
 +                              return -1;
 +                      return 1;
 +              }
 +              log_assert(lab1 == lab2 && lab1 != 0);
 +              /* compare lowercased labels. */
 +              while(lab1--) {
 +                      /* compare bytes first for speed */
 +                      if(*d1 != *d2 && 
 +                              tolower((unsigned char)*d1) != tolower((unsigned char)*d2)) {
 +                              if(tolower((unsigned char)*d1) < tolower((unsigned char)*d2))
 +                                      return -1;
 +                              return 1;
 +                      }
 +                      d1++;
 +                      d2++;
 +              }
 +              /* next pair of labels. */
 +              lab1 = *d1++;
 +              lab2 = *d2++;
 +      }
 +      return 0;
 +}
 +
 +void 
 +query_dname_tolower(uint8_t* dname)
 +{
 +      /* the dname is stored uncompressed */
 +      uint8_t labellen;
 +      labellen = *dname;
 +      while(labellen) {
 +              dname++;
 +              while(labellen--) {
 +                      *dname = (uint8_t)tolower((unsigned char)*dname);
 +                      dname++;
 +              }
 +              labellen = *dname;
 +      }
 +}
 +
 +void 
 +pkt_dname_tolower(sldns_buffer* pkt, uint8_t* dname)
 +{
 +      uint8_t lablen;
 +      int count = 0;
 +      if(dname >= sldns_buffer_end(pkt))
 +              return;
 +      lablen = *dname++;
 +      while(lablen) {
 +              if(LABEL_IS_PTR(lablen)) {
 +                      if((size_t)PTR_OFFSET(lablen, *dname) 
 +                              >= sldns_buffer_limit(pkt))
 +                              return;
 +                      dname = sldns_buffer_at(pkt, PTR_OFFSET(lablen, *dname));
 +                      lablen = *dname++;
 +                      if(count++ > MAX_COMPRESS_PTRS)
 +                              return;
 +                      continue;
 +              }
 +              if(dname+lablen >= sldns_buffer_end(pkt))
 +                      return;
 +              while(lablen--) {
 +                      *dname = (uint8_t)tolower((unsigned char)*dname);
 +                      dname++;
 +              }
 +              if(dname >= sldns_buffer_end(pkt))
 +                      return;
 +              lablen = *dname++;
 +      }
 +}
 +
 +
 +size_t
 +pkt_dname_len(sldns_buffer* pkt)
 +{
 +      size_t len = 0;
 +      int ptrcount = 0;
 +      uint8_t labellen;
 +      size_t endpos = 0;
 +
 +      /* read dname and determine length */
 +      /* check compression pointers, loops, out of bounds */
 +      while(1) {
 +              /* read next label */
 +              if(sldns_buffer_remaining(pkt) < 1)
 +                      return 0;
 +              labellen = sldns_buffer_read_u8(pkt);
 +              if(LABEL_IS_PTR(labellen)) {
 +                      /* compression ptr */
 +                      uint16_t ptr;
 +                      if(sldns_buffer_remaining(pkt) < 1)
 +                              return 0;
 +                      ptr = PTR_OFFSET(labellen, sldns_buffer_read_u8(pkt));
 +                      if(ptrcount++ > MAX_COMPRESS_PTRS)
 +                              return 0; /* loop! */
 +                      if(sldns_buffer_limit(pkt) <= ptr)
 +                              return 0; /* out of bounds! */
 +                      if(!endpos)
 +                              endpos = sldns_buffer_position(pkt);
 +                      sldns_buffer_set_position(pkt, ptr);
 +              } else {
 +                      /* label contents */
 +                      if(labellen > 0x3f)
 +                              return 0; /* label too long */
 +                      len += 1 + labellen;
 +                      if(len > LDNS_MAX_DOMAINLEN)
 +                              return 0;
 +                      if(labellen == 0) {
 +                              /* end of dname */
 +                              break;
 +                      }
 +                      if(sldns_buffer_remaining(pkt) < labellen)
 +                              return 0;
 +                      sldns_buffer_skip(pkt, (ssize_t)labellen);
 +              }
 +      }
 +      if(endpos)
 +              sldns_buffer_set_position(pkt, endpos);
 +
 +      return len;
 +}
 +
 +int 
 +dname_pkt_compare(sldns_buffer* pkt, uint8_t* d1, uint8_t* d2)
 +{
 +      uint8_t len1, len2;
 +      log_assert(pkt && d1 && d2);
 +      len1 = *d1++;
 +      len2 = *d2++;
 +      while( len1 != 0 || len2 != 0 ) {
 +              /* resolve ptrs */
 +              if(LABEL_IS_PTR(len1)) {
 +                      d1 = sldns_buffer_at(pkt, PTR_OFFSET(len1, *d1));
 +                      len1 = *d1++;
 +                      continue;
 +              }
 +              if(LABEL_IS_PTR(len2)) {
 +                      d2 = sldns_buffer_at(pkt, PTR_OFFSET(len2, *d2));
 +                      len2 = *d2++;
 +                      continue;
 +              }
 +              /* check label length */
 +              log_assert(len1 <= LDNS_MAX_LABELLEN);
 +              log_assert(len2 <= LDNS_MAX_LABELLEN);
 +              if(len1 != len2) {
 +                      if(len1 < len2) return -1;
 +                      return 1;
 +              }
 +              log_assert(len1 == len2 && len1 != 0);
 +              /* compare labels */
 +              while(len1--) {
 +                      if(tolower((unsigned char)*d1++) != tolower((unsigned char)*d2++)) {
 +                              if(tolower((unsigned char)d1[-1]) < tolower((unsigned char)d2[-1]))
 +                                      return -1;
 +                              return 1;
 +                      }
 +              }
 +              len1 = *d1++;
 +              len2 = *d2++;
 +      }
 +      return 0;
 +}
 +
 +hashvalue_t 
 +dname_query_hash(uint8_t* dname, hashvalue_t h)
 +{
 +      uint8_t labuf[LDNS_MAX_LABELLEN+1];
 +      uint8_t lablen;
 +      int i;
 +
 +      /* preserve case of query, make hash label by label */
 +      lablen = *dname++;
 +      while(lablen) {
 +              log_assert(lablen <= LDNS_MAX_LABELLEN);
 +              labuf[0] = lablen;
 +              i=0;
 +              while(lablen--)
 +                      labuf[++i] = (uint8_t)tolower((unsigned char)*dname++);
 +              h = hashlittle(labuf, labuf[0] + 1, h);
 +              lablen = *dname++;
 +      }
 +
 +      return h;
 +}
 +
 +hashvalue_t 
 +dname_pkt_hash(sldns_buffer* pkt, uint8_t* dname, hashvalue_t h)
 +{
 +      uint8_t labuf[LDNS_MAX_LABELLEN+1];
 +      uint8_t lablen;
 +      int i;
 +
 +      /* preserve case of query, make hash label by label */
 +      lablen = *dname++;
 +      while(lablen) {
 +              if(LABEL_IS_PTR(lablen)) {
 +                      /* follow pointer */
 +                      dname = sldns_buffer_at(pkt, PTR_OFFSET(lablen, *dname));
 +                      lablen = *dname++;
 +                      continue;
 +              }
 +              log_assert(lablen <= LDNS_MAX_LABELLEN);
 +              labuf[0] = lablen;
 +              i=0;
 +              while(lablen--)
 +                      labuf[++i] = (uint8_t)tolower((unsigned char)*dname++);
 +              h = hashlittle(labuf, labuf[0] + 1, h);
 +              lablen = *dname++;
 +      }
 +
 +      return h;
 +}
 +
 +void dname_pkt_copy(sldns_buffer* pkt, uint8_t* to, uint8_t* dname)
 +{
 +      /* copy over the dname and decompress it at the same time */
 +      size_t len = 0;
 +      uint8_t lablen;
 +      lablen = *dname++;
 +      while(lablen) {
 +              if(LABEL_IS_PTR(lablen)) {
 +                      /* follow pointer */
 +                      dname = sldns_buffer_at(pkt, PTR_OFFSET(lablen, *dname));
 +                      lablen = *dname++;
 +                      continue;
 +              }
 +              log_assert(lablen <= LDNS_MAX_LABELLEN);
 +              len += (size_t)lablen+1;
 +              if(len >= LDNS_MAX_DOMAINLEN) {
 +                      *to = 0; /* end the result prematurely */
 +                      log_err("bad dname in dname_pkt_copy");
 +                      return;
 +              }
 +              *to++ = lablen;
 +              memmove(to, dname, lablen);
 +              dname += lablen;
 +              to += lablen;
 +              lablen = *dname++;
 +      }
 +      /* copy last \0 */
 +      *to = 0;
 +}
 +
 +void dname_print(FILE* out, struct sldns_buffer* pkt, uint8_t* dname)
 +{
 +      uint8_t lablen;
 +      if(!out) out = stdout;
 +      if(!dname) return;
 +
 +      lablen = *dname++;
 +      if(!lablen) 
 +              fputc('.', out);
 +      while(lablen) {
 +              if(LABEL_IS_PTR(lablen)) {
 +                      /* follow pointer */
 +                      if(!pkt) {
 +                              fputs("??compressionptr??", out);
 +                              return;
 +                      }
 +                      dname = sldns_buffer_at(pkt, PTR_OFFSET(lablen, *dname));
 +                      lablen = *dname++;
 +                      continue;
 +              }
 +              if(lablen > LDNS_MAX_LABELLEN) {
 +                      fputs("??extendedlabel??", out);
 +                      return;
 +              }
 +              while(lablen--)
 +                      fputc((int)*dname++, out);
 +              fputc('.', out);
 +              lablen = *dname++;
 +      }
 +}
 +
 +int 
 +dname_count_labels(uint8_t* dname)
 +{
 +      uint8_t lablen;
 +      int labs = 1;
 +
 +      lablen = *dname++;
 +      while(lablen) {
 +              labs++;
 +              dname += lablen;
 +              lablen = *dname++;
 +      }
 +      return labs;
 +}
 +
 +int 
 +dname_count_size_labels(uint8_t* dname, size_t* size)
 +{     
 +      uint8_t lablen;
 +      int labs = 1;
 +      size_t sz = 1;
 +
 +      lablen = *dname++;
 +      while(lablen) {
 +              labs++;
 +              sz += lablen+1;
 +              dname += lablen;
 +              lablen = *dname++;
 +      }
 +      *size = sz;
 +      return labs;
 +}
 +
 +/**
 + * Compare labels in memory, lowercase while comparing.
 + * @param p1: label 1
 + * @param p2: label 2
 + * @param len: number of bytes to compare.
 + * @return: 0, -1, +1 comparison result.
 + */
 +static int
 +memlowercmp(uint8_t* p1, uint8_t* p2, uint8_t len)
 +{
 +      while(len--) {
 +              if(*p1 != *p2 && tolower((unsigned char)*p1) != tolower((unsigned char)*p2)) {
 +                      if(tolower((unsigned char)*p1) < tolower((unsigned char)*p2))
 +                              return -1;
 +                      return 1;
 +              }
 +              p1++;
 +              p2++;
 +      }
 +      return 0;
 +}
 +
 +int 
 +dname_lab_cmp(uint8_t* d1, int labs1, uint8_t* d2, int labs2, int* mlabs)
 +{
 +      uint8_t len1, len2;
 +      int atlabel = labs1;
 +      int lastmlabs;
 +      int lastdiff = 0;
 +      /* first skip so that we compare same label. */
 +      if(labs1 > labs2) {
 +              while(atlabel > labs2) {
 +                      len1 = *d1++;
 +                      d1 += len1;
 +                      atlabel--;
 +              }
 +              log_assert(atlabel == labs2);
 +      } else if(labs1 < labs2) {
 +              atlabel = labs2;
 +              while(atlabel > labs1) {
 +                      len2 = *d2++;
 +                      d2 += len2;
 +                      atlabel--;
 +              }
 +              log_assert(atlabel == labs1);
 +      }
 +      lastmlabs = atlabel+1;
 +      /* now at same label in d1 and d2, atlabel */
 +      /* www.example.com.                  */
 +      /* 4   3       2  1   atlabel number */
 +      /* repeat until at root label (which is always the same) */
 +      while(atlabel > 1) {
 +              len1 = *d1++;
 +              len2 = *d2++;
 +              if(len1 != len2) {
 +                      log_assert(len1 != 0 && len2 != 0);
 +                      if(len1<len2)
 +                              lastdiff = -1;
 +                      else    lastdiff = 1;
 +                      lastmlabs = atlabel;
 +                      d1 += len1;
 +                      d2 += len2;
 +              } else {
 +                      /* memlowercmp is inlined here; or just like
 +                       * if((c=memlowercmp(d1, d2, len1)) != 0) { 
 +                       *      lastdiff = c;
 +                       *      lastmlabs = atlabel; } apart from d1++,d2++ */
 +                      while(len1) {
 +                              if(*d1 != *d2 && tolower((unsigned char)*d1) 
 +                                      != tolower((unsigned char)*d2)) {
 +                                      if(tolower((unsigned char)*d1) < 
 +                                              tolower((unsigned char)*d2)) {
 +                                              lastdiff = -1;
 +                                              lastmlabs = atlabel;
 +                                              d1 += len1;
 +                                              d2 += len1;
 +                                              break;
 +                                      }
 +                                      lastdiff = 1;
 +                                      lastmlabs = atlabel;
 +                                      d1 += len1;
 +                                      d2 += len1;
 +                                      break; /* out of memlowercmp */
 +                              }
 +                              d1++;
 +                              d2++;
 +                              len1--;
 +                      }
 +              }
 +              atlabel--;
 +      }
 +      /* last difference atlabel number, so number of labels matching,
 +       * at the right side, is one less. */
 +      *mlabs = lastmlabs-1;
 +      if(lastdiff == 0) {
 +              /* all labels compared were equal, check if one has more
 +               * labels, so that example.com. > com. */
 +              if(labs1 > labs2)
 +                      return 1;
 +              else if(labs1 < labs2)
 +                      return -1;
 +      }
 +      return lastdiff;
 +}
 +
 +int 
 +dname_buffer_write(sldns_buffer* pkt, uint8_t* dname)
 +{
 +      uint8_t lablen;
 +
 +      if(sldns_buffer_remaining(pkt) < 1)
 +              return 0;
 +      lablen = *dname++;
 +      sldns_buffer_write_u8(pkt, lablen);
 +      while(lablen) {
 +              if(sldns_buffer_remaining(pkt) < (size_t)lablen+1)
 +                      return 0;
 +              sldns_buffer_write(pkt, dname, lablen);
 +              dname += lablen;
 +              lablen = *dname++;
 +              sldns_buffer_write_u8(pkt, lablen);
 +      }
 +      return 1;
 +}
 +
 +void dname_str(uint8_t* dname, char* str)
 +{
 +      size_t len = 0;
 +      uint8_t lablen = 0;
 +      char* s = str;
 +      if(!dname || !*dname) {
 +              *s++ = '.';
 +              *s = 0;
 +              return;
 +      }
 +      lablen = *dname++;
 +      while(lablen) {
 +              if(lablen > LDNS_MAX_LABELLEN) {
 +                      *s++ = '#';
 +                      *s = 0;
 +                      return;
 +              }
 +              len += lablen+1;
 +              if(len >= LDNS_MAX_DOMAINLEN-1) {
 +                      *s++ = '&';
 +                      *s = 0;
 +                      return;
 +              }
 +              while(lablen--) {
 +                      if(isalnum((unsigned char)*dname) 
 +                              || *dname == '-' || *dname == '_' 
 +                              || *dname == '*')
 +                              *s++ = *(char*)dname++;
 +                      else    {
 +                              *s++ = '?';
 +                              dname++;
 +                      }
 +              }
 +              *s++ = '.';
 +              lablen = *dname++;
 +      }
 +      *s = 0;
 +}
 +
 +int 
 +dname_strict_subdomain(uint8_t* d1, int labs1, uint8_t* d2, int labs2)
 +{
 +      int m;
 +      /* check subdomain: d1: www.example.com. and d2: example.com. */
 +      if(labs2 >= labs1) 
 +              return 0;
 +      if(dname_lab_cmp(d1, labs1, d2, labs2, &m) > 0) {
 +              /* subdomain if all labels match */
 +              return (m == labs2);
 +      }
 +      return 0;
 +}
 +
 +int 
 +dname_strict_subdomain_c(uint8_t* d1, uint8_t* d2)
 +{
 +      return dname_strict_subdomain(d1, dname_count_labels(d1), d2,
 +              dname_count_labels(d2));
 +}
 +
 +int 
 +dname_subdomain_c(uint8_t* d1, uint8_t* d2)
 +{
 +      int m;
 +      /* check subdomain: d1: www.example.com. and d2: example.com. */
 +      /*      or          d1: example.com. and d2: example.com. */
 +      int labs1 = dname_count_labels(d1);
 +      int labs2 = dname_count_labels(d2);
 +      if(labs2 > labs1) 
 +              return 0;
 +      if(dname_lab_cmp(d1, labs1, d2, labs2, &m) < 0) {
 +              /* must have been example.com , www.example.com - wrong */
 +              /* or otherwise different dnames */
 +              return 0;
 +      }
 +      return (m == labs2);
 +}
 +
 +int 
 +dname_is_root(uint8_t* dname)
 +{
 +      uint8_t len;
 +      log_assert(dname);
 +      len = dname[0];
 +      log_assert(!LABEL_IS_PTR(len));
 +      return (len == 0);
 +}
 +
 +void 
 +dname_remove_label(uint8_t** dname, size_t* len)
 +{
 +      size_t lablen;
 +      log_assert(dname && *dname && len);
 +      lablen = (*dname)[0];
 +      log_assert(!LABEL_IS_PTR(lablen));
 +      log_assert(*len > lablen);
 +      if(lablen == 0)
 +              return; /* do not modify root label */
 +      *len -= lablen+1;
 +      *dname += lablen+1;
 +}
 +
 +void 
 +dname_remove_labels(uint8_t** dname, size_t* len, int n)
 +{
 +      int i;
 +      for(i=0; i<n; i++)
 +              dname_remove_label(dname, len);
 +}
 +
 +int 
 +dname_signame_label_count(uint8_t* dname)
 +{
 +      uint8_t lablen;
 +      int count = 0;
 +      if(!*dname)
 +              return 0;
 +      if(dname[0] == 1 && dname[1] == '*')
 +              dname += 2;
 +      lablen = dname[0];
 +      while(lablen) {
 +              count++;
 +              dname += lablen;
 +              dname += 1;
 +              lablen = dname[0];
 +      }
 +      return count;
 +}
 +
 +int 
 +dname_is_wild(uint8_t* dname)
 +{
 +      return (dname[0] == 1 && dname[1] == '*');
 +}
 +
 +/**
 + * Compare labels in memory, lowercase while comparing.
 + * Returns canonical order for labels. If all is equal, the
 + * shortest is first.
 + *
 + * @param p1: label 1
 + * @param len1: length of label 1.
 + * @param p2: label 2
 + * @param len2: length of label 2.
 + * @return: 0, -1, +1 comparison result.
 + */
 +static int
 +memcanoncmp(uint8_t* p1, uint8_t len1, uint8_t* p2, uint8_t len2)
 +{
 +      uint8_t min = (len1<len2)?len1:len2;
 +      int c = memlowercmp(p1, p2, min);
 +      if(c != 0)
 +              return c;
 +      /* equal, see who is shortest */
 +      if(len1 < len2)
 +              return -1;
 +      if(len1 > len2)
 +              return 1;
 +      return 0;
 +}
 +
 +
 +int 
 +dname_canon_lab_cmp(uint8_t* d1, int labs1, uint8_t* d2, int labs2, int* mlabs)
 +{
 +      /* like dname_lab_cmp, but with different label comparison,
 +       * empty character sorts before \000.
 +       * So   ylyly is before z. */
 +      uint8_t len1, len2;
 +      int atlabel = labs1;
 +      int lastmlabs;
 +      int lastdiff = 0;
 +      int c;
 +      /* first skip so that we compare same label. */
 +      if(labs1 > labs2) {
 +              while(atlabel > labs2) {
 +                      len1 = *d1++;
 +                      d1 += len1;
 +                      atlabel--;
 +              }
 +              log_assert(atlabel == labs2);
 +      } else if(labs1 < labs2) {
 +              atlabel = labs2;
 +              while(atlabel > labs1) {
 +                      len2 = *d2++;
 +                      d2 += len2;
 +                      atlabel--;
 +              }
 +              log_assert(atlabel == labs1);
 +      }
 +      lastmlabs = atlabel+1;
 +      /* now at same label in d1 and d2, atlabel */
 +      /* www.example.com.                  */
 +      /* 4   3       2  1   atlabel number */
 +      /* repeat until at root label (which is always the same) */
 +      while(atlabel > 1) {
 +              len1 = *d1++;
 +              len2 = *d2++;
 +
 +              if((c=memcanoncmp(d1, len1, d2, len2)) != 0) {
 +                      if(c<0)
 +                              lastdiff = -1;
 +                      else    lastdiff = 1;
 +                      lastmlabs = atlabel;
 +              }
 +
 +              d1 += len1;
 +              d2 += len2;
 +              atlabel--;
 +      }
 +      /* last difference atlabel number, so number of labels matching,
 +       * at the right side, is one less. */
 +      *mlabs = lastmlabs-1;
 +      if(lastdiff == 0) {
 +              /* all labels compared were equal, check if one has more
 +               * labels, so that example.com. > com. */
 +              if(labs1 > labs2)
 +                      return 1;
 +              else if(labs1 < labs2)
 +                      return -1;
 +      }
 +      return lastdiff;
 +}
 +
 +int
 +dname_canonical_compare(uint8_t* d1, uint8_t* d2)
 +{
 +      int labs1, labs2, m;
 +      labs1 = dname_count_labels(d1);
 +      labs2 = dname_count_labels(d2);
 +      return dname_canon_lab_cmp(d1, labs1, d2, labs2, &m);
 +}
 +
 +uint8_t* dname_get_shared_topdomain(uint8_t* d1, uint8_t* d2)
 +{
 +      int labs1, labs2, m;
 +      size_t len = LDNS_MAX_DOMAINLEN;
 +      labs1 = dname_count_labels(d1);
 +      labs2 = dname_count_labels(d2);
 +      (void)dname_lab_cmp(d1, labs1, d2, labs2, &m);
 +      dname_remove_labels(&d1, &len, labs1-m);
 +      return d1;
 +}
diff --cc contrib/unbound/util/data/msgencode.c
index 26b5deabe4dcd1392ecb63d4b2838f2282468bc5,0000000000000000000000000000000000000000..f9a8c5f672963d1e16dfa234b4230d5aeb5b9ccb
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/msgencode.c
--- /dev/null
+++ b/contrib/unbound/util/data/msgencode.c
@@@ -1,841 -1,0 +1,841 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * util/data/msgencode.c - Encode DNS messages, queries and replies.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a routines to encode DNS messages.
 + */
 +
 +#include "config.h"
 +#include "util/data/msgencode.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/dname.h"
 +#include "util/log.h"
 +#include "util/regional.h"
 +#include "util/net_help.h"
++#include "sldns/sbuffer.h"
 +
 +/** return code that means the function ran out of memory. negative so it does
 + * not conflict with DNS rcodes. */
 +#define RETVAL_OUTMEM -2
 +/** return code that means the data did not fit (completely) in the packet */
 +#define RETVAL_TRUNC  -4
 +/** return code that means all is peachy keen. Equal to DNS rcode NOERROR */
 +#define RETVAL_OK     0
 +
 +/**
 + * Data structure to help domain name compression in outgoing messages.
 + * A tree of dnames and their offsets in the packet is kept.
 + * It is kept sorted, not canonical, but by label at least, so that after
 + * a lookup of a name you know its closest match, and the parent from that
 + * closest match. These are possible compression targets.
 + *
 + * It is a binary tree, not a rbtree or balanced tree, as the effort
 + * of keeping it balanced probably outweighs usefulness (given typical
 + * DNS packet size).
 + */
 +struct compress_tree_node {
 +      /** left node in tree, all smaller to this */
 +      struct compress_tree_node* left;
 +      /** right node in tree, all larger than this */
 +      struct compress_tree_node* right;
 +
 +      /** the parent node - not for tree, but zone parent. One less label */
 +      struct compress_tree_node* parent;
 +      /** the domain name for this node. Pointer to uncompressed memory. */
 +      uint8_t* dname;
 +      /** number of labels in domain name, kept to help compare func. */
 +      int labs;
 +      /** offset in packet that points to this dname */
 +      size_t offset;
 +};
 +
 +/**
 + * Find domain name in tree, returns exact and closest match.
 + * @param tree: root of tree.
 + * @param dname: pointer to uncompressed dname.
 + * @param labs: number of labels in domain name.
 + * @param match: closest or exact match.
 + *    guaranteed to be smaller or equal to the sought dname.
 + *    can be null if the tree is empty.
 + * @param matchlabels: number of labels that match with closest match.
 + *    can be zero is there is no match.
 + * @param insertpt: insert location for dname, if not found.
 + * @return: 0 if no exact match.
 + */
 +static int
 +compress_tree_search(struct compress_tree_node** tree, uint8_t* dname,
 +      int labs, struct compress_tree_node** match, int* matchlabels,
 +      struct compress_tree_node*** insertpt)
 +{
 +      int c, n, closen=0;
 +      struct compress_tree_node* p = *tree;
 +      struct compress_tree_node* close = 0;
 +      struct compress_tree_node** prev = tree;
 +      while(p) {
 +              if((c = dname_lab_cmp(dname, labs, p->dname, p->labs, &n)) 
 +                      == 0) {
 +                      *matchlabels = n;
 +                      *match = p;
 +                      return 1;
 +              }
 +              if(c<0) {
 +                      prev = &p->left;
 +                      p = p->left;
 +              } else  {
 +                      closen = n;
 +                      close = p; /* p->dname is smaller than dname */
 +                      prev = &p->right;
 +                      p = p->right;
 +              }
 +      }
 +      *insertpt = prev;
 +      *matchlabels = closen;
 +      *match = close;
 +      return 0;
 +}
 +
 +/**
 + * Lookup a domain name in compression tree.
 + * @param tree: root of tree (not the node with '.').
 + * @param dname: pointer to uncompressed dname.
 + * @param labs: number of labels in domain name.
 + * @param insertpt: insert location for dname, if not found.
 + * @return: 0 if not found or compress treenode with best compression.
 + */
 +static struct compress_tree_node*
 +compress_tree_lookup(struct compress_tree_node** tree, uint8_t* dname,
 +      int labs, struct compress_tree_node*** insertpt)
 +{
 +      struct compress_tree_node* p;
 +      int m;
 +      if(labs <= 1)
 +              return 0; /* do not compress root node */
 +      if(compress_tree_search(tree, dname, labs, &p, &m, insertpt)) {
 +              /* exact match */
 +              return p;
 +      }
 +      /* return some ancestor of p that compresses well. */
 +      if(m>1) {
 +              /* www.example.com. (labs=4) matched foo.example.com.(labs=4)
 +               * then matchcount = 3. need to go up. */
 +              while(p && p->labs > m)
 +                      p = p->parent;
 +              return p;
 +      }
 +      return 0;
 +}
 +
 +/**
 + * Create node for domain name compression tree.
 + * @param dname: pointer to uncompressed dname (stored in tree).
 + * @param labs: number of labels in dname.
 + * @param offset: offset into packet for dname.
 + * @param region: how to allocate memory for new node.
 + * @return new node or 0 on malloc failure.
 + */
 +static struct compress_tree_node*
 +compress_tree_newnode(uint8_t* dname, int labs, size_t offset, 
 +      struct regional* region)
 +{
 +      struct compress_tree_node* n = (struct compress_tree_node*)
 +              regional_alloc(region, sizeof(struct compress_tree_node));
 +      if(!n) return 0;
 +      n->left = 0;
 +      n->right = 0;
 +      n->parent = 0;
 +      n->dname = dname;
 +      n->labs = labs;
 +      n->offset = offset;
 +      return n;
 +}
 +
 +/**
 + * Store domain name and ancestors into compression tree.
 + * @param dname: pointer to uncompressed dname (stored in tree).
 + * @param labs: number of labels in dname.
 + * @param offset: offset into packet for dname.
 + * @param region: how to allocate memory for new node.
 + * @param closest: match from previous lookup, used to compress dname.
 + *    may be NULL if no previous match.
 + *    if the tree has an ancestor of dname already, this must be it.
 + * @param insertpt: where to insert the dname in tree. 
 + * @return: 0 on memory error.
 + */
 +static int
 +compress_tree_store(uint8_t* dname, int labs, size_t offset, 
 +      struct regional* region, struct compress_tree_node* closest, 
 +      struct compress_tree_node** insertpt)
 +{
 +      uint8_t lablen;
 +      struct compress_tree_node* newnode;
 +      struct compress_tree_node* prevnode = NULL;
 +      int uplabs = labs-1; /* does not store root in tree */
 +      if(closest) uplabs = labs - closest->labs;
 +      log_assert(uplabs >= 0);
 +      /* algorithms builds up a vine of dname-labels to hang into tree */
 +      while(uplabs--) {
 +              if(offset > PTR_MAX_OFFSET) {
 +                      /* insertion failed, drop vine */
 +                      return 1; /* compression pointer no longer useful */
 +              }
 +              if(!(newnode = compress_tree_newnode(dname, labs, offset, 
 +                      region))) {
 +                      /* insertion failed, drop vine */
 +                      return 0;
 +              }
 +
 +              if(prevnode) {
 +                      /* chain nodes together, last one has one label more,
 +                       * so is larger than newnode, thus goes right. */
 +                      newnode->right = prevnode;
 +                      prevnode->parent = newnode;
 +              }
 +
 +              /* next label */
 +              lablen = *dname++;
 +              dname += lablen;
 +              offset += lablen+1;
 +              prevnode = newnode;
 +              labs--;
 +      }
 +      /* if we have a vine, hang the vine into the tree */
 +      if(prevnode) {
 +              *insertpt = prevnode;
 +              prevnode->parent = closest;
 +      }
 +      return 1;
 +}
 +
 +/** compress a domain name */
 +static int
 +write_compressed_dname(sldns_buffer* pkt, uint8_t* dname, int labs,
 +      struct compress_tree_node* p)
 +{
 +      /* compress it */
 +      int labcopy = labs - p->labs;
 +      uint8_t lablen;
 +      uint16_t ptr;
 +
 +      if(labs == 1) {
 +              /* write root label */
 +              if(sldns_buffer_remaining(pkt) < 1)
 +                      return 0;
 +              sldns_buffer_write_u8(pkt, 0);
 +              return 1;
 +      }
 +
 +      /* copy the first couple of labels */
 +      while(labcopy--) {
 +              lablen = *dname++;
 +              if(sldns_buffer_remaining(pkt) < (size_t)lablen+1)
 +                      return 0;
 +              sldns_buffer_write_u8(pkt, lablen);
 +              sldns_buffer_write(pkt, dname, lablen);
 +              dname += lablen;
 +      }
 +      /* insert compression ptr */
 +      if(sldns_buffer_remaining(pkt) < 2)
 +              return 0;
 +      ptr = PTR_CREATE(p->offset);
 +      sldns_buffer_write_u16(pkt, ptr);
 +      return 1;
 +}
 +
 +/** compress owner name of RR, return RETVAL_OUTMEM RETVAL_TRUNC */
 +static int
 +compress_owner(struct ub_packed_rrset_key* key, sldns_buffer* pkt, 
 +      struct regional* region, struct compress_tree_node** tree, 
 +      size_t owner_pos, uint16_t* owner_ptr, int owner_labs)
 +{
 +      struct compress_tree_node* p;
 +      struct compress_tree_node** insertpt;
 +      if(!*owner_ptr) {
 +              /* compress first time dname */
 +              if((p = compress_tree_lookup(tree, key->rk.dname, 
 +                      owner_labs, &insertpt))) {
 +                      if(p->labs == owner_labs) 
 +                              /* avoid ptr chains, since some software is
 +                               * not capable of decoding ptr after a ptr. */
 +                              *owner_ptr = htons(PTR_CREATE(p->offset));
 +                      if(!write_compressed_dname(pkt, key->rk.dname, 
 +                              owner_labs, p))
 +                              return RETVAL_TRUNC;
 +                      /* check if typeclass+4 ttl + rdatalen is available */
 +                      if(sldns_buffer_remaining(pkt) < 4+4+2)
 +                              return RETVAL_TRUNC;
 +              } else {
 +                      /* no compress */
 +                      if(sldns_buffer_remaining(pkt) < key->rk.dname_len+4+4+2)
 +                              return RETVAL_TRUNC;
 +                      sldns_buffer_write(pkt, key->rk.dname, 
 +                              key->rk.dname_len);
 +                      if(owner_pos <= PTR_MAX_OFFSET)
 +                              *owner_ptr = htons(PTR_CREATE(owner_pos));
 +              }
 +              if(!compress_tree_store(key->rk.dname, owner_labs, 
 +                      owner_pos, region, p, insertpt))
 +                      return RETVAL_OUTMEM;
 +      } else {
 +              /* always compress 2nd-further RRs in RRset */
 +              if(owner_labs == 1) {
 +                      if(sldns_buffer_remaining(pkt) < 1+4+4+2) 
 +                              return RETVAL_TRUNC;
 +                      sldns_buffer_write_u8(pkt, 0);
 +              } else {
 +                      if(sldns_buffer_remaining(pkt) < 2+4+4+2) 
 +                              return RETVAL_TRUNC;
 +                      sldns_buffer_write(pkt, owner_ptr, 2);
 +              }
 +      }
 +      return RETVAL_OK;
 +}
 +
 +/** compress any domain name to the packet, return RETVAL_* */
 +static int
 +compress_any_dname(uint8_t* dname, sldns_buffer* pkt, int labs, 
 +      struct regional* region, struct compress_tree_node** tree)
 +{
 +      struct compress_tree_node* p;
 +      struct compress_tree_node** insertpt = NULL;
 +      size_t pos = sldns_buffer_position(pkt);
 +      if((p = compress_tree_lookup(tree, dname, labs, &insertpt))) {
 +              if(!write_compressed_dname(pkt, dname, labs, p))
 +                      return RETVAL_TRUNC;
 +      } else {
 +              if(!dname_buffer_write(pkt, dname))
 +                      return RETVAL_TRUNC;
 +      }
 +      if(!compress_tree_store(dname, labs, pos, region, p, insertpt))
 +              return RETVAL_OUTMEM;
 +      return RETVAL_OK;
 +}
 +
 +/** return true if type needs domain name compression in rdata */
 +static const sldns_rr_descriptor*
 +type_rdata_compressable(struct ub_packed_rrset_key* key)
 +{
 +      uint16_t t = ntohs(key->rk.type);
 +      if(sldns_rr_descript(t) && 
 +              sldns_rr_descript(t)->_compress == LDNS_RR_COMPRESS)
 +              return sldns_rr_descript(t);
 +      return 0;
 +}
 +
 +/** compress domain names in rdata, return RETVAL_* */
 +static int
 +compress_rdata(sldns_buffer* pkt, uint8_t* rdata, size_t todolen, 
 +      struct regional* region, struct compress_tree_node** tree, 
 +      const sldns_rr_descriptor* desc)
 +{
 +      int labs, r, rdf = 0;
 +      size_t dname_len, len, pos = sldns_buffer_position(pkt);
 +      uint8_t count = desc->_dname_count;
 +
 +      sldns_buffer_skip(pkt, 2); /* rdata len fill in later */
 +      /* space for rdatalen checked for already */
 +      rdata += 2;
 +      todolen -= 2;
 +      while(todolen > 0 && count) {
 +              switch(desc->_wireformat[rdf]) {
 +              case LDNS_RDF_TYPE_DNAME:
 +                      labs = dname_count_size_labels(rdata, &dname_len);
 +                      if((r=compress_any_dname(rdata, pkt, labs, region, 
 +                              tree)) != RETVAL_OK)
 +                              return r;
 +                      rdata += dname_len;
 +                      todolen -= dname_len;
 +                      count--;
 +                      len = 0;
 +                      break;
 +              case LDNS_RDF_TYPE_STR:
 +                      len = *rdata + 1;
 +                      break;
 +              default:
 +                      len = get_rdf_size(desc->_wireformat[rdf]);
 +              }
 +              if(len) {
 +                      /* copy over */
 +                      if(sldns_buffer_remaining(pkt) < len)
 +                              return RETVAL_TRUNC;
 +                      sldns_buffer_write(pkt, rdata, len);
 +                      todolen -= len;
 +                      rdata += len;
 +              }
 +              rdf++;
 +      }
 +      /* copy remainder */
 +      if(todolen > 0) {
 +              if(sldns_buffer_remaining(pkt) < todolen)
 +                      return RETVAL_TRUNC;
 +              sldns_buffer_write(pkt, rdata, todolen);
 +      }
 +
 +      /* set rdata len */
 +      sldns_buffer_write_u16_at(pkt, pos, sldns_buffer_position(pkt)-pos-2);
 +      return RETVAL_OK;
 +}
 +
 +/** Returns true if RR type should be included */
 +static int
 +rrset_belongs_in_reply(sldns_pkt_section s, uint16_t rrtype, uint16_t qtype, 
 +      int dnssec)
 +{
 +      if(dnssec)
 +              return 1;
 +      /* skip non DNSSEC types, except if directly queried for */
 +      if(s == LDNS_SECTION_ANSWER) {
 +              if(qtype == LDNS_RR_TYPE_ANY || qtype == rrtype)
 +                      return 1;
 +      }
 +      /* check DNSSEC-ness */
 +      switch(rrtype) {
 +              case LDNS_RR_TYPE_SIG:
 +              case LDNS_RR_TYPE_KEY:
 +              case LDNS_RR_TYPE_NXT:
 +              case LDNS_RR_TYPE_DS:
 +              case LDNS_RR_TYPE_RRSIG:
 +              case LDNS_RR_TYPE_NSEC:
 +              case LDNS_RR_TYPE_DNSKEY:
 +              case LDNS_RR_TYPE_NSEC3:
 +              case LDNS_RR_TYPE_NSEC3PARAMS:
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/** store rrset in buffer in wireformat, return RETVAL_* */
 +static int
 +packed_rrset_encode(struct ub_packed_rrset_key* key, sldns_buffer* pkt, 
 +      uint16_t* num_rrs, time_t timenow, struct regional* region,
 +      int do_data, int do_sig, struct compress_tree_node** tree,
 +      sldns_pkt_section s, uint16_t qtype, int dnssec, size_t rr_offset)
 +{
 +      size_t i, j, owner_pos;
 +      int r, owner_labs;
 +      uint16_t owner_ptr = 0;
 +      struct packed_rrset_data* data = (struct packed_rrset_data*)
 +              key->entry.data;
 +      
 +      /* does this RR type belong in the answer? */
 +      if(!rrset_belongs_in_reply(s, ntohs(key->rk.type), qtype, dnssec))
 +              return RETVAL_OK;
 +
 +      owner_labs = dname_count_labels(key->rk.dname);
 +      owner_pos = sldns_buffer_position(pkt);
 +
 +      if(do_data) {
 +              const sldns_rr_descriptor* c = type_rdata_compressable(key);
 +              for(i=0; i<data->count; i++) {
 +                      /* rrset roundrobin */
 +                      j = (i + rr_offset) % data->count;
 +                      if((r=compress_owner(key, pkt, region, tree, 
 +                              owner_pos, &owner_ptr, owner_labs))
 +                              != RETVAL_OK)
 +                              return r;
 +                      sldns_buffer_write(pkt, &key->rk.type, 2);
 +                      sldns_buffer_write(pkt, &key->rk.rrset_class, 2);
 +                      if(data->rr_ttl[j] < timenow)
 +                              sldns_buffer_write_u32(pkt, 0);
 +                      else    sldns_buffer_write_u32(pkt, 
 +                                      data->rr_ttl[j]-timenow);
 +                      if(c) {
 +                              if((r=compress_rdata(pkt, data->rr_data[j],
 +                                      data->rr_len[j], region, tree, c))
 +                                      != RETVAL_OK)
 +                                      return r;
 +                      } else {
 +                              if(sldns_buffer_remaining(pkt) < data->rr_len[j])
 +                                      return RETVAL_TRUNC;
 +                              sldns_buffer_write(pkt, data->rr_data[j],
 +                                      data->rr_len[j]);
 +                      }
 +              }
 +      }
 +      /* insert rrsigs */
 +      if(do_sig && dnssec) {
 +              size_t total = data->count+data->rrsig_count;
 +              for(i=data->count; i<total; i++) {
 +                      if(owner_ptr && owner_labs != 1) {
 +                              if(sldns_buffer_remaining(pkt) <
 +                                      2+4+4+data->rr_len[i]) 
 +                                      return RETVAL_TRUNC;
 +                              sldns_buffer_write(pkt, &owner_ptr, 2);
 +                      } else {
 +                              if((r=compress_any_dname(key->rk.dname, 
 +                                      pkt, owner_labs, region, tree))
 +                                      != RETVAL_OK)
 +                                      return r;
 +                              if(sldns_buffer_remaining(pkt) < 
 +                                      4+4+data->rr_len[i])
 +                                      return RETVAL_TRUNC;
 +                      }
 +                      sldns_buffer_write_u16(pkt, LDNS_RR_TYPE_RRSIG);
 +                      sldns_buffer_write(pkt, &key->rk.rrset_class, 2);
 +                      if(data->rr_ttl[i] < timenow)
 +                              sldns_buffer_write_u32(pkt, 0);
 +                      else    sldns_buffer_write_u32(pkt, 
 +                                      data->rr_ttl[i]-timenow);
 +                      /* rrsig rdata cannot be compressed, perform 100+ byte
 +                       * memcopy. */
 +                      sldns_buffer_write(pkt, data->rr_data[i],
 +                              data->rr_len[i]);
 +              }
 +      }
 +      /* change rrnum only after we are sure it fits */
 +      if(do_data)
 +              *num_rrs += data->count;
 +      if(do_sig && dnssec)
 +              *num_rrs += data->rrsig_count;
 +
 +      return RETVAL_OK;
 +}
 +
 +/** store msg section in wireformat buffer, return RETVAL_* */
 +static int
 +insert_section(struct reply_info* rep, size_t num_rrsets, uint16_t* num_rrs,
 +      sldns_buffer* pkt, size_t rrsets_before, time_t timenow, 
 +      struct regional* region, struct compress_tree_node** tree,
 +      sldns_pkt_section s, uint16_t qtype, int dnssec, size_t rr_offset)
 +{
 +      int r;
 +      size_t i, setstart;
 +      *num_rrs = 0;
 +      if(s != LDNS_SECTION_ADDITIONAL) {
 +              if(s == LDNS_SECTION_ANSWER && qtype == LDNS_RR_TYPE_ANY)
 +                      dnssec = 1; /* include all types in ANY answer */
 +              for(i=0; i<num_rrsets; i++) {
 +                      setstart = sldns_buffer_position(pkt);
 +                      if((r=packed_rrset_encode(rep->rrsets[rrsets_before+i], 
 +                              pkt, num_rrs, timenow, region, 1, 1, tree,
 +                              s, qtype, dnssec, rr_offset))
 +                              != RETVAL_OK) {
 +                              /* Bad, but if due to size must set TC bit */
 +                              /* trim off the rrset neatly. */
 +                              sldns_buffer_set_position(pkt, setstart);
 +                              return r;
 +                      }
 +              }
 +      } else {
 +              for(i=0; i<num_rrsets; i++) {
 +                      setstart = sldns_buffer_position(pkt);
 +                      if((r=packed_rrset_encode(rep->rrsets[rrsets_before+i], 
 +                              pkt, num_rrs, timenow, region, 1, 0, tree,
 +                              s, qtype, dnssec, rr_offset))
 +                              != RETVAL_OK) {
 +                              sldns_buffer_set_position(pkt, setstart);
 +                              return r;
 +                      }
 +              }
 +              if(dnssec)
 +                for(i=0; i<num_rrsets; i++) {
 +                      setstart = sldns_buffer_position(pkt);
 +                      if((r=packed_rrset_encode(rep->rrsets[rrsets_before+i], 
 +                              pkt, num_rrs, timenow, region, 0, 1, tree,
 +                              s, qtype, dnssec, rr_offset))
 +                              != RETVAL_OK) {
 +                              sldns_buffer_set_position(pkt, setstart);
 +                              return r;
 +                      }
 +                }
 +      }
 +      return RETVAL_OK;
 +}
 +
 +/** store query section in wireformat buffer, return RETVAL */
 +static int
 +insert_query(struct query_info* qinfo, struct compress_tree_node** tree, 
 +      sldns_buffer* buffer, struct regional* region)
 +{
 +      if(sldns_buffer_remaining(buffer) < 
 +              qinfo->qname_len+sizeof(uint16_t)*2)
 +              return RETVAL_TRUNC; /* buffer too small */
 +      /* the query is the first name inserted into the tree */
 +      if(!compress_tree_store(qinfo->qname, 
 +              dname_count_labels(qinfo->qname), 
 +              sldns_buffer_position(buffer), region, NULL, tree))
 +              return RETVAL_OUTMEM;
 +      if(sldns_buffer_current(buffer) == qinfo->qname)
 +              sldns_buffer_skip(buffer, (ssize_t)qinfo->qname_len);
 +      else    sldns_buffer_write(buffer, qinfo->qname, qinfo->qname_len);
 +      sldns_buffer_write_u16(buffer, qinfo->qtype);
 +      sldns_buffer_write_u16(buffer, qinfo->qclass);
 +      return RETVAL_OK;
 +}
 +
 +static int
 +positive_answer(struct reply_info* rep, uint16_t qtype) {
 +      size_t i;
 +      if (FLAGS_GET_RCODE(rep->flags) != LDNS_RCODE_NOERROR)
 +              return 0;
 +
 +      for(i=0;i<rep->an_numrrsets; i++) {
 +              if(ntohs(rep->rrsets[i]->rk.type) == qtype) {
 +                      /* in case it is a wildcard with DNSSEC, there will
 +                       * be NSEC/NSEC3 records in the authority section
 +                       * that we cannot remove */
 +                      for(i=rep->an_numrrsets; i<rep->an_numrrsets+
 +                              rep->ns_numrrsets; i++) {
 +                              if(ntohs(rep->rrsets[i]->rk.type) ==
 +                                      LDNS_RR_TYPE_NSEC ||
 +                                 ntohs(rep->rrsets[i]->rk.type) ==
 +                                      LDNS_RR_TYPE_NSEC3)
 +                                      return 0;
 +                      }
 +                      return 1;
 +              }
 +      }
 +      return 0;
 +}
 +
 +int 
 +reply_info_encode(struct query_info* qinfo, struct reply_info* rep, 
 +      uint16_t id, uint16_t flags, sldns_buffer* buffer, time_t timenow, 
 +      struct regional* region, uint16_t udpsize, int dnssec)
 +{
 +      uint16_t ancount=0, nscount=0, arcount=0;
 +      struct compress_tree_node* tree = 0;
 +      int r;
 +      size_t rr_offset; 
 +
 +      sldns_buffer_clear(buffer);
 +      if(udpsize < sldns_buffer_limit(buffer))
 +              sldns_buffer_set_limit(buffer, udpsize);
 +      if(sldns_buffer_remaining(buffer) < LDNS_HEADER_SIZE)
 +              return 0;
 +
 +      sldns_buffer_write(buffer, &id, sizeof(uint16_t));
 +      sldns_buffer_write_u16(buffer, flags);
 +      sldns_buffer_write_u16(buffer, rep->qdcount);
 +      /* set an, ns, ar counts to zero in case of small packets */
 +      sldns_buffer_write(buffer, "\000\000\000\000\000\000", 6);
 +
 +      /* insert query section */
 +      if(rep->qdcount) {
 +              if((r=insert_query(qinfo, &tree, buffer, region)) != 
 +                      RETVAL_OK) {
 +                      if(r == RETVAL_TRUNC) {
 +                              /* create truncated message */
 +                              sldns_buffer_write_u16_at(buffer, 4, 0);
 +                              LDNS_TC_SET(sldns_buffer_begin(buffer));
 +                              sldns_buffer_flip(buffer);
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +      }
 +      /* roundrobin offset. using query id for random number.  With ntohs
 +       * for different roundrobins for sequential id client senders. */
 +      rr_offset = RRSET_ROUNDROBIN?ntohs(id):0;
 +
 +      /* insert answer section */
 +      if((r=insert_section(rep, rep->an_numrrsets, &ancount, buffer, 
 +              0, timenow, region, &tree, LDNS_SECTION_ANSWER, qinfo->qtype, 
 +              dnssec, rr_offset)) != RETVAL_OK) {
 +              if(r == RETVAL_TRUNC) {
 +                      /* create truncated message */
 +                      sldns_buffer_write_u16_at(buffer, 6, ancount);
 +                      LDNS_TC_SET(sldns_buffer_begin(buffer));
 +                      sldns_buffer_flip(buffer);
 +                      return 1;
 +              }
 +              return 0;
 +      }
 +      sldns_buffer_write_u16_at(buffer, 6, ancount);
 +
 +      /* if response is positive answer, auth/add sections are not required */
 +      if( ! (MINIMAL_RESPONSES && positive_answer(rep, qinfo->qtype)) ) {
 +              /* insert auth section */
 +              if((r=insert_section(rep, rep->ns_numrrsets, &nscount, buffer, 
 +                      rep->an_numrrsets, timenow, region, &tree,
 +                      LDNS_SECTION_AUTHORITY, qinfo->qtype,
 +                      dnssec, rr_offset)) != RETVAL_OK) {
 +                      if(r == RETVAL_TRUNC) {
 +                              /* create truncated message */
 +                              sldns_buffer_write_u16_at(buffer, 8, nscount);
 +                              LDNS_TC_SET(sldns_buffer_begin(buffer));
 +                              sldns_buffer_flip(buffer);
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +              sldns_buffer_write_u16_at(buffer, 8, nscount);
 +
 +              /* insert add section */
 +              if((r=insert_section(rep, rep->ar_numrrsets, &arcount, buffer, 
 +                      rep->an_numrrsets + rep->ns_numrrsets, timenow, region, 
 +                      &tree, LDNS_SECTION_ADDITIONAL, qinfo->qtype, 
 +                      dnssec, rr_offset)) != RETVAL_OK) {
 +                      if(r == RETVAL_TRUNC) {
 +                              /* no need to set TC bit, this is the additional */
 +                              sldns_buffer_write_u16_at(buffer, 10, arcount);
 +                              sldns_buffer_flip(buffer);
 +                              return 1;
 +                      }
 +                      return 0;
 +              }
 +              sldns_buffer_write_u16_at(buffer, 10, arcount);
 +      }
 +      sldns_buffer_flip(buffer);
 +      return 1;
 +}
 +
 +uint16_t
 +calc_edns_field_size(struct edns_data* edns)
 +{
 +      if(!edns || !edns->edns_present) 
 +              return 0;
 +      /* domain root '.' + type + class + ttl + rdatalen(=0) */
 +      return 1 + 2 + 2 + 4 + 2;
 +}
 +
 +void
 +attach_edns_record(sldns_buffer* pkt, struct edns_data* edns)
 +{
 +      size_t len;
 +      if(!edns || !edns->edns_present)
 +              return;
 +      /* inc additional count */
 +      sldns_buffer_write_u16_at(pkt, 10,
 +              sldns_buffer_read_u16_at(pkt, 10) + 1);
 +      len = sldns_buffer_limit(pkt);
 +      sldns_buffer_clear(pkt);
 +      sldns_buffer_set_position(pkt, len);
 +      /* write EDNS record */
 +      sldns_buffer_write_u8(pkt, 0); /* '.' label */
 +      sldns_buffer_write_u16(pkt, LDNS_RR_TYPE_OPT); /* type */
 +      sldns_buffer_write_u16(pkt, edns->udp_size); /* class */
 +      sldns_buffer_write_u8(pkt, edns->ext_rcode); /* ttl */
 +      sldns_buffer_write_u8(pkt, edns->edns_version);
 +      sldns_buffer_write_u16(pkt, edns->bits);
 +      sldns_buffer_write_u16(pkt, 0); /* rdatalen */
 +      sldns_buffer_flip(pkt);
 +}
 +
 +int 
 +reply_info_answer_encode(struct query_info* qinf, struct reply_info* rep, 
 +      uint16_t id, uint16_t qflags, sldns_buffer* pkt, time_t timenow,
 +      int cached, struct regional* region, uint16_t udpsize, 
 +      struct edns_data* edns, int dnssec, int secure)
 +{
 +      uint16_t flags;
 +      int attach_edns = 1;
 +
 +      if(!cached || rep->authoritative) {
 +              /* original flags, copy RD and CD bits from query. */
 +              flags = rep->flags | (qflags & (BIT_RD|BIT_CD)); 
 +      } else {
 +              /* remove AA bit, copy RD and CD bits from query. */
 +              flags = (rep->flags & ~BIT_AA) | (qflags & (BIT_RD|BIT_CD)); 
 +      }
 +      if(secure && (dnssec || (qflags&BIT_AD)))
 +              flags |= BIT_AD;
 +      log_assert(flags & BIT_QR); /* QR bit must be on in our replies */
 +      if(udpsize < LDNS_HEADER_SIZE)
 +              return 0;
 +      if(udpsize < LDNS_HEADER_SIZE + calc_edns_field_size(edns)) {
 +              /* packet too small to contain edns, omit it. */
 +              attach_edns = 0;
 +      } else {
 +              /* reserve space for edns record */
 +              udpsize -= calc_edns_field_size(edns);
 +      }
 +
 +      if(!reply_info_encode(qinf, rep, id, flags, pkt, timenow, region,
 +              udpsize, dnssec)) {
 +              log_err("reply encode: out of memory");
 +              return 0;
 +      }
 +      if(attach_edns)
 +              attach_edns_record(pkt, edns);
 +      return 1;
 +}
 +
 +void 
 +qinfo_query_encode(sldns_buffer* pkt, struct query_info* qinfo)
 +{
 +      uint16_t flags = 0; /* QUERY, NOERROR */
 +      sldns_buffer_clear(pkt);
 +      log_assert(sldns_buffer_remaining(pkt) >= 12+255+4/*max query*/);
 +      sldns_buffer_skip(pkt, 2); /* id done later */
 +      sldns_buffer_write_u16(pkt, flags);
 +      sldns_buffer_write_u16(pkt, 1); /* query count */
 +      sldns_buffer_write(pkt, "\000\000\000\000\000\000", 6); /* counts */
 +      sldns_buffer_write(pkt, qinfo->qname, qinfo->qname_len);
 +      sldns_buffer_write_u16(pkt, qinfo->qtype);
 +      sldns_buffer_write_u16(pkt, qinfo->qclass);
 +      sldns_buffer_flip(pkt);
 +}
 +
 +void 
 +error_encode(sldns_buffer* buf, int r, struct query_info* qinfo,
 +      uint16_t qid, uint16_t qflags, struct edns_data* edns)
 +{
 +      uint16_t flags;
 +
 +      sldns_buffer_clear(buf);
 +      sldns_buffer_write(buf, &qid, sizeof(uint16_t));
 +      flags = (uint16_t)(BIT_QR | BIT_RA | r); /* QR and retcode*/
 +      flags |= (qflags & (BIT_RD|BIT_CD)); /* copy RD and CD bit */
 +      sldns_buffer_write_u16(buf, flags);
 +      if(qinfo) flags = 1;
 +      else    flags = 0;
 +      sldns_buffer_write_u16(buf, flags);
 +      flags = 0;
 +      sldns_buffer_write(buf, &flags, sizeof(uint16_t));
 +      sldns_buffer_write(buf, &flags, sizeof(uint16_t));
 +      sldns_buffer_write(buf, &flags, sizeof(uint16_t));
 +      if(qinfo) {
 +              if(sldns_buffer_current(buf) == qinfo->qname)
 +                      sldns_buffer_skip(buf, (ssize_t)qinfo->qname_len);
 +              else    sldns_buffer_write(buf, qinfo->qname, qinfo->qname_len);
 +              sldns_buffer_write_u16(buf, qinfo->qtype);
 +              sldns_buffer_write_u16(buf, qinfo->qclass);
 +      }
 +      sldns_buffer_flip(buf);
 +      if(edns) {
 +              struct edns_data es = *edns;
 +              es.edns_version = EDNS_ADVERTISED_VERSION;
 +              es.udp_size = EDNS_ADVERTISED_SIZE;
 +              es.ext_rcode = 0;
 +              es.bits &= EDNS_DO;
 +              if(sldns_buffer_limit(buf) + calc_edns_field_size(&es) >
 +                      edns->udp_size)
 +                      return;
 +              attach_edns_record(buf, &es);
 +      }
 +}
diff --cc contrib/unbound/util/data/msgparse.c
index abe778a89fb6c7105148818219407a9719206227,0000000000000000000000000000000000000000..108c9dacb39bc5b2973fc2034d1abab62eb05242
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/msgparse.c
--- /dev/null
+++ b/contrib/unbound/util/data/msgparse.c
@@@ -1,1022 -1,0 +1,1022 @@@
- #include "ldns/rrdef.h"
- #include "ldns/sbuffer.h"
- #include "ldns/parseutil.h"
- #include "ldns/wire2str.h"
 +/* 
 + * util/data/msgparse.c - parse wireformat DNS messages.
 + * 
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + * 
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +/**
 + * \file
 + * Routines for message parsing a packet buffer to a descriptive structure.
 + */
 +#include "config.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/dname.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/storage/lookup3.h"
 +#include "util/regional.h"
++#include "sldns/rrdef.h"
++#include "sldns/sbuffer.h"
++#include "sldns/parseutil.h"
++#include "sldns/wire2str.h"
 +
 +/** smart comparison of (compressed, valid) dnames from packet */
 +static int
 +smart_compare(sldns_buffer* pkt, uint8_t* dnow, 
 +      uint8_t* dprfirst, uint8_t* dprlast)
 +{
 +      if(LABEL_IS_PTR(*dnow)) {
 +              /* ptr points to a previous dname */
 +              uint8_t* p = sldns_buffer_at(pkt, PTR_OFFSET(dnow[0], dnow[1]));
 +              if( p == dprfirst || p == dprlast )
 +                      return 0;
 +              /* prev dname is also a ptr, both ptrs are the same. */
 +              if(LABEL_IS_PTR(*dprlast) &&
 +                      dprlast[0] == dnow[0] && dprlast[1] == dnow[1])
 +                      return 0;
 +      }
 +      return dname_pkt_compare(pkt, dnow, dprlast);
 +}
 +
 +/**
 + * Allocate new rrset in region, fill with data.
 + */
 +static struct rrset_parse* 
 +new_rrset(struct msg_parse* msg, uint8_t* dname, size_t dnamelen, 
 +      uint16_t type, uint16_t dclass, hashvalue_t hash, 
 +      uint32_t rrset_flags, sldns_pkt_section section, 
 +      struct regional* region)
 +{
 +      struct rrset_parse* p = regional_alloc(region, sizeof(*p));
 +      if(!p) return NULL;
 +      p->rrset_bucket_next = msg->hashtable[hash & (PARSE_TABLE_SIZE-1)];
 +      msg->hashtable[hash & (PARSE_TABLE_SIZE-1)] = p;
 +      p->rrset_all_next = 0;
 +      if(msg->rrset_last)
 +              msg->rrset_last->rrset_all_next = p;
 +      else    msg->rrset_first = p;
 +      msg->rrset_last = p;
 +      p->hash = hash;
 +      p->section = section;
 +      p->dname = dname;
 +      p->dname_len = dnamelen;
 +      p->type = type;
 +      p->rrset_class = dclass;
 +      p->flags = rrset_flags;
 +      p->rr_count = 0;
 +      p->size = 0;
 +      p->rr_first = 0;
 +      p->rr_last = 0;
 +      p->rrsig_count = 0;
 +      p->rrsig_first = 0;
 +      p->rrsig_last = 0;
 +      return p;
 +}
 +
 +/** See if next rrset is nsec at zone apex */
 +static int
 +nsec_at_apex(sldns_buffer* pkt)
 +{
 +      /* we are at ttl position in packet. */
 +      size_t pos = sldns_buffer_position(pkt);
 +      uint16_t rdatalen;
 +      if(sldns_buffer_remaining(pkt) < 7) /* ttl+len+root */
 +              return 0; /* eek! */
 +      sldns_buffer_skip(pkt, 4); /* ttl */;
 +      rdatalen = sldns_buffer_read_u16(pkt);
 +      if(sldns_buffer_remaining(pkt) < rdatalen) {
 +              sldns_buffer_set_position(pkt, pos);
 +              return 0; /* parse error happens later */
 +      }
 +      /* must validate the nsec next domain name format */
 +      if(pkt_dname_len(pkt) == 0) {
 +              sldns_buffer_set_position(pkt, pos);
 +              return 0; /* parse error */
 +      }
 +
 +      /* see if SOA bit is set. */
 +      if(sldns_buffer_position(pkt) < pos+4+rdatalen) {
 +              /* nsec type bitmap contains items */
 +              uint8_t win, blen, bits;
 +              /* need: windownum, bitmap len, firstbyte */
 +              if(sldns_buffer_position(pkt)+3 > pos+4+rdatalen) {
 +                      sldns_buffer_set_position(pkt, pos);
 +                      return 0; /* malformed nsec */
 +              }
 +              win = sldns_buffer_read_u8(pkt);
 +              blen = sldns_buffer_read_u8(pkt);
 +              bits = sldns_buffer_read_u8(pkt);
 +              /* 0window always first window. bitlen >=1 or parse
 +                 error really. bit 0x2 is SOA. */
 +              if(win == 0 && blen >= 1 && (bits & 0x02)) {
 +                      sldns_buffer_set_position(pkt, pos);
 +                      return 1;
 +              }
 +      }
 +
 +      sldns_buffer_set_position(pkt, pos);
 +      return 0;
 +}
 +
 +/** Calculate rrset flags */
 +static uint32_t
 +pkt_rrset_flags(sldns_buffer* pkt, uint16_t type, sldns_pkt_section sec)
 +{
 +      uint32_t f = 0;
 +      if(type == LDNS_RR_TYPE_NSEC && nsec_at_apex(pkt)) {
 +              f |= PACKED_RRSET_NSEC_AT_APEX;
 +      } else if(type == LDNS_RR_TYPE_SOA && sec == LDNS_SECTION_AUTHORITY) {
 +              f |= PACKED_RRSET_SOA_NEG;
 +      }
 +      return f;
 +}
 +
 +hashvalue_t
 +pkt_hash_rrset(sldns_buffer* pkt, uint8_t* dname, uint16_t type, 
 +      uint16_t dclass, uint32_t rrset_flags)
 +{
 +      /* note this MUST be identical to rrset_key_hash in packed_rrset.c */
 +      /* this routine handles compressed names */
 +      hashvalue_t h = 0xab;
 +      h = dname_pkt_hash(pkt, dname, h);
 +      h = hashlittle(&type, sizeof(type), h);         /* host order */
 +      h = hashlittle(&dclass, sizeof(dclass), h);     /* netw order */
 +      h = hashlittle(&rrset_flags, sizeof(uint32_t), h);
 +      return h;
 +}
 +
 +/** create partial dname hash for rrset hash */
 +static hashvalue_t
 +pkt_hash_rrset_first(sldns_buffer* pkt, uint8_t* dname)
 +{
 +      /* works together with pkt_hash_rrset_rest */
 +      /* note this MUST be identical to rrset_key_hash in packed_rrset.c */
 +      /* this routine handles compressed names */
 +      hashvalue_t h = 0xab;
 +      h = dname_pkt_hash(pkt, dname, h);
 +      return h;
 +}
 +
 +/** create a rrset hash from a partial dname hash */
 +static hashvalue_t
 +pkt_hash_rrset_rest(hashvalue_t dname_h, uint16_t type, uint16_t dclass, 
 +      uint32_t rrset_flags)
 +{
 +      /* works together with pkt_hash_rrset_first */
 +      /* note this MUST be identical to rrset_key_hash in packed_rrset.c */
 +      hashvalue_t h;
 +      h = hashlittle(&type, sizeof(type), dname_h);   /* host order */
 +      h = hashlittle(&dclass, sizeof(dclass), h);     /* netw order */
 +      h = hashlittle(&rrset_flags, sizeof(uint32_t), h);
 +      return h;
 +}
 +
 +/** compare rrset_parse with data */
 +static int
 +rrset_parse_equals(struct rrset_parse* p, sldns_buffer* pkt, hashvalue_t h, 
 +      uint32_t rrset_flags, uint8_t* dname, size_t dnamelen, 
 +      uint16_t type, uint16_t dclass)
 +{
 +      if(p->hash == h && p->dname_len == dnamelen && p->type == type &&
 +              p->rrset_class == dclass && p->flags == rrset_flags &&
 +              dname_pkt_compare(pkt, dname, p->dname) == 0)
 +              return 1;
 +      return 0;
 +}
 +
 +
 +struct rrset_parse*
 +msgparse_hashtable_lookup(struct msg_parse* msg, sldns_buffer* pkt, 
 +      hashvalue_t h, uint32_t rrset_flags, uint8_t* dname, size_t dnamelen, 
 +      uint16_t type, uint16_t dclass)
 +{
 +      struct rrset_parse* p = msg->hashtable[h & (PARSE_TABLE_SIZE-1)];
 +      while(p) {
 +              if(rrset_parse_equals(p, pkt, h, rrset_flags, dname, dnamelen,
 +                      type, dclass))
 +                      return p;
 +              p = p->rrset_bucket_next;
 +      }
 +      return NULL;
 +}
 +
 +/** return type networkformat that rrsig in packet covers */
 +static int
 +pkt_rrsig_covered(sldns_buffer* pkt, uint8_t* here, uint16_t* type)
 +{
 +      size_t pos = sldns_buffer_position(pkt);
 +      sldns_buffer_set_position(pkt, (size_t)(here-sldns_buffer_begin(pkt)));
 +      /* ttl + len + size of small rrsig(rootlabel, no signature) */
 +      if(sldns_buffer_remaining(pkt) < 4+2+19)
 +              return 0;
 +      sldns_buffer_skip(pkt, 4); /* ttl */
 +      if(sldns_buffer_read_u16(pkt) < 19) /* too short */ {
 +              sldns_buffer_set_position(pkt, pos);
 +              return 0;
 +      }
 +      *type = sldns_buffer_read_u16(pkt);
 +      sldns_buffer_set_position(pkt, pos);
 +      return 1;
 +}
 +
 +/** true if covered type equals prevtype */
 +static int
 +pkt_rrsig_covered_equals(sldns_buffer* pkt, uint8_t* here, uint16_t type)
 +{
 +      uint16_t t;
 +      if(pkt_rrsig_covered(pkt, here, &t) && t == type)
 +              return 1;
 +      return 0;
 +}
 +
 +void
 +msgparse_bucket_remove(struct msg_parse* msg, struct rrset_parse* rrset)
 +{
 +      struct rrset_parse** p;
 +      p = &msg->hashtable[ rrset->hash & (PARSE_TABLE_SIZE-1) ];
 +      while(*p) {
 +              if(*p == rrset) {
 +                      *p = rrset->rrset_bucket_next;
 +                      return;
 +              }
 +              p = &( (*p)->rrset_bucket_next );
 +      }
 +}
 +
 +/** change section of rrset from previous to current section */
 +static void
 +change_section(struct msg_parse* msg, struct rrset_parse* rrset,
 +      sldns_pkt_section section)
 +{
 +      struct rrset_parse *p, *prev;
 +      /* remove from list */
 +      if(section == rrset->section)
 +              return;
 +      p = msg->rrset_first;
 +      prev = 0;
 +      while(p) {
 +              if(p == rrset) {
 +                      if(prev) prev->rrset_all_next = p->rrset_all_next;
 +                      else    msg->rrset_first = p->rrset_all_next;
 +                      if(msg->rrset_last == rrset)
 +                              msg->rrset_last = prev;
 +                      break;
 +              }
 +              prev = p;
 +              p = p->rrset_all_next;
 +      }
 +      /* remove from count */
 +      switch(rrset->section) {
 +              case LDNS_SECTION_ANSWER: msg->an_rrsets--; break;
 +              case LDNS_SECTION_AUTHORITY: msg->ns_rrsets--; break;
 +              case LDNS_SECTION_ADDITIONAL: msg->ar_rrsets--; break;
 +              default: log_assert(0);
 +      }
 +      /* insert at end of list */
 +      rrset->rrset_all_next = 0;
 +      if(msg->rrset_last)
 +              msg->rrset_last->rrset_all_next = rrset;
 +      else    msg->rrset_first = rrset;
 +      msg->rrset_last = rrset;
 +      /* up count of new section */
 +      switch(section) {
 +              case LDNS_SECTION_AUTHORITY: msg->ns_rrsets++; break;
 +              case LDNS_SECTION_ADDITIONAL: msg->ar_rrsets++; break;
 +              default: log_assert(0);
 +      }
 +      rrset->section = section;
 +}
 +
 +/** see if rrset of type RRSIG contains sig over given type */
 +static int
 +rrset_has_sigover(sldns_buffer* pkt, struct rrset_parse* rrset, uint16_t type,
 +      int* hasother)
 +{
 +      int res = 0;
 +      struct rr_parse* rr = rrset->rr_first;
 +      log_assert( rrset->type == LDNS_RR_TYPE_RRSIG );
 +      while(rr) {
 +              if(pkt_rrsig_covered_equals(pkt, rr->ttl_data, type))
 +                      res = 1;
 +              else    *hasother = 1;
 +              rr = rr->next;
 +      }
 +      return res;
 +}
 +
 +/** move rrsigs from sigset to dataset */
 +static int
 +moveover_rrsigs(sldns_buffer* pkt, struct regional* region, 
 +      struct rrset_parse* sigset, struct rrset_parse* dataset, int duplicate)
 +{
 +      struct rr_parse* sig = sigset->rr_first;
 +      struct rr_parse* prev = NULL;
 +      struct rr_parse* insert;
 +      struct rr_parse* nextsig;
 +      while(sig) {
 +              nextsig = sig->next;
 +              if(pkt_rrsig_covered_equals(pkt, sig->ttl_data, 
 +                      dataset->type)) {
 +                      if(duplicate) {
 +                              /* new */
 +                              insert = (struct rr_parse*)regional_alloc(
 +                                      region, sizeof(struct rr_parse));
 +                              if(!insert) return 0;
 +                              insert->outside_packet = 0;
 +                              insert->ttl_data = sig->ttl_data;
 +                              insert->size = sig->size;
 +                              /* prev not used */
 +                      } else {
 +                              /* remove from sigset */
 +                              if(prev) prev->next = sig->next;
 +                              else    sigset->rr_first = sig->next;
 +                              if(sigset->rr_last == sig)
 +                                      sigset->rr_last = prev;
 +                              sigset->rr_count--;
 +                              sigset->size -= sig->size;
 +                              insert = sig;
 +                              /* prev not changed */
 +                      }
 +                      /* add to dataset */
 +                      dataset->rrsig_count++;
 +                      insert->next = 0;
 +                      if(dataset->rrsig_last) 
 +                              dataset->rrsig_last->next = insert;
 +                      else    dataset->rrsig_first = insert;
 +                      dataset->rrsig_last = insert;
 +                      dataset->size += insert->size;
 +              } else  {
 +                      prev = sig;
 +              }
 +              sig = nextsig;
 +      }
 +      return 1;
 +}
 +
 +/** change an rrsig rrset for use as data rrset */
 +static struct rrset_parse*
 +change_rrsig_rrset(struct rrset_parse* sigset, struct msg_parse* msg, 
 +      sldns_buffer* pkt, uint16_t datatype, uint32_t rrset_flags,
 +      int hasother, sldns_pkt_section section, struct regional* region)
 +{
 +      struct rrset_parse* dataset = sigset;
 +      hashvalue_t hash = pkt_hash_rrset(pkt, sigset->dname, datatype, 
 +              sigset->rrset_class, rrset_flags);
 +      log_assert( sigset->type == LDNS_RR_TYPE_RRSIG );
 +      log_assert( datatype != LDNS_RR_TYPE_RRSIG );
 +      if(hasother) {
 +              /* need to make new rrset to hold data type */
 +              dataset = new_rrset(msg, sigset->dname, sigset->dname_len, 
 +                      datatype, sigset->rrset_class, hash, rrset_flags, 
 +                      section, region);
 +              if(!dataset) 
 +                      return NULL;
 +              switch(section) {
 +                      case LDNS_SECTION_ANSWER: msg->an_rrsets++; break;
 +                      case LDNS_SECTION_AUTHORITY: msg->ns_rrsets++; break;
 +                      case LDNS_SECTION_ADDITIONAL: msg->ar_rrsets++; break;
 +                      default: log_assert(0);
 +              }
 +              if(!moveover_rrsigs(pkt, region, sigset, dataset, 
 +                      msg->qtype == LDNS_RR_TYPE_RRSIG ||
 +                      (msg->qtype == LDNS_RR_TYPE_ANY &&
 +                      section != LDNS_SECTION_ANSWER) ))
 +                      return NULL;
 +              return dataset;
 +      }
 +      /* changeover the type of the rrset to data set */
 +      msgparse_bucket_remove(msg, dataset);
 +      /* insert into new hash bucket */
 +      dataset->rrset_bucket_next = msg->hashtable[hash&(PARSE_TABLE_SIZE-1)];
 +      msg->hashtable[hash&(PARSE_TABLE_SIZE-1)] = dataset;
 +      dataset->hash = hash;
 +      /* use section of data item for result */
 +      change_section(msg, dataset, section);
 +      dataset->type = datatype;
 +      dataset->flags = rrset_flags;
 +      dataset->rrsig_count += dataset->rr_count;
 +      dataset->rr_count = 0;
 +      /* move sigs to end of siglist */
 +      if(dataset->rrsig_last)
 +              dataset->rrsig_last->next = dataset->rr_first;
 +      else    dataset->rrsig_first = dataset->rr_first;
 +      dataset->rrsig_last = dataset->rr_last;
 +      dataset->rr_first = 0;
 +      dataset->rr_last = 0;
 +      return dataset;
 +}
 +
 +/** Find rrset. If equal to previous it is fast. hash if not so.
 + * @param msg: the message with hash table.
 + * @param pkt: the packet in wireformat (needed for compression ptrs).
 + * @param dname: pointer to start of dname (compressed) in packet.
 + * @param dnamelen: uncompressed wirefmt length of dname.
 + * @param type: type of current rr.
 + * @param dclass: class of current rr.
 + * @param hash: hash value is returned if the rrset could not be found.
 + * @param rrset_flags: is returned if the rrset could not be found.
 + * @param prev_dname_first: dname of last seen RR. First seen dname.
 + * @param prev_dname_last: dname of last seen RR. Last seen dname.
 + * @param prev_dnamelen: dname len of last seen RR.
 + * @param prev_type: type of last seen RR.
 + * @param prev_dclass: class of last seen RR.
 + * @param rrset_prev: last seen RRset.
 + * @param section: the current section in the packet.
 + * @param region: used to allocate temporary parsing data.
 + * @return 0 on out of memory.
 + */
 +static int
 +find_rrset(struct msg_parse* msg, sldns_buffer* pkt, uint8_t* dname, 
 +      size_t dnamelen, uint16_t type, uint16_t dclass, hashvalue_t* hash, 
 +      uint32_t* rrset_flags,
 +      uint8_t** prev_dname_first, uint8_t** prev_dname_last,
 +      size_t* prev_dnamelen, uint16_t* prev_type,
 +      uint16_t* prev_dclass, struct rrset_parse** rrset_prev,
 +      sldns_pkt_section section, struct regional* region)
 +{
 +      hashvalue_t dname_h = pkt_hash_rrset_first(pkt, dname);
 +      uint16_t covtype;
 +      if(*rrset_prev) {
 +              /* check if equal to previous item */
 +              if(type == *prev_type && dclass == *prev_dclass &&
 +                      dnamelen == *prev_dnamelen &&
 +                      smart_compare(pkt, dname, *prev_dname_first, 
 +                              *prev_dname_last) == 0 &&
 +                      type != LDNS_RR_TYPE_RRSIG) {
 +                      /* same as previous */
 +                      *prev_dname_last = dname;
 +                      return 1;
 +              }
 +              /* check if rrsig over previous item */
 +              if(type == LDNS_RR_TYPE_RRSIG && dclass == *prev_dclass &&
 +                      pkt_rrsig_covered_equals(pkt, sldns_buffer_current(pkt),
 +                              *prev_type) &&
 +                      smart_compare(pkt, dname, *prev_dname_first,
 +                              *prev_dname_last) == 0) {
 +                      /* covers previous */
 +                      *prev_dname_last = dname;
 +                      return 1;
 +              }
 +      }
 +      /* find by hashing and lookup in hashtable */
 +      *rrset_flags = pkt_rrset_flags(pkt, type, section);
 +      
 +      /* if rrsig - try to lookup matching data set first */
 +      if(type == LDNS_RR_TYPE_RRSIG && pkt_rrsig_covered(pkt, 
 +              sldns_buffer_current(pkt), &covtype)) {
 +              *hash = pkt_hash_rrset_rest(dname_h, covtype, dclass, 
 +                      *rrset_flags);
 +              *rrset_prev = msgparse_hashtable_lookup(msg, pkt, *hash, 
 +                      *rrset_flags, dname, dnamelen, covtype, dclass);
 +              if(!*rrset_prev && covtype == LDNS_RR_TYPE_NSEC) {
 +                      /* if NSEC try with NSEC apex bit twiddled */
 +                      *rrset_flags ^= PACKED_RRSET_NSEC_AT_APEX;
 +                      *hash = pkt_hash_rrset_rest(dname_h, covtype, dclass, 
 +                              *rrset_flags);
 +                      *rrset_prev = msgparse_hashtable_lookup(msg, pkt, 
 +                              *hash, *rrset_flags, dname, dnamelen, covtype, 
 +                              dclass);
 +                      if(!*rrset_prev) /* untwiddle if not found */
 +                              *rrset_flags ^= PACKED_RRSET_NSEC_AT_APEX;
 +              }
 +              if(!*rrset_prev && covtype == LDNS_RR_TYPE_SOA) {
 +                      /* if SOA try with SOA neg flag twiddled */
 +                      *rrset_flags ^= PACKED_RRSET_SOA_NEG;
 +                      *hash = pkt_hash_rrset_rest(dname_h, covtype, dclass, 
 +                              *rrset_flags);
 +                      *rrset_prev = msgparse_hashtable_lookup(msg, pkt, 
 +                              *hash, *rrset_flags, dname, dnamelen, covtype, 
 +                              dclass);
 +                      if(!*rrset_prev) /* untwiddle if not found */
 +                              *rrset_flags ^= PACKED_RRSET_SOA_NEG;
 +              }
 +              if(*rrset_prev) {
 +                      *prev_dname_first = (*rrset_prev)->dname;
 +                      *prev_dname_last = dname;
 +                      *prev_dnamelen = dnamelen;
 +                      *prev_type = covtype;
 +                      *prev_dclass = dclass;
 +                      return 1;
 +              }
 +      }
 +      if(type != LDNS_RR_TYPE_RRSIG) {
 +              int hasother = 0;
 +              /* find matching rrsig */
 +              *hash = pkt_hash_rrset_rest(dname_h, LDNS_RR_TYPE_RRSIG, 
 +                      dclass, 0);
 +              *rrset_prev = msgparse_hashtable_lookup(msg, pkt, *hash, 
 +                      0, dname, dnamelen, LDNS_RR_TYPE_RRSIG, 
 +                      dclass);
 +              if(*rrset_prev && rrset_has_sigover(pkt, *rrset_prev, type,
 +                      &hasother)) {
 +                      /* yes! */
 +                      *prev_dname_first = (*rrset_prev)->dname;
 +                      *prev_dname_last = dname;
 +                      *prev_dnamelen = dnamelen;
 +                      *prev_type = type;
 +                      *prev_dclass = dclass;
 +                      *rrset_prev = change_rrsig_rrset(*rrset_prev, msg, 
 +                              pkt, type, *rrset_flags, hasother, section, 
 +                              region);
 +                      if(!*rrset_prev) return 0;
 +                      return 1;
 +              }
 +      }
 +
 +      *hash = pkt_hash_rrset_rest(dname_h, type, dclass, *rrset_flags);
 +      *rrset_prev = msgparse_hashtable_lookup(msg, pkt, *hash, *rrset_flags, 
 +              dname, dnamelen, type, dclass);
 +      if(*rrset_prev)
 +              *prev_dname_first = (*rrset_prev)->dname;
 +      else    *prev_dname_first = dname;
 +      *prev_dname_last = dname;
 +      *prev_dnamelen = dnamelen;
 +      *prev_type = type;
 +      *prev_dclass = dclass;
 +      return 1;
 +}
 +
 +/**
 + * Parse query section. 
 + * @param pkt: packet, position at call must be at start of query section.
 + *    at end position is after query section.
 + * @param msg: store results here.
 + * @return: 0 if OK, or rcode on error.
 + */
 +static int
 +parse_query_section(sldns_buffer* pkt, struct msg_parse* msg)
 +{
 +      if(msg->qdcount == 0)
 +              return 0;
 +      if(msg->qdcount > 1)
 +              return LDNS_RCODE_FORMERR;
 +      log_assert(msg->qdcount == 1);
 +      if(sldns_buffer_remaining(pkt) <= 0)
 +              return LDNS_RCODE_FORMERR;
 +      msg->qname = sldns_buffer_current(pkt);
 +      if((msg->qname_len = pkt_dname_len(pkt)) == 0)
 +              return LDNS_RCODE_FORMERR;
 +      if(sldns_buffer_remaining(pkt) < sizeof(uint16_t)*2)
 +              return LDNS_RCODE_FORMERR;
 +      msg->qtype = sldns_buffer_read_u16(pkt);
 +      msg->qclass = sldns_buffer_read_u16(pkt);
 +      return 0;
 +}
 +
 +size_t
 +get_rdf_size(sldns_rdf_type rdf)
 +{
 +      switch(rdf) {
 +              case LDNS_RDF_TYPE_CLASS:
 +              case LDNS_RDF_TYPE_ALG:
 +              case LDNS_RDF_TYPE_INT8:
 +                      return 1;
 +                      break;
 +              case LDNS_RDF_TYPE_INT16:
 +              case LDNS_RDF_TYPE_TYPE:
 +              case LDNS_RDF_TYPE_CERT_ALG:
 +                      return 2;
 +                      break;
 +              case LDNS_RDF_TYPE_INT32:
 +              case LDNS_RDF_TYPE_TIME:
 +              case LDNS_RDF_TYPE_A:
 +              case LDNS_RDF_TYPE_PERIOD:
 +                      return 4;
 +                      break;
 +              case LDNS_RDF_TYPE_TSIGTIME:
 +                      return 6;
 +                      break;
 +              case LDNS_RDF_TYPE_AAAA:
 +                      return 16;
 +                      break;
 +              default:
 +                      log_assert(0); /* add type above */
 +                      /* only types that appear before a domain  *
 +                       * name are needed. rest is simply copied. */
 +      }
 +      return 0;
 +}
 +
 +/** calculate the size of one rr */
 +static int
 +calc_size(sldns_buffer* pkt, uint16_t type, struct rr_parse* rr)
 +{
 +      const sldns_rr_descriptor* desc;
 +      uint16_t pkt_len; /* length of rr inside the packet */
 +      rr->size = sizeof(uint16_t); /* the rdatalen */
 +      sldns_buffer_skip(pkt, 4); /* skip ttl */
 +      pkt_len = sldns_buffer_read_u16(pkt);
 +      if(sldns_buffer_remaining(pkt) < pkt_len)
 +              return 0;
 +      desc = sldns_rr_descript(type);
 +      if(pkt_len > 0 && desc && desc->_dname_count > 0) {
 +              int count = (int)desc->_dname_count;
 +              int rdf = 0;
 +              size_t len;
 +              size_t oldpos;
 +              /* skip first part. */
 +              while(pkt_len > 0 && count) {
 +                      switch(desc->_wireformat[rdf]) {
 +                      case LDNS_RDF_TYPE_DNAME:
 +                              /* decompress every domain name */
 +                              oldpos = sldns_buffer_position(pkt);
 +                              if((len = pkt_dname_len(pkt)) == 0)
 +                                      return 0; /* malformed dname */
 +                              if(sldns_buffer_position(pkt)-oldpos > pkt_len)
 +                                      return 0; /* dname exceeds rdata */
 +                              pkt_len -= sldns_buffer_position(pkt)-oldpos;
 +                              rr->size += len;
 +                              count--;
 +                              len = 0;
 +                              break;
 +                      case LDNS_RDF_TYPE_STR:
 +                              if(pkt_len < 1) {
 +                                      /* NOTREACHED, due to 'while(>0)' */
 +                                      return 0; /* len byte exceeds rdata */
 +                              }
 +                              len = sldns_buffer_current(pkt)[0] + 1;
 +                              break;
 +                      default:
 +                              len = get_rdf_size(desc->_wireformat[rdf]);
 +                      }
 +                      if(len) {
 +                              if(pkt_len < len)
 +                                      return 0; /* exceeds rdata */
 +                              pkt_len -= len;
 +                              sldns_buffer_skip(pkt, (ssize_t)len);
 +                              rr->size += len;
 +                      }
 +                      rdf++;
 +              }
 +      }
 +      /* remaining rdata */
 +      rr->size += pkt_len;
 +      sldns_buffer_skip(pkt, (ssize_t)pkt_len);
 +      return 1;
 +}
 +
 +/** skip rr ttl and rdata */
 +static int
 +skip_ttl_rdata(sldns_buffer* pkt) 
 +{
 +      uint16_t rdatalen;
 +      if(sldns_buffer_remaining(pkt) < 6) /* ttl + rdatalen */
 +              return 0;
 +      sldns_buffer_skip(pkt, 4); /* ttl */
 +      rdatalen = sldns_buffer_read_u16(pkt);
 +      if(sldns_buffer_remaining(pkt) < rdatalen)
 +              return 0;
 +      sldns_buffer_skip(pkt, (ssize_t)rdatalen);
 +      return 1;
 +}
 +
 +/** see if RRSIG is a duplicate of another */
 +static int
 +sig_is_double(sldns_buffer* pkt, struct rrset_parse* rrset, uint8_t* ttldata)
 +{
 +      uint16_t rlen, siglen;
 +      size_t pos = sldns_buffer_position(pkt);
 +      struct rr_parse* sig;
 +      if(sldns_buffer_remaining(pkt) < 6) 
 +              return 0;
 +      sldns_buffer_skip(pkt, 4); /* ttl */
 +      rlen = sldns_buffer_read_u16(pkt);
 +      if(sldns_buffer_remaining(pkt) < rlen) {
 +              sldns_buffer_set_position(pkt, pos);
 +              return 0;
 +      }
 +      sldns_buffer_set_position(pkt, pos);
 +
 +      sig = rrset->rrsig_first;
 +      while(sig) {
 +              /* check if rdatalen is same */
 +              memmove(&siglen, sig->ttl_data+4, sizeof(siglen));
 +              siglen = ntohs(siglen);
 +              /* checks if data in packet is exactly the same, this means
 +               * also dname in rdata is the same, but rrsig is not allowed
 +               * to have compressed dnames anyway. If it is compressed anyway
 +               * it will lead to duplicate rrs for qtype=RRSIG. (or ANY).
 +               *
 +               * Cannot use sig->size because size of the other one is not 
 +               * calculated yet.
 +               */
 +              if(siglen == rlen) {
 +                      if(siglen>0 && memcmp(sig->ttl_data+6, ttldata+6, 
 +                              siglen) == 0) {
 +                              /* same! */
 +                              return 1;
 +                      }
 +              }
 +              sig = sig->next;
 +      }
 +      return 0;
 +}
 +
 +/** Add rr (from packet here) to rrset, skips rr */
 +static int
 +add_rr_to_rrset(struct rrset_parse* rrset, sldns_buffer* pkt, 
 +      struct msg_parse* msg, struct regional* region, 
 +      sldns_pkt_section section, uint16_t type)
 +{
 +      struct rr_parse* rr;
 +      /* check section of rrset. */
 +      if(rrset->section != section && type != LDNS_RR_TYPE_RRSIG &&
 +              rrset->type != LDNS_RR_TYPE_RRSIG) {
 +              /* silently drop it - we drop the last part, since
 +               * trust in rr data depends on the section it is in. 
 +               * the less trustworthy part is discarded. 
 +               * also the last part is more likely to be incomplete.
 +               * RFC 2181: must put RRset only once in response. */
 +              /*
 +              verbose(VERB_QUERY, "Packet contains rrset data in "
 +                      "multiple sections, dropped last part.");
 +              log_buf(VERB_QUERY, "packet was", pkt);
 +              */
 +              /* forwards */
 +              if(!skip_ttl_rdata(pkt))
 +                      return LDNS_RCODE_FORMERR;
 +              return 0;
 +      } 
 +
 +      if( (msg->qtype == LDNS_RR_TYPE_RRSIG ||
 +           msg->qtype == LDNS_RR_TYPE_ANY) 
 +          && sig_is_double(pkt, rrset, sldns_buffer_current(pkt))) {
 +              if(!skip_ttl_rdata(pkt))
 +                      return LDNS_RCODE_FORMERR;
 +              return 0;
 +      }
 +      
 +      /* create rr */
 +      if(!(rr = (struct rr_parse*)regional_alloc(region, sizeof(*rr))))
 +              return LDNS_RCODE_SERVFAIL;
 +      rr->outside_packet = 0;
 +      rr->ttl_data = sldns_buffer_current(pkt);
 +      rr->next = 0;
 +      if(type == LDNS_RR_TYPE_RRSIG && rrset->type != LDNS_RR_TYPE_RRSIG) {
 +              if(rrset->rrsig_last) 
 +                      rrset->rrsig_last->next = rr;
 +              else    rrset->rrsig_first = rr;
 +              rrset->rrsig_last = rr;
 +              rrset->rrsig_count++;
 +      } else {
 +              if(rrset->rr_last)
 +                      rrset->rr_last->next = rr;
 +              else    rrset->rr_first = rr;
 +              rrset->rr_last = rr;
 +              rrset->rr_count++;
 +      }
 +
 +      /* calc decompressed size */
 +      if(!calc_size(pkt, type, rr))
 +              return LDNS_RCODE_FORMERR;
 +      rrset->size += rr->size;
 +
 +      return 0;
 +}
 +
 +/**
 + * Parse packet RR section, for answer, authority and additional sections. 
 + * @param pkt: packet, position at call must be at start of section.
 + *    at end position is after section.
 + * @param msg: store results here.
 + * @param region: how to alloc results.
 + * @param section: section enum.
 + * @param num_rrs: how many rrs are in the section.
 + * @param num_rrsets: returns number of rrsets in the section.
 + * @return: 0 if OK, or rcode on error.
 + */
 +static int
 +parse_section(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct regional* region, sldns_pkt_section section, 
 +      uint16_t num_rrs, size_t* num_rrsets)
 +{
 +      uint16_t i;
 +      uint8_t* dname, *prev_dname_f = NULL, *prev_dname_l = NULL;
 +      size_t dnamelen, prev_dnamelen = 0;
 +      uint16_t type, prev_type = 0;
 +      uint16_t dclass, prev_dclass = 0;
 +      uint32_t rrset_flags = 0;
 +      hashvalue_t hash = 0;
 +      struct rrset_parse* rrset = NULL;
 +      int r;
 +
 +      if(num_rrs == 0)
 +              return 0;
 +      if(sldns_buffer_remaining(pkt) <= 0)
 +              return LDNS_RCODE_FORMERR;
 +      for(i=0; i<num_rrs; i++) {
 +              /* parse this RR. */
 +              dname = sldns_buffer_current(pkt);
 +              if((dnamelen = pkt_dname_len(pkt)) == 0)
 +                      return LDNS_RCODE_FORMERR;
 +              if(sldns_buffer_remaining(pkt) < 10) /* type, class, ttl, len */
 +                      return LDNS_RCODE_FORMERR;
 +              type = sldns_buffer_read_u16(pkt);
 +              sldns_buffer_read(pkt, &dclass, sizeof(dclass));
 +
 +              if(0) { /* debug show what is being parsed. */
 +                      if(type == LDNS_RR_TYPE_RRSIG) {
 +                              uint16_t t;
 +                              if(pkt_rrsig_covered(pkt, 
 +                                      sldns_buffer_current(pkt), &t))
 +                                      fprintf(stderr, "parse of %s(%d) [%s(%d)]",
 +                                      sldns_rr_descript(type)?
 +                                      sldns_rr_descript(type)->_name: "??",
 +                                      (int)type,
 +                                      sldns_rr_descript(t)?
 +                                      sldns_rr_descript(t)->_name: "??",
 +                                      (int)t);
 +                      } else
 +                        fprintf(stderr, "parse of %s(%d)",
 +                              sldns_rr_descript(type)?
 +                              sldns_rr_descript(type)->_name: "??",
 +                              (int)type);
 +                      fprintf(stderr, " %s(%d) ",
 +                              sldns_lookup_by_id(sldns_rr_classes, 
 +                              (int)ntohs(dclass))?sldns_lookup_by_id(
 +                              sldns_rr_classes, (int)ntohs(dclass))->name: 
 +                              "??", (int)ntohs(dclass));
 +                      dname_print(stderr, pkt, dname);
 +                      fprintf(stderr, "\n");
 +              }
 +
 +              /* see if it is part of an existing RR set */
 +              if(!find_rrset(msg, pkt, dname, dnamelen, type, dclass, &hash, 
 +                      &rrset_flags, &prev_dname_f, &prev_dname_l, 
 +                      &prev_dnamelen, &prev_type, &prev_dclass, &rrset, 
 +                      section, region))
 +                      return LDNS_RCODE_SERVFAIL;
 +              if(!rrset) {
 +                      /* it is a new RR set. hash&flags already calculated.*/
 +                      (*num_rrsets)++;
 +                      rrset = new_rrset(msg, dname, dnamelen, type, dclass,
 +                              hash, rrset_flags, section, region);
 +                      if(!rrset) 
 +                              return LDNS_RCODE_SERVFAIL;
 +              }
 +              else if(0)      { 
 +                      fprintf(stderr, "is part of existing: ");
 +                      dname_print(stderr, pkt, rrset->dname);
 +                      fprintf(stderr, " type %s(%d)\n",
 +                              sldns_rr_descript(rrset->type)?
 +                              sldns_rr_descript(rrset->type)->_name: "??",
 +                              (int)rrset->type);
 +              }
 +              /* add to rrset. */
 +              if((r=add_rr_to_rrset(rrset, pkt, msg, region, section, 
 +                      type)) != 0)
 +                      return r;
 +      }
 +      return 0;
 +}
 +
 +int
 +parse_packet(sldns_buffer* pkt, struct msg_parse* msg, struct regional* region)
 +{
 +      int ret;
 +      if(sldns_buffer_remaining(pkt) < LDNS_HEADER_SIZE)
 +              return LDNS_RCODE_FORMERR;
 +      /* read the header */
 +      sldns_buffer_read(pkt, &msg->id, sizeof(uint16_t));
 +      msg->flags = sldns_buffer_read_u16(pkt);
 +      msg->qdcount = sldns_buffer_read_u16(pkt);
 +      msg->ancount = sldns_buffer_read_u16(pkt);
 +      msg->nscount = sldns_buffer_read_u16(pkt);
 +      msg->arcount = sldns_buffer_read_u16(pkt);
 +      if(msg->qdcount > 1)
 +              return LDNS_RCODE_FORMERR;
 +      if((ret = parse_query_section(pkt, msg)) != 0)
 +              return ret;
 +      if((ret = parse_section(pkt, msg, region, LDNS_SECTION_ANSWER,
 +              msg->ancount, &msg->an_rrsets)) != 0)
 +              return ret;
 +      if((ret = parse_section(pkt, msg, region, LDNS_SECTION_AUTHORITY,
 +              msg->nscount, &msg->ns_rrsets)) != 0)
 +              return ret;
 +      if(sldns_buffer_remaining(pkt) == 0 && msg->arcount == 1) {
 +              /* BIND accepts leniently that an EDNS record is missing.
 +               * so, we do too. */
 +      } else if((ret = parse_section(pkt, msg, region,
 +              LDNS_SECTION_ADDITIONAL, msg->arcount, &msg->ar_rrsets)) != 0)
 +              return ret;
 +      /* if(sldns_buffer_remaining(pkt) > 0) { */
 +              /* there is spurious data at end of packet. ignore */
 +      /* } */
 +      msg->rrset_count = msg->an_rrsets + msg->ns_rrsets + msg->ar_rrsets;
 +      return 0;
 +}
 +
 +int 
 +parse_extract_edns(struct msg_parse* msg, struct edns_data* edns)
 +{
 +      struct rrset_parse* rrset = msg->rrset_first;
 +      struct rrset_parse* prev = 0;
 +      struct rrset_parse* found = 0;
 +      struct rrset_parse* found_prev = 0;
 +      /* since the class encodes the UDP size, we cannot use hash table to
 +       * find the EDNS OPT record. Scan the packet. */
 +      while(rrset) {
 +              if(rrset->type == LDNS_RR_TYPE_OPT) {
 +                      /* only one OPT RR allowed. */
 +                      if(found) return LDNS_RCODE_FORMERR;
 +                      /* found it! */
 +                      found_prev = prev;
 +                      found = rrset;
 +              }
 +              prev = rrset;
 +              rrset = rrset->rrset_all_next;
 +      }
 +      if(!found) {
 +              memset(edns, 0, sizeof(*edns));
 +              edns->udp_size = 512;
 +              return 0;
 +      }
 +      /* check the found RRset */
 +      /* most lenient check possible. ignore dname, use last opt */
 +      if(found->section != LDNS_SECTION_ADDITIONAL)
 +              return LDNS_RCODE_FORMERR; 
 +      if(found->rr_count == 0)
 +              return LDNS_RCODE_FORMERR;
 +      if(0) { /* strict checking of dname and RRcount */
 +              if(found->dname_len != 1 || !found->dname 
 +                      || found->dname[0] != 0) return LDNS_RCODE_FORMERR; 
 +              if(found->rr_count != 1) return LDNS_RCODE_FORMERR; 
 +      }
 +      log_assert(found->rr_first && found->rr_last);
 +
 +      /* remove from packet */
 +      if(found_prev)  found_prev->rrset_all_next = found->rrset_all_next;
 +      else    msg->rrset_first = found->rrset_all_next;
 +      if(found == msg->rrset_last)
 +              msg->rrset_last = found_prev;
 +      msg->arcount --;
 +      msg->ar_rrsets --;
 +      msg->rrset_count --;
 +      
 +      /* take the data ! */
 +      edns->edns_present = 1;
 +      edns->ext_rcode = found->rr_last->ttl_data[0];
 +      edns->edns_version = found->rr_last->ttl_data[1];
 +      edns->bits = sldns_read_uint16(&found->rr_last->ttl_data[2]);
 +      edns->udp_size = ntohs(found->rrset_class);
 +      /* ignore rdata and rrsigs */
 +      return 0;
 +}
 +
 +int 
 +parse_edns_from_pkt(sldns_buffer* pkt, struct edns_data* edns)
 +{
 +      log_assert(LDNS_QDCOUNT(sldns_buffer_begin(pkt)) == 1);
 +      log_assert(LDNS_ANCOUNT(sldns_buffer_begin(pkt)) == 0);
 +      log_assert(LDNS_NSCOUNT(sldns_buffer_begin(pkt)) == 0);
 +      /* check edns section is present */
 +      if(LDNS_ARCOUNT(sldns_buffer_begin(pkt)) > 1) {
 +              return LDNS_RCODE_FORMERR;
 +      }
 +      if(LDNS_ARCOUNT(sldns_buffer_begin(pkt)) == 0) {
 +              memset(edns, 0, sizeof(*edns));
 +              edns->udp_size = 512;
 +              return 0;
 +      }
 +      /* domain name must be the root of length 1. */
 +      if(pkt_dname_len(pkt) != 1)
 +              return LDNS_RCODE_FORMERR;
 +      if(sldns_buffer_remaining(pkt) < 10) /* type, class, ttl, rdatalen */
 +              return LDNS_RCODE_FORMERR;
 +      if(sldns_buffer_read_u16(pkt) != LDNS_RR_TYPE_OPT)
 +              return LDNS_RCODE_FORMERR;
 +      edns->edns_present = 1;
 +      edns->udp_size = sldns_buffer_read_u16(pkt); /* class is udp size */
 +      edns->ext_rcode = sldns_buffer_read_u8(pkt); /* ttl used for bits */
 +      edns->edns_version = sldns_buffer_read_u8(pkt);
 +      edns->bits = sldns_buffer_read_u16(pkt);
 +      /* ignore rdata and rrsigs */
 +      return 0;
 +}
diff --cc contrib/unbound/util/data/msgparse.h
index 221a45aadd7bf1967491232d4eea46c5860fb6b2,0000000000000000000000000000000000000000..44497c8ca381b3f1bbbe9787b7b3033ae5a9d9fb
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/msgparse.h
--- /dev/null
+++ b/contrib/unbound/util/data/msgparse.h
@@@ -1,301 -1,0 +1,303 @@@
- #include "ldns/pkthdr.h"
- #include "ldns/rrdef.h"
 +/*
 + * util/data/msgparse.h - parse wireformat DNS messages.
 + * 
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + * 
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +/**
 + * \file
 + * Contains message parsing data structures.
 + * These point back into the packet buffer.
 + *
 + * During parsing RRSIGS are put together with the rrsets they (claim to) sign.
 + * This process works as follows:
 + *    o if RRSIG follows the data rrset, it is added to the rrset rrsig list.
 + *    o if no matching data rrset is found, the RRSIG becomes a new rrset.
 + *    o If the data rrset later follows the RRSIG
 + *            o See if the RRSIG rrset contains multiple types, and needs to
 + *              have the rrsig(s) for that data type split off.
 + *            o Put the data rr as data type in the rrset and rrsig in list.
 + *    o RRSIGs are allowed to move to a different section. The section of
 + *      the data item is used for the final rrset.
 + *    o multiple signatures over an RRset are possible.
 + *
 + * For queries of qtype=RRSIG, some special handling is needed, to avoid
 + * splitting the RRSIG in the answer section.
 + *    o duplicate, not split, RRSIGs from the answer section, if qtype=RRSIG.
 + *    o check for doubles in the rrsig list when adding an RRSIG to data,
 + *      so that a data rrset is signed by RRSIGs with different rdata.
 + *      when qtype=RRSIG.
 + * This will move the RRSIG from the answer section to sign the data further
 + * in the packet (if possible). If then after that, more RRSIGs are found
 + * that sign the data as well, doubles are removed.
 + */
 +
 +#ifndef UTIL_DATA_MSGPARSE_H
 +#define UTIL_DATA_MSGPARSE_H
 +#include "util/storage/lruhash.h"
++#include "sldns/pkthdr.h"
++#include "sldns/rrdef.h"
 +struct sldns_buffer;
 +struct rrset_parse;
 +struct rr_parse;
 +struct regional;
 +
 +/** number of buckets in parse rrset hash table. Must be power of 2. */
 +#define PARSE_TABLE_SIZE 32
 +/** Maximum TTL that is allowed. */
 +extern time_t MAX_TTL;
 +/** Minimum TTL that is allowed. */
 +extern time_t MIN_TTL;
++/** Maximum Negative TTL that is allowed */
++extern time_t MAX_NEG_TTL;
 +/** Negative cache time (for entries without any RRs.) */
 +#define NORR_TTL 5 /* seconds */
 +
 +/**
 + * Data stored in scratch pad memory during parsing.
 + * Stores the data that will enter into the msgreply and packet result.
 + */
 +struct msg_parse {
 +      /** id from message, network format. */
 +      uint16_t id;
 +      /** flags from message, host format. */
 +      uint16_t flags;
 +      /** count of RRs, host format */
 +      uint16_t qdcount;
 +      /** count of RRs, host format */
 +      uint16_t ancount;
 +      /** count of RRs, host format */
 +      uint16_t nscount;
 +      /** count of RRs, host format */
 +      uint16_t arcount;
 +      /** count of RRsets per section. */
 +      size_t an_rrsets;
 +      /** count of RRsets per section. */
 +      size_t ns_rrsets; 
 +      /** count of RRsets per section. */
 +      size_t ar_rrsets;
 +      /** total number of rrsets found. */
 +      size_t rrset_count;
 +
 +      /** query dname (pointer to start location in packet, NULL if none */
 +      uint8_t* qname;
 +      /** length of query dname in octets, 0 if none */
 +      size_t qname_len;
 +      /** query type, host order. 0 if qdcount=0 */
 +      uint16_t qtype;
 +      /** query class, host order. 0 if qdcount=0 */
 +      uint16_t qclass;
 +
 +      /**
 +       * Hash table array used during parsing to lookup rrset types.
 +       * Based on name, type, class.  Same hash value as in rrset cache.
 +       */
 +      struct rrset_parse* hashtable[PARSE_TABLE_SIZE];
 +      
 +      /** linked list of rrsets that have been found (in order). */
 +      struct rrset_parse* rrset_first;
 +      /** last element of rrset list. */
 +      struct rrset_parse* rrset_last;
 +};
 +
 +/**
 + * Data stored for an rrset during parsing.
 + */
 +struct rrset_parse {
 +      /** next in hash bucket */
 +      struct rrset_parse* rrset_bucket_next;
 +      /** next in list of all rrsets */
 +      struct rrset_parse* rrset_all_next;
 +      /** hash value of rrset */
 +      hashvalue_t hash;
 +      /** which section was it found in: one of
 +       * LDNS_SECTION_ANSWER, LDNS_SECTION_AUTHORITY, LDNS_SECTION_ADDITIONAL
 +       */
 +      sldns_pkt_section section;
 +      /** start of (possibly compressed) dname in packet */
 +      uint8_t* dname;
 +      /** length of the dname uncompressed wireformat */
 +      size_t dname_len;
 +      /** type, host order. */
 +      uint16_t type;
 +      /** class, network order. var name so that it is not a c++ keyword. */
 +      uint16_t rrset_class;
 +      /** the flags for the rrset, like for packedrrset */
 +      uint32_t flags;
 +      /** number of RRs in the rr list */
 +      size_t rr_count;
 +      /** sum of RR rdata sizes */
 +      size_t size;
 +      /** linked list of RRs in this rrset. */
 +      struct rr_parse* rr_first;
 +      /** last in list of RRs in this rrset. */
 +      struct rr_parse* rr_last;
 +      /** number of RRSIGs over this rrset. */
 +      size_t rrsig_count;
 +      /** linked list of RRsig RRs over this rrset. */
 +      struct rr_parse* rrsig_first;
 +      /** last in list of RRSIG RRs over this rrset. */
 +      struct rr_parse* rrsig_last;
 +};
 +
 +/**
 + * Data stored for an RR during parsing.
 + */
 +struct rr_parse {
 +      /** 
 +       * Pointer to the RR. Points to start of TTL value in the packet.
 +       * Rdata length and rdata follow it.
 +       * its dname, type and class are the same and stored for the rrset.
 +       */
 +      uint8_t* ttl_data;
 +      /** true if ttl_data is not part of the packet, but elsewhere in mem.
 +       * Set for generated CNAMEs for DNAMEs. */
 +      int outside_packet;
 +      /** the length of the rdata if allocated (with no dname compression)*/
 +      size_t size;
 +      /** next in list of RRs. */
 +      struct rr_parse* next;
 +};
 +
 +/** Check if label length is first octet of a compression pointer, pass u8. */
 +#define LABEL_IS_PTR(x) ( ((x)&0xc0) == 0xc0 )
 +/** Calculate destination offset of a compression pointer. pass first and
 + * second octets of the compression pointer. */
 +#define PTR_OFFSET(x, y) ( ((x)&0x3f)<<8 | (y) )
 +/** create a compression pointer to the given offset. */
 +#define PTR_CREATE(offset) ((uint16_t)(0xc000 | (offset)))
 +
 +/** error codes, extended with EDNS, so > 15. */
 +#define EDNS_RCODE_BADVERS    16      /** bad EDNS version */
 +/** largest valid compression offset */
 +#define PTR_MAX_OFFSET        0x3fff
 +
 +/**
 + * EDNS data storage
 + * EDNS rdata is ignored.
 + */
 +struct edns_data {
 +      /** if EDNS OPT record was present */
 +      int edns_present;
 +      /** Extended RCODE */
 +      uint8_t ext_rcode;
 +      /** The EDNS version number */
 +      uint8_t edns_version;
 +      /** the EDNS bits field from ttl (host order): Z */
 +      uint16_t bits;
 +      /** UDP reassembly size. */
 +      uint16_t udp_size;
 +};
 +
 +/**
 + * Obtain size in the packet of an rr type, that is before dname type.
 + * Do TYPE_DNAME, and type STR, yourself. Gives size for most regular types.
 + * @param rdf: the rdf type from the descriptor.
 + * @return: size in octets. 0 on failure.
 + */
 +size_t get_rdf_size(sldns_rdf_type rdf);
 +
 +/**
 + * Parse the packet.
 + * @param pkt: packet, position at call must be at start of packet.
 + *    at end position is after packet.
 + * @param msg: where to store results.
 + * @param region: how to alloc results.
 + * @return: 0 if OK, or rcode on error.
 + */
 +int parse_packet(struct sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct regional* region);
 +
 +/**
 + * After parsing the packet, extract EDNS data from packet.
 + * If not present this is noted in the data structure.
 + * If a parse error happens, an error code is returned.
 + *
 + * Quirks:
 + *    o ignores OPT rdata.
 + *    o ignores OPT owner name.
 + *    o ignores extra OPT records, except the last one in the packet.
 + *
 + * @param msg: parsed message structure. Modified on exit, if EDNS was present
 + *    it is removed from the additional section.
 + * @param edns: the edns data is stored here. Does not have to be initialised.
 + * @return: 0 on success. or an RCODE on an error.
 + *    RCODE formerr if OPT in wrong section, and so on.
 + */
 +int parse_extract_edns(struct msg_parse* msg, struct edns_data* edns);
 +
 +/**
 + * If EDNS data follows a query section, extract it and initialize edns struct.
 + * @param pkt: the packet. position at start must be right after the query
 + *    section. At end, right after EDNS data or no movement if failed.
 + * @param edns: the edns data allocated by the caller. Does not have to be
 + *    initialised.
 + * @return: 0 on success, or an RCODE on error.
 + *    RCODE formerr if OPT is badly formatted and so on.
 + */
 +int parse_edns_from_pkt(struct sldns_buffer* pkt, struct edns_data* edns);
 +
 +/**
 + * Calculate hash value for rrset in packet.
 + * @param pkt: the packet.
 + * @param dname: pointer to uncompressed dname, or compressed dname in packet.
 + * @param type: rrset type in host order.
 + * @param dclass: rrset class in network order.
 + * @param rrset_flags: rrset flags (same as packed_rrset flags).
 + * @return hash value
 + */
 +hashvalue_t pkt_hash_rrset(struct sldns_buffer* pkt, uint8_t* dname, uint16_t type,
 +        uint16_t dclass, uint32_t rrset_flags);
 +
 +/**
 + * Lookup in msg hashtable to find a rrset.
 + * @param msg: with the hashtable.
 + * @param pkt: packet for compressed names.
 + * @param h: hash value
 + * @param rrset_flags: flags of rrset sought for.
 + * @param dname: name of rrset sought for.
 + * @param dnamelen: len of dname.
 + * @param type: rrset type, host order.
 + * @param dclass: rrset class, network order.
 + * @return NULL or the rrset_parse if found.
 + */
 +struct rrset_parse* msgparse_hashtable_lookup(struct msg_parse* msg, 
 +      struct sldns_buffer* pkt, hashvalue_t h, uint32_t rrset_flags, 
 +      uint8_t* dname, size_t dnamelen, uint16_t type, uint16_t dclass);
 +
 +/**
 + * Remove rrset from hash table.
 + * @param msg: with hashtable.
 + * @param rrset: with hash value and id info.
 + */
 +void msgparse_bucket_remove(struct msg_parse* msg, struct rrset_parse* rrset);
 +
 +#endif /* UTIL_DATA_MSGPARSE_H */
diff --cc contrib/unbound/util/data/msgreply.c
index 68bcfd09ee39423c10734ae24d1b1dfc93a03c28,0000000000000000000000000000000000000000..06593ffe1b27af71e2b5864f0eb20bf08573a39f
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/msgreply.c
--- /dev/null
+++ b/contrib/unbound/util/data/msgreply.c
@@@ -1,831 -1,0 +1,859 @@@
- #include "ldns/sbuffer.h"
- #include "ldns/wire2str.h"
 +/*
 + * util/data/msgreply.c - store message and reply data. 
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a data structure to store a message and its reply.
 + */
 +
 +#include "config.h"
 +#include "util/data/msgreply.h"
 +#include "util/storage/lookup3.h"
 +#include "util/log.h"
 +#include "util/alloc.h"
 +#include "util/netevent.h"
 +#include "util/net_help.h"
 +#include "util/data/dname.h"
 +#include "util/regional.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/msgencode.h"
-       struct rr_parse* rr, time_t* rr_ttl, uint16_t type)
++#include "sldns/sbuffer.h"
++#include "sldns/wire2str.h"
 +
 +/** MAX TTL default for messages and rrsets */
 +time_t MAX_TTL = 3600 * 24 * 10; /* ten days */
 +/** MIN TTL default for messages and rrsets */
 +time_t MIN_TTL = 0;
++/** MAX Negative TTL, for SOA records in authority section */
++time_t MAX_NEG_TTL = 3600; /* one hour */
 +
 +/** allocate qinfo, return 0 on error */
 +static int
 +parse_create_qinfo(sldns_buffer* pkt, struct msg_parse* msg, 
 +      struct query_info* qinf, struct regional* region)
 +{
 +      if(msg->qname) {
 +              if(region)
 +                      qinf->qname = (uint8_t*)regional_alloc(region, 
 +                              msg->qname_len);
 +              else    qinf->qname = (uint8_t*)malloc(msg->qname_len);
 +              if(!qinf->qname) return 0;
 +              dname_pkt_copy(pkt, qinf->qname, msg->qname);
 +      } else  qinf->qname = 0;
 +      qinf->qname_len = msg->qname_len;
 +      qinf->qtype = msg->qtype;
 +      qinf->qclass = msg->qclass;
 +      return 1;
 +}
 +
 +/** constructor for replyinfo */
 +struct reply_info*
 +construct_reply_info_base(struct regional* region, uint16_t flags, size_t qd,
 +      time_t ttl, time_t prettl, size_t an, size_t ns, size_t ar, 
 +      size_t total, enum sec_status sec)
 +{
 +      struct reply_info* rep;
 +      /* rrset_count-1 because the first ref is part of the struct. */
 +      size_t s = sizeof(struct reply_info) - sizeof(struct rrset_ref) +
 +              sizeof(struct ub_packed_rrset_key*) * total;
++      if(total >= RR_COUNT_MAX) return NULL; /* sanity check on numRRS*/
 +      if(region)
 +              rep = (struct reply_info*)regional_alloc(region, s);
 +      else    rep = (struct reply_info*)malloc(s + 
 +                      sizeof(struct rrset_ref) * (total));
 +      if(!rep) 
 +              return NULL;
 +      rep->flags = flags;
 +      rep->qdcount = qd;
 +      rep->ttl = ttl;
 +      rep->prefetch_ttl = prettl;
 +      rep->an_numrrsets = an;
 +      rep->ns_numrrsets = ns;
 +      rep->ar_numrrsets = ar;
 +      rep->rrset_count = total;
 +      rep->security = sec;
 +      rep->authoritative = 0;
 +      /* array starts after the refs */
 +      if(region)
 +              rep->rrsets = (struct ub_packed_rrset_key**)&(rep->ref[0]);
 +      else    rep->rrsets = (struct ub_packed_rrset_key**)&(rep->ref[total]);
 +      /* zero the arrays to assist cleanup in case of malloc failure */
 +      memset( rep->rrsets, 0, sizeof(struct ub_packed_rrset_key*) * total);
 +      if(!region)
 +              memset( &rep->ref[0], 0, sizeof(struct rrset_ref) * total);
 +      return rep;
 +}
 +
 +/** allocate replyinfo, return 0 on error */
 +static int
 +parse_create_repinfo(struct msg_parse* msg, struct reply_info** rep,
 +      struct regional* region)
 +{
 +      *rep = construct_reply_info_base(region, msg->flags, msg->qdcount, 0, 
 +              0, msg->an_rrsets, msg->ns_rrsets, msg->ar_rrsets, 
 +              msg->rrset_count, sec_status_unchecked);
 +      if(!*rep)
 +              return 0;
 +      return 1;
 +}
 +
 +/** allocate (special) rrset keys, return 0 on error */
 +static int
 +repinfo_alloc_rrset_keys(struct reply_info* rep, struct alloc_cache* alloc, 
 +      struct regional* region)
 +{
 +      size_t i;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              if(region) {
 +                      rep->rrsets[i] = (struct ub_packed_rrset_key*)
 +                              regional_alloc(region, 
 +                              sizeof(struct ub_packed_rrset_key));
 +                      if(rep->rrsets[i]) {
 +                              memset(rep->rrsets[i], 0, 
 +                                      sizeof(struct ub_packed_rrset_key));
 +                              rep->rrsets[i]->entry.key = rep->rrsets[i];
 +                      }
 +              }
 +              else    rep->rrsets[i] = alloc_special_obtain(alloc);
 +              if(!rep->rrsets[i])
 +                      return 0;
 +              rep->rrsets[i]->entry.data = NULL;
 +      }
 +      return 1;
 +}
 +
++/** find the minimumttl in the rdata of SOA record */
++static time_t
++soa_find_minttl(struct rr_parse* rr)
++{
++      uint16_t rlen = sldns_read_uint16(rr->ttl_data+4);
++      if(rlen < 20)
++              return 0; /* rdata too small for SOA (dname, dname, 5*32bit) */
++      /* minimum TTL is the last 32bit value in the rdata of the record */
++      /* at position ttl_data + 4(ttl) + 2(rdatalen) + rdatalen - 4(timeval)*/
++      return (time_t)sldns_read_uint32(rr->ttl_data+6+rlen-4);
++}
++
 +/** do the rdata copy */
 +static int
 +rdata_copy(sldns_buffer* pkt, struct packed_rrset_data* data, uint8_t* to, 
-                       &data->rr_ttl[i], pset->type))
++      struct rr_parse* rr, time_t* rr_ttl, uint16_t type,
++      sldns_pkt_section section)
 +{
 +      uint16_t pkt_len;
 +      const sldns_rr_descriptor* desc;
 +
 +      *rr_ttl = sldns_read_uint32(rr->ttl_data);
 +      /* RFC 2181 Section 8. if msb of ttl is set treat as if zero. */
 +      if(*rr_ttl & 0x80000000U)
 +              *rr_ttl = 0;
++      if(type == LDNS_RR_TYPE_SOA && section == LDNS_SECTION_AUTHORITY) {
++              /* negative response. see if TTL of SOA record larger than the
++               * minimum-ttl in the rdata of the SOA record */
++              if(*rr_ttl > soa_find_minttl(rr))
++                      *rr_ttl = soa_find_minttl(rr);
++              if(*rr_ttl > MAX_NEG_TTL)
++                      *rr_ttl = MAX_NEG_TTL;
++      }
 +      if(*rr_ttl < MIN_TTL)
 +              *rr_ttl = MIN_TTL;
 +      if(*rr_ttl < data->ttl)
 +              data->ttl = *rr_ttl;
 +
 +      if(rr->outside_packet) {
 +              /* uncompressed already, only needs copy */
 +              memmove(to, rr->ttl_data+sizeof(uint32_t), rr->size);
 +              return 1;
 +      }
 +
 +      sldns_buffer_set_position(pkt, (size_t)
 +              (rr->ttl_data - sldns_buffer_begin(pkt) + sizeof(uint32_t)));
 +      /* insert decompressed size into rdata len stored in memory */
 +      /* -2 because rdatalen bytes are not included. */
 +      pkt_len = htons(rr->size - 2);
 +      memmove(to, &pkt_len, sizeof(uint16_t));
 +      to += 2;
 +      /* read packet rdata len */
 +      pkt_len = sldns_buffer_read_u16(pkt);
 +      if(sldns_buffer_remaining(pkt) < pkt_len)
 +              return 0;
 +      desc = sldns_rr_descript(type);
 +      if(pkt_len > 0 && desc && desc->_dname_count > 0) {
 +              int count = (int)desc->_dname_count;
 +              int rdf = 0;
 +              size_t len;
 +              size_t oldpos;
 +              /* decompress dnames. */
 +              while(pkt_len > 0 && count) {
 +                      switch(desc->_wireformat[rdf]) {
 +                      case LDNS_RDF_TYPE_DNAME:
 +                              oldpos = sldns_buffer_position(pkt);
 +                              dname_pkt_copy(pkt, to, 
 +                                      sldns_buffer_current(pkt));
 +                              to += pkt_dname_len(pkt);
 +                              pkt_len -= sldns_buffer_position(pkt)-oldpos;
 +                              count--;
 +                              len = 0;
 +                              break;
 +                      case LDNS_RDF_TYPE_STR:
 +                              len = sldns_buffer_current(pkt)[0] + 1;
 +                              break;
 +                      default:
 +                              len = get_rdf_size(desc->_wireformat[rdf]);
 +                              break;
 +                      }
 +                      if(len) {
 +                              memmove(to, sldns_buffer_current(pkt), len);
 +                              to += len;
 +                              sldns_buffer_skip(pkt, (ssize_t)len);
 +                              log_assert(len <= pkt_len);
 +                              pkt_len -= len;
 +                      }
 +                      rdf++;
 +              }
 +      }
 +      /* copy remaining rdata */
 +      if(pkt_len >  0)
 +              memmove(to, sldns_buffer_current(pkt), pkt_len);
 +      
 +      return 1;
 +}
 +
 +/** copy over the data into packed rrset */
 +static int
 +parse_rr_copy(sldns_buffer* pkt, struct rrset_parse* pset, 
 +      struct packed_rrset_data* data)
 +{
 +      size_t i;
 +      struct rr_parse* rr = pset->rr_first;
 +      uint8_t* nextrdata;
 +      size_t total = pset->rr_count + pset->rrsig_count;
 +      data->ttl = MAX_TTL;
 +      data->count = pset->rr_count;
 +      data->rrsig_count = pset->rrsig_count;
 +      data->trust = rrset_trust_none;
 +      data->security = sec_status_unchecked;
 +      /* layout: struct - rr_len - rr_data - rr_ttl - rdata - rrsig */
 +      data->rr_len = (size_t*)((uint8_t*)data + 
 +              sizeof(struct packed_rrset_data));
 +      data->rr_data = (uint8_t**)&(data->rr_len[total]);
 +      data->rr_ttl = (time_t*)&(data->rr_data[total]);
 +      nextrdata = (uint8_t*)&(data->rr_ttl[total]);
 +      for(i=0; i<data->count; i++) {
 +              data->rr_len[i] = rr->size;
 +              data->rr_data[i] = nextrdata;
 +              nextrdata += rr->size;
 +              if(!rdata_copy(pkt, data, data->rr_data[i], rr, 
-                       &data->rr_ttl[i], LDNS_RR_TYPE_RRSIG))
++                      &data->rr_ttl[i], pset->type, pset->section))
 +                      return 0;
 +              rr = rr->next;
 +      }
 +      /* if rrsig, its rdata is at nextrdata */
 +      rr = pset->rrsig_first;
 +      for(i=data->count; i<total; i++) {
 +              data->rr_len[i] = rr->size;
 +              data->rr_data[i] = nextrdata;
 +              nextrdata += rr->size;
 +              if(!rdata_copy(pkt, data, data->rr_data[i], rr, 
-       size_t s = sizeof(struct packed_rrset_data) + 
++                      &data->rr_ttl[i], LDNS_RR_TYPE_RRSIG, pset->section))
 +                      return 0;
 +              rr = rr->next;
 +      }
 +      return 1;
 +}
 +
 +/** create rrset return 0 on failure */
 +static int
 +parse_create_rrset(sldns_buffer* pkt, struct rrset_parse* pset,
 +      struct packed_rrset_data** data, struct regional* region)
 +{
 +      /* allocate */
- reply_check_cname_chain(struct reply_info* rep) 
++      size_t s;
++      if(pset->rr_count > RR_COUNT_MAX || pset->rrsig_count > RR_COUNT_MAX ||
++              pset->size > RR_COUNT_MAX)
++              return 0; /* protect against integer overflow */
++      s = sizeof(struct packed_rrset_data) + 
 +              (pset->rr_count + pset->rrsig_count) * 
 +              (sizeof(size_t)+sizeof(uint8_t*)+sizeof(time_t)) + 
 +              pset->size;
 +      if(region)
 +              *data = regional_alloc(region, s);
 +      else    *data = malloc(s);
 +      if(!*data)
 +              return 0;
 +      /* copy & decompress */
 +      if(!parse_rr_copy(pkt, pset, *data)) {
 +              if(!region) free(*data);
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/** get trust value for rrset */
 +static enum rrset_trust
 +get_rrset_trust(struct msg_parse* msg, struct rrset_parse* rrset)
 +{
 +      uint16_t AA = msg->flags & BIT_AA;
 +      if(rrset->section == LDNS_SECTION_ANSWER) {
 +              if(AA) {
 +                      /* RFC2181 says remainder of CNAME chain is nonauth*/
 +                      if(msg->rrset_first && 
 +                              msg->rrset_first->section==LDNS_SECTION_ANSWER
 +                              && msg->rrset_first->type==LDNS_RR_TYPE_CNAME){
 +                              if(rrset == msg->rrset_first)
 +                                      return rrset_trust_ans_AA;
 +                              else    return rrset_trust_ans_noAA;
 +                      }
 +                      if(msg->rrset_first && 
 +                              msg->rrset_first->section==LDNS_SECTION_ANSWER
 +                              && msg->rrset_first->type==LDNS_RR_TYPE_DNAME){
 +                              if(rrset == msg->rrset_first ||
 +                                 rrset == msg->rrset_first->rrset_all_next)
 +                                      return rrset_trust_ans_AA;
 +                              else    return rrset_trust_ans_noAA;
 +                      }
 +                      return rrset_trust_ans_AA;
 +              }
 +              else    return rrset_trust_ans_noAA;
 +      } else if(rrset->section == LDNS_SECTION_AUTHORITY) {
 +              if(AA)  return rrset_trust_auth_AA;
 +              else    return rrset_trust_auth_noAA;
 +      } else {
 +              /* addit section */
 +              if(AA)  return rrset_trust_add_AA;
 +              else    return rrset_trust_add_noAA;
 +      }
 +      /* NOTREACHED */
 +      return rrset_trust_none;
 +}
 +
 +int
 +parse_copy_decompress_rrset(sldns_buffer* pkt, struct msg_parse* msg,
 +      struct rrset_parse *pset, struct regional* region, 
 +      struct ub_packed_rrset_key* pk)
 +{
 +      struct packed_rrset_data* data;
 +      pk->rk.flags = pset->flags;
 +      pk->rk.dname_len = pset->dname_len;
 +      if(region)
 +              pk->rk.dname = (uint8_t*)regional_alloc(
 +                      region, pset->dname_len);
 +      else    pk->rk.dname = 
 +                      (uint8_t*)malloc(pset->dname_len);
 +      if(!pk->rk.dname)
 +              return 0;
 +      /** copy & decompress dname */
 +      dname_pkt_copy(pkt, pk->rk.dname, pset->dname);
 +      /** copy over type and class */
 +      pk->rk.type = htons(pset->type);
 +      pk->rk.rrset_class = pset->rrset_class;
 +      /** read data part. */
 +      if(!parse_create_rrset(pkt, pset, &data, region))
 +              return 0;
 +      pk->entry.data = (void*)data;
 +      pk->entry.key = (void*)pk;
 +      pk->entry.hash = pset->hash;
 +      data->trust = get_rrset_trust(msg, pset);
 +      return 1;
 +}
 +
 +/** 
 + * Copy and decompress rrs
 + * @param pkt: the packet for compression pointer resolution.
 + * @param msg: the parsed message
 + * @param rep: reply info to put rrs into.
 + * @param region: if not NULL, used for allocation.
 + * @return 0 on failure.
 + */
 +static int
 +parse_copy_decompress(sldns_buffer* pkt, struct msg_parse* msg,
 +      struct reply_info* rep, struct regional* region)
 +{
 +      size_t i;
 +      struct rrset_parse *pset = msg->rrset_first;
 +      struct packed_rrset_data* data;
 +      log_assert(rep);
 +      rep->ttl = MAX_TTL;
 +      rep->security = sec_status_unchecked;
 +      if(rep->rrset_count == 0)
 +              rep->ttl = NORR_TTL;
 +
 +      for(i=0; i<rep->rrset_count; i++) {
 +              if(!parse_copy_decompress_rrset(pkt, msg, pset, region,
 +                      rep->rrsets[i]))
 +                      return 0;
 +              data = (struct packed_rrset_data*)rep->rrsets[i]->entry.data;
 +              if(data->ttl < rep->ttl)
 +                      rep->ttl = data->ttl;
 +
 +              pset = pset->rrset_all_next;
 +      }
 +      rep->prefetch_ttl = PREFETCH_TTL_CALC(rep->ttl);
 +      return 1;
 +}
 +
 +int 
 +parse_create_msg(sldns_buffer* pkt, struct msg_parse* msg,
 +      struct alloc_cache* alloc, struct query_info* qinf, 
 +      struct reply_info** rep, struct regional* region)
 +{
 +      log_assert(pkt && msg);
 +      if(!parse_create_qinfo(pkt, msg, qinf, region))
 +              return 0;
 +      if(!parse_create_repinfo(msg, rep, region))
 +              return 0;
 +      if(!repinfo_alloc_rrset_keys(*rep, alloc, region))
 +              return 0;
 +      if(!parse_copy_decompress(pkt, msg, *rep, region))
 +              return 0;
 +      return 1;
 +}
 +
 +int reply_info_parse(sldns_buffer* pkt, struct alloc_cache* alloc,
 +        struct query_info* qinf, struct reply_info** rep, 
 +      struct regional* region, struct edns_data* edns)
 +{
 +      /* use scratch pad region-allocator during parsing. */
 +      struct msg_parse* msg;
 +      int ret;
 +      
 +      qinf->qname = NULL;
 +      *rep = NULL;
 +      if(!(msg = regional_alloc(region, sizeof(*msg)))) {
 +              return LDNS_RCODE_SERVFAIL;
 +      }
 +      memset(msg, 0, sizeof(*msg));
 +      
 +      sldns_buffer_set_position(pkt, 0);
 +      if((ret = parse_packet(pkt, msg, region)) != 0) {
 +              return ret;
 +      }
 +      if((ret = parse_extract_edns(msg, edns)) != 0)
 +              return ret;
 +
 +      /* parse OK, allocate return structures */
 +      /* this also performs dname decompression */
 +      if(!parse_create_msg(pkt, msg, alloc, qinf, rep, NULL)) {
 +              query_info_clear(qinf);
 +              reply_info_parsedelete(*rep, alloc);
 +              *rep = NULL;
 +              return LDNS_RCODE_SERVFAIL;
 +      }
 +      return 0;
 +}
 +
 +/** helper compare function to sort in lock order */
 +static int
 +reply_info_sortref_cmp(const void* a, const void* b)
 +{
 +      struct rrset_ref* x = (struct rrset_ref*)a;
 +      struct rrset_ref* y = (struct rrset_ref*)b;
 +      if(x->key < y->key) return -1;
 +      if(x->key > y->key) return 1;
 +      return 0;
 +}
 +
 +void 
 +reply_info_sortref(struct reply_info* rep)
 +{
 +      qsort(&rep->ref[0], rep->rrset_count, sizeof(struct rrset_ref),
 +              reply_info_sortref_cmp);
 +}
 +
 +void 
 +reply_info_set_ttls(struct reply_info* rep, time_t timenow)
 +{
 +      size_t i, j;
 +      rep->ttl += timenow;
 +      rep->prefetch_ttl += timenow;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              struct packed_rrset_data* data = (struct packed_rrset_data*)
 +                      rep->ref[i].key->entry.data;
 +              if(i>0 && rep->ref[i].key == rep->ref[i-1].key)
 +                      continue;
 +              data->ttl += timenow;
 +              for(j=0; j<data->count + data->rrsig_count; j++) {
 +                      data->rr_ttl[j] += timenow;
 +              }
 +      }
 +}
 +
 +void 
 +reply_info_parsedelete(struct reply_info* rep, struct alloc_cache* alloc)
 +{
 +      size_t i;
 +      if(!rep) 
 +              return;
 +      /* no need to lock, since not shared in hashtables. */
 +      for(i=0; i<rep->rrset_count; i++) {
 +              ub_packed_rrset_parsedelete(rep->rrsets[i], alloc);
 +      }
 +      free(rep);
 +}
 +
 +int 
 +query_info_parse(struct query_info* m, sldns_buffer* query)
 +{
 +      uint8_t* q = sldns_buffer_begin(query);
 +      /* minimum size: header + \0 + qtype + qclass */
 +      if(sldns_buffer_limit(query) < LDNS_HEADER_SIZE + 5)
 +              return 0;
 +      if(LDNS_OPCODE_WIRE(q) != LDNS_PACKET_QUERY || 
 +              LDNS_QDCOUNT(q) != 1 || sldns_buffer_position(query) != 0)
 +              return 0;
 +      sldns_buffer_skip(query, LDNS_HEADER_SIZE);
 +      m->qname = sldns_buffer_current(query);
 +      if((m->qname_len = query_dname_len(query)) == 0)
 +              return 0; /* parse error */
 +      if(sldns_buffer_remaining(query) < 4)
 +              return 0; /* need qtype, qclass */
 +      m->qtype = sldns_buffer_read_u16(query);
 +      m->qclass = sldns_buffer_read_u16(query);
 +      return 1;
 +}
 +
 +/** tiny subroutine for msgreply_compare */
 +#define COMPARE_IT(x, y) \
 +      if( (x) < (y) ) return -1; \
 +      else if( (x) > (y) ) return +1; \
 +      log_assert( (x) == (y) );
 +
 +int 
 +query_info_compare(void* m1, void* m2)
 +{
 +      struct query_info* msg1 = (struct query_info*)m1;
 +      struct query_info* msg2 = (struct query_info*)m2;
 +      int mc;
 +      /* from most different to least different for speed */
 +      COMPARE_IT(msg1->qtype, msg2->qtype);
 +      if((mc = query_dname_compare(msg1->qname, msg2->qname)) != 0)
 +              return mc;
 +      log_assert(msg1->qname_len == msg2->qname_len);
 +      COMPARE_IT(msg1->qclass, msg2->qclass);
 +      return 0;
 +#undef COMPARE_IT
 +}
 +
 +void 
 +query_info_clear(struct query_info* m)
 +{
 +      free(m->qname);
 +      m->qname = NULL;
 +}
 +
 +size_t 
 +msgreply_sizefunc(void* k, void* d)
 +{
 +      struct msgreply_entry* q = (struct msgreply_entry*)k;
 +      struct reply_info* r = (struct reply_info*)d;
 +      size_t s = sizeof(struct msgreply_entry) + sizeof(struct reply_info)
 +              + q->key.qname_len + lock_get_mem(&q->entry.lock)
 +              - sizeof(struct rrset_ref);
 +      s += r->rrset_count * sizeof(struct rrset_ref);
 +      s += r->rrset_count * sizeof(struct ub_packed_rrset_key*);
 +      return s;
 +}
 +
 +void 
 +query_entry_delete(void *k, void* ATTR_UNUSED(arg))
 +{
 +      struct msgreply_entry* q = (struct msgreply_entry*)k;
 +      lock_rw_destroy(&q->entry.lock);
 +      query_info_clear(&q->key);
 +      free(q);
 +}
 +
 +void 
 +reply_info_delete(void* d, void* ATTR_UNUSED(arg))
 +{
 +      struct reply_info* r = (struct reply_info*)d;
 +      free(r);
 +}
 +
 +hashvalue_t 
 +query_info_hash(struct query_info *q, uint16_t flags)
 +{
 +      hashvalue_t h = 0xab;
 +      h = hashlittle(&q->qtype, sizeof(q->qtype), h);
 +      if(q->qtype == LDNS_RR_TYPE_AAAA && (flags&BIT_CD))
 +              h++;
 +      h = hashlittle(&q->qclass, sizeof(q->qclass), h);
 +      h = dname_query_hash(q->qname, h);
 +      return h;
 +}
 +
 +struct msgreply_entry* 
 +query_info_entrysetup(struct query_info* q, struct reply_info* r, 
 +      hashvalue_t h)
 +{
 +      struct msgreply_entry* e = (struct msgreply_entry*)malloc( 
 +              sizeof(struct msgreply_entry));
 +      if(!e) return NULL;
 +      memcpy(&e->key, q, sizeof(*q));
 +      e->entry.hash = h;
 +      e->entry.key = e;
 +      e->entry.data = r;
 +      lock_rw_init(&e->entry.lock);
 +      lock_protect(&e->entry.lock, &e->key, sizeof(e->key));
 +      lock_protect(&e->entry.lock, &e->entry.hash, sizeof(e->entry.hash) +
 +              sizeof(e->entry.key) + sizeof(e->entry.data));
 +      lock_protect(&e->entry.lock, e->key.qname, e->key.qname_len);
 +      q->qname = NULL;
 +      return e;
 +}
 +
 +/** copy rrsets from replyinfo to dest replyinfo */
 +static int
 +repinfo_copy_rrsets(struct reply_info* dest, struct reply_info* from, 
 +      struct regional* region)
 +{
 +      size_t i, s;
 +      struct packed_rrset_data* fd, *dd;
 +      struct ub_packed_rrset_key* fk, *dk;
 +      for(i=0; i<dest->rrset_count; i++) {
 +              fk = from->rrsets[i];
 +              dk = dest->rrsets[i];
 +              fd = (struct packed_rrset_data*)fk->entry.data;
 +              dk->entry.hash = fk->entry.hash;
 +              dk->rk = fk->rk;
 +              if(region) {
 +                      dk->id = fk->id;
 +                      dk->rk.dname = (uint8_t*)regional_alloc_init(region,
 +                              fk->rk.dname, fk->rk.dname_len);
 +              } else  
 +                      dk->rk.dname = (uint8_t*)memdup(fk->rk.dname, 
 +                              fk->rk.dname_len);
 +              if(!dk->rk.dname)
 +                      return 0;
 +              s = packed_rrset_sizeof(fd);
 +              if(region)
 +                      dd = (struct packed_rrset_data*)regional_alloc_init(
 +                              region, fd, s);
 +              else    dd = (struct packed_rrset_data*)memdup(fd, s);
 +              if(!dd) 
 +                      return 0;
 +              packed_rrset_ptr_fixup(dd);
 +              dk->entry.data = (void*)dd;
 +      }
 +      return 1;
 +}
 +
 +struct reply_info* 
 +reply_info_copy(struct reply_info* rep, struct alloc_cache* alloc, 
 +      struct regional* region)
 +{
 +      struct reply_info* cp;
 +      cp = construct_reply_info_base(region, rep->flags, rep->qdcount, 
 +              rep->ttl, rep->prefetch_ttl, rep->an_numrrsets, 
 +              rep->ns_numrrsets, rep->ar_numrrsets, rep->rrset_count, 
 +              rep->security);
 +      if(!cp)
 +              return NULL;
 +      /* allocate ub_key structures special or not */
 +      if(!repinfo_alloc_rrset_keys(cp, alloc, region)) {
 +              if(!region)
 +                      reply_info_parsedelete(cp, alloc);
 +              return NULL;
 +      }
 +      if(!repinfo_copy_rrsets(cp, rep, region)) {
 +              if(!region)
 +                      reply_info_parsedelete(cp, alloc);
 +              return NULL;
 +      }
 +      return cp;
 +}
 +
 +uint8_t* 
 +reply_find_final_cname_target(struct query_info* qinfo, struct reply_info* rep)
 +{
 +      uint8_t* sname = qinfo->qname;
 +      size_t snamelen = qinfo->qname_len;
 +      size_t i;
 +      for(i=0; i<rep->an_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              /* follow CNAME chain (if any) */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME && 
 +                      ntohs(s->rk.rrset_class) == qinfo->qclass && 
 +                      snamelen == s->rk.dname_len &&
 +                      query_dname_compare(sname, s->rk.dname) == 0) {
 +                      get_cname_target(s, &sname, &snamelen);
 +              }
 +      }
 +      if(sname != qinfo->qname)
 +              return sname;
 +      return NULL;
 +}
 +
 +struct ub_packed_rrset_key* 
 +reply_find_answer_rrset(struct query_info* qinfo, struct reply_info* rep)
 +{
 +      uint8_t* sname = qinfo->qname;
 +      size_t snamelen = qinfo->qname_len;
 +      size_t i;
 +      for(i=0; i<rep->an_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              /* first match type, for query of qtype cname */
 +              if(ntohs(s->rk.type) == qinfo->qtype && 
 +                      ntohs(s->rk.rrset_class) == qinfo->qclass && 
 +                      snamelen == s->rk.dname_len &&
 +                      query_dname_compare(sname, s->rk.dname) == 0) {
 +                      return s;
 +              }
 +              /* follow CNAME chain (if any) */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME && 
 +                      ntohs(s->rk.rrset_class) == qinfo->qclass && 
 +                      snamelen == s->rk.dname_len &&
 +                      query_dname_compare(sname, s->rk.dname) == 0) {
 +                      get_cname_target(s, &sname, &snamelen);
 +              }
 +      }
 +      return NULL;
 +}
 +
 +struct ub_packed_rrset_key* reply_find_rrset_section_an(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass)
 +{
 +      size_t i;
 +      for(i=0; i<rep->an_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              if(ntohs(s->rk.type) == type && 
 +                      ntohs(s->rk.rrset_class) == dclass && 
 +                      namelen == s->rk.dname_len &&
 +                      query_dname_compare(name, s->rk.dname) == 0) {
 +                      return s;
 +              }
 +      }
 +      return NULL;
 +}
 +
 +struct ub_packed_rrset_key* reply_find_rrset_section_ns(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass)
 +{
 +      size_t i;
 +      for(i=rep->an_numrrsets; i<rep->an_numrrsets+rep->ns_numrrsets; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              if(ntohs(s->rk.type) == type && 
 +                      ntohs(s->rk.rrset_class) == dclass && 
 +                      namelen == s->rk.dname_len &&
 +                      query_dname_compare(name, s->rk.dname) == 0) {
 +                      return s;
 +              }
 +      }
 +      return NULL;
 +}
 +
 +struct ub_packed_rrset_key* reply_find_rrset(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass)
 +{
 +      size_t i;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              struct ub_packed_rrset_key* s = rep->rrsets[i];
 +              if(ntohs(s->rk.type) == type && 
 +                      ntohs(s->rk.rrset_class) == dclass && 
 +                      namelen == s->rk.dname_len &&
 +                      query_dname_compare(name, s->rk.dname) == 0) {
 +                      return s;
 +              }
 +      }
 +      return NULL;
 +}
 +
 +void 
 +log_dns_msg(const char* str, struct query_info* qinfo, struct reply_info* rep)
 +{
 +      /* not particularly fast but flexible, make wireformat and print */
 +      sldns_buffer* buf = sldns_buffer_new(65535);
 +      struct regional* region = regional_create();
 +      if(!reply_info_encode(qinfo, rep, 0, rep->flags, buf, 0, 
 +              region, 65535, 1)) {
 +              log_info("%s: log_dns_msg: out of memory", str);
 +      } else {
 +              char* s = sldns_wire2str_pkt(sldns_buffer_begin(buf),
 +                      sldns_buffer_limit(buf));
 +              if(!s) {
 +                      log_info("%s: log_dns_msg: ldns tostr failed", str);
 +              } else {
 +                      log_info("%s %s", str, s);
 +              }
 +              free(s);
 +      }
 +      sldns_buffer_free(buf);
 +      regional_destroy(region);
 +}
 +
 +void 
 +log_query_info(enum verbosity_value v, const char* str, 
 +      struct query_info* qinf)
 +{
 +      log_nametypeclass(v, str, qinf->qname, qinf->qtype, qinf->qclass);
 +}
 +
 +int
-       uint8_t* sname = rep->rrsets[0]->rk.dname;
-       size_t snamelen = rep->rrsets[0]->rk.dname_len;
++reply_check_cname_chain(struct query_info* qinfo, struct reply_info* rep) 
 +{
 +      /* check only answer section rrs for matching cname chain.
 +       * the cache may return changed rdata, but owner names are untouched.*/
 +      size_t i;
++      uint8_t* sname = qinfo->qname;
++      size_t snamelen = qinfo->qname_len;
 +      for(i=0; i<rep->an_numrrsets; i++) {
 +              uint16_t t = ntohs(rep->rrsets[i]->rk.type);
 +              if(t == LDNS_RR_TYPE_DNAME)
 +                      continue; /* skip dnames; note TTL 0 not cached */
 +              /* verify that owner matches current sname */
 +              if(query_dname_compare(sname, rep->rrsets[i]->rk.dname) != 0){
 +                      /* cname chain broken */
 +                      return 0;
 +              }
 +              /* if this is a cname; move on */
 +              if(t == LDNS_RR_TYPE_CNAME) {
 +                      get_cname_target(rep->rrsets[i], &sname, &snamelen);
 +              }
 +      }
 +      return 1;
 +}
 +
 +int
 +reply_all_rrsets_secure(struct reply_info* rep) 
 +{
 +      size_t i;
 +      for(i=0; i<rep->rrset_count; i++) {
 +              if( ((struct packed_rrset_data*)rep->rrsets[i]->entry.data)
 +                      ->security != sec_status_secure )
 +              return 0;
 +      }
 +      return 1;
 +}
diff --cc contrib/unbound/util/data/msgreply.h
index e8d6d762e01af2c37a414f1193fe0715b91e513c,0000000000000000000000000000000000000000..708897950089cd28001e8c4ecbaf3205313fb2b9
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/msgreply.h
--- /dev/null
+++ b/contrib/unbound/util/data/msgreply.h
@@@ -1,439 -1,0 +1,440 @@@
- int reply_check_cname_chain(struct reply_info* rep);
 +/*
 + * util/data/msgreply.h - store message and reply data. 
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a data structure to store a message and its reply.
 + */
 +
 +#ifndef UTIL_DATA_MSGREPLY_H
 +#define UTIL_DATA_MSGREPLY_H
 +#include "util/storage/lruhash.h"
 +#include "util/data/packed_rrset.h"
 +struct sldns_buffer;
 +struct comm_reply;
 +struct alloc_cache;
 +struct iovec;
 +struct regional;
 +struct edns_data;
 +struct msg_parse;
 +struct rrset_parse;
 +
 +/** calculate the prefetch TTL as 90% of original. Calculation
 + * without numerical overflow (uin32_t) */
 +#define PREFETCH_TTL_CALC(ttl) ((ttl) - (ttl)/10)
 +
 +/**
 + * Structure to store query information that makes answers to queries
 + * different.
 + */
 +struct query_info {
 +      /** 
 +       * Salient data on the query: qname, in wireformat. 
 +       * can be allocated or a pointer to outside buffer.
 +       * User has to keep track on the status of this.
 +       */
 +      uint8_t* qname;
 +      /** length of qname (including last 0 octet) */
 +      size_t qname_len;
 +      /** qtype, host byte order */
 +      uint16_t qtype;
 +      /** qclass, host byte order */
 +      uint16_t qclass;
 +};
 +
 +/**
 + * Information to reference an rrset
 + */
 +struct rrset_ref {
 +      /** the key with lock, and ptr to packed data. */
 +      struct ub_packed_rrset_key* key;
 +      /** id needed */
 +      rrset_id_t id;
 +};
 +
 +/**
 + * Structure to store DNS query and the reply packet.
 + * To use it, copy over the flags from reply and modify using flags from
 + * the query (RD,CD if not AA). prepend ID. 
 + *
 + * Memory layout is:
 + *    o struct
 + *    o rrset_ref array
 + *    o packed_rrset_key* array.
 + *
 + * Memory layout is sometimes not packed, when the message is synthesized,
 + * for easy of the generation. It is allocated packed when it is copied
 + * from the region allocation to the malloc allocation.
 + */
 +struct reply_info {
 +      /** the flags for the answer, host byte order. */
 +      uint16_t flags;
 +
 +      /**
 +       * This flag informs unbound the answer is authoritative and 
 +       * the AA flag should be preserved. 
 +       */
 +      uint8_t authoritative;
 +
 +      /**
 +       * Number of RRs in the query section.
 +       * If qdcount is not 0, then it is 1, and the data that appears
 +       * in the reply is the same as the query_info.
 +       * Host byte order.
 +       */
 +      uint8_t qdcount;
 +
 +      /** 32 bit padding to pad struct member alignment to 64 bits. */
 +      uint32_t padding;
 +
 +      /** 
 +       * TTL of the entire reply (for negative caching).
 +       * only for use when there are 0 RRsets in this message.
 +       * if there are RRsets, check those instead.
 +       */
 +      time_t ttl;
 +
 +      /**
 +       * TTL for prefetch. After it has expired, a prefetch is suitable.
 +       * Smaller than the TTL, otherwise the prefetch would not happen.
 +       */
 +      time_t prefetch_ttl;
 +
 +      /**
 +       * The security status from DNSSEC validation of this message.
 +       */
 +      enum sec_status security;
 +
 +      /**
 +       * Number of RRsets in each section.
 +       * The answer section. Add up the RRs in every RRset to calculate
 +       * the number of RRs, and the count for the dns packet. 
 +       * The number of RRs in RRsets can change due to RRset updates.
 +       */
 +      size_t an_numrrsets;
 +
 +      /** Count of authority section RRsets */
 +      size_t ns_numrrsets; 
 +      /** Count of additional section RRsets */
 +      size_t ar_numrrsets;
 +
 +      /** number of RRsets: an_numrrsets + ns_numrrsets + ar_numrrsets */
 +      size_t rrset_count;
 +
 +      /** 
 +       * List of pointers (only) to the rrsets in the order in which 
 +       * they appear in the reply message.  
 +       * Number of elements is ancount+nscount+arcount RRsets.
 +       * This is a pointer to that array. 
 +       * Use the accessor function for access.
 +       */
 +      struct ub_packed_rrset_key** rrsets;
 +
 +      /** 
 +       * Packed array of ids (see counts) and pointers to packed_rrset_key.
 +       * The number equals ancount+nscount+arcount RRsets. 
 +       * These are sorted in ascending pointer, the locking order. So
 +       * this list can be locked (and id, ttl checked), to see if 
 +       * all the data is available and recent enough.
 +       *
 +       * This is defined as an array of size 1, so that the compiler 
 +       * associates the identifier with this position in the structure.
 +       * Array bound overflow on this array then gives access to the further
 +       * elements of the array, which are allocated after the main structure.
 +       *
 +       * It could be more pure to define as array of size 0, ref[0].
 +       * But ref[1] may be less confusing for compilers.
 +       * Use the accessor function for access.
 +       */
 +      struct rrset_ref ref[1];
 +};
 +
 +/**
 + * Structure to keep hash table entry for message replies.
 + */
 +struct msgreply_entry {
 +      /** the hash table key */
 +      struct query_info key;
 +      /** the hash table entry, data is struct reply_info* */
 +      struct lruhash_entry entry;
 +};
 +
 +/**
 + * Constructor for replyinfo.
 + * @param region: where to allocate the results, pass NULL to use malloc.
 + * @param flags: flags for the replyinfo.
 + * @param qd: qd count
 + * @param ttl: TTL of replyinfo
 + * @param prettl: prefetch ttl
 + * @param an: an count
 + * @param ns: ns count
 + * @param ar: ar count
 + * @param total: total rrset count (presumably an+ns+ar).
 + * @param sec: security status of the reply info.
 + * @return the reply_info base struct with the array for putting the rrsets
 + * in.  The array has been zeroed.  Returns NULL on malloc failure.
 + */
 +struct reply_info*
 +construct_reply_info_base(struct regional* region, uint16_t flags, size_t qd,
 +              time_t ttl, time_t prettl, size_t an, size_t ns, size_t ar,
 +              size_t total, enum sec_status sec);
 +
 +/** 
 + * Parse wire query into a queryinfo structure, return 0 on parse error. 
 + * initialises the (prealloced) queryinfo structure as well.
 + * This query structure contains a pointer back info the buffer!
 + * This pointer avoids memory allocation. allocqname does memory allocation.
 + * @param m: the prealloced queryinfo structure to put query into.
 + *    must be unused, or _clear()ed.
 + * @param query: the wireformat packet query. starts with ID.
 + * @return: 0 on format error.
 + */
 +int query_info_parse(struct query_info* m, struct sldns_buffer* query);
 +
 +/**
 + * Parse query reply.
 + * Fills in preallocated query_info structure (with ptr into buffer).
 + * Allocates reply_info and packed_rrsets. These are not yet added to any
 + * caches or anything, this is only parsing. Returns formerror on qdcount > 1.
 + * @param pkt: the packet buffer. Must be positioned after the query section.
 + * @param alloc: creates packed rrset key structures.
 + * @param rep: allocated reply_info is returned (only on no error).
 + * @param qinf: query_info is returned (only on no error).
 + * @param region: where to store temporary data (for parsing).
 + * @param edns: where to store edns information, does not need to be inited.
 + * @return: zero is OK, or DNS error code in case of error
 + *    o FORMERR for parse errors.
 + *    o SERVFAIL for memory allocation errors.
 + */
 +int reply_info_parse(struct sldns_buffer* pkt, struct alloc_cache* alloc,
 +      struct query_info* qinf, struct reply_info** rep, 
 +      struct regional* region, struct edns_data* edns);
 +
 +/**
 + * Allocate and decompress parsed message and rrsets.
 + * @param pkt: for name decompression.
 + * @param msg: parsed message in scratch region.
 + * @param alloc: alloc cache for special rrset key structures.
 + *    Not used if region!=NULL, it can be NULL in that case.
 + * @param qinf: where to store query info.
 + *    qinf itself is allocated by the caller.
 + * @param rep: reply info is allocated and returned.
 + * @param region: if this parameter is NULL then malloc and the alloc is used.
 + *    otherwise, everything is allocated in this region.
 + *    In a region, no special rrset key structures are needed (not shared),
 + *    and no rrset_ref array in the reply is built up.
 + * @return 0 if allocation failed.
 + */
 +int parse_create_msg(struct sldns_buffer* pkt, struct msg_parse* msg,
 +        struct alloc_cache* alloc, struct query_info* qinf,
 +      struct reply_info** rep, struct regional* region);
 +
 +/**
 + * Sorts the ref array.
 + * @param rep: reply info. rrsets must be filled in.
 + */
 +void reply_info_sortref(struct reply_info* rep);
 +
 +/**
 + * Set TTLs inside the replyinfo to absolute values.
 + * @param rep: reply info. rrsets must be filled in. 
 + *    Also refs must be filled in.
 + * @param timenow: the current time.
 + */
 +void reply_info_set_ttls(struct reply_info* rep, time_t timenow);
 +
 +/** 
 + * Delete reply_info and packed_rrsets (while they are not yet added to the
 + * hashtables.). Returns rrsets to the alloc cache.
 + * @param rep: reply_info to delete.
 + * @param alloc: where to return rrset structures to.
 + */
 +void reply_info_parsedelete(struct reply_info* rep, struct alloc_cache* alloc);
 +
 +/**
 + * Compare two queryinfo structures, on query and type, class. 
 + * It is _not_ sorted in canonical ordering.
 + * @param m1: struct query_info* , void* here to ease use as function pointer.
 + * @param m2: struct query_info* , void* here to ease use as function pointer.
 + * @return: 0 = same, -1 m1 is smaller, +1 m1 is larger.
 + */
 +int query_info_compare(void* m1, void* m2);
 +
 +/** clear out query info structure */
 +void query_info_clear(struct query_info* m);
 +
 +/** calculate size of struct query_info + reply_info */
 +size_t msgreply_sizefunc(void* k, void* d);
 +
 +/** delete msgreply_entry key structure */
 +void query_entry_delete(void *q, void* arg);
 +
 +/** delete reply_info data structure */
 +void reply_info_delete(void* d, void* arg);
 +
 +/** calculate hash value of query_info, lowercases the qname,
 + * uses CD flag for AAAA qtype */
 +hashvalue_t query_info_hash(struct query_info *q, uint16_t flags);
 +
 +/**
 + * Setup query info entry
 + * @param q: query info to copy. Emptied as if clear is called.
 + * @param r: reply to init data.
 + * @param h: hash value.
 + * @return: newly allocated message reply cache item.
 + */
 +struct msgreply_entry* query_info_entrysetup(struct query_info* q,
 +      struct reply_info* r, hashvalue_t h);
 +
 +/**
 + * Copy reply_info and all rrsets in it and allocate.
 + * @param rep: what to copy, probably inside region, no ref[] array in it.
 + * @param alloc: how to allocate rrset keys.
 + *    Not used if region!=NULL, it can be NULL in that case.
 + * @param region: if this parameter is NULL then malloc and the alloc is used.
 + *    otherwise, everything is allocated in this region.
 + *    In a region, no special rrset key structures are needed (not shared),
 + *    and no rrset_ref array in the reply is built up.
 + * @return new reply info or NULL on memory error.
 + */
 +struct reply_info* reply_info_copy(struct reply_info* rep, 
 +      struct alloc_cache* alloc, struct regional* region);
 +
 +/**
 + * Copy a parsed rrset into given key, decompressing and allocating rdata.
 + * @param pkt: packet for decompression
 + * @param msg: the parser message (for flags for trust).
 + * @param pset: the parsed rrset to copy.
 + * @param region: if NULL - malloc, else data is allocated in this region.
 + * @param pk: a freshly obtained rrsetkey structure. No dname is set yet,
 + *    will be set on return.
 + *    Note that TTL will still be relative on return.
 + * @return false on alloc failure.
 + */
 +int parse_copy_decompress_rrset(struct sldns_buffer* pkt, struct msg_parse* msg,
 +      struct rrset_parse *pset, struct regional* region, 
 +      struct ub_packed_rrset_key* pk);
 +
 +/**
 + * Find final cname target in reply, the one matching qinfo. Follows CNAMEs.
 + * @param qinfo: what to start with.
 + * @param rep: looks in answer section of this message.
 + * @return: pointer dname, or NULL if not found.
 + */
 +uint8_t* reply_find_final_cname_target(struct query_info* qinfo,
 +      struct reply_info* rep);
 +
 +/**
 + * Check if cname chain in cached reply is still valid.
++ * @param qinfo: query info with query name.
 + * @param rep: reply to check.
 + * @return: true if valid, false if invalid.
 + */
++int reply_check_cname_chain(struct query_info* qinfo, struct reply_info* rep);
 +
 +/**
 + * Check security status of all RRs in the message.
 + * @param rep: reply to check
 + * @return: true if all RRs are secure. False if not.
 + *    True if there are zero RRs.
 + */
 +int reply_all_rrsets_secure(struct reply_info* rep);
 +
 +/**
 + * Find answer rrset in reply, the one matching qinfo. Follows CNAMEs, so the
 + * result may have a different owner name.
 + * @param qinfo: what to look for.
 + * @param rep: looks in answer section of this message.
 + * @return: pointer to rrset, or NULL if not found.
 + */
 +struct ub_packed_rrset_key* reply_find_answer_rrset(struct query_info* qinfo,
 +      struct reply_info* rep);
 +
 +/**
 + * Find rrset in reply, inside the answer section. Does not follow CNAMEs.
 + * @param rep: looks in answer section of this message.
 + * @param name: what to look for.
 + * @param namelen: length of name.
 + * @param type: looks for (host order).
 + * @param dclass: looks for (host order).
 + * @return: pointer to rrset, or NULL if not found.
 + */
 +struct ub_packed_rrset_key* reply_find_rrset_section_an(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass);
 +
 +/**
 + * Find rrset in reply, inside the authority section. Does not follow CNAMEs.
 + * @param rep: looks in authority section of this message.
 + * @param name: what to look for.
 + * @param namelen: length of name.
 + * @param type: looks for (host order).
 + * @param dclass: looks for (host order).
 + * @return: pointer to rrset, or NULL if not found.
 + */
 +struct ub_packed_rrset_key* reply_find_rrset_section_ns(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass);
 +
 +/**
 + * Find rrset in reply, inside any section. Does not follow CNAMEs.
 + * @param rep: looks in answer,authority and additional section of this message.
 + * @param name: what to look for.
 + * @param namelen: length of name.
 + * @param type: looks for (host order).
 + * @param dclass: looks for (host order).
 + * @return: pointer to rrset, or NULL if not found.
 + */
 +struct ub_packed_rrset_key* reply_find_rrset(struct reply_info* rep,
 +      uint8_t* name, size_t namelen, uint16_t type, uint16_t dclass);
 +
 +/**
 + * Debug send the query info and reply info to the log in readable form.
 + * @param str: descriptive string printed with packet content.
 + * @param qinfo: query section.
 + * @param rep: rest of message.
 + */
 +void log_dns_msg(const char* str, struct query_info* qinfo, 
 +      struct reply_info* rep);
 +
 +/**
 + * Print string with neat domain name, type, class from query info.
 + * @param v: at what verbosity level to print this.
 + * @param str: string of message.
 + * @param qinf: query info structure with name, type and class.
 + */
 +void log_query_info(enum verbosity_value v, const char* str, 
 +      struct query_info* qinf);
 +
 +#endif /* UTIL_DATA_MSGREPLY_H */
diff --cc contrib/unbound/util/data/packed_rrset.c
index 8074685764b144571829b357984579ff3f404d11,0000000000000000000000000000000000000000..0a5c9d3271b1824dafb7af9f3f844dd5b394b299
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/packed_rrset.c
--- /dev/null
+++ b/contrib/unbound/util/data/packed_rrset.c
@@@ -1,389 -1,0 +1,389 @@@
- #include "ldns/rrdef.h"
- #include "ldns/sbuffer.h"
- #include "ldns/wire2str.h"
 +/*
 + * util/data/packed_rrset.c - data storage for a set of resource records.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the data storage for RRsets.
 + */
 +
 +#include "config.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/dname.h"
 +#include "util/storage/lookup3.h"
 +#include "util/log.h"
 +#include "util/alloc.h"
 +#include "util/regional.h"
 +#include "util/net_help.h"
++#include "sldns/rrdef.h"
++#include "sldns/sbuffer.h"
++#include "sldns/wire2str.h"
 +
 +void
 +ub_packed_rrset_parsedelete(struct ub_packed_rrset_key* pkey,
 +        struct alloc_cache* alloc)
 +{
 +      if(!pkey)
 +              return;
 +      if(pkey->entry.data)
 +              free(pkey->entry.data);
 +      pkey->entry.data = NULL;
 +      if(pkey->rk.dname)
 +              free(pkey->rk.dname);
 +      pkey->rk.dname = NULL;
 +      pkey->id = 0;
 +      alloc_special_release(alloc, pkey);
 +}
 +
 +size_t 
 +ub_rrset_sizefunc(void* key, void* data)
 +{
 +      struct ub_packed_rrset_key* k = (struct ub_packed_rrset_key*)key;
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)data;
 +      size_t s = sizeof(struct ub_packed_rrset_key) + k->rk.dname_len;
 +      s += packed_rrset_sizeof(d) + lock_get_mem(&k->entry.lock);
 +      return s;
 +}
 +
 +size_t 
 +packed_rrset_sizeof(struct packed_rrset_data* d)
 +{
 +      size_t s;
 +      if(d->rrsig_count > 0) {
 +              s = ((uint8_t*)d->rr_data[d->count+d->rrsig_count-1] - 
 +                      (uint8_t*)d) + d->rr_len[d->count+d->rrsig_count-1];
 +      } else {
 +              log_assert(d->count > 0);
 +              s = ((uint8_t*)d->rr_data[d->count-1] - (uint8_t*)d) + 
 +                      d->rr_len[d->count-1];
 +      }
 +      return s;
 +}
 +
 +int 
 +ub_rrset_compare(void* k1, void* k2)
 +{
 +      struct ub_packed_rrset_key* key1 = (struct ub_packed_rrset_key*)k1;
 +      struct ub_packed_rrset_key* key2 = (struct ub_packed_rrset_key*)k2;
 +      int c;
 +      if(key1 == key2)
 +              return 0;
 +      if(key1->rk.type != key2->rk.type) {
 +              if(key1->rk.type < key2->rk.type)
 +                      return -1;
 +              return 1;
 +      }
 +      if(key1->rk.dname_len != key2->rk.dname_len) {
 +              if(key1->rk.dname_len < key2->rk.dname_len)
 +                      return -1;
 +              return 1;
 +      }
 +      if((c=query_dname_compare(key1->rk.dname, key2->rk.dname)) != 0)
 +              return c;
 +      if(key1->rk.rrset_class != key2->rk.rrset_class) {
 +              if(key1->rk.rrset_class < key2->rk.rrset_class)
 +                      return -1;
 +              return 1;
 +      }
 +      if(key1->rk.flags != key2->rk.flags) {
 +              if(key1->rk.flags < key2->rk.flags)
 +                      return -1;
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +void 
 +ub_rrset_key_delete(void* key, void* userdata)
 +{
 +      struct ub_packed_rrset_key* k = (struct ub_packed_rrset_key*)key;
 +      struct alloc_cache* a = (struct alloc_cache*)userdata;
 +      k->id = 0;
 +      free(k->rk.dname);
 +      k->rk.dname = NULL;
 +      alloc_special_release(a, k);
 +}
 +
 +void 
 +rrset_data_delete(void* data, void* ATTR_UNUSED(userdata))
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)data;
 +      free(d);
 +}
 +
 +int 
 +rrsetdata_equal(struct packed_rrset_data* d1, struct packed_rrset_data* d2)
 +{
 +      size_t i;
 +      size_t total;
 +      if(d1->count != d2->count || d1->rrsig_count != d2->rrsig_count) 
 +              return 0;
 +      total = d1->count + d1->rrsig_count;
 +      for(i=0; i<total; i++) {
 +              if(d1->rr_len[i] != d2->rr_len[i])
 +                      return 0;
 +              if(memcmp(d1->rr_data[i], d2->rr_data[i], d1->rr_len[i]) != 0)
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +hashvalue_t 
 +rrset_key_hash(struct packed_rrset_key* key)
 +{
 +      /* type is hashed in host order */
 +      uint16_t t = ntohs(key->type);
 +      /* Note this MUST be identical to pkt_hash_rrset in msgparse.c */
 +      /* this routine does not have a compressed name */
 +      hashvalue_t h = 0xab;
 +      h = dname_query_hash(key->dname, h);
 +      h = hashlittle(&t, sizeof(t), h);
 +      h = hashlittle(&key->rrset_class, sizeof(uint16_t), h);
 +      h = hashlittle(&key->flags, sizeof(uint32_t), h);
 +      return h;
 +}
 +
 +void 
 +packed_rrset_ptr_fixup(struct packed_rrset_data* data)
 +{
 +      size_t i;
 +      size_t total = data->count + data->rrsig_count;
 +      uint8_t* nextrdata;
 +      /* fixup pointers in packed rrset data */
 +      data->rr_len = (size_t*)((uint8_t*)data +
 +              sizeof(struct packed_rrset_data));
 +      data->rr_data = (uint8_t**)&(data->rr_len[total]);
 +      data->rr_ttl = (time_t*)&(data->rr_data[total]);
 +      nextrdata = (uint8_t*)&(data->rr_ttl[total]);
 +      for(i=0; i<total; i++) {
 +              data->rr_data[i] = nextrdata;
 +              nextrdata += data->rr_len[i];
 +      }
 +}
 +
 +void 
 +get_cname_target(struct ub_packed_rrset_key* rrset, uint8_t** dname, 
 +      size_t* dname_len)
 +{
 +      struct packed_rrset_data* d;
 +      size_t len;
 +      if(ntohs(rrset->rk.type) != LDNS_RR_TYPE_CNAME && 
 +              ntohs(rrset->rk.type) != LDNS_RR_TYPE_DNAME)
 +              return;
 +      d = (struct packed_rrset_data*)rrset->entry.data;
 +      if(d->count < 1)
 +              return;
 +      if(d->rr_len[0] < 3) /* at least rdatalen + 0byte root label */
 +              return;
 +      len = sldns_read_uint16(d->rr_data[0]);
 +      if(len != d->rr_len[0] - sizeof(uint16_t))
 +              return;
 +      if(dname_valid(d->rr_data[0]+sizeof(uint16_t), len) != len)
 +              return;
 +      *dname = d->rr_data[0]+sizeof(uint16_t);
 +      *dname_len = len;
 +}
 +
 +void 
 +packed_rrset_ttl_add(struct packed_rrset_data* data, time_t add)
 +{
 +      size_t i;
 +      size_t total = data->count + data->rrsig_count;
 +      data->ttl += add;
 +      for(i=0; i<total; i++)
 +              data->rr_ttl[i] += add;
 +}
 +
 +const char* 
 +rrset_trust_to_string(enum rrset_trust s)
 +{
 +      switch(s) {
 +      case rrset_trust_none:          return "rrset_trust_none";
 +      case rrset_trust_add_noAA:      return "rrset_trust_add_noAA";
 +      case rrset_trust_auth_noAA:     return "rrset_trust_auth_noAA";
 +      case rrset_trust_add_AA:        return "rrset_trust_add_AA";
 +      case rrset_trust_nonauth_ans_AA:return "rrset_trust_nonauth_ans_AA";
 +      case rrset_trust_ans_noAA:      return "rrset_trust_ans_noAA";
 +      case rrset_trust_glue:          return "rrset_trust_glue";
 +      case rrset_trust_auth_AA:       return "rrset_trust_auth_AA";
 +      case rrset_trust_ans_AA:        return "rrset_trust_ans_AA";
 +      case rrset_trust_sec_noglue:    return "rrset_trust_sec_noglue";
 +      case rrset_trust_prim_noglue:   return "rrset_trust_prim_noglue";
 +      case rrset_trust_validated:     return "rrset_trust_validated";
 +      case rrset_trust_ultimate:      return "rrset_trust_ultimate";
 +      }
 +      return "unknown_rrset_trust_value";
 +}
 +
 +const char* 
 +sec_status_to_string(enum sec_status s)
 +{
 +      switch(s) {
 +      case sec_status_unchecked:      return "sec_status_unchecked";
 +      case sec_status_bogus:          return "sec_status_bogus";
 +      case sec_status_indeterminate:  return "sec_status_indeterminate";
 +      case sec_status_insecure:       return "sec_status_insecure";
 +      case sec_status_secure:         return "sec_status_secure";
 +      }
 +      return "unknown_sec_status_value";
 +}
 +
 +void log_rrset_key(enum verbosity_value v, const char* str, 
 +      struct ub_packed_rrset_key* rrset)
 +{
 +      if(verbosity >= v)
 +              log_nametypeclass(v, str, rrset->rk.dname,
 +                      ntohs(rrset->rk.type), ntohs(rrset->rk.rrset_class));
 +}
 +
 +int packed_rr_to_string(struct ub_packed_rrset_key* rrset, size_t i,
 +      time_t now, char* dest, size_t dest_len)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)rrset->
 +              entry.data;
 +      uint8_t rr[65535];
 +      size_t rlen = rrset->rk.dname_len + 2 + 2 + 4 + d->rr_len[i];
 +      log_assert(dest_len > 0 && dest);
 +      if(rlen > dest_len) {
 +              dest[0] = 0;
 +              return 0;
 +      }
 +      memmove(rr, rrset->rk.dname, rrset->rk.dname_len);
 +      if(i < d->count)
 +              memmove(rr+rrset->rk.dname_len, &rrset->rk.type, 2);
 +      else    sldns_write_uint16(rr+rrset->rk.dname_len, LDNS_RR_TYPE_RRSIG);
 +      memmove(rr+rrset->rk.dname_len+2, &rrset->rk.rrset_class, 2);
 +      sldns_write_uint32(rr+rrset->rk.dname_len+4,
 +              (uint32_t)(d->rr_ttl[i]-now));
 +      memmove(rr+rrset->rk.dname_len+8, d->rr_data[i], d->rr_len[i]);
 +      if(sldns_wire2str_rr_buf(rr, rlen, dest, dest_len) == -1) {
 +              log_info("rrbuf failure %d %s", (int)d->rr_len[i], dest);
 +              dest[0] = 0;
 +              return 0;
 +      } 
 +      return 1;
 +}
 +
 +void log_packed_rrset(enum verbosity_value v, const char* str,
 +      struct ub_packed_rrset_key* rrset)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)rrset->
 +              entry.data;
 +      char buf[65535];
 +      size_t i;
 +      if(verbosity < v)
 +              return;
 +      for(i=0; i<d->count+d->rrsig_count; i++) {
 +              if(!packed_rr_to_string(rrset, i, 0, buf, sizeof(buf))) {
 +                      log_info("%s: rr %d wire2str-error", str, (int)i);
 +              } else {
 +                      log_info("%s: %s", str, buf);
 +              }
 +      }
 +}
 +
 +time_t 
 +ub_packed_rrset_ttl(struct ub_packed_rrset_key* key)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)key->
 +              entry.data;
 +      return d->ttl;
 +}
 +
 +struct ub_packed_rrset_key*
 +packed_rrset_copy_region(struct ub_packed_rrset_key* key, 
 +      struct regional* region, time_t now)
 +{
 +      struct ub_packed_rrset_key* ck = regional_alloc(region, 
 +              sizeof(struct ub_packed_rrset_key));
 +      struct packed_rrset_data* d;
 +      struct packed_rrset_data* data = (struct packed_rrset_data*)
 +              key->entry.data;
 +      size_t dsize, i;
 +      if(!ck)
 +              return NULL;
 +      ck->id = key->id;
 +      memset(&ck->entry, 0, sizeof(ck->entry));
 +      ck->entry.hash = key->entry.hash;
 +      ck->entry.key = ck;
 +      ck->rk = key->rk;
 +      ck->rk.dname = regional_alloc_init(region, key->rk.dname, 
 +              key->rk.dname_len);
 +      if(!ck->rk.dname)
 +              return NULL;
 +      dsize = packed_rrset_sizeof(data);
 +      d = (struct packed_rrset_data*)regional_alloc_init(region, data, dsize);
 +      if(!d)
 +              return NULL;
 +      ck->entry.data = d;
 +      packed_rrset_ptr_fixup(d);
 +      /* make TTLs relative - once per rrset */
 +      for(i=0; i<d->count + d->rrsig_count; i++) {
 +              if(d->rr_ttl[i] < now)
 +                      d->rr_ttl[i] = 0;
 +              else    d->rr_ttl[i] -= now;
 +      }
 +      if(d->ttl < now)
 +              d->ttl = 0;
 +      else    d->ttl -= now;
 +      return ck;
 +}
 +
 +struct ub_packed_rrset_key* 
 +packed_rrset_copy_alloc(struct ub_packed_rrset_key* key, 
 +      struct alloc_cache* alloc, time_t now)
 +{
 +      struct packed_rrset_data* fd, *dd;
 +      struct ub_packed_rrset_key* dk = alloc_special_obtain(alloc);
 +      if(!dk) return NULL;
 +      fd = (struct packed_rrset_data*)key->entry.data;
 +      dk->entry.hash = key->entry.hash;
 +      dk->rk = key->rk;
 +      dk->rk.dname = (uint8_t*)memdup(key->rk.dname, key->rk.dname_len);
 +      if(!dk->rk.dname) {
 +              alloc_special_release(alloc, dk);
 +              return NULL;
 +      }
 +      dd = (struct packed_rrset_data*)memdup(fd, packed_rrset_sizeof(fd));
 +      if(!dd) {
 +              free(dk->rk.dname);
 +              alloc_special_release(alloc, dk);
 +              return NULL;
 +      }
 +      packed_rrset_ptr_fixup(dd);
 +      dk->entry.data = (void*)dd;
 +      packed_rrset_ttl_add(dd, now);
 +      return dk;
 +}
diff --cc contrib/unbound/util/data/packed_rrset.h
index 5d7990a2b0b1bac8dfeaa59581b2afb904224a87,0000000000000000000000000000000000000000..6039aef242ca5eee5c6f5ff0e19d213bde4e82de
mode 100644,000000..100644
--- 1/contrib/unbound/util/data/packed_rrset.h
--- /dev/null
+++ b/contrib/unbound/util/data/packed_rrset.h
@@@ -1,428 -1,0 +1,434 @@@
 +/*
 + * util/data/packed_rrset.h - data storage for a set of resource records.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains the data storage for RRsets.
 + */
 +
 +#ifndef UTIL_DATA_PACKED_RRSET_H
 +#define UTIL_DATA_PACKED_RRSET_H
 +#include "util/storage/lruhash.h"
 +struct alloc_cache;
 +struct regional;
 +
 +/** type used to uniquely identify rrsets. Cannot be reused without
 + * clearing the cache. */
 +typedef uint64_t rrset_id_t;
 +
 +/** this rrset is NSEC and is at zone apex (at child side of zonecut) */
 +#define PACKED_RRSET_NSEC_AT_APEX 0x1
 +/** this rrset is A/AAAA and is in-zone-glue (from parent side of zonecut) */
 +#define PACKED_RRSET_PARENT_SIDE 0x2
 +/** this rrset is SOA and has the negative ttl (from nxdomain or nodata),
 + * this is set on SOA rrsets in the authority section, to keep its TTL separate
 + * from the SOA in the answer section from a direct SOA query or ANY query. */
 +#define PACKED_RRSET_SOA_NEG 0x4
 +
++/** number of rrs and rrsets for integer overflow protection.  More than
++ * this is not really possible (64K packet has much less RRs and RRsets) in
++ * a message.  And this is small enough that also multiplied there is no
++ * integer overflow. */
++#define RR_COUNT_MAX 0xffffff
++
 +/**
 + * The identifying information for an RRset.
 + */
 +struct packed_rrset_key {
 +      /**
 +       * The domain name. If not null (for id=0) it is allocated, and
 +       * contains the wireformat domain name.
 +       * This dname is not canonicalized.
 +       */
 +      uint8_t* dname;
 +      /** 
 +       * Length of the domain name, including last 0 root octet. 
 +       */
 +      size_t dname_len;
 +      /**
 +       * Flags. 32bit to be easy for hashing:
 +       *      o PACKED_RRSET_NSEC_AT_APEX
 +       *      o PACKED_RRSET_PARENT_SIDE
 +       *      o PACKED_RRSET_SOA_NEG
 +       */
 +      uint32_t flags;
 +      /** the rrset type in network format */
 +      uint16_t type;
 +      /** the rrset class in network format */
 +      uint16_t rrset_class;
 +};
 +
 +/**
 + * This structure contains an RRset. A set of resource records that
 + * share the same domain name, type and class.
 + *
 + * Due to memory management and threading, the key structure cannot be
 + * deleted, although the data can be. The id can be set to 0 to store and the
 + * structure can be recycled with a new id.
 + */
 +struct ub_packed_rrset_key {
 +      /** 
 +       * entry into hashtable. Note the lock is never destroyed,
 +       *  even when this key is retired to the cache. 
 +       * the data pointer (if not null) points to a struct packed_rrset.
 +       */
 +      struct lruhash_entry entry;
 +      /** 
 +       * the ID of this rrset. unique, based on threadid + sequenceno. 
 +       * ids are not reused, except after flushing the cache.
 +       * zero is an unused entry, and never a valid id.
 +       * Check this value after getting entry.lock.
 +       * The other values in this struct may only be altered after changing
 +       * the id (which needs a writelock on entry.lock).
 +       */
 +      rrset_id_t id;
 +      /** key data: dname, type and class */
 +      struct packed_rrset_key rk;
 +};
 +
 +/**
 + * RRset trustworthiness. Bigger value is more trust. RFC 2181.
 + * The rrset_trust_add_noAA, rrset_trust_auth_noAA, rrset_trust_add_AA,
 + * are mentioned as the same trustworthiness in 2181, but split up here
 + * for ease of processing.
 + *
 + * rrset_trust_nonauth_ans_AA, rrset_trust_ans_noAA
 + * are also mentioned as the same trustworthiness in 2181, but split up here
 + * for ease of processing.
 + *
 + * Added trust_none for a sane initial value, smaller than anything else.
 + * Added validated and ultimate trust for keys and rrsig validated content.
 + */
 +enum rrset_trust {
 +      /** initial value for trust */
 +      rrset_trust_none = 0,
 +      /** Additional information from non-authoritative answers */
 +      rrset_trust_add_noAA,
 +      /** Data from the authority section of a non-authoritative answer */
 +      rrset_trust_auth_noAA,
 +      /** Additional information from an authoritative answer */
 +      rrset_trust_add_AA,
 +      /** non-authoritative data from the answer section of authoritative
 +       * answers */
 +      rrset_trust_nonauth_ans_AA,
 +      /** Data from the answer section of a non-authoritative answer */
 +      rrset_trust_ans_noAA,
 +      /** Glue from a primary zone, or glue from a zone transfer */
 +      rrset_trust_glue,
 +      /** Data from the authority section of an authoritative answer */
 +      rrset_trust_auth_AA,
 +      /** The authoritative data included in the answer section of an
 +       *  authoritative reply */
 +      rrset_trust_ans_AA,
 +      /** Data from a zone transfer, other than glue */
 +      rrset_trust_sec_noglue,
 +      /** Data from a primary zone file, other than glue data */
 +      rrset_trust_prim_noglue,
 +      /** DNSSEC(rfc4034) validated with trusted keys */
 +      rrset_trust_validated,
 +      /** ultimately trusted, no more trust is possible; 
 +       * trusted keys from the unbound configuration setup. */
 +      rrset_trust_ultimate
 +};
 +
 +/**
 + * Security status from validation for data.
 + * The order is significant; more secure, more proven later.
 + */
 +enum sec_status {
 +      /** UNCHECKED means that object has yet to be validated. */
 +      sec_status_unchecked = 0,
 +      /** BOGUS means that the object (RRset or message) failed to validate
 +       *  (according to local policy), but should have validated. */
 +      sec_status_bogus,
 +      /** INDETERMINATE means that the object is insecure, but not 
 +       * authoritatively so. Generally this means that the RRset is not 
 +       * below a configured trust anchor. */
 +      sec_status_indeterminate,
 +      /** INSECURE means that the object is authoritatively known to be 
 +       * insecure. Generally this means that this RRset is below a trust 
 +       * anchor, but also below a verified, insecure delegation. */
 +      sec_status_insecure,
 +      /** SECURE means that the object (RRset or message) validated 
 +       * according to local policy. */
 +      sec_status_secure
 +};
 +
 +/**
 + * RRset data.
 + *
 + * The data is packed, stored contiguously in memory.
 + * memory layout:
 + *    o base struct
 + *    o rr_len size_t array
 + *    o rr_data uint8_t* array
 + *    o rr_ttl time_t array (after size_t and ptrs because those may be
 + *            64bit and this array before those would make them unaligned).
 + *            Since the stuff before is 32/64bit, rr_ttl is 32 bit aligned.
 + *    o rr_data rdata wireformats
 + *    o rrsig_data rdata wireformat(s)
 + *
 + * Rdata is stored in wireformat. The dname is stored in wireformat.
 + * TTLs are stored as absolute values (and could be expired).
 + *
 + * RRSIGs are stored in the arrays after the regular rrs.
 + *
 + * You need the packed_rrset_key to know dname, type, class of the
 + * resource records in this RRset. (if signed the rrsig gives the type too).
 + *
 + * On the wire an RR is:
 + *    name, type, class, ttl, rdlength, rdata.
 + * So we need to send the following per RR:
 + *    key.dname, ttl, rr_data[i].
 + *    since key.dname ends with type and class.
 + *    and rr_data starts with the rdlength.
 + *    the ttl value to send changes due to time.
 + */
 +struct packed_rrset_data {
 +      /** TTL (in seconds like time()) of the rrset.
 +       * Same for all RRs see rfc2181(5.2).  */
 +      time_t ttl;
 +      /** number of rrs. */
 +      size_t count;
 +      /** number of rrsigs, if 0 no rrsigs */
 +      size_t rrsig_count;
 +      /** the trustworthiness of the rrset data */
 +      enum rrset_trust trust; 
 +      /** security status of the rrset data */
 +      enum sec_status security;
 +      /** length of every rr's rdata, rr_len[i] is size of rr_data[i]. */
 +      size_t* rr_len;
 +      /** ttl of every rr. rr_ttl[i] ttl of rr i. */
 +      time_t *rr_ttl;
 +      /** 
 +       * Array of pointers to every rr's rdata. 
 +       * The rr_data[i] rdata is stored in uncompressed wireformat. 
 +       * The first uint16_t of rr_data[i] is network format rdlength.
 +       *
 +       * rr_data[count] to rr_data[count+rrsig_count] contain the rrsig data.
 +       */
 +      uint8_t** rr_data;
 +};
 +
 +/**
 + * An RRset can be represented using both key and data together.
 + * Split into key and data structures to simplify implementation of
 + * caching schemes.
 + */
 +struct packed_rrset {
 +      /** domain name, type and class */
 +      struct packed_rrset_key* k;
 +      /** ttl, count and rdatas (and rrsig) */
 +      struct packed_rrset_data* d;
 +};
 +
 +/**
 + * list of packed rrsets
 + */
 +struct packed_rrset_list {
 +      /** next in list */
 +      struct packed_rrset_list* next;
 +      /** rrset key and data */
 +      struct packed_rrset rrset;
 +};
 +
 +/**
 + * Delete packed rrset key and data, not entered in hashtables yet.
 + * Used during parsing.
 + * @param pkey: rrset key structure with locks, key and data pointers.
 + * @param alloc: where to return the unfree-able key structure.
 + */
 +void ub_packed_rrset_parsedelete(struct ub_packed_rrset_key* pkey,
 +      struct alloc_cache* alloc);
 +
 +/**
 + * Memory size of rrset data. RRset data must be filled in correctly.
 + * @param data: data to examine.
 + * @return size in bytes.
 + */
 +size_t packed_rrset_sizeof(struct packed_rrset_data* data);
 +
 +/**
 + * Get TTL of rrset. RRset data must be filled in correctly.
 + * @param key: rrset key, with data to examine.
 + * @return ttl value.
 + */
 +time_t ub_packed_rrset_ttl(struct ub_packed_rrset_key* key);
 +
 +/**
 + * Calculate memory size of rrset entry. For hash table usage.
 + * @param key: struct ub_packed_rrset_key*.
 + * @param data: struct packed_rrset_data*.
 + * @return size in bytes.
 + */
 +size_t ub_rrset_sizefunc(void* key, void* data);
 +
 +/**
 + * compares two rrset keys.
 + * @param k1: struct ub_packed_rrset_key*.
 + * @param k2: struct ub_packed_rrset_key*.
 + * @return 0 if equal.
 + */
 +int ub_rrset_compare(void* k1, void* k2);
 +
 +/**
 + * compare two rrset data structures.
 + * Compared rdata and rrsigdata, not the trust or ttl value.
 + * @param d1: data to compare.
 + * @param d2: data to compare.
 + * @return 1 if equal.
 + */
 +int rrsetdata_equal(struct packed_rrset_data* d1, struct packed_rrset_data* d2);
 +
 +/**
 + * Old key to be deleted. RRset keys are recycled via alloc.
 + * The id is set to 0. So that other threads, after acquiring a lock always
 + * get the correct value, in this case the 0 deleted-special value.
 + * @param key: struct ub_packed_rrset_key*.
 + * @param userdata: alloc structure to use for recycling.
 + */
 +void ub_rrset_key_delete(void* key, void* userdata);
 +
 +/**
 + * Old data to be deleted.
 + * @param data: what to delete.
 + * @param userdata: user data ptr.
 + */
 +void rrset_data_delete(void* data, void* userdata);
 +
 +/**
 + * Calculate hash value for a packed rrset key.
 + * @param key: the rrset key with name, type, class, flags.
 + * @return hash value.
 + */
 +hashvalue_t rrset_key_hash(struct packed_rrset_key* key);
 +
 +/**
 + * Fixup pointers in fixed data packed_rrset_data blob.
 + * After a memcpy of the data for example. Will set internal pointers right.
 + * @param data: rrset data structure. Otherwise correctly filled in.
 + */
 +void packed_rrset_ptr_fixup(struct packed_rrset_data* data);
 +
 +/**
 + * Fixup TTLs in fixed data packed_rrset_data blob.
 + * @param data: rrset data structure. Otherwise correctly filled in.
 + * @param add: how many seconds to add, pass time(0) for example.
 + */
 +void packed_rrset_ttl_add(struct packed_rrset_data* data, time_t add);
 +
 +/**
 + * Utility procedure to extract CNAME target name from its rdata.
 + * Failsafes; it will change passed dname to a valid dname or do nothing.
 + * @param rrset: the rrset structure. Must be a CNAME. 
 + *    Only first RR is used (multiple RRs are technically illegal anyway).
 + *    Also works on type DNAME. Returns target name.
 + * @param dname: this pointer is updated to point into the cname rdata.
 + *    If a failsafe fails, nothing happens to the pointer (such as the
 + *    rdata was not a valid dname, not a CNAME, ...).
 + * @param dname_len: length of dname is returned.
 + */
 +void get_cname_target(struct ub_packed_rrset_key* rrset, uint8_t** dname, 
 +      size_t* dname_len);
 +
 +/**
 + * Get a printable string for a rrset trust value 
 + * @param s: rrset trust value
 + * @return printable string.
 + */
 +const char* rrset_trust_to_string(enum rrset_trust s);
 +
 +/**
 + * Get a printable string for a security status value 
 + * @param s: security status
 + * @return printable string.
 + */
 +const char* sec_status_to_string(enum sec_status s);
 +
 +/**
 + * Print string with neat domain name, type, class from rrset.
 + * @param v: at what verbosity level to print this.
 + * @param str: string of message.
 + * @param rrset: structure with name, type and class.
 + */
 +void log_rrset_key(enum verbosity_value v, const char* str, 
 +      struct ub_packed_rrset_key* rrset);
 +
 +/**
 + * Convert RR from RRset to string.
 + * @param rrset: structure with data.
 + * @param i: index of rr or RRSIG.
 + * @param now: time that is subtracted from ttl before printout. Can be 0.
 + * @param dest: destination string buffer. Must be nonNULL.
 + * @param dest_len: length of dest buffer (>0).
 + * @return false on failure.
 + */
 +int packed_rr_to_string(struct ub_packed_rrset_key* rrset, size_t i,
 +      time_t now, char* dest, size_t dest_len);
 +
 +/**
 + * Print the string with prefix, one rr per line.
 + * @param v: at what verbosity level to print this.
 + * @param str: string of message.
 + * @param rrset: with name, and rdata, and rrsigs.
 + */
 +void log_packed_rrset(enum verbosity_value v, const char* str,
 +      struct ub_packed_rrset_key* rrset);
 +
 +/** 
 + * Allocate rrset in region - no more locks needed 
 + * @param key: a (just from rrset cache looked up) rrset key + valid,
 + *    packed data record.
 + * @param region: where to alloc the copy
 + * @param now: adjust the TTLs to be relative (subtract from all TTLs).
 + * @return new region-alloced rrset key or NULL on alloc failure.
 + */
 +struct ub_packed_rrset_key* packed_rrset_copy_region(
 +      struct ub_packed_rrset_key* key, struct regional* region, 
 +      time_t now);
 +
 +/** 
 + * Allocate rrset with malloc (from region or you are holding the lock).
 + * @param key: key with data entry.
 + * @param alloc: alloc_cache to create rrset_keys
 + * @param now: adjust the TTLs to be absolute (add to all TTLs).
 + * @return new region-alloced rrset key or NULL on alloc failure.
 + */
 +struct ub_packed_rrset_key* packed_rrset_copy_alloc(
 +      struct ub_packed_rrset_key* key, struct alloc_cache* alloc, 
 +      time_t now);
 +
 +#endif /* UTIL_DATA_PACKED_RRSET_H */
diff --cc contrib/unbound/util/fptr_wlist.c
index 5a77432c775e51e486f33b8de74ea8ed9dd84caa,0000000000000000000000000000000000000000..1397e9c1359d05e84af9987b38bf92fa374d80a4
mode 100644,000000..100644
--- 1/contrib/unbound/util/fptr_wlist.c
--- /dev/null
+++ b/contrib/unbound/util/fptr_wlist.c
@@@ -1,409 -1,0 +1,413 @@@
 +/*
 + * util/fptr_wlist.c - function pointer whitelists.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions that check function pointers.
 + * The functions contain a whitelist of known good callback values.
 + * Any other values lead to an error. 
 + *
 + * Due to the listing nature, this file violates all the modularization
 + * boundaries in the program.
 + */
 +#include "config.h"
 +#include "util/fptr_wlist.h"
 +#include "util/mini_event.h"
 +#include "services/outside_network.h"
 +#include "services/mesh.h"
 +#include "services/localzone.h"
 +#include "services/cache/infra.h"
 +#include "services/cache/rrset.h"
 +#include "dns64/dns64.h"
 +#include "iterator/iterator.h"
 +#include "iterator/iter_fwd.h"
 +#include "validator/validator.h"
 +#include "validator/val_anchor.h"
 +#include "validator/val_nsec3.h"
 +#include "validator/val_sigcrypt.h"
 +#include "validator/val_kentry.h"
 +#include "validator/val_neg.h"
 +#include "validator/autotrust.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/storage/slabhash.h"
 +#include "util/storage/dnstree.h"
 +#include "util/locks.h"
 +#include "libunbound/libworker.h"
 +#include "libunbound/context.h"
 +#include "libunbound/worker.h"
 +#include "util/tube.h"
 +#include "util/config_file.h"
 +#ifdef UB_ON_WINDOWS
 +#include "winrc/win_svc.h"
 +#endif
 +
 +#ifdef WITH_PYTHONMODULE
 +#include "pythonmod/pythonmod.h"
 +#endif
 +
 +int 
 +fptr_whitelist_comm_point(comm_point_callback_t *fptr)
 +{
 +      if(fptr == &worker_handle_request) return 1;
 +      else if(fptr == &outnet_udp_cb) return 1;
 +      else if(fptr == &outnet_tcp_cb) return 1;
 +      else if(fptr == &tube_handle_listen) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_comm_point_raw(comm_point_callback_t *fptr)
 +{
 +      if(fptr == &tube_handle_listen) return 1;
 +      else if(fptr == &tube_handle_write) return 1;
 +      else if(fptr == &remote_accept_callback) return 1;
 +      else if(fptr == &remote_control_callback) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_comm_timer(void (*fptr)(void*))
 +{
 +      if(fptr == &pending_udp_timer_cb) return 1;
 +      else if(fptr == &outnet_tcptimer) return 1;
 +      else if(fptr == &pending_udp_timer_delay_cb) return 1;
 +      else if(fptr == &worker_stat_timer_cb) return 1;
 +      else if(fptr == &worker_probe_timer_cb) return 1;
 +#ifdef UB_ON_WINDOWS
 +      else if(fptr == &wsvc_cron_cb) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_comm_signal(void (*fptr)(int, void*))
 +{
 +      if(fptr == &worker_sighandler) return 1;
 +      return 0;
 +}
 +
 +int fptr_whitelist_start_accept(void (*fptr)(void*))
 +{
 +      if(fptr == &worker_start_accept) return 1;
 +      return 0;
 +}
 +
 +int fptr_whitelist_stop_accept(void (*fptr)(void*))
 +{
 +      if(fptr == &worker_stop_accept) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_event(void (*fptr)(int, short, void *))
 +{
 +      if(fptr == &comm_point_udp_callback) return 1;
 +      else if(fptr == &comm_point_udp_ancil_callback) return 1;
 +      else if(fptr == &comm_point_tcp_accept_callback) return 1;
 +      else if(fptr == &comm_point_tcp_handle_callback) return 1;
 +      else if(fptr == &comm_timer_callback) return 1;
 +      else if(fptr == &comm_signal_callback) return 1;
 +      else if(fptr == &comm_point_local_handle_callback) return 1;
 +      else if(fptr == &comm_point_raw_handle_callback) return 1;
 +      else if(fptr == &tube_handle_signal) return 1;
 +      else if(fptr == &comm_base_handle_slow_accept) return 1;
 +#ifdef UB_ON_WINDOWS
 +      else if(fptr == &worker_win_stop_cb) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_pending_udp(comm_point_callback_t *fptr)
 +{
 +      if(fptr == &serviced_udp_callback) return 1;
 +      else if(fptr == &worker_handle_reply) return 1;
 +      else if(fptr == &libworker_handle_reply) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_pending_tcp(comm_point_callback_t *fptr)
 +{
 +      if(fptr == &serviced_tcp_callback) return 1;
 +      else if(fptr == &worker_handle_reply) return 1;
 +      else if(fptr == &libworker_handle_reply) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_serviced_query(comm_point_callback_t *fptr)
 +{
 +      if(fptr == &worker_handle_service_reply) return 1;
 +      else if(fptr == &libworker_handle_service_reply) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_rbtree_cmp(int (*fptr) (const void *, const void *))
 +{
 +      if(fptr == &mesh_state_compare) return 1;
 +      else if(fptr == &mesh_state_ref_compare) return 1;
 +      else if(fptr == &addr_tree_compare) return 1;
 +      else if(fptr == &local_zone_cmp) return 1;
 +      else if(fptr == &local_data_cmp) return 1;
 +      else if(fptr == &fwd_cmp) return 1;
 +      else if(fptr == &pending_cmp) return 1;
 +      else if(fptr == &serviced_cmp) return 1;
 +      else if(fptr == &name_tree_compare) return 1;
 +      else if(fptr == &order_lock_cmp) return 1;
 +      else if(fptr == &codeline_cmp) return 1;
 +      else if(fptr == &nsec3_hash_cmp) return 1;
 +      else if(fptr == &mini_ev_cmp) return 1;
 +      else if(fptr == &anchor_cmp) return 1;
 +      else if(fptr == &canonical_tree_compare) return 1;
 +      else if(fptr == &context_query_cmp) return 1;
 +      else if(fptr == &val_neg_data_compare) return 1;
 +      else if(fptr == &val_neg_zone_compare) return 1;
 +      else if(fptr == &probetree_cmp) return 1;
 +      else if(fptr == &replay_var_compare) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_hash_sizefunc(lruhash_sizefunc_t fptr)
 +{
 +      if(fptr == &msgreply_sizefunc) return 1;
 +      else if(fptr == &ub_rrset_sizefunc) return 1;
 +      else if(fptr == &infra_sizefunc) return 1;
 +      else if(fptr == &key_entry_sizefunc) return 1;
++      else if(fptr == &rate_sizefunc) return 1;
 +      else if(fptr == &test_slabhash_sizefunc) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_hash_compfunc(lruhash_compfunc_t fptr)
 +{
 +      if(fptr == &query_info_compare) return 1;
 +      else if(fptr == &ub_rrset_compare) return 1;
 +      else if(fptr == &infra_compfunc) return 1;
 +      else if(fptr == &key_entry_compfunc) return 1;
++      else if(fptr == &rate_compfunc) return 1;
 +      else if(fptr == &test_slabhash_compfunc) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_hash_delkeyfunc(lruhash_delkeyfunc_t fptr)
 +{
 +      if(fptr == &query_entry_delete) return 1;
 +      else if(fptr == &ub_rrset_key_delete) return 1;
 +      else if(fptr == &infra_delkeyfunc) return 1;
 +      else if(fptr == &key_entry_delkeyfunc) return 1;
++      else if(fptr == &rate_delkeyfunc) return 1;
 +      else if(fptr == &test_slabhash_delkey) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_hash_deldatafunc(lruhash_deldatafunc_t fptr)
 +{
 +      if(fptr == &reply_info_delete) return 1;
 +      else if(fptr == &rrset_data_delete) return 1;
 +      else if(fptr == &infra_deldatafunc) return 1;
 +      else if(fptr == &key_entry_deldatafunc) return 1;
++      else if(fptr == &rate_deldatafunc) return 1;
 +      else if(fptr == &test_slabhash_deldata) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_hash_markdelfunc(lruhash_markdelfunc_t fptr)
 +{
 +      if(fptr == NULL) return 1;
 +      else if(fptr == &rrset_markdel) return 1;
 +      return 0;
 +}
 +
 +/** whitelist env->send_query callbacks */
 +int 
 +fptr_whitelist_modenv_send_query(struct outbound_entry* (*fptr)(
 +        uint8_t* qname, size_t qnamelen, uint16_t qtype, uint16_t qclass,
 +        uint16_t flags, int dnssec, int want_dnssec, int nocaps,
 +      struct sockaddr_storage* addr, socklen_t addrlen, 
 +      uint8_t* zone, size_t zonelen,
 +      struct module_qstate* q))
 +{
 +      if(fptr == &worker_send_query) return 1;
 +      else if(fptr == &libworker_send_query) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_modenv_detach_subs(void (*fptr)(
 +        struct module_qstate* qstate))
 +{
 +      if(fptr == &mesh_detach_subs) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_modenv_attach_sub(int (*fptr)(
 +        struct module_qstate* qstate, struct query_info* qinfo,
 +        uint16_t qflags, int prime, int valrec, struct module_qstate** newq))
 +{
 +      if(fptr == &mesh_attach_sub) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_modenv_kill_sub(void (*fptr)(struct module_qstate* newq))
 +{
 +      if(fptr == &mesh_state_delete) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_modenv_detect_cycle(int (*fptr)(        
 +      struct module_qstate* qstate, struct query_info* qinfo,         
 +      uint16_t flags, int prime, int valrec))
 +{
 +      if(fptr == &mesh_detect_cycle) return 1;
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_init(int (*fptr)(struct module_env* env, int id))
 +{
 +      if(fptr == &iter_init) return 1;
 +      else if(fptr == &val_init) return 1;
 +      else if(fptr == &dns64_init) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_init) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_deinit(void (*fptr)(struct module_env* env, int id))
 +{
 +      if(fptr == &iter_deinit) return 1;
 +      else if(fptr == &val_deinit) return 1;
 +      else if(fptr == &dns64_deinit) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_deinit) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_operate(void (*fptr)(struct module_qstate* qstate,
 +        enum module_ev event, int id, struct outbound_entry* outbound))
 +{
 +      if(fptr == &iter_operate) return 1;
 +      else if(fptr == &val_operate) return 1;
 +      else if(fptr == &dns64_operate) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_operate) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_inform_super(void (*fptr)(
 +        struct module_qstate* qstate, int id, struct module_qstate* super))
 +{
 +      if(fptr == &iter_inform_super) return 1;
 +      else if(fptr == &val_inform_super) return 1;
 +      else if(fptr == &dns64_inform_super) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_inform_super) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_clear(void (*fptr)(struct module_qstate* qstate,
 +        int id))
 +{
 +      if(fptr == &iter_clear) return 1;
 +      else if(fptr == &val_clear) return 1;
 +      else if(fptr == &dns64_clear) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_clear) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_mod_get_mem(size_t (*fptr)(struct module_env* env, int id))
 +{
 +      if(fptr == &iter_get_mem) return 1;
 +      else if(fptr == &val_get_mem) return 1;
 +      else if(fptr == &dns64_get_mem) return 1;
 +#ifdef WITH_PYTHONMODULE
 +      else if(fptr == &pythonmod_get_mem) return 1;
 +#endif
 +      return 0;
 +}
 +
 +int 
 +fptr_whitelist_alloc_cleanup(void (*fptr)(void*))
 +{
 +      if(fptr == &worker_alloc_cleanup) return 1;
 +      return 0;
 +}
 +
 +int fptr_whitelist_tube_listen(tube_callback_t* fptr)
 +{
 +      if(fptr == &worker_handle_control_cmd) return 1;
 +      else if(fptr == &libworker_handle_control_cmd) return 1;
 +      return 0;
 +}
 +
 +int fptr_whitelist_mesh_cb(mesh_cb_func_t fptr)
 +{
 +      if(fptr == &libworker_fg_done_cb) return 1;
 +      else if(fptr == &libworker_bg_done_cb) return 1;
 +      else if(fptr == &libworker_event_done_cb) return 1;
 +      else if(fptr == &probe_answer_cb) return 1;
 +      return 0;
 +}
 +
 +int fptr_whitelist_print_func(void (*fptr)(char*,void*))
 +{
 +      if(fptr == &config_print_func) return 1;
 +      else if(fptr == &config_collate_func) return 1;
 +      else if(fptr == &remote_get_opt_ssl) return 1;
 +      return 0;
 +}
diff --cc contrib/unbound/util/iana_ports.inc
index ce939d55ce54d753fa2a1addfd08e99785a98d6a,0000000000000000000000000000000000000000..fb3290cc48fddfedfdb9f10d176745c765fecf95
mode 100644,000000..100644
--- 1/contrib/unbound/util/iana_ports.inc
--- /dev/null
+++ b/contrib/unbound/util/iana_ports.inc
@@@ -1,5420 -1,0 +1,5427 @@@
- 1407,
 +1,
 +2,
 +3,
 +5,
 +7,
 +9,
 +11,
 +13,
 +17,
 +18,
 +19,
 +20,
 +21,
 +22,
 +23,
 +24,
 +25,
 +27,
 +29,
 +31,
 +33,
 +35,
 +37,
 +38,
 +39,
 +41,
 +42,
 +43,
 +44,
 +45,
 +46,
 +47,
 +48,
 +49,
 +50,
 +52,
 +53,
 +54,
 +55,
 +56,
 +57,
 +58,
 +59,
 +61,
 +62,
 +63,
 +64,
 +65,
 +66,
 +67,
 +68,
 +69,
 +70,
 +71,
 +72,
 +73,
 +74,
 +75,
 +76,
 +77,
 +78,
 +79,
 +80,
 +82,
 +83,
 +84,
 +85,
 +86,
 +87,
 +88,
 +89,
 +90,
 +91,
 +92,
 +93,
 +94,
 +95,
 +96,
 +97,
 +98,
 +99,
 +101,
 +102,
 +103,
 +104,
 +105,
 +106,
 +107,
 +108,
 +109,
 +110,
 +111,
 +112,
 +113,
 +115,
 +116,
 +117,
 +118,
 +119,
 +120,
 +121,
 +122,
 +123,
 +124,
 +125,
 +126,
 +127,
 +128,
 +129,
 +130,
 +131,
 +132,
 +133,
 +134,
 +135,
 +136,
 +137,
 +138,
 +139,
 +140,
 +141,
 +142,
 +143,
 +144,
 +145,
 +146,
 +147,
 +148,
 +149,
 +150,
 +151,
 +152,
 +153,
 +154,
 +155,
 +156,
 +157,
 +158,
 +159,
 +160,
 +161,
 +162,
 +163,
 +164,
 +165,
 +166,
 +167,
 +168,
 +169,
 +170,
 +171,
 +172,
 +173,
 +174,
 +175,
 +176,
 +177,
 +178,
 +179,
 +180,
 +181,
 +182,
 +183,
 +184,
 +185,
 +186,
 +187,
 +188,
 +189,
 +190,
 +191,
 +192,
 +193,
 +194,
 +195,
 +196,
 +197,
 +198,
 +199,
 +200,
 +201,
 +202,
 +203,
 +204,
 +205,
 +206,
 +207,
 +208,
 +209,
 +210,
 +211,
 +212,
 +213,
 +214,
 +215,
 +216,
 +217,
 +218,
 +219,
 +220,
 +221,
 +222,
 +223,
 +224,
 +242,
 +243,
 +244,
 +245,
 +246,
 +247,
 +248,
 +256,
 +257,
 +259,
 +260,
 +261,
 +262,
 +263,
 +264,
 +265,
 +266,
 +267,
 +268,
 +269,
 +270,
 +280,
 +281,
 +282,
 +283,
 +284,
 +286,
 +287,
 +308,
 +309,
 +310,
 +311,
 +312,
 +313,
 +314,
 +315,
 +316,
 +317,
 +318,
 +319,
 +320,
 +321,
 +322,
 +333,
 +344,
 +345,
 +346,
 +347,
 +348,
 +349,
 +350,
 +351,
 +352,
 +353,
 +354,
 +355,
 +356,
 +357,
 +358,
 +359,
 +360,
 +361,
 +362,
 +363,
 +364,
 +365,
 +366,
 +367,
 +368,
 +369,
 +370,
 +371,
 +372,
 +373,
 +374,
 +375,
 +376,
 +377,
 +378,
 +379,
 +380,
 +381,
 +382,
 +383,
 +384,
 +385,
 +386,
 +387,
 +388,
 +389,
 +390,
 +391,
 +392,
 +393,
 +394,
 +395,
 +396,
 +397,
 +398,
 +399,
 +400,
 +401,
 +402,
 +403,
 +404,
 +405,
 +406,
 +407,
 +408,
 +409,
 +410,
 +411,
 +412,
 +413,
 +414,
 +415,
 +416,
 +417,
 +418,
 +419,
 +420,
 +421,
 +422,
 +423,
 +424,
 +425,
 +426,
 +427,
 +428,
 +429,
 +430,
 +431,
 +432,
 +433,
 +434,
 +435,
 +436,
 +437,
 +438,
 +439,
 +440,
 +441,
 +442,
 +443,
 +444,
 +445,
 +446,
 +447,
 +448,
 +449,
 +450,
 +451,
 +452,
 +453,
 +454,
 +455,
 +456,
 +457,
 +458,
 +459,
 +460,
 +461,
 +462,
 +463,
 +464,
 +465,
 +466,
 +467,
 +468,
 +469,
 +470,
 +471,
 +472,
 +473,
 +474,
 +475,
 +476,
 +477,
 +478,
 +479,
 +480,
 +481,
 +482,
 +483,
 +484,
 +485,
 +486,
 +487,
 +488,
 +489,
 +490,
 +491,
 +492,
 +493,
 +494,
 +495,
 +496,
 +497,
 +498,
 +499,
 +500,
 +501,
 +502,
 +503,
 +504,
 +505,
 +506,
 +507,
 +508,
 +509,
 +510,
 +511,
 +512,
 +513,
 +514,
 +515,
 +516,
 +517,
 +518,
 +519,
 +520,
 +521,
 +522,
 +523,
 +524,
 +525,
 +526,
 +527,
 +528,
 +529,
 +530,
 +531,
 +532,
 +533,
 +534,
 +535,
 +536,
 +537,
 +538,
 +539,
 +540,
 +541,
 +542,
 +543,
 +544,
 +545,
 +546,
 +547,
 +548,
 +549,
 +550,
 +551,
 +552,
 +553,
 +554,
 +555,
 +556,
 +557,
 +558,
 +559,
 +560,
 +561,
 +562,
 +563,
 +564,
 +565,
 +566,
 +567,
 +568,
 +569,
 +570,
 +571,
 +572,
 +573,
 +574,
 +575,
 +576,
 +577,
 +578,
 +579,
 +580,
 +581,
 +582,
 +583,
 +584,
 +586,
 +587,
 +588,
 +589,
 +590,
 +591,
 +592,
 +593,
 +594,
 +595,
 +596,
 +597,
 +598,
 +599,
 +600,
 +601,
 +602,
 +603,
 +604,
 +605,
 +606,
 +607,
 +608,
 +609,
 +610,
 +611,
 +612,
 +613,
 +614,
 +615,
 +616,
 +617,
 +618,
 +619,
 +620,
 +621,
 +622,
 +623,
 +624,
 +625,
 +626,
 +627,
 +628,
 +629,
 +630,
 +631,
 +632,
 +633,
 +634,
 +635,
 +636,
 +637,
 +638,
 +639,
 +640,
 +641,
 +642,
 +643,
 +644,
 +645,
 +646,
 +647,
 +648,
 +649,
 +650,
 +651,
 +652,
 +653,
 +654,
 +655,
 +656,
 +657,
 +658,
 +660,
 +661,
 +662,
 +663,
 +664,
 +665,
 +666,
 +667,
 +668,
 +669,
 +670,
 +671,
 +672,
 +673,
 +674,
 +675,
 +676,
 +677,
 +678,
 +679,
 +680,
 +681,
 +682,
 +683,
 +684,
 +685,
 +686,
 +687,
 +688,
 +689,
 +690,
 +691,
 +692,
 +693,
 +694,
 +695,
 +696,
 +697,
 +698,
 +699,
 +700,
 +701,
 +702,
 +704,
 +705,
 +706,
 +707,
 +709,
 +710,
 +711,
 +712,
 +713,
 +714,
 +715,
 +716,
 +729,
 +730,
 +731,
 +741,
 +742,
 +744,
 +747,
 +748,
 +749,
 +750,
 +751,
 +752,
 +753,
 +754,
 +758,
 +759,
 +760,
 +761,
 +762,
 +763,
 +764,
 +765,
 +767,
 +769,
 +770,
 +771,
 +772,
 +773,
 +774,
 +775,
 +776,
 +777,
 +780,
 +800,
 +801,
 +802,
 +810,
 +828,
 +829,
 +830,
 +831,
 +832,
 +833,
 +847,
 +848,
 +860,
 +861,
 +862,
 +873,
 +886,
 +887,
 +888,
 +900,
 +901,
 +902,
 +903,
 +910,
 +911,
 +912,
 +913,
 +989,
 +990,
 +991,
 +992,
 +993,
 +995,
 +996,
 +997,
 +998,
 +999,
 +1000,
 +1008,
 +1010,
 +1021,
 +1022,
 +1025,
 +1026,
 +1027,
 +1029,
 +1033,
 +1034,
 +1035,
 +1036,
 +1037,
 +1038,
 +1039,
 +1040,
 +1041,
 +1042,
 +1043,
 +1044,
 +1045,
 +1046,
 +1047,
 +1048,
 +1049,
 +1050,
 +1051,
 +1052,
 +1053,
 +1054,
 +1055,
 +1056,
 +1057,
 +1058,
 +1059,
 +1060,
 +1061,
 +1062,
 +1063,
 +1064,
 +1065,
 +1066,
 +1067,
 +1068,
 +1069,
 +1070,
 +1071,
 +1072,
 +1073,
 +1074,
 +1075,
 +1076,
 +1077,
 +1078,
 +1079,
 +1080,
 +1081,
 +1082,
 +1083,
 +1084,
 +1085,
 +1086,
 +1087,
 +1088,
 +1089,
 +1090,
 +1091,
 +1092,
 +1093,
 +1094,
 +1095,
 +1096,
 +1097,
 +1098,
 +1099,
 +1100,
 +1101,
 +1102,
 +1103,
 +1104,
 +1105,
 +1106,
 +1107,
 +1108,
 +1110,
 +1111,
 +1112,
 +1113,
 +1114,
 +1115,
 +1116,
 +1117,
 +1118,
 +1119,
 +1120,
 +1121,
 +1122,
 +1123,
 +1124,
 +1125,
 +1126,
 +1127,
 +1128,
 +1129,
 +1130,
 +1131,
 +1132,
 +1133,
 +1134,
 +1135,
 +1136,
 +1137,
 +1138,
 +1139,
 +1140,
 +1141,
 +1142,
 +1143,
 +1144,
 +1145,
 +1146,
 +1147,
 +1148,
 +1149,
 +1150,
 +1151,
 +1152,
 +1153,
 +1154,
 +1155,
 +1156,
 +1157,
 +1158,
 +1159,
 +1160,
 +1161,
 +1162,
 +1163,
 +1164,
 +1165,
 +1166,
 +1167,
 +1168,
 +1169,
 +1170,
 +1171,
 +1172,
 +1173,
 +1174,
 +1175,
 +1176,
 +1177,
 +1178,
 +1179,
 +1180,
 +1181,
 +1182,
 +1183,
 +1184,
 +1185,
 +1186,
 +1187,
 +1188,
 +1189,
 +1190,
 +1191,
 +1192,
 +1193,
 +1194,
 +1195,
 +1196,
 +1197,
 +1198,
 +1199,
 +1200,
 +1201,
 +1202,
 +1203,
 +1204,
 +1205,
 +1206,
 +1207,
 +1208,
 +1209,
 +1210,
 +1211,
 +1212,
 +1213,
 +1214,
 +1215,
 +1216,
 +1217,
 +1218,
 +1219,
 +1220,
 +1221,
 +1222,
 +1223,
 +1224,
 +1225,
 +1226,
 +1227,
 +1228,
 +1229,
 +1230,
 +1231,
 +1232,
 +1233,
 +1234,
 +1235,
 +1236,
 +1237,
 +1238,
 +1239,
 +1240,
 +1241,
 +1242,
 +1243,
 +1244,
 +1245,
 +1246,
 +1247,
 +1248,
 +1249,
 +1250,
 +1251,
 +1252,
 +1253,
 +1254,
 +1255,
 +1256,
 +1257,
 +1258,
 +1259,
 +1260,
 +1261,
 +1262,
 +1263,
 +1264,
 +1265,
 +1266,
 +1267,
 +1268,
 +1269,
 +1270,
 +1271,
 +1272,
 +1273,
 +1274,
 +1275,
 +1277,
 +1278,
 +1279,
 +1280,
 +1281,
 +1282,
 +1283,
 +1284,
 +1285,
 +1286,
 +1287,
 +1288,
 +1289,
 +1290,
 +1291,
 +1292,
 +1293,
 +1294,
 +1295,
 +1296,
 +1297,
 +1298,
 +1299,
 +1300,
 +1301,
 +1302,
 +1303,
 +1304,
 +1305,
 +1306,
 +1307,
 +1308,
 +1309,
 +1310,
 +1311,
 +1312,
 +1313,
 +1314,
 +1315,
 +1316,
 +1317,
 +1318,
 +1319,
 +1320,
 +1321,
 +1322,
 +1323,
 +1324,
 +1325,
 +1326,
 +1327,
 +1328,
 +1329,
 +1330,
 +1331,
 +1332,
 +1333,
 +1334,
 +1335,
 +1336,
 +1337,
 +1338,
 +1339,
 +1340,
 +1341,
 +1342,
 +1343,
 +1344,
 +1345,
 +1346,
 +1347,
 +1348,
 +1349,
 +1350,
 +1351,
 +1352,
 +1353,
 +1354,
 +1355,
 +1356,
 +1357,
 +1358,
 +1359,
 +1360,
 +1361,
 +1362,
 +1363,
 +1364,
 +1365,
 +1366,
 +1367,
 +1368,
 +1369,
 +1370,
 +1371,
 +1372,
 +1373,
 +1374,
 +1375,
 +1376,
 +1377,
 +1378,
 +1379,
 +1380,
 +1381,
 +1382,
 +1383,
 +1384,
 +1385,
 +1386,
 +1387,
 +1388,
 +1389,
 +1390,
 +1391,
 +1392,
 +1393,
 +1394,
 +1395,
 +1396,
 +1397,
 +1398,
 +1399,
 +1400,
 +1401,
 +1402,
 +1403,
 +1404,
 +1405,
 +1406,
- 4324,
 +1408,
 +1409,
 +1410,
 +1411,
 +1412,
 +1413,
 +1414,
 +1415,
 +1416,
 +1417,
 +1418,
 +1419,
 +1420,
 +1421,
 +1422,
 +1423,
 +1424,
 +1425,
 +1426,
 +1427,
 +1428,
 +1429,
 +1430,
 +1431,
 +1432,
 +1433,
 +1434,
 +1435,
 +1436,
 +1437,
 +1438,
 +1439,
 +1440,
 +1441,
 +1442,
 +1443,
 +1444,
 +1445,
 +1446,
 +1447,
 +1448,
 +1449,
 +1450,
 +1451,
 +1452,
 +1453,
 +1454,
 +1455,
 +1456,
 +1457,
 +1458,
 +1459,
 +1460,
 +1461,
 +1462,
 +1463,
 +1464,
 +1465,
 +1466,
 +1467,
 +1468,
 +1469,
 +1470,
 +1471,
 +1472,
 +1473,
 +1474,
 +1475,
 +1476,
 +1477,
 +1478,
 +1479,
 +1480,
 +1481,
 +1482,
 +1483,
 +1484,
 +1485,
 +1486,
 +1487,
 +1488,
 +1489,
 +1490,
 +1492,
 +1493,
 +1494,
 +1495,
 +1496,
 +1497,
 +1498,
 +1499,
 +1500,
 +1501,
 +1502,
 +1503,
 +1504,
 +1505,
 +1506,
 +1507,
 +1508,
 +1509,
 +1510,
 +1511,
 +1512,
 +1513,
 +1514,
 +1515,
 +1516,
 +1517,
 +1518,
 +1519,
 +1520,
 +1521,
 +1522,
 +1523,
 +1524,
 +1525,
 +1526,
 +1527,
 +1529,
 +1530,
 +1531,
 +1532,
 +1533,
 +1534,
 +1535,
 +1536,
 +1537,
 +1538,
 +1539,
 +1540,
 +1541,
 +1542,
 +1543,
 +1544,
 +1545,
 +1546,
 +1547,
 +1548,
 +1549,
 +1550,
 +1551,
 +1552,
 +1553,
 +1554,
 +1555,
 +1556,
 +1557,
 +1558,
 +1559,
 +1560,
 +1561,
 +1562,
 +1563,
 +1564,
 +1565,
 +1566,
 +1567,
 +1568,
 +1569,
 +1570,
 +1571,
 +1572,
 +1573,
 +1574,
 +1575,
 +1576,
 +1577,
 +1578,
 +1579,
 +1580,
 +1581,
 +1582,
 +1583,
 +1584,
 +1585,
 +1586,
 +1587,
 +1588,
 +1589,
 +1590,
 +1591,
 +1592,
 +1593,
 +1594,
 +1595,
 +1596,
 +1597,
 +1598,
 +1599,
 +1600,
 +1601,
 +1602,
 +1603,
 +1604,
 +1605,
 +1606,
 +1607,
 +1608,
 +1609,
 +1610,
 +1611,
 +1612,
 +1613,
 +1614,
 +1615,
 +1616,
 +1617,
 +1618,
 +1619,
 +1620,
 +1621,
 +1622,
 +1623,
 +1624,
 +1625,
 +1626,
 +1627,
 +1628,
 +1629,
 +1630,
 +1631,
 +1632,
 +1633,
 +1634,
 +1635,
 +1636,
 +1637,
 +1638,
 +1639,
 +1640,
 +1641,
 +1642,
 +1643,
 +1644,
 +1645,
 +1646,
 +1647,
 +1648,
 +1649,
 +1650,
 +1651,
 +1652,
 +1653,
 +1654,
 +1655,
 +1656,
 +1657,
 +1658,
 +1659,
 +1660,
 +1661,
 +1662,
 +1663,
 +1664,
 +1665,
 +1666,
 +1667,
 +1668,
 +1669,
 +1670,
 +1671,
 +1672,
 +1673,
 +1674,
 +1675,
 +1676,
 +1677,
 +1678,
 +1679,
 +1680,
 +1681,
 +1682,
 +1683,
 +1684,
 +1685,
 +1686,
 +1687,
 +1688,
 +1689,
 +1690,
 +1691,
 +1692,
 +1693,
 +1694,
 +1695,
 +1696,
 +1697,
 +1698,
 +1699,
 +1700,
 +1701,
 +1702,
 +1703,
 +1704,
 +1705,
 +1706,
 +1707,
 +1708,
 +1709,
 +1710,
 +1711,
 +1712,
 +1713,
 +1714,
 +1715,
 +1716,
 +1717,
 +1718,
 +1719,
 +1720,
 +1721,
 +1722,
 +1723,
 +1724,
 +1725,
 +1726,
 +1727,
 +1728,
 +1729,
 +1730,
 +1731,
 +1732,
 +1733,
 +1734,
 +1735,
 +1736,
 +1737,
 +1738,
 +1739,
 +1740,
 +1741,
 +1742,
 +1743,
 +1744,
 +1745,
 +1746,
 +1747,
 +1748,
 +1749,
 +1750,
 +1751,
 +1752,
 +1754,
 +1755,
 +1756,
 +1757,
 +1758,
 +1759,
 +1760,
 +1761,
 +1762,
 +1763,
 +1764,
 +1765,
 +1766,
 +1767,
 +1768,
 +1769,
 +1770,
 +1771,
 +1772,
 +1773,
 +1774,
 +1776,
 +1777,
 +1778,
 +1779,
 +1780,
 +1781,
 +1782,
 +1784,
 +1785,
 +1786,
 +1787,
 +1788,
 +1789,
 +1790,
 +1791,
 +1792,
 +1793,
 +1794,
 +1795,
 +1796,
 +1797,
 +1798,
 +1799,
 +1800,
 +1801,
 +1802,
 +1803,
 +1804,
 +1805,
 +1806,
 +1807,
 +1808,
 +1809,
 +1810,
 +1811,
 +1812,
 +1813,
 +1814,
 +1815,
 +1816,
 +1817,
 +1818,
 +1819,
 +1820,
 +1821,
 +1822,
 +1823,
 +1824,
 +1825,
 +1826,
 +1827,
 +1828,
 +1829,
 +1830,
 +1831,
 +1832,
 +1833,
 +1834,
 +1835,
 +1836,
 +1837,
 +1838,
 +1839,
 +1840,
 +1841,
 +1842,
 +1843,
 +1844,
 +1845,
 +1846,
 +1847,
 +1848,
 +1849,
 +1850,
 +1851,
 +1852,
 +1853,
 +1854,
 +1855,
 +1856,
 +1857,
 +1858,
 +1859,
 +1860,
 +1861,
 +1862,
 +1863,
 +1864,
 +1865,
 +1866,
 +1867,
 +1868,
 +1869,
 +1870,
 +1871,
 +1872,
 +1873,
 +1874,
 +1875,
 +1876,
 +1877,
 +1878,
 +1879,
 +1880,
 +1881,
 +1882,
 +1883,
 +1884,
 +1885,
 +1886,
 +1887,
 +1888,
 +1889,
 +1890,
 +1891,
 +1892,
 +1893,
 +1894,
 +1896,
 +1897,
 +1898,
 +1899,
 +1900,
 +1901,
 +1902,
 +1903,
 +1904,
 +1905,
 +1906,
 +1907,
 +1908,
 +1909,
 +1910,
 +1911,
 +1912,
 +1913,
 +1914,
 +1915,
 +1916,
 +1917,
 +1918,
 +1919,
 +1920,
 +1921,
 +1922,
 +1923,
 +1924,
 +1925,
 +1926,
 +1927,
 +1928,
 +1929,
 +1930,
 +1931,
 +1932,
 +1933,
 +1934,
 +1935,
 +1936,
 +1937,
 +1938,
 +1939,
 +1940,
 +1941,
 +1942,
 +1943,
 +1944,
 +1945,
 +1946,
 +1947,
 +1948,
 +1949,
 +1950,
 +1951,
 +1952,
 +1953,
 +1954,
 +1955,
 +1956,
 +1957,
 +1958,
 +1959,
 +1960,
 +1961,
 +1962,
 +1963,
 +1964,
 +1965,
 +1966,
 +1967,
 +1968,
 +1969,
 +1970,
 +1971,
 +1972,
 +1973,
 +1974,
 +1975,
 +1976,
 +1977,
 +1978,
 +1979,
 +1980,
 +1981,
 +1982,
 +1983,
 +1984,
 +1985,
 +1986,
 +1987,
 +1988,
 +1989,
 +1990,
 +1991,
 +1992,
 +1993,
 +1994,
 +1995,
 +1996,
 +1997,
 +1998,
 +1999,
 +2000,
 +2001,
 +2002,
 +2003,
 +2004,
 +2005,
 +2006,
 +2007,
 +2008,
 +2009,
 +2010,
 +2011,
 +2012,
 +2013,
 +2014,
 +2015,
 +2016,
 +2017,
 +2018,
 +2019,
 +2020,
 +2021,
 +2022,
 +2023,
 +2024,
 +2025,
 +2026,
 +2027,
 +2028,
 +2029,
 +2030,
 +2031,
 +2032,
 +2033,
 +2034,
 +2035,
 +2036,
 +2037,
 +2038,
 +2039,
 +2040,
 +2041,
 +2042,
 +2043,
 +2044,
 +2045,
 +2046,
 +2047,
 +2048,
 +2049,
 +2050,
 +2051,
 +2052,
 +2053,
 +2054,
 +2055,
 +2056,
 +2057,
 +2058,
 +2059,
 +2060,
 +2061,
 +2062,
 +2063,
 +2064,
 +2065,
 +2066,
 +2067,
 +2068,
 +2069,
 +2070,
 +2071,
 +2072,
 +2073,
 +2074,
 +2075,
 +2076,
 +2077,
 +2078,
 +2079,
 +2080,
 +2081,
 +2082,
 +2083,
 +2084,
 +2085,
 +2086,
 +2087,
 +2088,
 +2089,
 +2090,
 +2091,
 +2092,
 +2093,
 +2094,
 +2095,
 +2096,
 +2097,
 +2098,
 +2099,
 +2100,
 +2101,
 +2102,
 +2103,
 +2104,
 +2105,
 +2106,
 +2107,
 +2108,
 +2109,
 +2110,
 +2111,
 +2112,
 +2113,
 +2114,
 +2115,
 +2116,
 +2117,
 +2118,
 +2119,
 +2120,
 +2121,
 +2122,
 +2123,
 +2124,
 +2125,
 +2126,
 +2127,
 +2128,
 +2129,
 +2130,
 +2131,
 +2132,
 +2133,
 +2134,
 +2135,
 +2136,
 +2137,
 +2138,
 +2139,
 +2140,
 +2141,
 +2142,
 +2143,
 +2144,
 +2145,
 +2146,
 +2147,
 +2148,
 +2149,
 +2150,
 +2151,
 +2152,
 +2153,
 +2154,
 +2155,
 +2156,
 +2157,
 +2158,
 +2159,
 +2160,
 +2161,
 +2162,
 +2163,
 +2164,
 +2165,
 +2166,
 +2167,
 +2168,
 +2169,
 +2170,
 +2171,
 +2172,
 +2173,
 +2174,
 +2175,
 +2176,
 +2177,
 +2178,
 +2179,
 +2180,
 +2181,
 +2182,
 +2183,
 +2184,
 +2185,
 +2186,
 +2187,
 +2190,
 +2191,
 +2192,
 +2193,
 +2197,
 +2198,
 +2199,
 +2200,
 +2201,
 +2202,
 +2203,
 +2204,
 +2205,
 +2206,
 +2207,
 +2208,
 +2209,
 +2210,
 +2211,
 +2212,
 +2213,
 +2214,
 +2215,
 +2216,
 +2217,
 +2218,
 +2219,
 +2220,
 +2221,
 +2222,
 +2223,
 +2224,
 +2226,
 +2227,
 +2228,
 +2229,
 +2230,
 +2231,
 +2232,
 +2233,
 +2234,
 +2235,
 +2236,
 +2237,
 +2238,
 +2239,
 +2240,
 +2241,
 +2242,
 +2243,
 +2244,
 +2245,
 +2246,
 +2247,
 +2248,
 +2249,
 +2250,
 +2251,
 +2252,
 +2253,
 +2254,
 +2255,
 +2256,
 +2257,
 +2258,
 +2260,
 +2261,
 +2262,
 +2263,
 +2264,
 +2265,
 +2266,
 +2267,
 +2268,
 +2269,
 +2270,
 +2271,
 +2272,
 +2273,
 +2274,
 +2275,
 +2276,
 +2277,
 +2278,
 +2279,
 +2280,
 +2281,
 +2282,
 +2283,
 +2284,
 +2285,
 +2286,
 +2287,
 +2288,
 +2289,
 +2290,
 +2291,
 +2292,
 +2293,
 +2294,
 +2295,
 +2296,
 +2297,
 +2298,
 +2299,
 +2300,
 +2301,
 +2302,
 +2303,
 +2304,
 +2305,
 +2306,
 +2307,
 +2308,
 +2309,
 +2310,
 +2311,
 +2312,
 +2313,
 +2314,
 +2315,
 +2316,
 +2317,
 +2318,
 +2319,
 +2320,
 +2321,
 +2322,
 +2323,
 +2324,
 +2325,
 +2326,
 +2327,
 +2328,
 +2329,
 +2330,
 +2331,
 +2332,
 +2333,
 +2334,
 +2335,
 +2336,
 +2337,
 +2338,
 +2339,
 +2340,
 +2341,
 +2342,
 +2343,
 +2344,
 +2345,
 +2346,
 +2347,
 +2348,
 +2349,
 +2350,
 +2351,
 +2352,
 +2353,
 +2354,
 +2355,
 +2356,
 +2357,
 +2358,
 +2359,
 +2360,
 +2361,
 +2362,
 +2363,
 +2364,
 +2365,
 +2366,
 +2367,
 +2368,
 +2370,
 +2372,
 +2381,
 +2382,
 +2383,
 +2384,
 +2385,
 +2386,
 +2387,
 +2388,
 +2389,
 +2390,
 +2391,
 +2392,
 +2393,
 +2394,
 +2395,
 +2396,
 +2397,
 +2398,
 +2399,
 +2400,
 +2401,
 +2402,
 +2403,
 +2404,
 +2405,
 +2406,
 +2407,
 +2409,
 +2410,
 +2411,
 +2412,
 +2413,
 +2414,
 +2415,
 +2416,
 +2417,
 +2418,
 +2419,
 +2420,
 +2421,
 +2422,
 +2423,
 +2424,
 +2425,
 +2426,
 +2427,
 +2428,
 +2429,
 +2430,
 +2431,
 +2432,
 +2433,
 +2434,
 +2435,
 +2436,
 +2437,
 +2438,
 +2439,
 +2440,
 +2441,
 +2442,
 +2443,
 +2444,
 +2445,
 +2446,
 +2447,
 +2448,
 +2449,
 +2450,
 +2451,
 +2452,
 +2453,
 +2454,
 +2455,
 +2456,
 +2457,
 +2458,
 +2459,
 +2460,
 +2461,
 +2462,
 +2463,
 +2464,
 +2465,
 +2466,
 +2467,
 +2468,
 +2469,
 +2470,
 +2471,
 +2472,
 +2473,
 +2474,
 +2475,
 +2476,
 +2477,
 +2478,
 +2479,
 +2480,
 +2481,
 +2482,
 +2483,
 +2484,
 +2485,
 +2486,
 +2487,
 +2488,
 +2489,
 +2490,
 +2491,
 +2492,
 +2493,
 +2494,
 +2495,
 +2496,
 +2497,
 +2498,
 +2499,
 +2500,
 +2501,
 +2502,
 +2503,
 +2504,
 +2505,
 +2506,
 +2507,
 +2508,
 +2509,
 +2510,
 +2511,
 +2512,
 +2513,
 +2514,
 +2515,
 +2516,
 +2517,
 +2518,
 +2519,
 +2520,
 +2521,
 +2522,
 +2523,
 +2524,
 +2525,
 +2526,
 +2527,
 +2528,
 +2529,
 +2530,
 +2531,
 +2532,
 +2533,
 +2534,
 +2535,
 +2536,
 +2537,
 +2538,
 +2539,
 +2540,
 +2541,
 +2542,
 +2543,
 +2544,
 +2545,
 +2546,
 +2547,
 +2548,
 +2549,
 +2550,
 +2551,
 +2552,
 +2553,
 +2554,
 +2555,
 +2556,
 +2557,
 +2558,
 +2559,
 +2560,
 +2561,
 +2562,
 +2563,
 +2564,
 +2565,
 +2566,
 +2567,
 +2568,
 +2569,
 +2570,
 +2571,
 +2572,
 +2573,
 +2574,
 +2575,
 +2576,
 +2577,
 +2578,
 +2579,
 +2580,
 +2581,
 +2582,
 +2583,
 +2584,
 +2585,
 +2586,
 +2587,
 +2588,
 +2589,
 +2590,
 +2591,
 +2592,
 +2593,
 +2594,
 +2595,
 +2596,
 +2597,
 +2598,
 +2599,
 +2600,
 +2601,
 +2602,
 +2603,
 +2604,
 +2605,
 +2606,
 +2607,
 +2608,
 +2609,
 +2610,
 +2611,
 +2612,
 +2613,
 +2614,
 +2615,
 +2616,
 +2617,
 +2618,
 +2619,
 +2620,
 +2621,
 +2622,
 +2623,
 +2624,
 +2625,
 +2626,
 +2627,
 +2628,
 +2629,
 +2630,
 +2631,
 +2632,
 +2633,
 +2634,
 +2635,
 +2636,
 +2637,
 +2638,
 +2639,
 +2640,
 +2641,
 +2642,
 +2643,
 +2644,
 +2645,
 +2646,
 +2647,
 +2648,
 +2649,
 +2650,
 +2651,
 +2652,
 +2653,
 +2654,
 +2655,
 +2656,
 +2657,
 +2658,
 +2659,
 +2660,
 +2661,
 +2662,
 +2663,
 +2664,
 +2665,
 +2666,
 +2667,
 +2668,
 +2669,
 +2670,
 +2671,
 +2672,
 +2673,
 +2674,
 +2675,
 +2676,
 +2677,
 +2678,
 +2679,
 +2680,
 +2681,
 +2683,
 +2684,
 +2685,
 +2686,
 +2687,
 +2688,
 +2689,
 +2690,
 +2691,
 +2692,
 +2694,
 +2695,
 +2696,
 +2697,
 +2698,
 +2699,
 +2700,
 +2701,
 +2702,
 +2703,
 +2704,
 +2705,
 +2706,
 +2707,
 +2708,
 +2709,
 +2710,
 +2711,
 +2712,
 +2713,
 +2714,
 +2715,
 +2716,
 +2717,
 +2718,
 +2719,
 +2720,
 +2721,
 +2722,
 +2723,
 +2724,
 +2725,
 +2726,
 +2727,
 +2728,
 +2729,
 +2730,
 +2731,
 +2732,
 +2733,
 +2734,
 +2735,
 +2736,
 +2737,
 +2738,
 +2739,
 +2740,
 +2741,
 +2742,
 +2743,
 +2744,
 +2745,
 +2746,
 +2747,
 +2748,
 +2749,
 +2750,
 +2751,
 +2752,
 +2753,
 +2754,
 +2755,
 +2756,
 +2757,
 +2758,
 +2759,
 +2760,
 +2761,
 +2762,
 +2763,
 +2764,
 +2765,
 +2766,
 +2767,
 +2768,
 +2769,
 +2770,
 +2771,
 +2772,
 +2773,
 +2774,
 +2775,
 +2776,
 +2777,
 +2778,
 +2779,
 +2780,
 +2781,
 +2782,
 +2783,
 +2784,
 +2785,
 +2786,
 +2787,
 +2788,
 +2789,
 +2790,
 +2791,
 +2792,
 +2793,
 +2795,
 +2796,
 +2797,
 +2798,
 +2799,
 +2800,
 +2801,
 +2802,
 +2803,
 +2804,
 +2805,
 +2806,
 +2807,
 +2808,
 +2809,
 +2810,
 +2811,
 +2812,
 +2813,
 +2814,
 +2815,
 +2816,
 +2817,
 +2818,
 +2819,
 +2820,
 +2821,
 +2822,
 +2823,
 +2824,
 +2826,
 +2827,
 +2828,
 +2829,
 +2830,
 +2831,
 +2832,
 +2833,
 +2834,
 +2835,
 +2836,
 +2837,
 +2838,
 +2839,
 +2840,
 +2841,
 +2842,
 +2843,
 +2844,
 +2845,
 +2846,
 +2847,
 +2848,
 +2849,
 +2850,
 +2851,
 +2852,
 +2853,
 +2854,
 +2856,
 +2857,
 +2858,
 +2859,
 +2860,
 +2861,
 +2862,
 +2863,
 +2864,
 +2865,
 +2866,
 +2867,
 +2868,
 +2869,
 +2870,
 +2871,
 +2872,
 +2874,
 +2875,
 +2876,
 +2877,
 +2878,
 +2879,
 +2880,
 +2881,
 +2882,
 +2883,
 +2884,
 +2885,
 +2886,
 +2887,
 +2888,
 +2889,
 +2890,
 +2891,
 +2892,
 +2893,
 +2894,
 +2895,
 +2896,
 +2897,
 +2898,
 +2899,
 +2900,
 +2901,
 +2902,
 +2903,
 +2904,
 +2906,
 +2907,
 +2908,
 +2909,
 +2910,
 +2911,
 +2912,
 +2913,
 +2914,
 +2915,
 +2916,
 +2917,
 +2918,
 +2919,
 +2920,
 +2921,
 +2922,
 +2923,
 +2924,
 +2926,
 +2927,
 +2928,
 +2929,
 +2930,
 +2931,
 +2932,
 +2933,
 +2934,
 +2935,
 +2936,
 +2937,
 +2938,
 +2939,
 +2940,
 +2941,
 +2942,
 +2943,
 +2944,
 +2945,
 +2946,
 +2947,
 +2948,
 +2949,
 +2950,
 +2951,
 +2952,
 +2953,
 +2954,
 +2955,
 +2956,
 +2957,
 +2958,
 +2959,
 +2960,
 +2961,
 +2962,
 +2963,
 +2964,
 +2965,
 +2966,
 +2967,
 +2968,
 +2969,
 +2970,
 +2971,
 +2972,
 +2973,
 +2974,
 +2975,
 +2976,
 +2977,
 +2978,
 +2979,
 +2980,
 +2981,
 +2982,
 +2983,
 +2984,
 +2985,
 +2986,
 +2987,
 +2988,
 +2989,
 +2990,
 +2991,
 +2992,
 +2993,
 +2994,
 +2995,
 +2996,
 +2997,
 +2998,
 +3000,
 +3002,
 +3003,
 +3004,
 +3005,
 +3006,
 +3007,
 +3008,
 +3009,
 +3010,
 +3011,
 +3012,
 +3013,
 +3014,
 +3015,
 +3016,
 +3017,
 +3018,
 +3019,
 +3020,
 +3021,
 +3022,
 +3023,
 +3024,
 +3025,
 +3026,
 +3027,
 +3028,
 +3029,
 +3030,
 +3031,
 +3032,
 +3033,
 +3034,
 +3035,
 +3036,
 +3037,
 +3038,
 +3039,
 +3040,
 +3041,
 +3042,
 +3043,
 +3044,
 +3045,
 +3046,
 +3047,
 +3048,
 +3049,
 +3050,
 +3051,
 +3052,
 +3053,
 +3054,
 +3055,
 +3056,
 +3057,
 +3058,
 +3059,
 +3060,
 +3061,
 +3062,
 +3063,
 +3064,
 +3065,
 +3066,
 +3067,
 +3068,
 +3069,
 +3070,
 +3071,
 +3072,
 +3073,
 +3074,
 +3075,
 +3076,
 +3077,
 +3078,
 +3079,
 +3080,
 +3081,
 +3082,
 +3083,
 +3084,
 +3085,
 +3086,
 +3087,
 +3088,
 +3089,
 +3090,
 +3091,
 +3093,
 +3094,
 +3095,
 +3096,
 +3098,
 +3099,
 +3100,
 +3101,
 +3102,
 +3103,
 +3104,
 +3105,
 +3106,
 +3107,
 +3108,
 +3109,
 +3110,
 +3111,
 +3112,
 +3113,
 +3114,
 +3115,
 +3116,
 +3117,
 +3118,
 +3119,
 +3120,
 +3122,
 +3123,
 +3124,
 +3125,
 +3127,
 +3128,
 +3129,
 +3130,
 +3131,
 +3132,
 +3133,
 +3134,
 +3135,
 +3136,
 +3137,
 +3138,
 +3139,
 +3140,
 +3141,
 +3142,
 +3143,
 +3144,
 +3145,
 +3146,
 +3147,
 +3148,
 +3149,
 +3150,
 +3151,
 +3152,
 +3153,
 +3154,
 +3155,
 +3156,
 +3157,
 +3158,
 +3159,
 +3160,
 +3161,
 +3162,
 +3163,
 +3164,
 +3165,
 +3166,
 +3167,
 +3168,
 +3169,
 +3170,
 +3171,
 +3172,
 +3173,
 +3174,
 +3175,
 +3176,
 +3177,
 +3178,
 +3179,
 +3180,
 +3181,
 +3182,
 +3183,
 +3184,
 +3185,
 +3186,
 +3187,
 +3188,
 +3189,
 +3190,
 +3191,
 +3192,
 +3193,
 +3194,
 +3195,
 +3196,
 +3197,
 +3198,
 +3199,
 +3200,
 +3201,
 +3202,
 +3203,
 +3204,
 +3205,
 +3206,
 +3207,
 +3208,
 +3209,
 +3210,
 +3211,
 +3212,
 +3213,
 +3214,
 +3215,
 +3216,
 +3217,
 +3218,
 +3219,
 +3220,
 +3221,
 +3222,
 +3223,
 +3224,
 +3225,
 +3226,
 +3227,
 +3228,
 +3229,
 +3230,
 +3231,
 +3232,
 +3233,
 +3234,
 +3235,
 +3236,
 +3237,
 +3238,
 +3239,
 +3240,
 +3241,
 +3242,
 +3243,
 +3244,
 +3245,
 +3246,
 +3247,
 +3248,
 +3249,
 +3250,
 +3251,
 +3252,
 +3253,
 +3254,
 +3255,
 +3256,
 +3257,
 +3258,
 +3259,
 +3260,
 +3261,
 +3262,
 +3263,
 +3264,
 +3265,
 +3266,
 +3267,
 +3268,
 +3269,
 +3270,
 +3271,
 +3272,
 +3273,
 +3274,
 +3275,
 +3276,
 +3277,
 +3278,
 +3279,
 +3280,
 +3281,
 +3282,
 +3283,
 +3284,
 +3285,
 +3286,
 +3287,
 +3288,
 +3289,
 +3290,
 +3291,
 +3292,
 +3293,
 +3294,
 +3295,
 +3296,
 +3297,
 +3298,
 +3299,
 +3302,
 +3303,
 +3304,
 +3305,
 +3306,
 +3307,
 +3308,
 +3309,
 +3310,
 +3311,
 +3312,
 +3313,
 +3314,
 +3315,
 +3316,
 +3317,
 +3318,
 +3319,
 +3320,
 +3321,
 +3326,
 +3327,
 +3328,
 +3329,
 +3330,
 +3331,
 +3332,
 +3333,
 +3334,
 +3335,
 +3336,
 +3337,
 +3338,
 +3339,
 +3340,
 +3341,
 +3342,
 +3343,
 +3344,
 +3345,
 +3346,
 +3347,
 +3348,
 +3349,
 +3350,
 +3351,
 +3352,
 +3353,
 +3354,
 +3355,
 +3356,
 +3357,
 +3358,
 +3359,
 +3360,
 +3361,
 +3362,
 +3363,
 +3364,
 +3365,
 +3366,
 +3372,
 +3373,
 +3374,
 +3375,
 +3376,
 +3377,
 +3378,
 +3379,
 +3380,
 +3381,
 +3382,
 +3383,
 +3384,
 +3385,
 +3386,
 +3387,
 +3388,
 +3389,
 +3390,
 +3391,
 +3392,
 +3393,
 +3394,
 +3395,
 +3396,
 +3397,
 +3398,
 +3399,
 +3400,
 +3401,
 +3402,
 +3405,
 +3406,
 +3407,
 +3408,
 +3409,
 +3410,
 +3411,
 +3412,
 +3413,
 +3414,
 +3415,
 +3416,
 +3417,
 +3418,
 +3419,
 +3420,
 +3421,
 +3422,
 +3423,
 +3424,
 +3425,
 +3426,
 +3427,
 +3428,
 +3429,
 +3430,
 +3431,
 +3432,
 +3433,
 +3434,
 +3435,
 +3436,
 +3437,
 +3438,
 +3439,
 +3440,
 +3441,
 +3442,
 +3443,
 +3444,
 +3445,
 +3446,
 +3447,
 +3448,
 +3449,
 +3450,
 +3451,
 +3452,
 +3453,
 +3454,
 +3455,
 +3456,
 +3457,
 +3458,
 +3459,
 +3460,
 +3461,
 +3462,
 +3463,
 +3464,
 +3465,
 +3466,
 +3467,
 +3468,
 +3469,
 +3470,
 +3471,
 +3472,
 +3473,
 +3474,
 +3475,
 +3476,
 +3477,
 +3478,
 +3479,
 +3480,
 +3481,
 +3482,
 +3483,
 +3484,
 +3485,
 +3486,
 +3487,
 +3488,
 +3489,
 +3490,
 +3491,
 +3492,
 +3493,
 +3494,
 +3495,
 +3496,
 +3497,
 +3498,
 +3499,
 +3500,
 +3501,
 +3502,
 +3503,
 +3504,
 +3505,
 +3506,
 +3507,
 +3508,
 +3509,
 +3510,
 +3511,
 +3512,
 +3513,
 +3514,
 +3515,
 +3516,
 +3517,
 +3518,
 +3519,
 +3520,
 +3521,
 +3522,
 +3523,
 +3524,
 +3525,
 +3526,
 +3527,
 +3528,
 +3529,
 +3530,
 +3531,
 +3532,
 +3533,
 +3534,
 +3535,
 +3536,
 +3537,
 +3538,
 +3539,
 +3540,
 +3541,
 +3542,
 +3543,
 +3544,
 +3545,
 +3547,
 +3548,
 +3549,
 +3550,
 +3551,
 +3552,
 +3553,
 +3554,
 +3555,
 +3556,
 +3557,
 +3558,
 +3559,
 +3560,
 +3561,
 +3562,
 +3563,
 +3564,
 +3567,
 +3568,
 +3569,
 +3570,
 +3571,
 +3572,
 +3573,
 +3574,
 +3575,
 +3576,
 +3577,
 +3578,
 +3579,
 +3580,
 +3581,
 +3582,
 +3583,
 +3584,
 +3585,
 +3586,
 +3587,
 +3588,
 +3589,
 +3590,
 +3591,
 +3592,
 +3593,
 +3594,
 +3595,
 +3596,
 +3597,
 +3598,
 +3599,
 +3600,
 +3601,
 +3602,
 +3603,
 +3604,
 +3605,
 +3606,
 +3607,
 +3608,
 +3609,
 +3610,
 +3611,
 +3612,
 +3613,
 +3614,
 +3615,
 +3616,
 +3617,
 +3618,
 +3619,
 +3620,
 +3621,
 +3622,
 +3623,
 +3624,
 +3625,
 +3626,
 +3627,
 +3628,
 +3629,
 +3630,
 +3631,
 +3632,
 +3633,
 +3634,
 +3635,
 +3636,
 +3637,
 +3638,
 +3639,
 +3640,
 +3641,
 +3642,
 +3643,
 +3644,
 +3645,
 +3646,
 +3647,
 +3648,
 +3649,
 +3650,
 +3651,
 +3652,
 +3653,
 +3654,
 +3655,
 +3656,
 +3657,
 +3658,
 +3659,
 +3660,
 +3661,
 +3662,
 +3663,
 +3664,
 +3665,
 +3666,
 +3667,
 +3668,
 +3669,
 +3670,
 +3671,
 +3672,
 +3673,
 +3674,
 +3675,
 +3676,
 +3677,
 +3678,
 +3679,
 +3680,
 +3681,
 +3682,
 +3683,
 +3684,
 +3685,
 +3686,
 +3687,
 +3688,
 +3689,
 +3690,
 +3691,
 +3692,
 +3695,
 +3696,
 +3697,
 +3698,
 +3699,
 +3700,
 +3701,
 +3702,
 +3703,
 +3704,
 +3705,
 +3706,
 +3707,
 +3708,
 +3709,
 +3710,
 +3711,
 +3712,
 +3713,
 +3714,
 +3715,
 +3716,
 +3717,
 +3718,
 +3719,
 +3720,
 +3721,
 +3722,
 +3723,
 +3724,
 +3725,
 +3726,
 +3727,
 +3728,
 +3729,
 +3730,
 +3731,
 +3732,
 +3733,
 +3734,
 +3735,
 +3736,
 +3738,
 +3739,
 +3740,
 +3741,
 +3742,
 +3743,
 +3744,
 +3745,
 +3746,
 +3747,
 +3748,
 +3749,
 +3750,
 +3751,
 +3752,
 +3753,
 +3754,
 +3755,
 +3756,
 +3757,
 +3758,
 +3759,
 +3760,
 +3761,
 +3762,
 +3763,
 +3764,
 +3765,
 +3767,
 +3768,
 +3769,
 +3770,
 +3771,
 +3772,
 +3773,
 +3774,
 +3775,
 +3776,
 +3777,
 +3778,
 +3779,
 +3780,
 +3781,
 +3782,
 +3783,
 +3784,
 +3785,
 +3786,
 +3787,
 +3788,
 +3789,
 +3790,
 +3791,
 +3792,
 +3793,
 +3794,
 +3795,
 +3796,
 +3797,
 +3798,
 +3799,
 +3800,
 +3801,
 +3802,
 +3803,
 +3804,
 +3805,
 +3806,
 +3807,
 +3808,
 +3809,
 +3810,
 +3811,
 +3812,
 +3813,
 +3814,
 +3815,
 +3816,
 +3817,
 +3818,
 +3819,
 +3820,
 +3821,
 +3822,
 +3823,
 +3824,
 +3825,
 +3826,
 +3827,
 +3828,
 +3829,
 +3830,
 +3831,
 +3832,
 +3833,
 +3834,
 +3835,
 +3836,
 +3837,
 +3838,
 +3839,
 +3840,
 +3842,
 +3843,
 +3844,
 +3845,
 +3846,
 +3847,
 +3848,
 +3849,
 +3850,
 +3851,
 +3852,
 +3853,
 +3854,
 +3855,
 +3856,
 +3857,
 +3858,
 +3859,
 +3860,
 +3861,
 +3862,
 +3863,
 +3865,
 +3866,
 +3867,
 +3869,
 +3870,
 +3871,
 +3872,
 +3873,
 +3874,
 +3875,
 +3876,
 +3877,
 +3878,
 +3879,
 +3880,
 +3881,
 +3882,
 +3883,
 +3884,
 +3885,
 +3886,
 +3887,
 +3888,
 +3889,
 +3890,
 +3891,
 +3892,
 +3893,
 +3894,
 +3895,
 +3896,
 +3897,
 +3898,
 +3899,
 +3900,
 +3901,
 +3902,
 +3903,
 +3904,
 +3905,
 +3906,
 +3907,
 +3908,
 +3909,
 +3910,
 +3911,
 +3912,
 +3913,
 +3914,
 +3915,
 +3916,
 +3917,
 +3918,
 +3919,
 +3920,
 +3921,
 +3922,
 +3923,
 +3924,
 +3925,
 +3926,
 +3927,
 +3928,
 +3929,
 +3930,
 +3931,
 +3932,
 +3933,
 +3934,
 +3935,
 +3936,
 +3937,
 +3938,
 +3939,
 +3940,
 +3941,
 +3942,
 +3943,
 +3944,
 +3945,
 +3946,
 +3947,
 +3948,
 +3949,
 +3950,
 +3951,
 +3952,
 +3953,
 +3954,
 +3955,
 +3956,
 +3957,
 +3958,
 +3959,
 +3960,
 +3961,
 +3962,
 +3963,
 +3964,
 +3965,
 +3966,
 +3967,
 +3968,
 +3969,
 +3970,
 +3971,
 +3972,
 +3973,
 +3974,
 +3975,
 +3976,
 +3977,
 +3978,
 +3979,
 +3980,
 +3981,
 +3982,
 +3983,
 +3984,
 +3985,
 +3986,
 +3987,
 +3988,
 +3989,
 +3990,
 +3991,
 +3992,
 +3993,
 +3995,
 +3996,
 +3997,
 +3998,
 +3999,
 +4000,
 +4001,
 +4002,
 +4003,
 +4004,
 +4005,
 +4006,
 +4007,
 +4008,
 +4009,
 +4010,
 +4011,
 +4012,
 +4013,
 +4014,
 +4015,
 +4016,
 +4017,
 +4018,
 +4019,
 +4020,
 +4021,
 +4022,
 +4023,
 +4024,
 +4025,
 +4026,
 +4027,
 +4028,
 +4029,
 +4030,
 +4031,
 +4032,
 +4033,
 +4034,
 +4035,
 +4036,
 +4037,
 +4038,
 +4039,
 +4040,
 +4041,
 +4042,
 +4043,
 +4044,
 +4045,
 +4046,
 +4047,
 +4049,
 +4050,
 +4051,
 +4052,
 +4053,
 +4054,
 +4055,
 +4056,
 +4057,
 +4058,
 +4059,
 +4060,
 +4061,
 +4062,
 +4063,
 +4064,
 +4065,
 +4066,
 +4067,
 +4068,
 +4069,
 +4070,
 +4071,
 +4072,
 +4073,
 +4074,
 +4075,
 +4076,
 +4077,
 +4079,
 +4080,
 +4081,
 +4082,
 +4083,
 +4084,
 +4086,
 +4089,
 +4090,
 +4091,
 +4092,
 +4093,
 +4094,
 +4095,
 +4096,
 +4097,
 +4098,
 +4099,
 +4100,
 +4101,
 +4102,
 +4103,
 +4104,
 +4105,
 +4106,
 +4107,
 +4108,
 +4109,
 +4110,
 +4111,
 +4112,
 +4113,
 +4114,
 +4115,
 +4116,
 +4117,
 +4118,
 +4119,
 +4121,
 +4122,
 +4123,
 +4124,
 +4125,
 +4126,
 +4127,
 +4128,
 +4129,
 +4130,
 +4131,
 +4132,
 +4133,
 +4134,
 +4135,
 +4136,
 +4137,
 +4138,
 +4139,
 +4140,
 +4141,
 +4142,
 +4143,
 +4145,
 +4146,
 +4147,
 +4148,
 +4149,
 +4150,
 +4151,
 +4152,
 +4153,
 +4154,
 +4155,
 +4156,
 +4157,
 +4158,
 +4159,
 +4160,
 +4161,
 +4162,
 +4163,
 +4164,
 +4165,
 +4166,
 +4167,
 +4168,
 +4169,
 +4172,
 +4173,
 +4174,
 +4177,
 +4178,
 +4179,
 +4180,
 +4181,
 +4182,
 +4183,
 +4184,
 +4185,
 +4188,
 +4191,
 +4192,
 +4199,
 +4300,
 +4301,
 +4302,
 +4303,
 +4304,
 +4305,
 +4306,
 +4307,
 +4308,
 +4309,
 +4310,
 +4320,
 +4321,
 +4322,
 +4323,
 +4325,
 +4326,
 +4327,
 +4328,
 +4333,
 +4340,
 +4341,
 +4342,
 +4343,
 +4344,
 +4345,
 +4346,
 +4347,
 +4348,
 +4349,
 +4350,
 +4351,
 +4352,
 +4353,
 +4354,
 +4355,
 +4356,
 +4357,
 +4358,
 +4359,
 +4361,
 +4362,
 +4366,
 +4368,
 +4369,
 +4370,
 +4371,
 +4372,
 +4373,
 +4375,
 +4376,
 +4377,
 +4378,
 +4379,
 +4389,
 +4390,
 +4394,
 +4395,
 +4400,
 +4401,
 +4402,
 +4403,
 +4404,
 +4405,
 +4406,
 +4425,
 +4426,
 +4430,
 +4432,
 +4441,
 +4442,
 +4443,
 +4444,
 +4445,
 +4446,
 +4447,
 +4448,
 +4449,
 +4450,
 +4451,
 +4452,
 +4453,
 +4454,
 +4455,
 +4456,
 +4457,
 +4458,
 +4484,
 +4486,
 +4488,
 +4500,
 +4534,
 +4535,
 +4536,
 +4537,
 +4538,
 +4545,
 +4546,
 +4547,
 +4548,
 +4549,
 +4550,
 +4551,
 +4552,
 +4554,
 +4555,
 +4556,
 +4557,
 +4558,
 +4559,
 +4566,
 +4567,
 +4568,
 +4569,
 +4591,
 +4592,
 +4593,
 +4594,
 +4595,
 +4596,
 +4597,
 +4598,
 +4599,
 +4600,
 +4601,
 +4658,
 +4659,
 +4660,
 +4661,
 +4662,
 +4663,
 +4664,
 +4665,
 +4666,
 +4667,
 +4668,
 +4669,
 +4670,
 +4671,
 +4672,
 +4673,
 +4674,
 +4675,
 +4676,
 +4677,
 +4678,
 +4679,
 +4680,
 +4681,
 +4682,
 +4683,
 +4684,
 +4685,
 +4686,
 +4687,
 +4688,
 +4689,
 +4690,
 +4691,
 +4692,
 +4700,
 +4701,
 +4702,
 +4725,
 +4726,
 +4727,
 +4728,
 +4729,
 +4730,
 +4732,
 +4737,
 +4738,
 +4739,
 +4740,
 +4741,
 +4742,
 +4743,
 +4744,
 +4745,
 +4747,
 +4749,
 +4750,
 +4751,
 +4752,
 +4753,
 +4784,
 +4785,
 +4789,
 +4790,
 +4791,
 +4800,
 +4801,
 +4802,
 +4803,
 +4804,
 +4827,
 +4837,
 +4838,
 +4839,
 +4840,
 +4841,
 +4842,
 +4843,
 +4844,
 +4845,
 +4846,
 +4847,
 +4848,
 +4849,
 +4850,
 +4851,
 +4867,
 +4868,
 +4869,
 +4870,
 +4871,
 +4876,
 +4877,
 +4878,
 +4881,
 +4882,
 +4884,
 +4885,
 +4894,
 +4899,
 +4900,
 +4914,
 +4936,
 +4937,
 +4940,
 +4941,
 +4942,
 +4949,
 +4950,
 +4951,
 +4952,
 +4969,
 +4970,
++4980,
 +4986,
 +4987,
 +4988,
 +4989,
 +4990,
 +4991,
 +4999,
 +5000,
 +5001,
 +5002,
 +5003,
 +5004,
 +5005,
 +5006,
 +5007,
 +5008,
 +5009,
 +5010,
 +5011,
 +5012,
 +5013,
 +5014,
 +5020,
 +5021,
 +5022,
 +5023,
 +5024,
 +5025,
 +5026,
 +5027,
 +5029,
 +5030,
 +5031,
 +5042,
 +5043,
 +5044,
 +5046,
 +5047,
 +5049,
 +5050,
 +5051,
 +5052,
 +5053,
 +5055,
 +5056,
 +5057,
 +5058,
 +5059,
 +5060,
 +5061,
 +5062,
 +5064,
 +5065,
 +5066,
 +5067,
 +5069,
 +5070,
 +5071,
 +5072,
 +5073,
 +5074,
 +5078,
 +5079,
 +5080,
 +5081,
 +5082,
 +5083,
 +5084,
 +5085,
 +5092,
 +5093,
 +5094,
 +5099,
 +5100,
 +5101,
 +5102,
 +5104,
 +5105,
 +5111,
 +5112,
 +5116,
 +5120,
 +5133,
 +5136,
 +5137,
 +5145,
 +5150,
 +5151,
 +5152,
 +5154,
 +5155,
 +5164,
 +5165,
 +5166,
 +5167,
 +5168,
 +5190,
 +5191,
 +5192,
 +5193,
 +5200,
 +5201,
 +5202,
 +5203,
 +5223,
 +5224,
 +5225,
 +5226,
 +5227,
 +5234,
 +5235,
 +5236,
 +5237,
 +5245,
 +5246,
 +5247,
 +5248,
 +5249,
 +5250,
 +5251,
 +5252,
 +5264,
 +5265,
 +5270,
 +5271,
 +5272,
 +5282,
 +5298,
 +5299,
 +5300,
 +5301,
 +5302,
 +5303,
 +5304,
 +5305,
 +5306,
 +5307,
 +5308,
 +5309,
 +5310,
 +5312,
 +5313,
 +5314,
 +5315,
 +5343,
 +5344,
 +5349,
 +5350,
 +5351,
 +5352,
 +5353,
 +5354,
 +5355,
 +5356,
 +5357,
 +5358,
 +5359,
 +5360,
 +5361,
 +5362,
 +5363,
 +5364,
 +5397,
 +5398,
 +5399,
 +5400,
 +5401,
 +5402,
 +5403,
 +5404,
 +5405,
 +5406,
 +5407,
 +5408,
 +5409,
 +5410,
 +5411,
 +5412,
 +5413,
 +5414,
 +5415,
 +5416,
 +5417,
 +5418,
 +5419,
 +5420,
 +5421,
 +5422,
 +5423,
 +5424,
 +5425,
 +5426,
 +5427,
 +5428,
 +5429,
 +5430,
 +5431,
 +5432,
 +5433,
 +5434,
 +5435,
 +5436,
 +5437,
 +5443,
 +5453,
 +5454,
 +5455,
 +5456,
 +5461,
 +5462,
 +5463,
 +5464,
 +5465,
 +5474,
 +5500,
 +5501,
 +5502,
 +5503,
 +5504,
 +5505,
 +5506,
 +5553,
 +5554,
 +5555,
 +5556,
 +5567,
 +5568,
 +5569,
 +5573,
 +5580,
 +5581,
 +5582,
 +5583,
 +5584,
 +5585,
 +5597,
 +5598,
 +5599,
 +5600,
 +5601,
 +5602,
 +5603,
 +5604,
 +5605,
 +5627,
 +5628,
 +5629,
 +5630,
 +5631,
 +5632,
 +5633,
 +5634,
 +5670,
 +5671,
 +5672,
 +5673,
 +5674,
 +5675,
 +5676,
 +5677,
 +5678,
 +5679,
 +5680,
 +5681,
 +5682,
 +5683,
 +5684,
 +5687,
 +5688,
 +5689,
 +5713,
 +5714,
 +5715,
 +5716,
 +5717,
 +5718,
 +5719,
 +5720,
 +5721,
 +5722,
 +5723,
 +5724,
 +5728,
 +5729,
 +5730,
 +5741,
 +5742,
 +5743,
 +5744,
 +5745,
 +5746,
 +5747,
 +5748,
 +5750,
 +5755,
 +5757,
 +5766,
 +5767,
 +5768,
 +5769,
 +5770,
 +5771,
 +5777,
 +5781,
 +5782,
 +5783,
 +5784,
 +5785,
 +5786,
 +5787,
 +5793,
 +5794,
 +5813,
 +5814,
 +5859,
 +5863,
 +5900,
 +5910,
 +5911,
 +5912,
 +5913,
 +5963,
 +5968,
 +5969,
 +5984,
 +5985,
 +5986,
 +5987,
 +5988,
 +5989,
 +5990,
 +5991,
 +5992,
 +5999,
 +6000,
 +6064,
 +6065,
 +6066,
 +6069,
 +6070,
 +6071,
 +6072,
 +6073,
 +6074,
++6080,
 +6081,
 +6082,
 +6083,
 +6085,
 +6086,
 +6087,
 +6088,
 +6100,
 +6101,
 +6102,
 +6103,
 +6104,
 +6105,
 +6106,
 +6107,
 +6108,
 +6109,
 +6110,
 +6111,
 +6112,
 +6118,
 +6122,
 +6123,
 +6124,
 +6133,
 +6140,
 +6141,
 +6142,
 +6143,
 +6144,
 +6145,
 +6146,
 +6147,
 +6148,
 +6149,
 +6160,
 +6161,
 +6162,
 +6163,
 +6200,
 +6201,
 +6209,
 +6222,
 +6241,
 +6242,
 +6243,
 +6244,
 +6251,
 +6252,
 +6253,
 +6268,
 +6269,
 +6300,
 +6301,
 +6306,
 +6315,
 +6316,
 +6317,
 +6320,
 +6321,
 +6322,
 +6324,
 +6343,
 +6346,
 +6347,
 +6350,
 +6355,
 +6360,
 +6363,
 +6370,
 +6382,
 +6389,
 +6390,
 +6417,
++6419,
 +6420,
 +6421,
 +6443,
 +6444,
 +6445,
 +6446,
 +6455,
 +6456,
 +6471,
 +6480,
 +6481,
 +6482,
 +6483,
 +6484,
 +6485,
 +6486,
 +6487,
 +6488,
 +6489,
 +6500,
 +6501,
 +6502,
 +6503,
 +6505,
 +6506,
 +6507,
 +6508,
 +6509,
 +6510,
 +6511,
 +6514,
 +6515,
 +6543,
 +6544,
 +6547,
 +6548,
 +6549,
 +6550,
 +6551,
 +6558,
 +6566,
 +6568,
 +6579,
 +6580,
 +6581,
 +6582,
 +6583,
 +6619,
 +6620,
 +6621,
 +6622,
 +6623,
 +6626,
 +6627,
 +6628,
 +6633,
 +6634,
 +6635,
 +6636,
 +6653,
 +6657,
 +6670,
 +6671,
 +6672,
 +6673,
 +6678,
 +6679,
 +6689,
 +6696,
 +6701,
 +6702,
 +6703,
 +6714,
 +6715,
 +6767,
 +6768,
 +6769,
 +6770,
 +6771,
 +6784,
 +6785,
 +6786,
 +6787,
 +6788,
 +6789,
 +6790,
 +6791,
 +6801,
 +6831,
 +6841,
 +6842,
 +6850,
 +6868,
 +6888,
 +6935,
 +6936,
 +6946,
 +6951,
 +6961,
 +6962,
 +6963,
 +6964,
 +6965,
 +6966,
 +6969,
 +6997,
 +6998,
 +6999,
 +7000,
 +7001,
 +7002,
 +7003,
 +7004,
 +7005,
 +7006,
 +7007,
 +7008,
 +7009,
 +7010,
 +7011,
 +7012,
 +7013,
 +7014,
 +7015,
 +7019,
 +7020,
 +7021,
 +7022,
 +7023,
 +7024,
 +7025,
 +7030,
 +7040,
 +7070,
 +7071,
 +7080,
 +7095,
 +7099,
 +7100,
 +7101,
 +7107,
 +7121,
 +7128,
 +7129,
 +7161,
 +7162,
 +7163,
 +7164,
 +7165,
 +7166,
 +7169,
 +7170,
 +7171,
 +7174,
 +7181,
 +7200,
 +7201,
 +7227,
 +7235,
 +7262,
 +7272,
 +7273,
 +7274,
 +7275,
 +7276,
 +7277,
 +7278,
 +7279,
 +7280,
 +7281,
 +7282,
 +7365,
 +7391,
 +7392,
 +7393,
 +7394,
 +7395,
 +7397,
 +7400,
 +7401,
 +7402,
 +7410,
 +7411,
 +7421,
 +7426,
 +7427,
 +7428,
 +7429,
 +7430,
 +7431,
 +7437,
 +7443,
 +7473,
 +7491,
 +7500,
 +7501,
 +7510,
 +7511,
 +7542,
 +7543,
 +7544,
 +7545,
 +7546,
 +7547,
 +7548,
 +7549,
 +7550,
 +7560,
 +7566,
 +7570,
 +7574,
 +7588,
 +7624,
 +7627,
 +7628,
 +7629,
 +7633,
 +7648,
 +7674,
 +7675,
 +7676,
 +7677,
 +7680,
 +7689,
 +7697,
 +7707,
 +7708,
 +7720,
 +7724,
 +7725,
 +7726,
 +7727,
 +7734,
 +7738,
 +7741,
 +7743,
 +7744,
 +7747,
 +7777,
 +7778,
 +7779,
 +7781,
 +7784,
 +7786,
 +7787,
 +7789,
 +7794,
 +7797,
 +7798,
 +7799,
 +7800,
 +7801,
 +7802,
 +7810,
 +7845,
 +7846,
 +7872,
 +7880,
 +7887,
 +7900,
 +7901,
 +7902,
 +7903,
 +7913,
 +7932,
 +7933,
 +7962,
 +7967,
 +7979,
 +7980,
 +7982,
 +7998,
 +7999,
 +8000,
 +8001,
 +8002,
 +8003,
 +8005,
 +8008,
 +8019,
 +8020,
 +8021,
 +8022,
 +8025,
 +8026,
 +8032,
 +8033,
 +8034,
 +8040,
 +8052,
 +8053,
 +8054,
 +8055,
 +8056,
 +8057,
 +8058,
 +8059,
 +8060,
 +8074,
 +8080,
 +8081,
 +8082,
 +8083,
 +8086,
 +8087,
 +8088,
 +8097,
 +8100,
 +8115,
 +8116,
 +8118,
 +8121,
 +8122,
 +8128,
 +8129,
 +8130,
 +8131,
 +8132,
 +8148,
 +8149,
 +8160,
 +8161,
 +8182,
 +8184,
 +8192,
 +8194,
 +8195,
 +8199,
 +8200,
 +8201,
 +8202,
 +8204,
 +8205,
 +8206,
 +8207,
 +8208,
 +8230,
 +8243,
 +8276,
 +8280,
 +8292,
 +8294,
 +8300,
 +8301,
 +8320,
 +8321,
 +8351,
 +8376,
 +8377,
 +8378,
 +8379,
 +8380,
 +8383,
++8384,
 +8400,
 +8401,
 +8402,
 +8403,
 +8416,
 +8417,
 +8442,
 +8443,
 +8444,
 +8445,
 +8450,
 +8472,
 +8473,
 +8474,
 +8500,
 +8501,
++8503,
 +8554,
 +8555,
 +8567,
 +8600,
 +8609,
 +8610,
 +8611,
 +8612,
 +8613,
 +8614,
 +8675,
 +8686,
 +8732,
 +8733,
 +8763,
 +8764,
 +8765,
 +8766,
 +8770,
 +8786,
 +8787,
 +8793,
 +8800,
 +8804,
 +8873,
 +8880,
 +8883,
 +8888,
 +8889,
 +8890,
 +8891,
 +8892,
 +8893,
 +8894,
 +8899,
 +8900,
 +8901,
 +8910,
 +8911,
 +8912,
 +8913,
 +8954,
 +8980,
 +8981,
 +8989,
 +8990,
 +8991,
 +8999,
 +9000,
 +9001,
 +9002,
++9006,
 +9007,
 +9009,
 +9020,
 +9021,
 +9022,
 +9023,
 +9024,
 +9025,
 +9026,
 +9080,
 +9084,
 +9085,
 +9086,
 +9087,
 +9088,
 +9089,
 +9090,
 +9091,
 +9092,
 +9100,
 +9101,
 +9102,
 +9103,
 +9104,
 +9105,
 +9106,
 +9119,
 +9131,
 +9160,
 +9161,
 +9162,
 +9163,
 +9164,
 +9191,
 +9200,
 +9201,
 +9202,
 +9203,
 +9204,
 +9205,
 +9206,
 +9207,
 +9208,
 +9209,
 +9210,
 +9211,
 +9212,
 +9213,
 +9214,
 +9215,
 +9216,
 +9217,
 +9222,
 +9255,
 +9277,
 +9278,
 +9279,
 +9280,
 +9281,
 +9282,
 +9283,
 +9284,
 +9285,
 +9286,
 +9287,
 +9292,
 +9293,
 +9294,
 +9295,
 +9300,
 +9318,
 +9321,
 +9343,
 +9344,
 +9346,
 +9374,
 +9380,
 +9396,
 +9397,
 +9400,
 +9401,
 +9402,
 +9418,
 +9443,
 +9444,
 +9450,
 +9500,
 +9522,
 +9535,
 +9536,
 +9555,
 +9592,
 +9593,
 +9594,
 +9595,
 +9596,
 +9597,
 +9598,
 +9599,
 +9600,
 +9612,
 +9618,
 +9628,
 +9629,
 +9632,
 +9667,
 +9668,
 +9694,
 +9695,
 +9700,
 +9747,
 +9750,
 +9753,
 +9762,
 +9800,
 +9801,
 +9802,
 +9875,
 +9878,
 +9888,
 +9889,
 +9898,
 +9899,
 +9900,
 +9901,
 +9903,
 +9909,
 +9911,
 +9950,
 +9951,
 +9952,
 +9953,
 +9955,
 +9956,
 +9966,
 +9987,
 +9990,
 +9991,
 +9992,
 +9993,
 +9994,
 +9995,
 +9996,
 +9997,
 +9998,
 +9999,
 +10000,
 +10001,
 +10002,
 +10003,
 +10007,
 +10008,
 +10009,
 +10023,
 +10050,
 +10051,
 +10080,
 +10081,
 +10100,
 +10101,
 +10102,
 +10103,
 +10104,
 +10107,
 +10110,
 +10111,
 +10113,
 +10114,
 +10115,
 +10116,
 +10117,
 +10128,
 +10160,
 +10161,
 +10162,
 +10200,
 +10201,
 +10252,
++10253,
 +10260,
 +10288,
 +10439,
 +10500,
 +10540,
 +10541,
 +10542,
 +10543,
 +10544,
 +10800,
 +10805,
 +10810,
 +10860,
 +10880,
 +10990,
 +11000,
 +11001,
 +11095,
 +11106,
 +11108,
 +11111,
 +11112,
 +11161,
 +11162,
 +11163,
 +11164,
 +11165,
 +11171,
 +11201,
 +11208,
 +11211,
 +11319,
 +11320,
 +11321,
 +11367,
 +11371,
 +11430,
 +11600,
 +11720,
 +11723,
 +11751,
 +11796,
 +11876,
 +11877,
 +11967,
 +12000,
 +12001,
 +12002,
 +12003,
 +12004,
 +12005,
 +12006,
 +12007,
 +12008,
 +12009,
 +12012,
 +12013,
 +12109,
 +12121,
 +12168,
 +12172,
 +12300,
 +12321,
 +12322,
 +12345,
 +12753,
 +13160,
 +13216,
 +13217,
 +13218,
 +13223,
 +13224,
 +13400,
 +13720,
 +13721,
 +13722,
 +13724,
 +13782,
 +13783,
 +13785,
 +13786,
 +13818,
 +13819,
 +13820,
 +13821,
 +13822,
 +13894,
 +13929,
 +14000,
 +14001,
 +14002,
 +14033,
 +14034,
 +14141,
 +14142,
 +14145,
 +14149,
 +14154,
 +14250,
 +14414,
 +14936,
 +14937,
 +15000,
 +15118,
 +15345,
 +15363,
 +15555,
 +15660,
 +15740,
 +15998,
 +16003,
 +16161,
 +16309,
 +16310,
 +16311,
 +16360,
 +16361,
 +16367,
 +16368,
 +16384,
 +16666,
 +16900,
 +16950,
 +16991,
 +16992,
 +16993,
 +16994,
 +16995,
 +17007,
 +17185,
 +17219,
 +17220,
 +17221,
 +17222,
 +17234,
 +17235,
 +17500,
 +17729,
 +17754,
 +17755,
 +17756,
 +18000,
 +18181,
 +18182,
 +18183,
 +18184,
 +18185,
 +18186,
 +18187,
 +18241,
 +18262,
 +18463,
 +18634,
 +18635,
 +18769,
 +18881,
 +18888,
 +19000,
 +19007,
 +19191,
 +19194,
 +19283,
 +19315,
 +19398,
 +19410,
 +19411,
 +19412,
 +19539,
 +19540,
 +19541,
 +19788,
 +19999,
 +20000,
 +20001,
 +20002,
 +20003,
 +20005,
 +20012,
 +20014,
 +20034,
 +20046,
 +20048,
 +20049,
 +20167,
 +20202,
 +20222,
 +20480,
 +20670,
 +20999,
 +21000,
 +21554,
 +21590,
 +21800,
 +21845,
 +21846,
 +21847,
 +21848,
 +21849,
 +22000,
 +22001,
 +22002,
 +22003,
 +22004,
 +22005,
 +22273,
 +22305,
++22335,
 +22343,
 +22347,
 +22350,
 +22555,
 +22763,
 +22800,
 +22951,
 +23000,
 +23001,
 +23002,
 +23003,
 +23004,
 +23005,
 +23272,
 +23333,
 +23400,
 +23401,
 +23402,
 +24000,
 +24001,
 +24002,
 +24003,
 +24004,
 +24005,
 +24006,
 +24242,
 +24249,
 +24321,
 +24322,
 +24386,
 +24465,
 +24554,
 +24577,
 +24676,
 +24677,
 +24678,
 +24680,
 +24850,
 +24922,
 +25000,
 +25001,
 +25002,
 +25003,
 +25004,
 +25005,
 +25006,
 +25007,
 +25008,
 +25009,
 +25793,
 +25900,
 +25901,
 +25902,
 +25903,
 +25954,
 +25955,
 +26000,
 +26133,
 +26208,
 +26260,
 +26261,
 +26262,
 +26263,
 +26486,
 +26487,
 +26489,
 +27345,
 +27442,
 +27504,
 +27782,
 +27999,
 +28000,
 +28119,
 +28200,
 +28240,
 +29167,
 +30001,
 +30002,
 +30003,
 +30004,
 +30260,
 +30832,
 +30999,
 +31029,
 +31416,
 +31457,
 +31620,
 +31765,
 +31948,
 +31949,
 +32034,
 +32249,
 +32483,
 +32635,
 +32636,
 +32767,
 +32768,
 +32769,
 +32770,
 +32771,
 +32772,
 +32773,
 +32774,
 +32775,
 +32776,
 +32777,
 +32801,
 +32896,
 +33123,
 +33331,
 +33334,
 +33434,
 +33656,
 +34249,
 +34378,
 +34379,
 +34962,
 +34963,
 +34964,
 +34980,
 +35001,
 +35004,
 +35355,
 +36001,
 +36411,
 +36865,
 +37475,
 +37654,
 +38002,
 +38201,
 +38202,
 +38203,
 +39681,
 +40000,
 +40841,
 +40842,
 +40843,
 +40853,
 +41111,
++41230,
 +41794,
 +41795,
 +42508,
 +42509,
 +42510,
 +43000,
 +43188,
 +43189,
 +43190,
 +43210,
 +43439,
 +43440,
 +43441,
 +44321,
 +44322,
 +44544,
 +44553,
 +44600,
 +44818,
 +44900,
 +45000,
 +45054,
 +45678,
 +45825,
 +45966,
 +46999,
 +47000,
 +47100,
 +47557,
 +47624,
 +47806,
 +47808,
 +47809,
 +48000,
 +48001,
 +48002,
 +48003,
 +48128,
 +48129,
 +48556,
 +48619,
 +48653,
diff --cc contrib/unbound/util/log.c
index f90efa71c75f2a922e6cdcbd3b5bedd3889b4aa8,0000000000000000000000000000000000000000..3ebd12025af9fb1d8893e8b0a02f4aaa379fcefc
mode 100644,000000..100644
--- 1/contrib/unbound/util/log.c
--- /dev/null
+++ b/contrib/unbound/util/log.c
@@@ -1,485 -1,0 +1,493 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * util/log.c - implementation of the log code
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +/**
 + * \file
 + * Implementation of log.h.
 + */
 +
 +#include "config.h"
 +#include "util/log.h"
 +#include "util/locks.h"
++#include "sldns/sbuffer.h"
 +#include <stdarg.h>
 +#ifdef HAVE_TIME_H
 +#include <time.h>
 +#endif
 +#ifdef HAVE_SYSLOG_H
 +#  include <syslog.h>
 +#else
 +/**define LOG_ constants */
 +#  define LOG_CRIT 2
 +#  define LOG_ERR 3
 +#  define LOG_WARNING 4
 +#  define LOG_NOTICE 5
 +#  define LOG_INFO 6
 +#  define LOG_DEBUG 7
 +#endif
 +#ifdef UB_ON_WINDOWS
 +#  include "winrc/win_svc.h"
 +#endif
 +
 +/* default verbosity */
 +enum verbosity_value verbosity = 0;
 +/** the file logged to. */
 +static FILE* logfile = 0;
 +/** if key has been created */
 +static int key_created = 0;
 +/** pthread key for thread ids in logfile */
 +static ub_thread_key_t logkey;
 +#ifndef THREADS_DISABLED
 +/** pthread mutex to protect FILE* */
 +static lock_quick_t log_lock;
 +#endif
 +/** the identity of this executable/process */
 +static const char* ident="unbound";
 +#if defined(HAVE_SYSLOG_H) || defined(UB_ON_WINDOWS)
 +/** are we using syslog(3) to log to */
 +static int logging_to_syslog = 0;
 +#endif /* HAVE_SYSLOG_H */
 +/** time to print in log, if NULL, use time(2) */
 +static time_t* log_now = NULL;
 +/** print time in UTC or in secondsfrom1970 */
 +static int log_time_asc = 0;
 +
 +void
 +log_init(const char* filename, int use_syslog, const char* chrootdir)
 +{
 +      FILE *f;
 +      if(!key_created) {
 +              key_created = 1;
 +              ub_thread_key_create(&logkey, NULL);
 +              lock_quick_init(&log_lock);
 +      }
 +      lock_quick_lock(&log_lock);
 +      if(logfile 
 +#if defined(HAVE_SYSLOG_H) || defined(UB_ON_WINDOWS)
 +      || logging_to_syslog
 +#endif
 +      ) {
 +              lock_quick_unlock(&log_lock); /* verbose() needs the lock */
 +              verbose(VERB_QUERY, "switching log to %s", 
 +                      use_syslog?"syslog":(filename&&filename[0]?filename:"stderr"));
 +              lock_quick_lock(&log_lock);
 +      }
 +      if(logfile && logfile != stderr)
 +              fclose(logfile);
 +#ifdef HAVE_SYSLOG_H
 +      if(logging_to_syslog) {
 +              closelog();
 +              logging_to_syslog = 0;
 +      }
 +      if(use_syslog) {
 +              /* do not delay opening until first write, because we may
 +               * chroot and no longer be able to access dev/log and so on */
 +              openlog(ident, LOG_NDELAY, LOG_DAEMON);
 +              logging_to_syslog = 1;
 +              lock_quick_unlock(&log_lock);
 +              return;
 +      }
 +#elif defined(UB_ON_WINDOWS)
 +      if(logging_to_syslog) {
 +              logging_to_syslog = 0;
 +      }
 +      if(use_syslog) {
 +              logging_to_syslog = 1;
 +              lock_quick_unlock(&log_lock);
 +              return;
 +      }
 +#endif /* HAVE_SYSLOG_H */
 +      if(!filename || !filename[0]) {
 +              logfile = stderr;
 +              lock_quick_unlock(&log_lock);
 +              return;
 +      }
 +      /* open the file for logging */
 +      if(chrootdir && chrootdir[0] && strncmp(filename, chrootdir,
 +              strlen(chrootdir)) == 0) 
 +              filename += strlen(chrootdir);
 +      f = fopen(filename, "a");
 +      if(!f) {
 +              lock_quick_unlock(&log_lock);
 +              log_err("Could not open logfile %s: %s", filename, 
 +                      strerror(errno));
 +              return;
 +      }
 +#ifndef UB_ON_WINDOWS
 +      /* line buffering does not work on windows */
 +      setvbuf(f, NULL, (int)_IOLBF, 0);
 +#endif
 +      logfile = f;
 +      lock_quick_unlock(&log_lock);
 +}
 +
 +void log_file(FILE *f)
 +{
 +      lock_quick_lock(&log_lock);
 +      logfile = f;
 +      lock_quick_unlock(&log_lock);
 +}
 +
 +void log_thread_set(int* num)
 +{
 +      ub_thread_key_set(logkey, num);
 +}
 +
++int log_thread_get(void)
++{
++      unsigned int* tid;
++      if(!key_created) return 0;
++      tid = (unsigned int*)ub_thread_key_get(logkey);
++      return (int)(tid?*tid:0);
++}
++
 +void log_ident_set(const char* id)
 +{
 +      ident = id;
 +}
 +
 +void log_set_time(time_t* t)
 +{
 +      log_now = t;
 +}
 +
 +void log_set_time_asc(int use_asc)
 +{
 +      log_time_asc = use_asc;
 +}
 +
 +void
 +log_vmsg(int pri, const char* type,
 +      const char *format, va_list args)
 +{
 +      char message[MAXSYSLOGMSGLEN];
 +      unsigned int* tid = (unsigned int*)ub_thread_key_get(logkey);
 +      time_t now;
 +#if defined(HAVE_STRFTIME) && defined(HAVE_LOCALTIME_R) 
 +      char tmbuf[32];
 +      struct tm tm;
 +#elif defined(UB_ON_WINDOWS)
 +      char tmbuf[128], dtbuf[128];
 +#endif
 +      (void)pri;
 +      vsnprintf(message, sizeof(message), format, args);
 +#ifdef HAVE_SYSLOG_H
 +      if(logging_to_syslog) {
 +              syslog(pri, "[%d:%x] %s: %s", 
 +                      (int)getpid(), tid?*tid:0, type, message);
 +              return;
 +      }
 +#elif defined(UB_ON_WINDOWS)
 +      if(logging_to_syslog) {
 +              char m[32768];
 +              HANDLE* s;
 +              LPCTSTR str = m;
 +              DWORD tp = MSG_GENERIC_ERR;
 +              WORD wt = EVENTLOG_ERROR_TYPE;
 +              if(strcmp(type, "info") == 0) {
 +                      tp=MSG_GENERIC_INFO;
 +                      wt=EVENTLOG_INFORMATION_TYPE;
 +              } else if(strcmp(type, "warning") == 0) {
 +                      tp=MSG_GENERIC_WARN;
 +                      wt=EVENTLOG_WARNING_TYPE;
 +              } else if(strcmp(type, "notice") == 0 
 +                      || strcmp(type, "debug") == 0) {
 +                      tp=MSG_GENERIC_SUCCESS;
 +                      wt=EVENTLOG_SUCCESS;
 +              }
 +              snprintf(m, sizeof(m), "[%s:%x] %s: %s", 
 +                      ident, tid?*tid:0, type, message);
 +              s = RegisterEventSource(NULL, SERVICE_NAME);
 +              if(!s) return;
 +              ReportEvent(s, wt, 0, tp, NULL, 1, 0, &str, NULL);
 +              DeregisterEventSource(s);
 +              return;
 +      }
 +#endif /* HAVE_SYSLOG_H */
 +      lock_quick_lock(&log_lock);
 +      if(!logfile) {
 +              lock_quick_unlock(&log_lock);
 +              return;
 +      }
 +      if(log_now)
 +              now = (time_t)*log_now;
 +      else    now = (time_t)time(NULL);
 +#if defined(HAVE_STRFTIME) && defined(HAVE_LOCALTIME_R) 
 +      if(log_time_asc && strftime(tmbuf, sizeof(tmbuf), "%b %d %H:%M:%S",
 +              localtime_r(&now, &tm))%(sizeof(tmbuf)) != 0) {
 +              /* %sizeof buf!=0 because old strftime returned max on error */
 +              fprintf(logfile, "%s %s[%d:%x] %s: %s\n", tmbuf, 
 +                      ident, (int)getpid(), tid?*tid:0, type, message);
 +      } else
 +#elif defined(UB_ON_WINDOWS)
 +      if(log_time_asc && GetTimeFormat(LOCALE_USER_DEFAULT, 0, NULL, NULL,
 +              tmbuf, sizeof(tmbuf)) && GetDateFormat(LOCALE_USER_DEFAULT, 0,
 +              NULL, NULL, dtbuf, sizeof(dtbuf))) {
 +              fprintf(logfile, "%s %s %s[%d:%x] %s: %s\n", dtbuf, tmbuf, 
 +                      ident, (int)getpid(), tid?*tid:0, type, message);
 +      } else
 +#endif
 +      fprintf(logfile, "[" ARG_LL "d] %s[%d:%x] %s: %s\n", (long long)now, 
 +              ident, (int)getpid(), tid?*tid:0, type, message);
 +#ifdef UB_ON_WINDOWS
 +      /* line buffering does not work on windows */
 +      fflush(logfile);
 +#endif
 +      lock_quick_unlock(&log_lock);
 +}
 +
 +/**
 + * implementation of log_info
 + * @param format: format string printf-style.
 + */
 +void
 +log_info(const char *format, ...)
 +{
 +        va_list args;
 +      va_start(args, format);
 +      log_vmsg(LOG_INFO, "info", format, args);
 +      va_end(args);
 +}
 +
 +/**
 + * implementation of log_err
 + * @param format: format string printf-style.
 + */
 +void
 +log_err(const char *format, ...)
 +{
 +        va_list args;
 +      va_start(args, format);
 +      log_vmsg(LOG_ERR, "error", format, args);
 +      va_end(args);
 +}
 +
 +/**
 + * implementation of log_warn
 + * @param format: format string printf-style.
 + */
 +void
 +log_warn(const char *format, ...)
 +{
 +        va_list args;
 +      va_start(args, format);
 +      log_vmsg(LOG_WARNING, "warning", format, args);
 +      va_end(args);
 +}
 +
 +/**
 + * implementation of fatal_exit
 + * @param format: format string printf-style.
 + */
 +void
 +fatal_exit(const char *format, ...)
 +{
 +        va_list args;
 +      va_start(args, format);
 +      log_vmsg(LOG_CRIT, "fatal error", format, args);
 +      va_end(args);
 +      exit(1);
 +}
 +
 +/**
 + * implementation of verbose
 + * @param level: verbose level for the message.
 + * @param format: format string printf-style.
 + */
 +void
 +verbose(enum verbosity_value level, const char* format, ...)
 +{
 +        va_list args;
 +      va_start(args, format);
 +      if(verbosity >= level) {
 +              if(level == VERB_OPS)
 +                      log_vmsg(LOG_NOTICE, "notice", format, args);
 +              else if(level == VERB_DETAIL)
 +                      log_vmsg(LOG_INFO, "info", format, args);
 +              else    log_vmsg(LOG_DEBUG, "debug", format, args);
 +      }
 +      va_end(args);
 +}
 +
 +/** log hex data */
 +static void 
 +log_hex_f(enum verbosity_value v, const char* msg, void* data, size_t length)
 +{
 +      size_t i, j;
 +      uint8_t* data8 = (uint8_t*)data;
 +      const char* hexchar = "0123456789ABCDEF";
 +      char buf[1024+1]; /* alloc blocksize hex chars + \0 */
 +      const size_t blocksize = 512;
 +      size_t len;
 +
 +      if(length == 0) {
 +              verbose(v, "%s[%u]", msg, (unsigned)length);
 +              return;
 +      }
 +
 +      for(i=0; i<length; i+=blocksize/2) {
 +              len = blocksize/2;
 +              if(length - i < blocksize/2)
 +                      len = length - i;
 +              for(j=0; j<len; j++) {
 +                      buf[j*2] = hexchar[ data8[i+j] >> 4 ];
 +                      buf[j*2 + 1] = hexchar[ data8[i+j] & 0xF ];
 +              }
 +              buf[len*2] = 0;
 +              verbose(v, "%s[%u:%u] %.*s", msg, (unsigned)length, 
 +                      (unsigned)i, (int)len*2, buf);
 +      }
 +}
 +
 +void 
 +log_hex(const char* msg, void* data, size_t length)
 +{
 +      log_hex_f(verbosity, msg, data, length);
 +}
 +
 +void log_buf(enum verbosity_value level, const char* msg, sldns_buffer* buf)
 +{
 +      if(verbosity < level)
 +              return;
 +      log_hex_f(level, msg, sldns_buffer_begin(buf), sldns_buffer_limit(buf));
 +}
 +
 +#ifdef USE_WINSOCK
 +char* wsa_strerror(DWORD err)
 +{
 +      static char unknown[32];
 +
 +      switch(err) {
 +      case WSA_INVALID_HANDLE: return "Specified event object handle is invalid.";
 +      case WSA_NOT_ENOUGH_MEMORY: return "Insufficient memory available.";
 +      case WSA_INVALID_PARAMETER: return "One or more parameters are invalid.";
 +      case WSA_OPERATION_ABORTED: return "Overlapped operation aborted.";
 +      case WSA_IO_INCOMPLETE: return "Overlapped I/O event object not in signaled state.";
 +      case WSA_IO_PENDING: return "Overlapped operations will complete later.";
 +      case WSAEINTR: return "Interrupted function call.";
 +      case WSAEBADF: return "File handle is not valid.";
 +      case WSAEACCES: return "Permission denied.";
 +      case WSAEFAULT: return "Bad address.";
 +      case WSAEINVAL: return "Invalid argument.";
 +      case WSAEMFILE: return "Too many open files.";
 +      case WSAEWOULDBLOCK: return "Resource temporarily unavailable.";
 +      case WSAEINPROGRESS: return "Operation now in progress.";
 +      case WSAEALREADY: return "Operation already in progress.";
 +      case WSAENOTSOCK: return "Socket operation on nonsocket.";
 +      case WSAEDESTADDRREQ: return "Destination address required.";
 +      case WSAEMSGSIZE: return "Message too long.";
 +      case WSAEPROTOTYPE: return "Protocol wrong type for socket.";
 +      case WSAENOPROTOOPT: return "Bad protocol option.";
 +      case WSAEPROTONOSUPPORT: return "Protocol not supported.";
 +      case WSAESOCKTNOSUPPORT: return "Socket type not supported.";
 +      case WSAEOPNOTSUPP: return "Operation not supported.";
 +      case WSAEPFNOSUPPORT: return "Protocol family not supported.";
 +      case WSAEAFNOSUPPORT: return "Address family not supported by protocol family.";
 +      case WSAEADDRINUSE: return "Address already in use.";
 +      case WSAEADDRNOTAVAIL: return "Cannot assign requested address.";
 +      case WSAENETDOWN: return "Network is down.";
 +      case WSAENETUNREACH: return "Network is unreachable.";
 +      case WSAENETRESET: return "Network dropped connection on reset.";
 +      case WSAECONNABORTED: return "Software caused connection abort.";
 +      case WSAECONNRESET: return "Connection reset by peer.";
 +      case WSAENOBUFS: return "No buffer space available.";
 +      case WSAEISCONN: return "Socket is already connected.";
 +      case WSAENOTCONN: return "Socket is not connected.";
 +      case WSAESHUTDOWN: return "Cannot send after socket shutdown.";
 +      case WSAETOOMANYREFS: return "Too many references.";
 +      case WSAETIMEDOUT: return "Connection timed out.";
 +      case WSAECONNREFUSED: return "Connection refused.";
 +      case WSAELOOP: return "Cannot translate name.";
 +      case WSAENAMETOOLONG: return "Name too long.";
 +      case WSAEHOSTDOWN: return "Host is down.";
 +      case WSAEHOSTUNREACH: return "No route to host.";
 +      case WSAENOTEMPTY: return "Directory not empty.";
 +      case WSAEPROCLIM: return "Too many processes.";
 +      case WSAEUSERS: return "User quota exceeded.";
 +      case WSAEDQUOT: return "Disk quota exceeded.";
 +      case WSAESTALE: return "Stale file handle reference.";
 +      case WSAEREMOTE: return "Item is remote.";
 +      case WSASYSNOTREADY: return "Network subsystem is unavailable.";
 +      case WSAVERNOTSUPPORTED: return "Winsock.dll version out of range.";
 +      case WSANOTINITIALISED: return "Successful WSAStartup not yet performed.";
 +      case WSAEDISCON: return "Graceful shutdown in progress.";
 +      case WSAENOMORE: return "No more results.";
 +      case WSAECANCELLED: return "Call has been canceled.";
 +      case WSAEINVALIDPROCTABLE: return "Procedure call table is invalid.";
 +      case WSAEINVALIDPROVIDER: return "Service provider is invalid.";
 +      case WSAEPROVIDERFAILEDINIT: return "Service provider failed to initialize.";
 +      case WSASYSCALLFAILURE: return "System call failure.";
 +      case WSASERVICE_NOT_FOUND: return "Service not found.";
 +      case WSATYPE_NOT_FOUND: return "Class type not found.";
 +      case WSA_E_NO_MORE: return "No more results.";
 +      case WSA_E_CANCELLED: return "Call was canceled.";
 +      case WSAEREFUSED: return "Database query was refused.";
 +      case WSAHOST_NOT_FOUND: return "Host not found.";
 +      case WSATRY_AGAIN: return "Nonauthoritative host not found.";
 +      case WSANO_RECOVERY: return "This is a nonrecoverable error.";
 +      case WSANO_DATA: return "Valid name, no data record of requested type.";
 +      case WSA_QOS_RECEIVERS: return "QOS receivers.";
 +      case WSA_QOS_SENDERS: return "QOS senders.";
 +      case WSA_QOS_NO_SENDERS: return "No QOS senders.";
 +      case WSA_QOS_NO_RECEIVERS: return "QOS no receivers.";
 +      case WSA_QOS_REQUEST_CONFIRMED: return "QOS request confirmed.";
 +      case WSA_QOS_ADMISSION_FAILURE: return "QOS admission error.";
 +      case WSA_QOS_POLICY_FAILURE: return "QOS policy failure.";
 +      case WSA_QOS_BAD_STYLE: return "QOS bad style.";
 +      case WSA_QOS_BAD_OBJECT: return "QOS bad object.";
 +      case WSA_QOS_TRAFFIC_CTRL_ERROR: return "QOS traffic control error.";
 +      case WSA_QOS_GENERIC_ERROR: return "QOS generic error.";
 +      case WSA_QOS_ESERVICETYPE: return "QOS service type error.";
 +      case WSA_QOS_EFLOWSPEC: return "QOS flowspec error.";
 +      case WSA_QOS_EPROVSPECBUF: return "Invalid QOS provider buffer.";
 +      case WSA_QOS_EFILTERSTYLE: return "Invalid QOS filter style.";
 +      case WSA_QOS_EFILTERTYPE: return "Invalid QOS filter type.";
 +      case WSA_QOS_EFILTERCOUNT: return "Incorrect QOS filter count.";
 +      case WSA_QOS_EOBJLENGTH: return "Invalid QOS object length.";
 +      case WSA_QOS_EFLOWCOUNT: return "Incorrect QOS flow count.";
 +      /*case WSA_QOS_EUNKOWNPSOBJ: return "Unrecognized QOS object.";*/
 +      case WSA_QOS_EPOLICYOBJ: return "Invalid QOS policy object.";
 +      case WSA_QOS_EFLOWDESC: return "Invalid QOS flow descriptor.";
 +      case WSA_QOS_EPSFLOWSPEC: return "Invalid QOS provider-specific flowspec.";
 +      case WSA_QOS_EPSFILTERSPEC: return "Invalid QOS provider-specific filterspec.";
 +      case WSA_QOS_ESDMODEOBJ: return "Invalid QOS shape discard mode object.";
 +      case WSA_QOS_ESHAPERATEOBJ: return "Invalid QOS shaping rate object.";
 +      case WSA_QOS_RESERVED_PETYPE: return "Reserved policy QOS element type.";
 +      default:
 +              snprintf(unknown, sizeof(unknown),
 +                      "unknown WSA error code %d", (int)err);
 +              return unknown;
 +      }
 +}
 +#endif /* USE_WINSOCK */
diff --cc contrib/unbound/util/log.h
index ea283da7b2626facb634d3705965a20a3746e1a5,0000000000000000000000000000000000000000..8e85ee620b18c1d413aa9bb244d90d8834d8b49f
mode 100644,000000..100644
--- 1/contrib/unbound/util/log.h
--- /dev/null
+++ b/contrib/unbound/util/log.h
@@@ -1,198 -1,0 +1,207 @@@
 +/*
 + * util/log.h - logging service
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains logging functions.
 + */
 +
 +#ifndef UTIL_LOG_H
 +#define UTIL_LOG_H
 +struct sldns_buffer;
 +
 +/**
 + * verbosity value:
 + */
 +enum verbosity_value {
 + /** 0 - no verbose messages */
 +      NO_VERBOSE = 0,
 + /** 1 - operational information */
 +      VERB_OPS,
 + /** 2 - detailed information */
 +      VERB_DETAIL,
 + /** 3 - query level information */
 +      VERB_QUERY,
 + /** 4 - algorithm level information */
 +      VERB_ALGO,
 + /** 5 - querier client information */
 +      VERB_CLIENT
 +};
 +
 +/** The global verbosity setting */
 +extern enum verbosity_value verbosity;
 +
 +/**
 + * log a verbose message, pass the level for this message.
 + * It has printf formatted arguments. No trailing newline is needed.
 + * @param level: verbosity level for this message, compared to global 
 + *    verbosity setting.
 + * @param format: printf-style format string. Arguments follow.
 + */
 +void verbose(enum verbosity_value level, 
 +      const char* format, ...) ATTR_FORMAT(printf, 2, 3);
 +
 +/**
 + * call this to initialize logging services.
 + * @param filename: if NULL stderr is used.
 + * @param use_syslog: set to true to ignore filename and use syslog(3).
 + * @param chrootdir: to which directory we have been chrooted, if any.
 + */
 +void log_init(const char* filename, int use_syslog, const char* chrootdir);
 +
 +/**
 + * Set logging to go to the specified file *.
 + * This setting does not affect the use_syslog setting.
 + * @param f: to that file, or pass NULL to disable logging.
 + */
 +void log_file(FILE *f);
 +
 +/**
 + * Init a thread (will print this number for the thread log entries).
 + * Must be called from the thread itself. If not called 0 is printed.
 + * @param num: number to print for this thread. Owned by caller, must
 + *    continue to exist.
 + */
 +void log_thread_set(int* num);
 +
++/**
++ * Get the thread id from logging system.  Set after log_init is
++ * initialised, or log_thread_set for newly created threads.
++ * This initialisation happens in unbound as a daemon, in daemon
++ * startup code, when that spawns threads.
++ * @return thread number, from 0 and up.  Before initialised, returns 0.
++ */
++int log_thread_get(void);
++
 +/**
 + * Set identity to print, default is 'unbound'. 
 + * @param id: string to print. Name of executable.
 + */
 +void log_ident_set(const char* id);
 +
 +/**
 + * Set the time value to print in log entries.
 + * @param t: the point is copied and used to find the time.
 + *    if NULL, time(2) is used.
 + */
 +void log_set_time(time_t* t);
 +
 +/**
 + * Set if the time value is printed ascii or decimal in log entries.
 + * @param use_asc: if true, ascii is printed, otherwise decimal.
 + *    If the conversion fails or you have no time functions, 
 + *    decimal is printed.
 + */
 +void log_set_time_asc(int use_asc);
 +
 +/**
 + * Log informational message.
 + * Pass printf formatted arguments. No trailing newline is needed.
 + * @param format: printf-style format string. Arguments follow.
 + */
 +void log_info(const char* format, ...) ATTR_FORMAT(printf, 1, 2);
 +
 +/**
 + * Log error message.
 + * Pass printf formatted arguments. No trailing newline is needed.
 + * @param format: printf-style format string. Arguments follow.
 + */
 +void log_err(const char* format, ...) ATTR_FORMAT(printf, 1, 2);
 +
 +/**
 + * Log warning message.
 + * Pass printf formatted arguments. No trailing newline is needed.
 + * @param format: printf-style format string. Arguments follow.
 + */
 +void log_warn(const char* format, ...) ATTR_FORMAT(printf, 1, 2);
 +
 +/**
 + * Log a hex-string to the log. Can be any length.
 + * performs mallocs to do so, slow. But debug useful.
 + * @param msg: string desc to accompany the hexdump.
 + * @param data: data to dump in hex format.
 + * @param length: length of data.
 + */
 +void log_hex(const char* msg, void* data, size_t length);
 +
 +/**
 + * Easy alternative for log_hex, takes a sldns_buffer.
 + * @param level: verbosity level for this message, compared to global 
 + *    verbosity setting.
 + * @param msg: string desc to print
 + * @param buf: the buffer.
 + */
 +void log_buf(enum verbosity_value level, const char* msg, struct sldns_buffer* buf);
 +
 +/**
 + * Log fatal error message, and exit the current process.
 + * Pass printf formatted arguments. No trailing newline is needed.
 + * @param format: printf-style format string. Arguments follow.
 + */
 +void fatal_exit(const char* format, ...) ATTR_FORMAT(printf, 1, 2);
 +
 +/**
 + * va_list argument version of log_info.
 + * @param pri: priority type, for example 5 (INFO).
 + * @param type: string to designate type of message (info, error).
 + * @param format: the printf style format to print. no newline.
 + * @param args: arguments for format string.
 + */
 +void log_vmsg(int pri, const char* type, const char* format, va_list args);
 +
 +/**
 + * an assertion that is thrown to the logfile.
 + */
 +#ifdef UNBOUND_DEBUG
 +#  define log_assert(x) \
 +      do { if(!(x)) \
 +              fatal_exit("%s:%d: %s: assertion %s failed", \
 +                      __FILE__, __LINE__, __func__, #x); \
 +      } while(0);
 +#else
 +#  define log_assert(x) /*nothing*/
 +#endif
 +
 +#ifdef USE_WINSOCK
 +/**
 + * Convert WSA error into string.
 + * @param err: from WSAGetLastError()
 + * @return: string.
 + */
 +char* wsa_strerror(DWORD err);
 +#endif /* USE_WINSOCK */
 +
 +#endif /* UTIL_LOG_H */
diff --cc contrib/unbound/util/net_help.c
index e2b7c38783ab7faed4381b78aa6e6236f7300587,0000000000000000000000000000000000000000..8b39af6b3b0dcaaba59b287885c1bd895ab2c26d
mode 100644,000000..100644
--- 1/contrib/unbound/util/net_help.c
--- /dev/null
+++ b/contrib/unbound/util/net_help.c
@@@ -1,819 -1,0 +1,819 @@@
- #include "ldns/parseutil.h"
- #include "ldns/wire2str.h"
 +/*
 + * util/net_help.c - implementation of the network helper code
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +/**
 + * \file
 + * Implementation of net_help.h.
 + */
 +
 +#include "config.h"
 +#include "util/net_help.h"
 +#include "util/log.h"
 +#include "util/data/dname.h"
 +#include "util/module.h"
 +#include "util/regional.h"
-       return (unsigned long)ub_thread_self();
++#include "sldns/parseutil.h"
++#include "sldns/wire2str.h"
 +#include <fcntl.h>
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include <openssl/ssl.h>
 +#endif
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +/** max length of an IP address (the address portion) that we allow */
 +#define MAX_ADDR_STRLEN 128 /* characters */
 +/** default value for EDNS ADVERTISED size */
 +uint16_t EDNS_ADVERTISED_SIZE = 4096;
 +
 +/** minimal responses when positive answer: default is no */
 +int MINIMAL_RESPONSES = 0;
 +
 +/** rrset order roundrobin: default is no */
 +int RRSET_ROUNDROBIN = 0;
 +
 +/* returns true is string addr is an ip6 specced address */
 +int
 +str_is_ip6(const char* str)
 +{
 +      if(strchr(str, ':'))
 +              return 1;
 +      else    return 0;
 +}
 +
 +int 
 +fd_set_nonblock(int s) 
 +{
 +#ifdef HAVE_FCNTL
 +      int flag;
 +      if((flag = fcntl(s, F_GETFL)) == -1) {
 +              log_err("can't fcntl F_GETFL: %s", strerror(errno));
 +              flag = 0;
 +      }
 +      flag |= O_NONBLOCK;
 +      if(fcntl(s, F_SETFL, flag) == -1) {
 +              log_err("can't fcntl F_SETFL: %s", strerror(errno));
 +              return 0;
 +      }
 +#elif defined(HAVE_IOCTLSOCKET)
 +      unsigned long on = 1;
 +      if(ioctlsocket(s, FIONBIO, &on) != 0) {
 +              log_err("can't ioctlsocket FIONBIO on: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +      }
 +#endif
 +      return 1;
 +}
 +
 +int 
 +fd_set_block(int s) 
 +{
 +#ifdef HAVE_FCNTL
 +      int flag;
 +      if((flag = fcntl(s, F_GETFL)) == -1) {
 +              log_err("cannot fcntl F_GETFL: %s", strerror(errno));
 +              flag = 0;
 +      }
 +      flag &= ~O_NONBLOCK;
 +      if(fcntl(s, F_SETFL, flag) == -1) {
 +              log_err("cannot fcntl F_SETFL: %s", strerror(errno));
 +              return 0;
 +      }
 +#elif defined(HAVE_IOCTLSOCKET)
 +      unsigned long off = 0;
 +      if(ioctlsocket(s, FIONBIO, &off) != 0) {
 +              log_err("can't ioctlsocket FIONBIO off: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +      }
 +#endif        
 +      return 1;
 +}
 +
 +int 
 +is_pow2(size_t num)
 +{
 +      if(num == 0) return 1;
 +      return (num & (num-1)) == 0;
 +}
 +
 +void* 
 +memdup(void* data, size_t len)
 +{
 +      void* d;
 +      if(!data) return NULL;
 +      if(len == 0) return NULL;
 +      d = malloc(len);
 +      if(!d) return NULL;
 +      memcpy(d, data, len);
 +      return d;
 +}
 +
 +void
 +log_addr(enum verbosity_value v, const char* str, 
 +      struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      uint16_t port;
 +      const char* family = "unknown";
 +      char dest[100];
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      if(verbosity < v)
 +              return;
 +      switch(af) {
 +              case AF_INET: family="ip4"; break;
 +              case AF_INET6: family="ip6";
 +                      sinaddr = &((struct sockaddr_in6*)addr)->sin6_addr;
 +                      break;
 +              case AF_LOCAL:
 +                      dest[0]=0;
 +                      (void)inet_ntop(af, sinaddr, dest,
 +                              (socklen_t)sizeof(dest));
 +                      verbose(v, "%s local %s", str, dest);
 +                      return; /* do not continue and try to get port */
 +              default: break;
 +      }
 +      if(inet_ntop(af, sinaddr, dest, (socklen_t)sizeof(dest)) == 0) {
 +              (void)strlcpy(dest, "(inet_ntop error)", sizeof(dest));
 +      }
 +      dest[sizeof(dest)-1] = 0;
 +      port = ntohs(((struct sockaddr_in*)addr)->sin_port);
 +      if(verbosity >= 4)
 +              verbose(v, "%s %s %s port %d (len %d)", str, family, dest, 
 +                      (int)port, (int)addrlen);
 +      else    verbose(v, "%s %s port %d", str, dest, (int)port);
 +}
 +
 +int 
 +extstrtoaddr(const char* str, struct sockaddr_storage* addr,
 +      socklen_t* addrlen)
 +{
 +      char* s;
 +      int port = UNBOUND_DNS_PORT;
 +      if((s=strchr(str, '@'))) {
 +              char buf[MAX_ADDR_STRLEN];
 +              if(s-str >= MAX_ADDR_STRLEN) {
 +                      return 0;
 +              }
 +              (void)strlcpy(buf, str, sizeof(buf));
 +              buf[s-str] = 0;
 +              port = atoi(s+1);
 +              if(port == 0 && strcmp(s+1,"0")!=0) {
 +                      return 0;
 +              }
 +              return ipstrtoaddr(buf, port, addr, addrlen);
 +      }
 +      return ipstrtoaddr(str, port, addr, addrlen);
 +}
 +
 +
 +int 
 +ipstrtoaddr(const char* ip, int port, struct sockaddr_storage* addr,
 +      socklen_t* addrlen)
 +{
 +      uint16_t p;
 +      if(!ip) return 0;
 +      p = (uint16_t) port;
 +      if(str_is_ip6(ip)) {
 +              char buf[MAX_ADDR_STRLEN];
 +              char* s;
 +              struct sockaddr_in6* sa = (struct sockaddr_in6*)addr;
 +              *addrlen = (socklen_t)sizeof(struct sockaddr_in6);
 +              memset(sa, 0, *addrlen);
 +              sa->sin6_family = AF_INET6;
 +              sa->sin6_port = (in_port_t)htons(p);
 +              if((s=strchr(ip, '%'))) { /* ip6%interface, rfc 4007 */
 +                      if(s-ip >= MAX_ADDR_STRLEN)
 +                              return 0;
 +                      (void)strlcpy(buf, ip, sizeof(buf));
 +                      buf[s-ip]=0;
 +                      sa->sin6_scope_id = (uint32_t)atoi(s+1);
 +                      ip = buf;
 +              }
 +              if(inet_pton((int)sa->sin6_family, ip, &sa->sin6_addr) <= 0) {
 +                      return 0;
 +              }
 +      } else { /* ip4 */
 +              struct sockaddr_in* sa = (struct sockaddr_in*)addr;
 +              *addrlen = (socklen_t)sizeof(struct sockaddr_in);
 +              memset(sa, 0, *addrlen);
 +              sa->sin_family = AF_INET;
 +              sa->sin_port = (in_port_t)htons(p);
 +              if(inet_pton((int)sa->sin_family, ip, &sa->sin_addr) <= 0) {
 +                      return 0;
 +              }
 +      }
 +      return 1;
 +}
 +
 +int netblockstrtoaddr(const char* str, int port, struct sockaddr_storage* addr,
 +        socklen_t* addrlen, int* net)
 +{
 +      char* s = NULL;
 +      *net = (str_is_ip6(str)?128:32);
 +      if((s=strchr(str, '/'))) {
 +              if(atoi(s+1) > *net) {
 +                      log_err("netblock too large: %s", str);
 +                      return 0;
 +              }
 +              *net = atoi(s+1);
 +              if(*net == 0 && strcmp(s+1, "0") != 0) {
 +                      log_err("cannot parse netblock: '%s'", str);
 +                      return 0;
 +              }
 +              if(!(s = strdup(str))) {
 +                      log_err("out of memory");
 +                      return 0;
 +              }
 +              *strchr(s, '/') = '\0';
 +      }
 +      if(!ipstrtoaddr(s?s:str, port, addr, addrlen)) {
 +              free(s);
 +              log_err("cannot parse ip address: '%s'", str);
 +              return 0;
 +      }
 +      if(s) {
 +              free(s);
 +              addr_mask(addr, *addrlen, *net);
 +      }
 +      return 1;
 +}
 +
 +void
 +log_nametypeclass(enum verbosity_value v, const char* str, uint8_t* name, 
 +      uint16_t type, uint16_t dclass)
 +{
 +      char buf[LDNS_MAX_DOMAINLEN+1];
 +      char t[12], c[12];
 +      const char *ts, *cs; 
 +      if(verbosity < v)
 +              return;
 +      dname_str(name, buf);
 +      if(type == LDNS_RR_TYPE_TSIG) ts = "TSIG";
 +      else if(type == LDNS_RR_TYPE_IXFR) ts = "IXFR";
 +      else if(type == LDNS_RR_TYPE_AXFR) ts = "AXFR";
 +      else if(type == LDNS_RR_TYPE_MAILB) ts = "MAILB";
 +      else if(type == LDNS_RR_TYPE_MAILA) ts = "MAILA";
 +      else if(type == LDNS_RR_TYPE_ANY) ts = "ANY";
 +      else if(sldns_rr_descript(type) && sldns_rr_descript(type)->_name)
 +              ts = sldns_rr_descript(type)->_name;
 +      else {
 +              snprintf(t, sizeof(t), "TYPE%d", (int)type);
 +              ts = t;
 +      }
 +      if(sldns_lookup_by_id(sldns_rr_classes, (int)dclass) &&
 +              sldns_lookup_by_id(sldns_rr_classes, (int)dclass)->name)
 +              cs = sldns_lookup_by_id(sldns_rr_classes, (int)dclass)->name;
 +      else {
 +              snprintf(c, sizeof(c), "CLASS%d", (int)dclass);
 +              cs = c;
 +      }
 +      log_info("%s %s %s %s", str, buf, ts, cs);
 +}
 +
 +void log_name_addr(enum verbosity_value v, const char* str, uint8_t* zone, 
 +      struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      uint16_t port;
 +      const char* family = "unknown_family ";
 +      char namebuf[LDNS_MAX_DOMAINLEN+1];
 +      char dest[100];
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      if(verbosity < v)
 +              return;
 +      switch(af) {
 +              case AF_INET: family=""; break;
 +              case AF_INET6: family="";
 +                      sinaddr = &((struct sockaddr_in6*)addr)->sin6_addr;
 +                      break;
 +              case AF_LOCAL: family="local "; break;
 +              default: break;
 +      }
 +      if(inet_ntop(af, sinaddr, dest, (socklen_t)sizeof(dest)) == 0) {
 +              (void)strlcpy(dest, "(inet_ntop error)", sizeof(dest));
 +      }
 +      dest[sizeof(dest)-1] = 0;
 +      port = ntohs(((struct sockaddr_in*)addr)->sin_port);
 +      dname_str(zone, namebuf);
 +      if(af != AF_INET && af != AF_INET6)
 +              verbose(v, "%s <%s> %s%s#%d (addrlen %d)",
 +                      str, namebuf, family, dest, (int)port, (int)addrlen);
 +      else    verbose(v, "%s <%s> %s%s#%d",
 +                      str, namebuf, family, dest, (int)port);
 +}
 +
 +void log_err_addr(const char* str, const char* err,
 +      struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      uint16_t port;
 +      char dest[100];
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      if(af == AF_INET6)
 +              sinaddr = &((struct sockaddr_in6*)addr)->sin6_addr;
 +      if(inet_ntop(af, sinaddr, dest, (socklen_t)sizeof(dest)) == 0) {
 +              (void)strlcpy(dest, "(inet_ntop error)", sizeof(dest));
 +      }
 +      dest[sizeof(dest)-1] = 0;
 +      port = ntohs(((struct sockaddr_in*)addr)->sin_port);
 +      if(verbosity >= 4)
 +              log_err("%s: %s for %s port %d (len %d)", str, err, dest,
 +                      (int)port, (int)addrlen);
 +      else    log_err("%s: %s for %s", str, err, dest);
 +}
 +
 +int
 +sockaddr_cmp(struct sockaddr_storage* addr1, socklen_t len1, 
 +      struct sockaddr_storage* addr2, socklen_t len2)
 +{
 +      struct sockaddr_in* p1_in = (struct sockaddr_in*)addr1;
 +      struct sockaddr_in* p2_in = (struct sockaddr_in*)addr2;
 +      struct sockaddr_in6* p1_in6 = (struct sockaddr_in6*)addr1;
 +      struct sockaddr_in6* p2_in6 = (struct sockaddr_in6*)addr2;
 +      if(len1 < len2)
 +              return -1;
 +      if(len1 > len2)
 +              return 1;
 +      log_assert(len1 == len2);
 +      if( p1_in->sin_family < p2_in->sin_family)
 +              return -1;
 +      if( p1_in->sin_family > p2_in->sin_family)
 +              return 1;
 +      log_assert( p1_in->sin_family == p2_in->sin_family );
 +      /* compare ip4 */
 +      if( p1_in->sin_family == AF_INET ) {
 +              /* just order it, ntohs not required */
 +              if(p1_in->sin_port < p2_in->sin_port)
 +                      return -1;
 +              if(p1_in->sin_port > p2_in->sin_port)
 +                      return 1;
 +              log_assert(p1_in->sin_port == p2_in->sin_port);
 +              return memcmp(&p1_in->sin_addr, &p2_in->sin_addr, INET_SIZE);
 +      } else if (p1_in6->sin6_family == AF_INET6) {
 +              /* just order it, ntohs not required */
 +              if(p1_in6->sin6_port < p2_in6->sin6_port)
 +                      return -1;
 +              if(p1_in6->sin6_port > p2_in6->sin6_port)
 +                      return 1;
 +              log_assert(p1_in6->sin6_port == p2_in6->sin6_port);
 +              return memcmp(&p1_in6->sin6_addr, &p2_in6->sin6_addr, 
 +                      INET6_SIZE);
 +      } else {
 +              /* eek unknown type, perform this comparison for sanity. */
 +              return memcmp(addr1, addr2, len1);
 +      }
 +}
 +
 +int
 +sockaddr_cmp_addr(struct sockaddr_storage* addr1, socklen_t len1, 
 +      struct sockaddr_storage* addr2, socklen_t len2)
 +{
 +      struct sockaddr_in* p1_in = (struct sockaddr_in*)addr1;
 +      struct sockaddr_in* p2_in = (struct sockaddr_in*)addr2;
 +      struct sockaddr_in6* p1_in6 = (struct sockaddr_in6*)addr1;
 +      struct sockaddr_in6* p2_in6 = (struct sockaddr_in6*)addr2;
 +      if(len1 < len2)
 +              return -1;
 +      if(len1 > len2)
 +              return 1;
 +      log_assert(len1 == len2);
 +      if( p1_in->sin_family < p2_in->sin_family)
 +              return -1;
 +      if( p1_in->sin_family > p2_in->sin_family)
 +              return 1;
 +      log_assert( p1_in->sin_family == p2_in->sin_family );
 +      /* compare ip4 */
 +      if( p1_in->sin_family == AF_INET ) {
 +              return memcmp(&p1_in->sin_addr, &p2_in->sin_addr, INET_SIZE);
 +      } else if (p1_in6->sin6_family == AF_INET6) {
 +              return memcmp(&p1_in6->sin6_addr, &p2_in6->sin6_addr, 
 +                      INET6_SIZE);
 +      } else {
 +              /* eek unknown type, perform this comparison for sanity. */
 +              return memcmp(addr1, addr2, len1);
 +      }
 +}
 +
 +int
 +addr_is_ip6(struct sockaddr_storage* addr, socklen_t len)
 +{
 +      if(len == (socklen_t)sizeof(struct sockaddr_in6) &&
 +              ((struct sockaddr_in6*)addr)->sin6_family == AF_INET6)
 +              return 1;
 +      else    return 0;
 +}
 +
 +void
 +addr_mask(struct sockaddr_storage* addr, socklen_t len, int net)
 +{
 +      uint8_t mask[8] = {0x0, 0x80, 0xc0, 0xe0, 0xf0, 0xf8, 0xfc, 0xfe};
 +      int i, max;
 +      uint8_t* s;
 +      if(addr_is_ip6(addr, len)) {
 +              s = (uint8_t*)&((struct sockaddr_in6*)addr)->sin6_addr;
 +              max = 128;
 +      } else {
 +              s = (uint8_t*)&((struct sockaddr_in*)addr)->sin_addr;
 +              max = 32;
 +      }
 +      if(net >= max)
 +              return;
 +      for(i=net/8+1; i<max/8; i++) {
 +              s[i] = 0;
 +      }
 +      s[net/8] &= mask[net&0x7];
 +}
 +
 +int
 +addr_in_common(struct sockaddr_storage* addr1, int net1,
 +      struct sockaddr_storage* addr2, int net2, socklen_t addrlen)
 +{
 +      int min = (net1<net2)?net1:net2;
 +      int i, to;
 +      int match = 0;
 +      uint8_t* s1, *s2;
 +      if(addr_is_ip6(addr1, addrlen)) {
 +              s1 = (uint8_t*)&((struct sockaddr_in6*)addr1)->sin6_addr;
 +              s2 = (uint8_t*)&((struct sockaddr_in6*)addr2)->sin6_addr;
 +              to = 16;
 +      } else {
 +              s1 = (uint8_t*)&((struct sockaddr_in*)addr1)->sin_addr;
 +              s2 = (uint8_t*)&((struct sockaddr_in*)addr2)->sin_addr;
 +              to = 4;
 +      }
 +      /* match = bits_in_common(s1, s2, to); */
 +      for(i=0; i<to; i++) {
 +              if(s1[i] == s2[i]) {
 +                      match += 8;
 +              } else {
 +                      uint8_t z = s1[i]^s2[i];
 +                      log_assert(z);
 +                      while(!(z&0x80)) {
 +                              match++;
 +                              z<<=1;
 +                      }
 +                      break;
 +              }
 +      }
 +      if(match > min) match = min;
 +      return match;
 +}
 +
 +void 
 +addr_to_str(struct sockaddr_storage* addr, socklen_t addrlen, 
 +      char* buf, size_t len)
 +{
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      if(addr_is_ip6(addr, addrlen))
 +              sinaddr = &((struct sockaddr_in6*)addr)->sin6_addr;
 +      if(inet_ntop(af, sinaddr, buf, (socklen_t)len) == 0) {
 +              snprintf(buf, len, "(inet_ntop_error)");
 +      }
 +}
 +
 +int 
 +addr_is_ip4mapped(struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      /* prefix for ipv4 into ipv6 mapping is ::ffff:x.x.x.x */
 +      const uint8_t map_prefix[16] = 
 +              {0,0,0,0,  0,0,0,0, 0,0,0xff,0xff, 0,0,0,0};
 +      uint8_t* s;
 +      if(!addr_is_ip6(addr, addrlen))
 +              return 0;
 +      /* s is 16 octet ipv6 address string */
 +      s = (uint8_t*)&((struct sockaddr_in6*)addr)->sin6_addr;
 +      return (memcmp(s, map_prefix, 12) == 0);
 +}
 +
 +int addr_is_broadcast(struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      return af == AF_INET && addrlen>=(socklen_t)sizeof(struct sockaddr_in)
 +              && memcmp(sinaddr, "\377\377\377\377", 4) == 0;
 +}
 +
 +int addr_is_any(struct sockaddr_storage* addr, socklen_t addrlen)
 +{
 +      int af = (int)((struct sockaddr_in*)addr)->sin_family;
 +      void* sinaddr = &((struct sockaddr_in*)addr)->sin_addr;
 +      void* sin6addr = &((struct sockaddr_in6*)addr)->sin6_addr;
 +      if(af == AF_INET && addrlen>=(socklen_t)sizeof(struct sockaddr_in)
 +              && memcmp(sinaddr, "\000\000\000\000", 4) == 0)
 +              return 1;
 +      else if(af==AF_INET6 && addrlen>=(socklen_t)sizeof(struct sockaddr_in6)
 +              && memcmp(sin6addr, "\000\000\000\000\000\000\000\000"
 +              "\000\000\000\000\000\000\000\000", 16) == 0)
 +              return 1;
 +      return 0;
 +}
 +
 +void sock_list_insert(struct sock_list** list, struct sockaddr_storage* addr,
 +      socklen_t len, struct regional* region)
 +{
 +      struct sock_list* add = (struct sock_list*)regional_alloc(region,
 +              sizeof(*add) - sizeof(add->addr) + (size_t)len);
 +      if(!add) {
 +              log_err("out of memory in socketlist insert");
 +              return;
 +      }
 +      log_assert(list);
 +      add->next = *list;
 +      add->len = len;
 +      *list = add;
 +      if(len) memmove(&add->addr, addr, len);
 +}
 +
 +void sock_list_prepend(struct sock_list** list, struct sock_list* add)
 +{
 +      struct sock_list* last = add;
 +      if(!last) 
 +              return;
 +      while(last->next)
 +              last = last->next;
 +      last->next = *list;
 +      *list = add;
 +}
 +
 +int sock_list_find(struct sock_list* list, struct sockaddr_storage* addr,
 +        socklen_t len)
 +{
 +      while(list) {
 +              if(len == list->len) {
 +                      if(len == 0 || sockaddr_cmp_addr(addr, len, 
 +                              &list->addr, list->len) == 0)
 +                              return 1;
 +              }
 +              list = list->next;
 +      }
 +      return 0;
 +}
 +
 +void sock_list_merge(struct sock_list** list, struct regional* region,
 +      struct sock_list* add)
 +{
 +      struct sock_list* p;
 +      for(p=add; p; p=p->next) {
 +              if(!sock_list_find(*list, &p->addr, p->len))
 +                      sock_list_insert(list, &p->addr, p->len, region);
 +      }
 +}
 +
 +void
 +log_crypto_err(const char* str)
 +{
 +#ifdef HAVE_SSL
 +      /* error:[error code]:[library name]:[function name]:[reason string] */
 +      char buf[128];
 +      unsigned long e;
 +      ERR_error_string_n(ERR_get_error(), buf, sizeof(buf));
 +      log_err("%s crypto %s", str, buf);
 +      while( (e=ERR_get_error()) ) {
 +              ERR_error_string_n(e, buf, sizeof(buf));
 +              log_err("and additionally crypto %s", buf);
 +      }
 +#else
 +      (void)str;
 +#endif /* HAVE_SSL */
 +}
 +
 +void* listen_sslctx_create(char* key, char* pem, char* verifypem)
 +{
 +#ifdef HAVE_SSL
 +      SSL_CTX* ctx = SSL_CTX_new(SSLv23_server_method());
 +      if(!ctx) {
 +              log_crypto_err("could not SSL_CTX_new");
 +              return NULL;
 +      }
 +      /* no SSLv2, SSLv3 because has defects */
 +      if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) & SSL_OP_NO_SSLv2)){
 +              log_crypto_err("could not set SSL_OP_NO_SSLv2");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv3) & SSL_OP_NO_SSLv3)){
 +              log_crypto_err("could not set SSL_OP_NO_SSLv3");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(!SSL_CTX_use_certificate_file(ctx, pem, SSL_FILETYPE_PEM)) {
 +              log_err("error for cert file: %s", pem);
 +              log_crypto_err("error in SSL_CTX use_certificate_file");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(!SSL_CTX_use_PrivateKey_file(ctx, key, SSL_FILETYPE_PEM)) {
 +              log_err("error for private key file: %s", key);
 +              log_crypto_err("Error in SSL_CTX use_PrivateKey_file");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(!SSL_CTX_check_private_key(ctx)) {
 +              log_err("error for key file: %s", key);
 +              log_crypto_err("Error in SSL_CTX check_private_key");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +
 +      if(verifypem && verifypem[0]) {
 +              if(!SSL_CTX_load_verify_locations(ctx, verifypem, NULL)) {
 +                      log_crypto_err("Error in SSL_CTX verify locations");
 +                      SSL_CTX_free(ctx);
 +                      return NULL;
 +              }
 +              SSL_CTX_set_client_CA_list(ctx, SSL_load_client_CA_file(
 +                      verifypem));
 +              SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
 +      }
 +      return ctx;
 +#else
 +      (void)key; (void)pem; (void)verifypem;
 +      return NULL;
 +#endif
 +}
 +
 +void* connect_sslctx_create(char* key, char* pem, char* verifypem)
 +{
 +#ifdef HAVE_SSL
 +      SSL_CTX* ctx = SSL_CTX_new(SSLv23_client_method());
 +      if(!ctx) {
 +              log_crypto_err("could not allocate SSL_CTX pointer");
 +              return NULL;
 +      }
 +      if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv2) & SSL_OP_NO_SSLv2)) {
 +              log_crypto_err("could not set SSL_OP_NO_SSLv2");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(!(SSL_CTX_set_options(ctx, SSL_OP_NO_SSLv3) & SSL_OP_NO_SSLv3)) {
 +              log_crypto_err("could not set SSL_OP_NO_SSLv3");
 +              SSL_CTX_free(ctx);
 +              return NULL;
 +      }
 +      if(key && key[0]) {
 +              if(!SSL_CTX_use_certificate_file(ctx, pem, SSL_FILETYPE_PEM)) {
 +                      log_err("error in client certificate %s", pem);
 +                      log_crypto_err("error in certificate file");
 +                      SSL_CTX_free(ctx);
 +                      return NULL;
 +              }
 +              if(!SSL_CTX_use_PrivateKey_file(ctx, key, SSL_FILETYPE_PEM)) {
 +                      log_err("error in client private key %s", key);
 +                      log_crypto_err("error in key file");
 +                      SSL_CTX_free(ctx);
 +                      return NULL;
 +              }
 +              if(!SSL_CTX_check_private_key(ctx)) {
 +                      log_err("error in client key %s", key);
 +                      log_crypto_err("error in SSL_CTX_check_private_key");
 +                      SSL_CTX_free(ctx);
 +                      return NULL;
 +              }
 +      }
 +      if(verifypem && verifypem[0]) {
 +              if(!SSL_CTX_load_verify_locations(ctx, verifypem, NULL)) {
 +                      log_crypto_err("error in SSL_CTX verify");
 +                      SSL_CTX_free(ctx);
 +                      return NULL;
 +              }
 +              SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
 +      }
 +      return ctx;
 +#else
 +      (void)key; (void)pem; (void)verifypem;
 +      return NULL;
 +#endif
 +}
 +
 +void* incoming_ssl_fd(void* sslctx, int fd)
 +{
 +#ifdef HAVE_SSL
 +      SSL* ssl = SSL_new((SSL_CTX*)sslctx);
 +      if(!ssl) {
 +              log_crypto_err("could not SSL_new");
 +              return NULL;
 +      }
 +      SSL_set_accept_state(ssl);
 +      (void)SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
 +      if(!SSL_set_fd(ssl, fd)) {
 +              log_crypto_err("could not SSL_set_fd");
 +              SSL_free(ssl);
 +              return NULL;
 +      }
 +      return ssl;
 +#else
 +      (void)sslctx; (void)fd;
 +      return NULL;
 +#endif
 +}
 +
 +void* outgoing_ssl_fd(void* sslctx, int fd)
 +{
 +#ifdef HAVE_SSL
 +      SSL* ssl = SSL_new((SSL_CTX*)sslctx);
 +      if(!ssl) {
 +              log_crypto_err("could not SSL_new");
 +              return NULL;
 +      }
 +      SSL_set_connect_state(ssl);
 +      (void)SSL_set_mode(ssl, SSL_MODE_AUTO_RETRY);
 +      if(!SSL_set_fd(ssl, fd)) {
 +              log_crypto_err("could not SSL_set_fd");
 +              SSL_free(ssl);
 +              return NULL;
 +      }
 +      return ssl;
 +#else
 +      (void)sslctx; (void)fd;
 +      return NULL;
 +#endif
 +}
 +
 +#if defined(HAVE_SSL) && defined(OPENSSL_THREADS) && !defined(THREADS_DISABLED)
 +/** global lock list for openssl locks */
 +static lock_basic_t *ub_openssl_locks = NULL;
 +
 +/** callback that gets thread id for openssl */
 +static unsigned long
 +ub_crypto_id_cb(void)
 +{
-       ub_openssl_locks = (lock_basic_t*)malloc(
-               sizeof(lock_basic_t)*CRYPTO_num_locks());
++      return (unsigned long)log_thread_get();
 +}
 +
 +static void
 +ub_crypto_lock_cb(int mode, int type, const char *ATTR_UNUSED(file),
 +      int ATTR_UNUSED(line))
 +{
 +      if((mode&CRYPTO_LOCK)) {
 +              lock_basic_lock(&ub_openssl_locks[type]);
 +      } else {
 +              lock_basic_unlock(&ub_openssl_locks[type]);
 +      }
 +}
 +#endif /* OPENSSL_THREADS */
 +
 +int ub_openssl_lock_init(void)
 +{
 +#if defined(HAVE_SSL) && defined(OPENSSL_THREADS) && !defined(THREADS_DISABLED)
 +      int i;
++      ub_openssl_locks = (lock_basic_t*)reallocarray(
++              NULL, (size_t)CRYPTO_num_locks(), sizeof(lock_basic_t));
 +      if(!ub_openssl_locks)
 +              return 0;
 +      for(i=0; i<CRYPTO_num_locks(); i++) {
 +              lock_basic_init(&ub_openssl_locks[i]);
 +      }
 +      CRYPTO_set_id_callback(&ub_crypto_id_cb);
 +      CRYPTO_set_locking_callback(&ub_crypto_lock_cb);
 +#endif /* OPENSSL_THREADS */
 +      return 1;
 +}
 +
 +void ub_openssl_lock_delete(void)
 +{
 +#if defined(HAVE_SSL) && defined(OPENSSL_THREADS) && !defined(THREADS_DISABLED)
 +      int i;
 +      if(!ub_openssl_locks)
 +              return;
 +      CRYPTO_set_id_callback(NULL);
 +      CRYPTO_set_locking_callback(NULL);
 +      for(i=0; i<CRYPTO_num_locks(); i++) {
 +              lock_basic_destroy(&ub_openssl_locks[i]);
 +      }
 +      free(ub_openssl_locks);
 +#endif /* OPENSSL_THREADS */
 +}
 +
diff --cc contrib/unbound/util/netevent.c
index c7ed30e6cd45967766d4b54743e692f5793069c9,0000000000000000000000000000000000000000..3bb8948889c58b5b6cb21b9bdc92a94888d5bdf9
mode 100644,000000..100644
--- 1/contrib/unbound/util/netevent.c
--- /dev/null
+++ b/contrib/unbound/util/netevent.c
@@@ -1,2217 -1,0 +1,2233 @@@
- #include "ldns/pkthdr.h"
- #include "ldns/sbuffer.h"
 +/*
 + * util/netevent.c - event notification
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains event notification functions.
 + */
 +#include "config.h"
 +#include "util/netevent.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/fptr_wlist.h"
-       /* addr is dropped. Not needed for tcp reply. */
++#include "sldns/pkthdr.h"
++#include "sldns/sbuffer.h"
 +#include "dnstap/dnstap.h"
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include <openssl/ssl.h>
 +#endif
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +/* -------- Start of local definitions -------- */
 +/** if CMSG_ALIGN is not defined on this platform, a workaround */
 +#ifndef CMSG_ALIGN
 +#  ifdef _CMSG_DATA_ALIGN
 +#    define CMSG_ALIGN _CMSG_DATA_ALIGN
 +#  else
 +#    define CMSG_ALIGN(len) (((len)+sizeof(long)-1) & ~(sizeof(long)-1))
 +#  endif
 +#endif
 +
 +/** if CMSG_LEN is not defined on this platform, a workaround */
 +#ifndef CMSG_LEN
 +#  define CMSG_LEN(len) (CMSG_ALIGN(sizeof(struct cmsghdr))+(len))
 +#endif
 +
 +/** if CMSG_SPACE is not defined on this platform, a workaround */
 +#ifndef CMSG_SPACE
 +#  ifdef _CMSG_HDR_ALIGN
 +#    define CMSG_SPACE(l) (CMSG_ALIGN(l)+_CMSG_HDR_ALIGN(sizeof(struct cmsghdr)))
 +#  else
 +#    define CMSG_SPACE(l) (CMSG_ALIGN(l)+CMSG_ALIGN(sizeof(struct cmsghdr)))
 +#  endif
 +#endif
 +
 +/** The TCP reading or writing query timeout in seconds */
 +#define TCP_QUERY_TIMEOUT 120 
 +
 +#ifndef NONBLOCKING_IS_BROKEN
 +/** number of UDP reads to perform per read indication from select */
 +#define NUM_UDP_PER_SELECT 100
 +#else
 +#define NUM_UDP_PER_SELECT 1
 +#endif
 +
 +/* We define libevent structures here to hide the libevent stuff. */
 +
 +#ifdef USE_MINI_EVENT
 +#  ifdef USE_WINSOCK
 +#    include "util/winsock_event.h"
 +#  else
 +#    include "util/mini_event.h"
 +#  endif /* USE_WINSOCK */
 +#else /* USE_MINI_EVENT */
 +   /* we use libevent */
 +#  ifdef HAVE_EVENT_H
 +#    include <event.h>
 +#  else
 +#    include "event2/event.h"
 +#    include "event2/event_struct.h"
 +#    include "event2/event_compat.h"
 +#  endif
 +#endif /* USE_MINI_EVENT */
 +
 +/**
 + * The internal event structure for keeping libevent info for the event.
 + * Possibly other structures (list, tree) this is part of.
 + */
 +struct internal_event {
 +      /** the comm base */
 +      struct comm_base* base;
 +      /** libevent event type, alloced here */
 +      struct event ev;
 +};
 +
 +/**
 + * Internal base structure, so that every thread has its own events.
 + */
 +struct internal_base {
 +      /** libevent event_base type. */
 +      struct event_base* base;
 +      /** seconds time pointer points here */
 +      time_t secs;
 +      /** timeval with current time */
 +      struct timeval now;
 +      /** the event used for slow_accept timeouts */
 +      struct event slow_accept;
 +      /** true if slow_accept is enabled */
 +      int slow_accept_enabled;
 +};
 +
 +/**
 + * Internal timer structure, to store timer event in.
 + */
 +struct internal_timer {
 +      /** the comm base */
 +      struct comm_base* base;
 +      /** libevent event type, alloced here */
 +      struct event ev;
 +      /** is timer enabled */
 +      uint8_t enabled;
 +};
 +
 +/**
 + * Internal signal structure, to store signal event in.
 + */
 +struct internal_signal {
 +      /** libevent event type, alloced here */
 +      struct event ev;
 +      /** next in signal list */
 +      struct internal_signal* next;
 +};
 +
 +/** create a tcp handler with a parent */
 +static struct comm_point* comm_point_create_tcp_handler(
 +      struct comm_base *base, struct comm_point* parent, size_t bufsize,
 +        comm_point_callback_t* callback, void* callback_arg);
 +
 +/* -------- End of local definitions -------- */
 +
 +#ifdef USE_MINI_EVENT
 +/** minievent updates the time when it blocks. */
 +#define comm_base_now(x) /* nothing to do */
 +#else /* !USE_MINI_EVENT */
 +/** fillup the time values in the event base */
 +static void
 +comm_base_now(struct comm_base* b)
 +{
 +      if(gettimeofday(&b->eb->now, NULL) < 0) {
 +              log_err("gettimeofday: %s", strerror(errno));
 +      }
 +      b->eb->secs = (time_t)b->eb->now.tv_sec;
 +}
 +#endif /* USE_MINI_EVENT */
 +
 +struct comm_base* 
 +comm_base_create(int sigs)
 +{
 +      struct comm_base* b = (struct comm_base*)calloc(1,
 +              sizeof(struct comm_base));
 +      if(!b)
 +              return NULL;
 +      b->eb = (struct internal_base*)calloc(1, sizeof(struct internal_base));
 +      if(!b->eb) {
 +              free(b);
 +              return NULL;
 +      }
 +#ifdef USE_MINI_EVENT
 +      (void)sigs;
 +      /* use mini event time-sharing feature */
 +      b->eb->base = event_init(&b->eb->secs, &b->eb->now);
 +#else
 +#  if defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)
 +      /* libev */
 +      if(sigs)
 +              b->eb->base=(struct event_base *)ev_default_loop(EVFLAG_AUTO);
 +      else
 +              b->eb->base=(struct event_base *)ev_loop_new(EVFLAG_AUTO);
 +#  else
 +      (void)sigs;
 +#    ifdef HAVE_EVENT_BASE_NEW
 +      b->eb->base = event_base_new();
 +#    else
 +      b->eb->base = event_init();
 +#    endif
 +#  endif
 +#endif
 +      if(!b->eb->base) {
 +              free(b->eb);
 +              free(b);
 +              return NULL;
 +      }
 +      comm_base_now(b);
 +      /* avoid event_get_method call which causes crashes even when
 +       * not printing, because its result is passed */
 +      verbose(VERB_ALGO, 
 +#if defined(HAVE_EV_LOOP) || defined(HAVE_EV_DEFAULT_LOOP)
 +              "libev"
 +#elif defined(USE_MINI_EVENT)
 +              "event "
 +#else
 +              "libevent "
 +#endif
 +              "%s uses %s method.", 
 +              event_get_version(), 
 +#ifdef HAVE_EVENT_BASE_GET_METHOD
 +              event_base_get_method(b->eb->base)
 +#else
 +              "not_obtainable"
 +#endif
 +      );
 +      return b;
 +}
 +
 +struct comm_base*
 +comm_base_create_event(struct event_base* base)
 +{
 +      struct comm_base* b = (struct comm_base*)calloc(1,
 +              sizeof(struct comm_base));
 +      if(!b)
 +              return NULL;
 +      b->eb = (struct internal_base*)calloc(1, sizeof(struct internal_base));
 +      if(!b->eb) {
 +              free(b);
 +              return NULL;
 +      }
 +      b->eb->base = base;
 +      comm_base_now(b);
 +      return b;
 +}
 +
 +void 
 +comm_base_delete(struct comm_base* b)
 +{
 +      if(!b)
 +              return;
 +      if(b->eb->slow_accept_enabled) {
 +              if(event_del(&b->eb->slow_accept) != 0) {
 +                      log_err("could not event_del slow_accept");
 +              }
 +      }
 +#ifdef USE_MINI_EVENT
 +      event_base_free(b->eb->base);
 +#elif defined(HAVE_EVENT_BASE_FREE) && defined(HAVE_EVENT_BASE_ONCE)
 +      /* only libevent 1.2+ has it, but in 1.2 it is broken - 
 +         assertion fails on signal handling ev that is not deleted
 +         in libevent 1.3c (event_base_once appears) this is fixed. */
 +      event_base_free(b->eb->base);
 +#endif /* HAVE_EVENT_BASE_FREE and HAVE_EVENT_BASE_ONCE */
 +      b->eb->base = NULL;
 +      free(b->eb);
 +      free(b);
 +}
 +
 +void 
 +comm_base_delete_no_base(struct comm_base* b)
 +{
 +      if(!b)
 +              return;
 +      if(b->eb->slow_accept_enabled) {
 +              if(event_del(&b->eb->slow_accept) != 0) {
 +                      log_err("could not event_del slow_accept");
 +              }
 +      }
 +      b->eb->base = NULL;
 +      free(b->eb);
 +      free(b);
 +}
 +
 +void 
 +comm_base_timept(struct comm_base* b, time_t** tt, struct timeval** tv)
 +{
 +      *tt = &b->eb->secs;
 +      *tv = &b->eb->now;
 +}
 +
 +void 
 +comm_base_dispatch(struct comm_base* b)
 +{
 +      int retval;
 +      retval = event_base_dispatch(b->eb->base);
 +      if(retval != 0) {
 +              fatal_exit("event_dispatch returned error %d, "
 +                      "errno is %s", retval, strerror(errno));
 +      }
 +}
 +
 +void comm_base_exit(struct comm_base* b)
 +{
 +      if(event_base_loopexit(b->eb->base, NULL) != 0) {
 +              log_err("Could not loopexit");
 +      }
 +}
 +
 +void comm_base_set_slow_accept_handlers(struct comm_base* b,
 +      void (*stop_acc)(void*), void (*start_acc)(void*), void* arg)
 +{
 +      b->stop_accept = stop_acc;
 +      b->start_accept = start_acc;
 +      b->cb_arg = arg;
 +}
 +
 +struct event_base* comm_base_internal(struct comm_base* b)
 +{
 +      return b->eb->base;
 +}
 +
 +/** see if errno for udp has to be logged or not uses globals */
 +static int
 +udp_send_errno_needs_log(struct sockaddr* addr, socklen_t addrlen)
 +{
 +      /* do not log transient errors (unless high verbosity) */
 +#if defined(ENETUNREACH) || defined(EHOSTDOWN) || defined(EHOSTUNREACH) || defined(ENETDOWN)
 +      switch(errno) {
 +#  ifdef ENETUNREACH
 +              case ENETUNREACH:
 +#  endif
 +#  ifdef EHOSTDOWN
 +              case EHOSTDOWN:
 +#  endif
 +#  ifdef EHOSTUNREACH
 +              case EHOSTUNREACH:
 +#  endif
 +#  ifdef ENETDOWN
 +              case ENETDOWN:
 +#  endif
 +                      if(verbosity < VERB_ALGO)
 +                              return 0;
 +              default:
 +                      break;
 +      }
 +#endif
 +      /* permission denied is gotten for every send if the
 +       * network is disconnected (on some OS), squelch it */
 +      if(errno == EPERM && verbosity < VERB_DETAIL)
 +              return 0;
 +      /* squelch errors where people deploy AAAA ::ffff:bla for
 +       * authority servers, which we try for intranets. */
 +      if(errno == EINVAL && addr_is_ip4mapped(
 +              (struct sockaddr_storage*)addr, addrlen) &&
 +              verbosity < VERB_DETAIL)
 +              return 0;
 +      /* SO_BROADCAST sockopt can give access to 255.255.255.255,
 +       * but a dns cache does not need it. */
 +      if(errno == EACCES && addr_is_broadcast(
 +              (struct sockaddr_storage*)addr, addrlen) &&
 +              verbosity < VERB_DETAIL)
 +              return 0;
 +      return 1;
 +}
 +
 +int tcp_connect_errno_needs_log(struct sockaddr* addr, socklen_t addrlen)
 +{
 +      return udp_send_errno_needs_log(addr, addrlen);
 +}
 +
 +/* send a UDP reply */
 +int
 +comm_point_send_udp_msg(struct comm_point *c, sldns_buffer* packet,
 +      struct sockaddr* addr, socklen_t addrlen) 
 +{
 +      ssize_t sent;
 +      log_assert(c->fd != -1);
 +#ifdef UNBOUND_DEBUG
 +      if(sldns_buffer_remaining(packet) == 0)
 +              log_err("error: send empty UDP packet");
 +#endif
 +      log_assert(addr && addrlen > 0);
 +      sent = sendto(c->fd, (void*)sldns_buffer_begin(packet), 
 +              sldns_buffer_remaining(packet), 0,
 +              addr, addrlen);
 +      if(sent == -1) {
 +              if(!udp_send_errno_needs_log(addr, addrlen))
 +                      return 0;
 +#ifndef USE_WINSOCK
 +              verbose(VERB_OPS, "sendto failed: %s", strerror(errno));
 +#else
 +              verbose(VERB_OPS, "sendto failed: %s", 
 +                      wsa_strerror(WSAGetLastError()));
 +#endif
 +              log_addr(VERB_OPS, "remote address is", 
 +                      (struct sockaddr_storage*)addr, addrlen);
 +              return 0;
 +      } else if((size_t)sent != sldns_buffer_remaining(packet)) {
 +              log_err("sent %d in place of %d bytes", 
 +                      (int)sent, (int)sldns_buffer_remaining(packet));
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +#if defined(AF_INET6) && defined(IPV6_PKTINFO) && (defined(HAVE_RECVMSG) || defined(HAVE_SENDMSG))
 +/** print debug ancillary info */
 +static void p_ancil(const char* str, struct comm_reply* r)
 +{
 +      if(r->srctype != 4 && r->srctype != 6) {
 +              log_info("%s: unknown srctype %d", str, r->srctype);
 +              return;
 +      }
 +      if(r->srctype == 6) {
 +              char buf[1024];
 +              if(inet_ntop(AF_INET6, &r->pktinfo.v6info.ipi6_addr, 
 +                      buf, (socklen_t)sizeof(buf)) == 0) {
 +                      (void)strlcpy(buf, "(inet_ntop error)", sizeof(buf));
 +              }
 +              buf[sizeof(buf)-1]=0;
 +              log_info("%s: %s %d", str, buf, r->pktinfo.v6info.ipi6_ifindex);
 +      } else if(r->srctype == 4) {
 +#ifdef IP_PKTINFO
 +              char buf1[1024], buf2[1024];
 +              if(inet_ntop(AF_INET, &r->pktinfo.v4info.ipi_addr, 
 +                      buf1, (socklen_t)sizeof(buf1)) == 0) {
 +                      (void)strlcpy(buf1, "(inet_ntop error)", sizeof(buf1));
 +              }
 +              buf1[sizeof(buf1)-1]=0;
 +#ifdef HAVE_STRUCT_IN_PKTINFO_IPI_SPEC_DST
 +              if(inet_ntop(AF_INET, &r->pktinfo.v4info.ipi_spec_dst, 
 +                      buf2, (socklen_t)sizeof(buf2)) == 0) {
 +                      (void)strlcpy(buf2, "(inet_ntop error)", sizeof(buf2));
 +              }
 +              buf2[sizeof(buf2)-1]=0;
 +#else
 +              buf2[0]=0;
 +#endif
 +              log_info("%s: %d %s %s", str, r->pktinfo.v4info.ipi_ifindex,
 +                      buf1, buf2);
 +#elif defined(IP_RECVDSTADDR)
 +              char buf1[1024];
 +              if(inet_ntop(AF_INET, &r->pktinfo.v4addr, 
 +                      buf1, (socklen_t)sizeof(buf1)) == 0) {
 +                      (void)strlcpy(buf1, "(inet_ntop error)", sizeof(buf1));
 +              }
 +              buf1[sizeof(buf1)-1]=0;
 +              log_info("%s: %s", str, buf1);
 +#endif /* IP_PKTINFO or PI_RECVDSTDADDR */
 +      }
 +}
 +#endif /* AF_INET6 && IPV6_PKTINFO && HAVE_RECVMSG||HAVE_SENDMSG */
 +
 +/** send a UDP reply over specified interface*/
 +static int
 +comm_point_send_udp_msg_if(struct comm_point *c, sldns_buffer* packet,
 +      struct sockaddr* addr, socklen_t addrlen, struct comm_reply* r) 
 +{
 +#if defined(AF_INET6) && defined(IPV6_PKTINFO) && defined(HAVE_SENDMSG)
 +      ssize_t sent;
 +      struct msghdr msg;
 +      struct iovec iov[1];
 +      char control[256];
 +#ifndef S_SPLINT_S
 +      struct cmsghdr *cmsg;
 +#endif /* S_SPLINT_S */
 +
 +      log_assert(c->fd != -1);
 +#ifdef UNBOUND_DEBUG
 +      if(sldns_buffer_remaining(packet) == 0)
 +              log_err("error: send empty UDP packet");
 +#endif
 +      log_assert(addr && addrlen > 0);
 +
 +      msg.msg_name = addr;
 +      msg.msg_namelen = addrlen;
 +      iov[0].iov_base = sldns_buffer_begin(packet);
 +      iov[0].iov_len = sldns_buffer_remaining(packet);
 +      msg.msg_iov = iov;
 +      msg.msg_iovlen = 1;
 +      msg.msg_control = control;
 +#ifndef S_SPLINT_S
 +      msg.msg_controllen = sizeof(control);
 +#endif /* S_SPLINT_S */
 +      msg.msg_flags = 0;
 +
 +#ifndef S_SPLINT_S
 +      cmsg = CMSG_FIRSTHDR(&msg);
 +      if(r->srctype == 4) {
 +#ifdef IP_PKTINFO
++              void* cmsg_data;
 +              msg.msg_controllen = CMSG_SPACE(sizeof(struct in_pktinfo));
 +              log_assert(msg.msg_controllen <= sizeof(control));
 +              cmsg->cmsg_level = IPPROTO_IP;
 +              cmsg->cmsg_type = IP_PKTINFO;
 +              memmove(CMSG_DATA(cmsg), &r->pktinfo.v4info,
 +                      sizeof(struct in_pktinfo));
++              /* unset the ifindex to not bypass the routing tables */
++              cmsg_data = CMSG_DATA(cmsg);
++              ((struct in_pktinfo *) cmsg_data)->ipi_ifindex = 0;
 +              cmsg->cmsg_len = CMSG_LEN(sizeof(struct in_pktinfo));
 +#elif defined(IP_SENDSRCADDR)
 +              msg.msg_controllen = CMSG_SPACE(sizeof(struct in_addr));
 +              log_assert(msg.msg_controllen <= sizeof(control));
 +              cmsg->cmsg_level = IPPROTO_IP;
 +              cmsg->cmsg_type = IP_SENDSRCADDR;
 +              memmove(CMSG_DATA(cmsg), &r->pktinfo.v4addr,
 +                      sizeof(struct in_addr));
 +              cmsg->cmsg_len = CMSG_LEN(sizeof(struct in_addr));
 +#else
 +              verbose(VERB_ALGO, "no IP_PKTINFO or IP_SENDSRCADDR");
 +              msg.msg_control = NULL;
 +#endif /* IP_PKTINFO or IP_SENDSRCADDR */
 +      } else if(r->srctype == 6) {
++              void* cmsg_data;
 +              msg.msg_controllen = CMSG_SPACE(sizeof(struct in6_pktinfo));
 +              log_assert(msg.msg_controllen <= sizeof(control));
 +              cmsg->cmsg_level = IPPROTO_IPV6;
 +              cmsg->cmsg_type = IPV6_PKTINFO;
 +              memmove(CMSG_DATA(cmsg), &r->pktinfo.v6info,
 +                      sizeof(struct in6_pktinfo));
++              /* unset the ifindex to not bypass the routing tables */
++              cmsg_data = CMSG_DATA(cmsg);
++              ((struct in6_pktinfo *) cmsg_data)->ipi6_ifindex = 0;
 +              cmsg->cmsg_len = CMSG_LEN(sizeof(struct in6_pktinfo));
 +      } else {
 +              /* try to pass all 0 to use default route */
 +              msg.msg_controllen = CMSG_SPACE(sizeof(struct in6_pktinfo));
 +              log_assert(msg.msg_controllen <= sizeof(control));
 +              cmsg->cmsg_level = IPPROTO_IPV6;
 +              cmsg->cmsg_type = IPV6_PKTINFO;
 +              memset(CMSG_DATA(cmsg), 0, sizeof(struct in6_pktinfo));
 +              cmsg->cmsg_len = CMSG_LEN(sizeof(struct in6_pktinfo));
 +      }
 +#endif /* S_SPLINT_S */
 +      if(verbosity >= VERB_ALGO)
 +              p_ancil("send_udp over interface", r);
 +      sent = sendmsg(c->fd, &msg, 0);
 +      if(sent == -1) {
 +              if(!udp_send_errno_needs_log(addr, addrlen))
 +                      return 0;
 +              verbose(VERB_OPS, "sendmsg failed: %s", strerror(errno));
 +              log_addr(VERB_OPS, "remote address is", 
 +                      (struct sockaddr_storage*)addr, addrlen);
 +              return 0;
 +      } else if((size_t)sent != sldns_buffer_remaining(packet)) {
 +              log_err("sent %d in place of %d bytes", 
 +                      (int)sent, (int)sldns_buffer_remaining(packet));
 +              return 0;
 +      }
 +      return 1;
 +#else
 +      (void)c;
 +      (void)packet;
 +      (void)addr;
 +      (void)addrlen;
 +      (void)r;
 +      log_err("sendmsg: IPV6_PKTINFO not supported");
 +      return 0;
 +#endif /* AF_INET6 && IPV6_PKTINFO && HAVE_SENDMSG */
 +}
 +
 +void 
 +comm_point_udp_ancil_callback(int fd, short event, void* arg)
 +{
 +#if defined(AF_INET6) && defined(IPV6_PKTINFO) && defined(HAVE_RECVMSG)
 +      struct comm_reply rep;
 +      struct msghdr msg;
 +      struct iovec iov[1];
 +      ssize_t rcv;
 +      char ancil[256];
 +      int i;
 +#ifndef S_SPLINT_S
 +      struct cmsghdr* cmsg;
 +#endif /* S_SPLINT_S */
 +
 +      rep.c = (struct comm_point*)arg;
 +      log_assert(rep.c->type == comm_udp);
 +
 +      if(!(event&EV_READ))
 +              return;
 +      log_assert(rep.c && rep.c->buffer && rep.c->fd == fd);
 +      comm_base_now(rep.c->ev->base);
 +      for(i=0; i<NUM_UDP_PER_SELECT; i++) {
 +              sldns_buffer_clear(rep.c->buffer);
 +              rep.addrlen = (socklen_t)sizeof(rep.addr);
 +              log_assert(fd != -1);
 +              log_assert(sldns_buffer_remaining(rep.c->buffer) > 0);
 +              msg.msg_name = &rep.addr;
 +              msg.msg_namelen = (socklen_t)sizeof(rep.addr);
 +              iov[0].iov_base = sldns_buffer_begin(rep.c->buffer);
 +              iov[0].iov_len = sldns_buffer_remaining(rep.c->buffer);
 +              msg.msg_iov = iov;
 +              msg.msg_iovlen = 1;
 +              msg.msg_control = ancil;
 +#ifndef S_SPLINT_S
 +              msg.msg_controllen = sizeof(ancil);
 +#endif /* S_SPLINT_S */
 +              msg.msg_flags = 0;
 +              rcv = recvmsg(fd, &msg, 0);
 +              if(rcv == -1) {
 +                      if(errno != EAGAIN && errno != EINTR) {
 +                              log_err("recvmsg failed: %s", strerror(errno));
 +                      }
 +                      return;
 +              }
 +              rep.addrlen = msg.msg_namelen;
 +              sldns_buffer_skip(rep.c->buffer, rcv);
 +              sldns_buffer_flip(rep.c->buffer);
 +              rep.srctype = 0;
 +#ifndef S_SPLINT_S
 +              for(cmsg = CMSG_FIRSTHDR(&msg); cmsg != NULL;
 +                      cmsg = CMSG_NXTHDR(&msg, cmsg)) {
 +                      if( cmsg->cmsg_level == IPPROTO_IPV6 &&
 +                              cmsg->cmsg_type == IPV6_PKTINFO) {
 +                              rep.srctype = 6;
 +                              memmove(&rep.pktinfo.v6info, CMSG_DATA(cmsg),
 +                                      sizeof(struct in6_pktinfo));
 +                              break;
 +#ifdef IP_PKTINFO
 +                      } else if( cmsg->cmsg_level == IPPROTO_IP &&
 +                              cmsg->cmsg_type == IP_PKTINFO) {
 +                              rep.srctype = 4;
 +                              memmove(&rep.pktinfo.v4info, CMSG_DATA(cmsg),
 +                                      sizeof(struct in_pktinfo));
 +                              break;
 +#elif defined(IP_RECVDSTADDR)
 +                      } else if( cmsg->cmsg_level == IPPROTO_IP &&
 +                              cmsg->cmsg_type == IP_RECVDSTADDR) {
 +                              rep.srctype = 4;
 +                              memmove(&rep.pktinfo.v4addr, CMSG_DATA(cmsg),
 +                                      sizeof(struct in_addr));
 +                              break;
 +#endif /* IP_PKTINFO or IP_RECVDSTADDR */
 +                      }
 +              }
 +              if(verbosity >= VERB_ALGO)
 +                      p_ancil("receive_udp on interface", &rep);
 +#endif /* S_SPLINT_S */
 +              fptr_ok(fptr_whitelist_comm_point(rep.c->callback));
 +              if((*rep.c->callback)(rep.c, rep.c->cb_arg, NETEVENT_NOERROR, &rep)) {
 +                      /* send back immediate reply */
 +                      (void)comm_point_send_udp_msg_if(rep.c, rep.c->buffer,
 +                              (struct sockaddr*)&rep.addr, rep.addrlen, &rep);
 +              }
 +              if(rep.c->fd == -1) /* commpoint closed */
 +                      break;
 +      }
 +#else
 +      (void)fd;
 +      (void)event;
 +      (void)arg;
 +      fatal_exit("recvmsg: No support for IPV6_PKTINFO. "
 +              "Please disable interface-automatic");
 +#endif /* AF_INET6 && IPV6_PKTINFO && HAVE_RECVMSG */
 +}
 +
 +void 
 +comm_point_udp_callback(int fd, short event, void* arg)
 +{
 +      struct comm_reply rep;
 +      ssize_t rcv;
 +      int i;
 +
 +      rep.c = (struct comm_point*)arg;
 +      log_assert(rep.c->type == comm_udp);
 +
 +      if(!(event&EV_READ))
 +              return;
 +      log_assert(rep.c && rep.c->buffer && rep.c->fd == fd);
 +      comm_base_now(rep.c->ev->base);
 +      for(i=0; i<NUM_UDP_PER_SELECT; i++) {
 +              sldns_buffer_clear(rep.c->buffer);
 +              rep.addrlen = (socklen_t)sizeof(rep.addr);
 +              log_assert(fd != -1);
 +              log_assert(sldns_buffer_remaining(rep.c->buffer) > 0);
 +              rcv = recvfrom(fd, (void*)sldns_buffer_begin(rep.c->buffer), 
 +                      sldns_buffer_remaining(rep.c->buffer), 0, 
 +                      (struct sockaddr*)&rep.addr, &rep.addrlen);
 +              if(rcv == -1) {
 +#ifndef USE_WINSOCK
 +                      if(errno != EAGAIN && errno != EINTR)
 +                              log_err("recvfrom %d failed: %s", 
 +                                      fd, strerror(errno));
 +#else
 +                      if(WSAGetLastError() != WSAEINPROGRESS &&
 +                              WSAGetLastError() != WSAECONNRESET &&
 +                              WSAGetLastError()!= WSAEWOULDBLOCK)
 +                              log_err("recvfrom failed: %s",
 +                                      wsa_strerror(WSAGetLastError()));
 +#endif
 +                      return;
 +              }
 +              sldns_buffer_skip(rep.c->buffer, rcv);
 +              sldns_buffer_flip(rep.c->buffer);
 +              rep.srctype = 0;
 +              fptr_ok(fptr_whitelist_comm_point(rep.c->callback));
 +              if((*rep.c->callback)(rep.c, rep.c->cb_arg, NETEVENT_NOERROR, &rep)) {
 +                      /* send back immediate reply */
 +                      (void)comm_point_send_udp_msg(rep.c, rep.c->buffer,
 +                              (struct sockaddr*)&rep.addr, rep.addrlen);
 +              }
 +              if(rep.c->fd != fd) /* commpoint closed to -1 or reused for
 +              another UDP port. Note rep.c cannot be reused with TCP fd. */
 +                      break;
 +      }
 +}
 +
 +/** Use a new tcp handler for new query fd, set to read query */
 +static void
 +setup_tcp_handler(struct comm_point* c, int fd) 
 +{
 +      log_assert(c->type == comm_tcp);
 +      log_assert(c->fd == -1);
 +      sldns_buffer_clear(c->buffer);
 +      c->tcp_is_reading = 1;
 +      c->tcp_byte_count = 0;
 +      comm_point_start_listening(c, fd, TCP_QUERY_TIMEOUT);
 +}
 +
 +void comm_base_handle_slow_accept(int ATTR_UNUSED(fd),
 +      short ATTR_UNUSED(event), void* arg)
 +{
 +      struct comm_base* b = (struct comm_base*)arg;
 +      /* timeout for the slow accept, re-enable accepts again */
 +      if(b->start_accept) {
 +              verbose(VERB_ALGO, "wait is over, slow accept disabled");
 +              fptr_ok(fptr_whitelist_start_accept(b->start_accept));
 +              (*b->start_accept)(b->cb_arg);
 +              b->eb->slow_accept_enabled = 0;
 +      }
 +}
 +
 +int comm_point_perform_accept(struct comm_point* c,
 +      struct sockaddr_storage* addr, socklen_t* addrlen)
 +{
 +      int new_fd;
 +      *addrlen = (socklen_t)sizeof(*addr);
 +      new_fd = accept(c->fd, (struct sockaddr*)addr, addrlen);
 +      if(new_fd == -1) {
 +#ifndef USE_WINSOCK
 +              /* EINTR is signal interrupt. others are closed connection. */
 +              if(     errno == EINTR || errno == EAGAIN
 +#ifdef EWOULDBLOCK
 +                      || errno == EWOULDBLOCK 
 +#endif
 +#ifdef ECONNABORTED
 +                      || errno == ECONNABORTED 
 +#endif
 +#ifdef EPROTO
 +                      || errno == EPROTO
 +#endif /* EPROTO */
 +                      )
 +                      return -1;
 +#if defined(ENFILE) && defined(EMFILE)
 +              if(errno == ENFILE || errno == EMFILE) {
 +                      /* out of file descriptors, likely outside of our
 +                       * control. stop accept() calls for some time */
 +                      if(c->ev->base->stop_accept) {
 +                              struct comm_base* b = c->ev->base;
 +                              struct timeval tv;
 +                              verbose(VERB_ALGO, "out of file descriptors: "
 +                                      "slow accept");
 +                              b->eb->slow_accept_enabled = 1;
 +                              fptr_ok(fptr_whitelist_stop_accept(
 +                                      b->stop_accept));
 +                              (*b->stop_accept)(b->cb_arg);
 +                              /* set timeout, no mallocs */
 +                              tv.tv_sec = NETEVENT_SLOW_ACCEPT_TIME/1000;
 +                              tv.tv_usec = NETEVENT_SLOW_ACCEPT_TIME%1000;
 +                              event_set(&b->eb->slow_accept, -1, EV_TIMEOUT, 
 +                                      comm_base_handle_slow_accept, b);
 +                              if(event_base_set(b->eb->base,
 +                                      &b->eb->slow_accept) != 0) {
 +                                      /* we do not want to log here, because
 +                                       * that would spam the logfiles.
 +                                       * error: "event_base_set failed." */
 +                              }
 +                              if(event_add(&b->eb->slow_accept, &tv) != 0) {
 +                                      /* we do not want to log here,
 +                                       * error: "event_add failed." */
 +                              }
 +                      }
 +                      return -1;
 +              }
 +#endif
 +              log_err_addr("accept failed", strerror(errno), addr, *addrlen);
 +#else /* USE_WINSOCK */
 +              if(WSAGetLastError() == WSAEINPROGRESS ||
 +                      WSAGetLastError() == WSAECONNRESET)
 +                      return -1;
 +              if(WSAGetLastError() == WSAEWOULDBLOCK) {
 +                      winsock_tcp_wouldblock(&c->ev->ev, EV_READ);
 +                      return -1;
 +              }
 +              log_err_addr("accept failed", wsa_strerror(WSAGetLastError()),
 +                      addr, *addrlen);
 +#endif
 +              return -1;
 +      }
 +      fd_set_nonblock(new_fd);
 +      return new_fd;
 +}
 +
 +#ifdef USE_WINSOCK
 +static long win_bio_cb(BIO *b, int oper, const char* ATTR_UNUSED(argp),
 +        int ATTR_UNUSED(argi), long argl, long retvalue)
 +{
 +      verbose(VERB_ALGO, "bio_cb %d, %s %s %s", oper,
 +              (oper&BIO_CB_RETURN)?"return":"before",
 +              (oper&BIO_CB_READ)?"read":((oper&BIO_CB_WRITE)?"write":"other"),
 +              WSAGetLastError()==WSAEWOULDBLOCK?"wsawb":"");
 +      /* on windows, check if previous operation caused EWOULDBLOCK */
 +      if( (oper == (BIO_CB_READ|BIO_CB_RETURN) && argl == 0) ||
 +              (oper == (BIO_CB_GETS|BIO_CB_RETURN) && argl == 0)) {
 +              if(WSAGetLastError() == WSAEWOULDBLOCK)
 +                      winsock_tcp_wouldblock((struct event*)
 +                              BIO_get_callback_arg(b), EV_READ);
 +      }
 +      if( (oper == (BIO_CB_WRITE|BIO_CB_RETURN) && argl == 0) ||
 +              (oper == (BIO_CB_PUTS|BIO_CB_RETURN) && argl == 0)) {
 +              if(WSAGetLastError() == WSAEWOULDBLOCK)
 +                      winsock_tcp_wouldblock((struct event*)
 +                              BIO_get_callback_arg(b), EV_WRITE);
 +      }
 +      /* return original return value */
 +      return retvalue;
 +}
 +
 +/** set win bio callbacks for nonblocking operations */
 +void
 +comm_point_tcp_win_bio_cb(struct comm_point* c, void* thessl)
 +{
 +      SSL* ssl = (SSL*)thessl;
 +      /* set them both just in case, but usually they are the same BIO */
 +      BIO_set_callback(SSL_get_rbio(ssl), &win_bio_cb);
 +      BIO_set_callback_arg(SSL_get_rbio(ssl), (char*)&c->ev->ev);
 +      BIO_set_callback(SSL_get_wbio(ssl), &win_bio_cb);
 +      BIO_set_callback_arg(SSL_get_wbio(ssl), (char*)&c->ev->ev);
 +}
 +#endif
 +
 +void 
 +comm_point_tcp_accept_callback(int fd, short event, void* arg)
 +{
 +      struct comm_point* c = (struct comm_point*)arg, *c_hdl;
 +      int new_fd;
 +      log_assert(c->type == comm_tcp_accept);
 +      if(!(event & EV_READ)) {
 +              log_info("ignoring tcp accept event %d", (int)event);
 +              return;
 +      }
 +      comm_base_now(c->ev->base);
 +      /* find free tcp handler. */
 +      if(!c->tcp_free) {
 +              log_warn("accepted too many tcp, connections full");
 +              return;
 +      }
 +      /* accept incoming connection. */
 +      c_hdl = c->tcp_free;
 +      log_assert(fd != -1);
 +      new_fd = comm_point_perform_accept(c, &c_hdl->repinfo.addr,
 +              &c_hdl->repinfo.addrlen);
 +      if(new_fd == -1)
 +              return;
 +      if(c->ssl) {
 +              c_hdl->ssl = incoming_ssl_fd(c->ssl, new_fd);
 +              if(!c_hdl->ssl) {
 +                      c_hdl->fd = new_fd;
 +                      comm_point_close(c_hdl);
 +                      return;
 +              }
 +              c_hdl->ssl_shake_state = comm_ssl_shake_read;
 +#ifdef USE_WINSOCK
 +              comm_point_tcp_win_bio_cb(c_hdl, c_hdl->ssl);
 +#endif
 +      }
 +
 +      /* grab the tcp handler buffers */
++      c->cur_tcp_count++;
 +      c->tcp_free = c_hdl->tcp_free;
 +      if(!c->tcp_free) {
 +              /* stop accepting incoming queries for now. */
 +              comm_point_stop_listening(c);
 +      }
 +      setup_tcp_handler(c_hdl, new_fd);
 +}
 +
 +/** Make tcp handler free for next assignment */
 +static void
 +reclaim_tcp_handler(struct comm_point* c)
 +{
 +      log_assert(c->type == comm_tcp);
 +      if(c->ssl) {
 +#ifdef HAVE_SSL
 +              SSL_shutdown(c->ssl);
 +              SSL_free(c->ssl);
 +              c->ssl = NULL;
 +#endif
 +      }
 +      comm_point_close(c);
 +      if(c->tcp_parent) {
++              c->tcp_parent->cur_tcp_count--;
 +              c->tcp_free = c->tcp_parent->tcp_free;
 +              c->tcp_parent->tcp_free = c;
 +              if(!c->tcp_free) {
 +                      /* re-enable listening on accept socket */
 +                      comm_point_start_listening(c->tcp_parent, -1, -1);
 +              }
 +      }
 +}
 +
 +/** do the callback when writing is done */
 +static void
 +tcp_callback_writer(struct comm_point* c)
 +{
 +      log_assert(c->type == comm_tcp);
 +      sldns_buffer_clear(c->buffer);
 +      if(c->tcp_do_toggle_rw)
 +              c->tcp_is_reading = 1;
 +      c->tcp_byte_count = 0;
 +      /* switch from listening(write) to listening(read) */
 +      comm_point_stop_listening(c);
 +      comm_point_start_listening(c, -1, -1);
 +}
 +
 +/** do the callback when reading is done */
 +static void
 +tcp_callback_reader(struct comm_point* c)
 +{
 +      log_assert(c->type == comm_tcp || c->type == comm_local);
 +      sldns_buffer_flip(c->buffer);
 +      if(c->tcp_do_toggle_rw)
 +              c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      if(c->type == comm_tcp)
 +              comm_point_stop_listening(c);
 +      fptr_ok(fptr_whitelist_comm_point(c->callback));
 +      if( (*c->callback)(c, c->cb_arg, NETEVENT_NOERROR, &c->repinfo) ) {
 +              comm_point_start_listening(c, -1, TCP_QUERY_TIMEOUT);
 +      }
 +}
 +
 +/** continue ssl handshake */
 +#ifdef HAVE_SSL
 +static int
 +ssl_handshake(struct comm_point* c)
 +{
 +      int r;
 +      if(c->ssl_shake_state == comm_ssl_shake_hs_read) {
 +              /* read condition satisfied back to writing */
 +              comm_point_listen_for_rw(c, 1, 1);
 +              c->ssl_shake_state = comm_ssl_shake_none;
 +              return 1;
 +      }
 +      if(c->ssl_shake_state == comm_ssl_shake_hs_write) {
 +              /* write condition satisfied, back to reading */
 +              comm_point_listen_for_rw(c, 1, 0);
 +              c->ssl_shake_state = comm_ssl_shake_none;
 +              return 1;
 +      }
 +
 +      ERR_clear_error();
 +      r = SSL_do_handshake(c->ssl);
 +      if(r != 1) {
 +              int want = SSL_get_error(c->ssl, r);
 +              if(want == SSL_ERROR_WANT_READ) {
 +                      if(c->ssl_shake_state == comm_ssl_shake_read)
 +                              return 1;
 +                      c->ssl_shake_state = comm_ssl_shake_read;
 +                      comm_point_listen_for_rw(c, 1, 0);
 +                      return 1;
 +              } else if(want == SSL_ERROR_WANT_WRITE) {
 +                      if(c->ssl_shake_state == comm_ssl_shake_write)
 +                              return 1;
 +                      c->ssl_shake_state = comm_ssl_shake_write;
 +                      comm_point_listen_for_rw(c, 0, 1);
 +                      return 1;
 +              } else if(r == 0) {
 +                      return 0; /* closed */
 +              } else if(want == SSL_ERROR_SYSCALL) {
 +                      /* SYSCALL and errno==0 means closed uncleanly */
 +                      if(errno != 0)
 +                              log_err("SSL_handshake syscall: %s",
 +                                      strerror(errno));
 +                      return 0;
 +              } else {
 +                      log_crypto_err("ssl handshake failed");
 +                      log_addr(1, "ssl handshake failed", &c->repinfo.addr,
 +                              c->repinfo.addrlen);
 +                      return 0;
 +              }
 +      }
 +      /* this is where peer verification could take place */
 +      log_addr(VERB_ALGO, "SSL DNS connection", &c->repinfo.addr,
 +              c->repinfo.addrlen);
 +
 +      /* setup listen rw correctly */
 +      if(c->tcp_is_reading) {
 +              if(c->ssl_shake_state != comm_ssl_shake_read)
 +                      comm_point_listen_for_rw(c, 1, 0);
 +      } else {
 +              comm_point_listen_for_rw(c, 1, 1);
 +      }
 +      c->ssl_shake_state = comm_ssl_shake_none;
 +      return 1;
 +}
 +#endif /* HAVE_SSL */
 +
 +/** ssl read callback on TCP */
 +static int
 +ssl_handle_read(struct comm_point* c)
 +{
 +#ifdef HAVE_SSL
 +      int r;
 +      if(c->ssl_shake_state != comm_ssl_shake_none) {
 +              if(!ssl_handshake(c))
 +                      return 0;
 +              if(c->ssl_shake_state != comm_ssl_shake_none)
 +                      return 1;
 +      }
 +      if(c->tcp_byte_count < sizeof(uint16_t)) {
 +              /* read length bytes */
 +              ERR_clear_error();
 +              if((r=SSL_read(c->ssl, (void*)sldns_buffer_at(c->buffer,
 +                      c->tcp_byte_count), (int)(sizeof(uint16_t) -
 +                      c->tcp_byte_count))) <= 0) {
 +                      int want = SSL_get_error(c->ssl, r);
 +                      if(want == SSL_ERROR_ZERO_RETURN) {
 +                              return 0; /* shutdown, closed */
 +                      } else if(want == SSL_ERROR_WANT_READ) {
 +                              return 1; /* read more later */
 +                      } else if(want == SSL_ERROR_WANT_WRITE) {
 +                              c->ssl_shake_state = comm_ssl_shake_hs_write;
 +                              comm_point_listen_for_rw(c, 0, 1);
 +                              return 1;
 +                      } else if(want == SSL_ERROR_SYSCALL) {
 +                              if(errno != 0)
 +                                      log_err("SSL_read syscall: %s",
 +                                              strerror(errno));
 +                              return 0;
 +                      }
 +                      log_crypto_err("could not SSL_read");
 +                      return 0;
 +              }
 +              c->tcp_byte_count += r;
 +              if(c->tcp_byte_count != sizeof(uint16_t))
 +                      return 1;
 +              if(sldns_buffer_read_u16_at(c->buffer, 0) >
 +                      sldns_buffer_capacity(c->buffer)) {
 +                      verbose(VERB_QUERY, "ssl: dropped larger than buffer");
 +                      return 0;
 +              }
 +              sldns_buffer_set_limit(c->buffer,
 +                      sldns_buffer_read_u16_at(c->buffer, 0));
 +              if(sldns_buffer_limit(c->buffer) < LDNS_HEADER_SIZE) {
 +                      verbose(VERB_QUERY, "ssl: dropped bogus too short.");
 +                      return 0;
 +              }
 +              verbose(VERB_ALGO, "Reading ssl tcp query of length %d",
 +                      (int)sldns_buffer_limit(c->buffer));
 +      }
 +      log_assert(sldns_buffer_remaining(c->buffer) > 0);
 +      ERR_clear_error();
 +      r = SSL_read(c->ssl, (void*)sldns_buffer_current(c->buffer),
 +              (int)sldns_buffer_remaining(c->buffer));
 +      if(r <= 0) {
 +              int want = SSL_get_error(c->ssl, r);
 +              if(want == SSL_ERROR_ZERO_RETURN) {
 +                      return 0; /* shutdown, closed */
 +              } else if(want == SSL_ERROR_WANT_READ) {
 +                      return 1; /* read more later */
 +              } else if(want == SSL_ERROR_WANT_WRITE) {
 +                      c->ssl_shake_state = comm_ssl_shake_hs_write;
 +                      comm_point_listen_for_rw(c, 0, 1);
 +                      return 1;
 +              } else if(want == SSL_ERROR_SYSCALL) {
 +                      if(errno != 0)
 +                              log_err("SSL_read syscall: %s",
 +                                      strerror(errno));
 +                      return 0;
 +              }
 +              log_crypto_err("could not SSL_read");
 +              return 0;
 +      }
 +      sldns_buffer_skip(c->buffer, (ssize_t)r);
 +      if(sldns_buffer_remaining(c->buffer) <= 0) {
 +              tcp_callback_reader(c);
 +      }
 +      return 1;
 +#else
 +      (void)c;
 +      return 0;
 +#endif /* HAVE_SSL */
 +}
 +
 +/** ssl write callback on TCP */
 +static int
 +ssl_handle_write(struct comm_point* c)
 +{
 +#ifdef HAVE_SSL
 +      int r;
 +      if(c->ssl_shake_state != comm_ssl_shake_none) {
 +              if(!ssl_handshake(c))
 +                      return 0;
 +              if(c->ssl_shake_state != comm_ssl_shake_none)
 +                      return 1;
 +      }
 +      /* ignore return, if fails we may simply block */
 +      (void)SSL_set_mode(c->ssl, SSL_MODE_ENABLE_PARTIAL_WRITE);
 +      if(c->tcp_byte_count < sizeof(uint16_t)) {
 +              uint16_t len = htons(sldns_buffer_limit(c->buffer));
 +              ERR_clear_error();
 +              r = SSL_write(c->ssl,
 +                      (void*)(((uint8_t*)&len)+c->tcp_byte_count),
 +                      (int)(sizeof(uint16_t)-c->tcp_byte_count));
 +              if(r <= 0) {
 +                      int want = SSL_get_error(c->ssl, r);
 +                      if(want == SSL_ERROR_ZERO_RETURN) {
 +                              return 0; /* closed */
 +                      } else if(want == SSL_ERROR_WANT_READ) {
 +                              c->ssl_shake_state = comm_ssl_shake_read;
 +                              comm_point_listen_for_rw(c, 1, 0);
 +                              return 1; /* wait for read condition */
 +                      } else if(want == SSL_ERROR_WANT_WRITE) {
 +                              return 1; /* write more later */
 +                      } else if(want == SSL_ERROR_SYSCALL) {
 +                              if(errno != 0)
 +                                      log_err("SSL_write syscall: %s",
 +                                              strerror(errno));
 +                              return 0;
 +                      }
 +                      log_crypto_err("could not SSL_write");
 +                      return 0;
 +              }
 +              c->tcp_byte_count += r;
 +              if(c->tcp_byte_count < sizeof(uint16_t))
 +                      return 1;
 +              sldns_buffer_set_position(c->buffer, c->tcp_byte_count -
 +                      sizeof(uint16_t));
 +              if(sldns_buffer_remaining(c->buffer) == 0) {
 +                      tcp_callback_writer(c);
 +                      return 1;
 +              }
 +      }
 +      log_assert(sldns_buffer_remaining(c->buffer) > 0);
 +      ERR_clear_error();
 +      r = SSL_write(c->ssl, (void*)sldns_buffer_current(c->buffer),
 +              (int)sldns_buffer_remaining(c->buffer));
 +      if(r <= 0) {
 +              int want = SSL_get_error(c->ssl, r);
 +              if(want == SSL_ERROR_ZERO_RETURN) {
 +                      return 0; /* closed */
 +              } else if(want == SSL_ERROR_WANT_READ) {
 +                      c->ssl_shake_state = comm_ssl_shake_read;
 +                      comm_point_listen_for_rw(c, 1, 0);
 +                      return 1; /* wait for read condition */
 +              } else if(want == SSL_ERROR_WANT_WRITE) {
 +                      return 1; /* write more later */
 +              } else if(want == SSL_ERROR_SYSCALL) {
 +                      if(errno != 0)
 +                              log_err("SSL_write syscall: %s",
 +                                      strerror(errno));
 +                      return 0;
 +              }
 +              log_crypto_err("could not SSL_write");
 +              return 0;
 +      }
 +      sldns_buffer_skip(c->buffer, (ssize_t)r);
 +
 +      if(sldns_buffer_remaining(c->buffer) == 0) {
 +              tcp_callback_writer(c);
 +      }
 +      return 1;
 +#else
 +      (void)c;
 +      return 0;
 +#endif /* HAVE_SSL */
 +}
 +
 +/** handle ssl tcp connection with dns contents */
 +static int
 +ssl_handle_it(struct comm_point* c)
 +{
 +      if(c->tcp_is_reading)
 +              return ssl_handle_read(c);
 +      return ssl_handle_write(c);
 +}
 +
 +/** Handle tcp reading callback. 
 + * @param fd: file descriptor of socket.
 + * @param c: comm point to read from into buffer.
 + * @param short_ok: if true, very short packets are OK (for comm_local).
 + * @return: 0 on error 
 + */
 +static int
 +comm_point_tcp_handle_read(int fd, struct comm_point* c, int short_ok)
 +{
 +      ssize_t r;
 +      log_assert(c->type == comm_tcp || c->type == comm_local);
 +      if(c->ssl)
 +              return ssl_handle_it(c);
 +      if(!c->tcp_is_reading)
 +              return 0;
 +
 +      log_assert(fd != -1);
 +      if(c->tcp_byte_count < sizeof(uint16_t)) {
 +              /* read length bytes */
 +              r = recv(fd,(void*)sldns_buffer_at(c->buffer,c->tcp_byte_count),
 +                      sizeof(uint16_t)-c->tcp_byte_count, 0);
 +              if(r == 0)
 +                      return 0;
 +              else if(r == -1) {
 +#ifndef USE_WINSOCK
 +                      if(errno == EINTR || errno == EAGAIN)
 +                              return 1;
 +#ifdef ECONNRESET
 +                      if(errno == ECONNRESET && verbosity < 2)
 +                              return 0; /* silence reset by peer */
 +#endif
 +                      log_err_addr("read (in tcp s)", strerror(errno),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#else /* USE_WINSOCK */
 +                      if(WSAGetLastError() == WSAECONNRESET)
 +                              return 0;
 +                      if(WSAGetLastError() == WSAEINPROGRESS)
 +                              return 1;
 +                      if(WSAGetLastError() == WSAEWOULDBLOCK) {
 +                              winsock_tcp_wouldblock(&c->ev->ev, EV_READ);
 +                              return 1;
 +                      }
 +                      log_err_addr("read (in tcp s)", 
 +                              wsa_strerror(WSAGetLastError()),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#endif
 +                      return 0;
 +              } 
 +              c->tcp_byte_count += r;
 +              if(c->tcp_byte_count != sizeof(uint16_t))
 +                      return 1;
 +              if(sldns_buffer_read_u16_at(c->buffer, 0) >
 +                      sldns_buffer_capacity(c->buffer)) {
 +                      verbose(VERB_QUERY, "tcp: dropped larger than buffer");
 +                      return 0;
 +              }
 +              sldns_buffer_set_limit(c->buffer, 
 +                      sldns_buffer_read_u16_at(c->buffer, 0));
 +              if(!short_ok && 
 +                      sldns_buffer_limit(c->buffer) < LDNS_HEADER_SIZE) {
 +                      verbose(VERB_QUERY, "tcp: dropped bogus too short.");
 +                      return 0;
 +              }
 +              verbose(VERB_ALGO, "Reading tcp query of length %d", 
 +                      (int)sldns_buffer_limit(c->buffer));
 +      }
 +
 +      log_assert(sldns_buffer_remaining(c->buffer) > 0);
 +      r = recv(fd, (void*)sldns_buffer_current(c->buffer), 
 +              sldns_buffer_remaining(c->buffer), 0);
 +      if(r == 0) {
 +              return 0;
 +      } else if(r == -1) {
 +#ifndef USE_WINSOCK
 +              if(errno == EINTR || errno == EAGAIN)
 +                      return 1;
 +              log_err_addr("read (in tcp r)", strerror(errno),
 +                      &c->repinfo.addr, c->repinfo.addrlen);
 +#else /* USE_WINSOCK */
 +              if(WSAGetLastError() == WSAECONNRESET)
 +                      return 0;
 +              if(WSAGetLastError() == WSAEINPROGRESS)
 +                      return 1;
 +              if(WSAGetLastError() == WSAEWOULDBLOCK) {
 +                      winsock_tcp_wouldblock(&c->ev->ev, EV_READ);
 +                      return 1;
 +              }
 +              log_err_addr("read (in tcp r)",
 +                      wsa_strerror(WSAGetLastError()),
 +                      &c->repinfo.addr, c->repinfo.addrlen);
 +#endif
 +              return 0;
 +      }
 +      sldns_buffer_skip(c->buffer, r);
 +      if(sldns_buffer_remaining(c->buffer) <= 0) {
 +              tcp_callback_reader(c);
 +      }
 +      return 1;
 +}
 +
 +/** 
 + * Handle tcp writing callback. 
 + * @param fd: file descriptor of socket.
 + * @param c: comm point to write buffer out of.
 + * @return: 0 on error
 + */
 +static int
 +comm_point_tcp_handle_write(int fd, struct comm_point* c)
 +{
 +      ssize_t r;
 +      log_assert(c->type == comm_tcp);
 +      if(c->tcp_is_reading && !c->ssl)
 +              return 0;
 +      log_assert(fd != -1);
 +      if(c->tcp_byte_count == 0 && c->tcp_check_nb_connect) {
 +              /* check for pending error from nonblocking connect */
 +              /* from Stevens, unix network programming, vol1, 3rd ed, p450*/
 +              int error = 0;
 +              socklen_t len = (socklen_t)sizeof(error);
 +              if(getsockopt(fd, SOL_SOCKET, SO_ERROR, (void*)&error, 
 +                      &len) < 0){
 +#ifndef USE_WINSOCK
 +                      error = errno; /* on solaris errno is error */
 +#else /* USE_WINSOCK */
 +                      error = WSAGetLastError();
 +#endif
 +              }
 +#ifndef USE_WINSOCK
 +#if defined(EINPROGRESS) && defined(EWOULDBLOCK)
 +              if(error == EINPROGRESS || error == EWOULDBLOCK)
 +                      return 1; /* try again later */
 +              else
 +#endif
 +              if(error != 0 && verbosity < 2)
 +                      return 0; /* silence lots of chatter in the logs */
 +                else if(error != 0) {
 +                      log_err_addr("tcp connect", strerror(error),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#else /* USE_WINSOCK */
 +              /* examine error */
 +              if(error == WSAEINPROGRESS)
 +                      return 1;
 +              else if(error == WSAEWOULDBLOCK) {
 +                      winsock_tcp_wouldblock(&c->ev->ev, EV_WRITE);
 +                      return 1;
 +              } else if(error != 0 && verbosity < 2)
 +                      return 0;
 +              else if(error != 0) {
 +                      log_err_addr("tcp connect", wsa_strerror(error),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#endif /* USE_WINSOCK */
 +                      return 0;
 +              }
 +      }
 +      if(c->ssl)
 +              return ssl_handle_it(c);
 +
 +      if(c->tcp_byte_count < sizeof(uint16_t)) {
 +              uint16_t len = htons(sldns_buffer_limit(c->buffer));
 +#ifdef HAVE_WRITEV
 +              struct iovec iov[2];
 +              iov[0].iov_base = (uint8_t*)&len + c->tcp_byte_count;
 +              iov[0].iov_len = sizeof(uint16_t) - c->tcp_byte_count;
 +              iov[1].iov_base = sldns_buffer_begin(c->buffer);
 +              iov[1].iov_len = sldns_buffer_limit(c->buffer);
 +              log_assert(iov[0].iov_len > 0);
 +              log_assert(iov[1].iov_len > 0);
 +              r = writev(fd, iov, 2);
 +#else /* HAVE_WRITEV */
 +              r = send(fd, (void*)(((uint8_t*)&len)+c->tcp_byte_count),
 +                      sizeof(uint16_t)-c->tcp_byte_count, 0);
 +#endif /* HAVE_WRITEV */
 +              if(r == -1) {
 +#ifndef USE_WINSOCK
 +#  ifdef EPIPE
 +                      if(errno == EPIPE && verbosity < 2)
 +                              return 0; /* silence 'broken pipe' */
 +  #endif
 +                      if(errno == EINTR || errno == EAGAIN)
 +                              return 1;
 +#  ifdef HAVE_WRITEV
 +                      log_err_addr("tcp writev", strerror(errno),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#  else /* HAVE_WRITEV */
 +                      log_err_addr("tcp send s", strerror(errno),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#  endif /* HAVE_WRITEV */
 +#else
 +                      if(WSAGetLastError() == WSAENOTCONN)
 +                              return 1;
 +                      if(WSAGetLastError() == WSAEINPROGRESS)
 +                              return 1;
 +                      if(WSAGetLastError() == WSAEWOULDBLOCK) {
 +                              winsock_tcp_wouldblock(&c->ev->ev, EV_WRITE);
 +                              return 1; 
 +                      }
 +                      log_err_addr("tcp send s",
 +                              wsa_strerror(WSAGetLastError()),
 +                              &c->repinfo.addr, c->repinfo.addrlen);
 +#endif
 +                      return 0;
 +              }
 +              c->tcp_byte_count += r;
 +              if(c->tcp_byte_count < sizeof(uint16_t))
 +                      return 1;
 +              sldns_buffer_set_position(c->buffer, c->tcp_byte_count - 
 +                      sizeof(uint16_t));
 +              if(sldns_buffer_remaining(c->buffer) == 0) {
 +                      tcp_callback_writer(c);
 +                      return 1;
 +              }
 +      }
 +      log_assert(sldns_buffer_remaining(c->buffer) > 0);
 +      r = send(fd, (void*)sldns_buffer_current(c->buffer), 
 +              sldns_buffer_remaining(c->buffer), 0);
 +      if(r == -1) {
 +#ifndef USE_WINSOCK
 +              if(errno == EINTR || errno == EAGAIN)
 +                      return 1;
 +              log_err_addr("tcp send r", strerror(errno),
 +                      &c->repinfo.addr, c->repinfo.addrlen);
 +#else
 +              if(WSAGetLastError() == WSAEINPROGRESS)
 +                      return 1;
 +              if(WSAGetLastError() == WSAEWOULDBLOCK) {
 +                      winsock_tcp_wouldblock(&c->ev->ev, EV_WRITE);
 +                      return 1; 
 +              }
 +              log_err_addr("tcp send r", wsa_strerror(WSAGetLastError()),
 +                      &c->repinfo.addr, c->repinfo.addrlen);
 +#endif
 +              return 0;
 +      }
 +      sldns_buffer_skip(c->buffer, r);
 +
 +      if(sldns_buffer_remaining(c->buffer) == 0) {
 +              tcp_callback_writer(c);
 +      }
 +      
 +      return 1;
 +}
 +
 +void 
 +comm_point_tcp_handle_callback(int fd, short event, void* arg)
 +{
 +      struct comm_point* c = (struct comm_point*)arg;
 +      log_assert(c->type == comm_tcp);
 +      comm_base_now(c->ev->base);
 +
 +      if(event&EV_READ) {
 +              if(!comm_point_tcp_handle_read(fd, c, 0)) {
 +                      reclaim_tcp_handler(c);
 +                      if(!c->tcp_do_close) {
 +                              fptr_ok(fptr_whitelist_comm_point(
 +                                      c->callback));
 +                              (void)(*c->callback)(c, c->cb_arg, 
 +                                      NETEVENT_CLOSED, NULL);
 +                      }
 +              }
 +              return;
 +      }
 +      if(event&EV_WRITE) {
 +              if(!comm_point_tcp_handle_write(fd, c)) {
 +                      reclaim_tcp_handler(c);
 +                      if(!c->tcp_do_close) {
 +                              fptr_ok(fptr_whitelist_comm_point(
 +                                      c->callback));
 +                              (void)(*c->callback)(c, c->cb_arg, 
 +                                      NETEVENT_CLOSED, NULL);
 +                      }
 +              }
 +              return;
 +      }
 +      if(event&EV_TIMEOUT) {
 +              verbose(VERB_QUERY, "tcp took too long, dropped");
 +              reclaim_tcp_handler(c);
 +              if(!c->tcp_do_close) {
 +                      fptr_ok(fptr_whitelist_comm_point(c->callback));
 +                      (void)(*c->callback)(c, c->cb_arg,
 +                              NETEVENT_TIMEOUT, NULL);
 +              }
 +              return;
 +      }
 +      log_err("Ignored event %d for tcphdl.", event);
 +}
 +
 +void comm_point_local_handle_callback(int fd, short event, void* arg)
 +{
 +      struct comm_point* c = (struct comm_point*)arg;
 +      log_assert(c->type == comm_local);
 +      comm_base_now(c->ev->base);
 +
 +      if(event&EV_READ) {
 +              if(!comm_point_tcp_handle_read(fd, c, 1)) {
 +                      fptr_ok(fptr_whitelist_comm_point(c->callback));
 +                      (void)(*c->callback)(c, c->cb_arg, NETEVENT_CLOSED, 
 +                              NULL);
 +              }
 +              return;
 +      }
 +      log_err("Ignored event %d for localhdl.", event);
 +}
 +
 +void comm_point_raw_handle_callback(int ATTR_UNUSED(fd), 
 +      short event, void* arg)
 +{
 +      struct comm_point* c = (struct comm_point*)arg;
 +      int err = NETEVENT_NOERROR;
 +      log_assert(c->type == comm_raw);
 +      comm_base_now(c->ev->base);
 +      
 +      if(event&EV_TIMEOUT)
 +              err = NETEVENT_TIMEOUT;
 +      fptr_ok(fptr_whitelist_comm_point_raw(c->callback));
 +      (void)(*c->callback)(c, c->cb_arg, err, NULL);
 +}
 +
 +struct comm_point* 
 +comm_point_create_udp(struct comm_base *base, int fd, sldns_buffer* buffer,
 +      comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = fd;
 +      c->buffer = buffer;
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_udp;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 0;
 +      c->tcp_do_toggle_rw = 0;
 +      c->tcp_check_nb_connect = 0;
 +      c->inuse = 0;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      evbits = EV_READ | EV_PERSIST;
 +      /* libevent stuff */
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_udp_callback, c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0) {
 +              log_err("could not baseset udp event");
 +              comm_point_delete(c);
 +              return NULL;
 +      }
 +      if(fd!=-1 && event_add(&c->ev->ev, c->timeout) != 0 ) {
 +              log_err("could not add udp event");
 +              comm_point_delete(c);
 +              return NULL;
 +      }
 +      return c;
 +}
 +
 +struct comm_point* 
 +comm_point_create_udp_ancil(struct comm_base *base, int fd, 
 +      sldns_buffer* buffer, 
 +      comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = fd;
 +      c->buffer = buffer;
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_udp;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 0;
 +      c->inuse = 0;
 +      c->tcp_do_toggle_rw = 0;
 +      c->tcp_check_nb_connect = 0;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      evbits = EV_READ | EV_PERSIST;
 +      /* libevent stuff */
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_udp_ancil_callback, c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0) {
 +              log_err("could not baseset udp event");
 +              comm_point_delete(c);
 +              return NULL;
 +      }
 +      if(fd!=-1 && event_add(&c->ev->ev, c->timeout) != 0 ) {
 +              log_err("could not add udp event");
 +              comm_point_delete(c);
 +              return NULL;
 +      }
 +      return c;
 +}
 +
 +static struct comm_point* 
 +comm_point_create_tcp_handler(struct comm_base *base, 
 +      struct comm_point* parent, size_t bufsize,
 +        comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = -1;
 +      c->buffer = sldns_buffer_new(bufsize);
 +      if(!c->buffer) {
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      c->timeout = (struct timeval*)malloc(sizeof(struct timeval));
 +      if(!c->timeout) {
 +              sldns_buffer_free(c->buffer);
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = parent;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_tcp;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 0;
 +      c->tcp_do_toggle_rw = 1;
 +      c->tcp_check_nb_connect = 0;
 +      c->repinfo.c = c;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      /* add to parent free list */
 +      c->tcp_free = parent->tcp_free;
 +      parent->tcp_free = c;
 +      /* libevent stuff */
 +      evbits = EV_PERSIST | EV_READ | EV_TIMEOUT;
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_tcp_handle_callback, c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0)
 +      {
 +              log_err("could not basetset tcphdl event");
 +              parent->tcp_free = c->tcp_free;
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      return c;
 +}
 +
 +struct comm_point* 
 +comm_point_create_tcp(struct comm_base *base, int fd, int num, size_t bufsize,
 +        comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      int i;
 +      /* first allocate the TCP accept listener */
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = fd;
 +      c->buffer = NULL;
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = num;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = (struct comm_point**)calloc((size_t)num,
 +              sizeof(struct comm_point*));
 +      if(!c->tcp_handlers) {
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      c->tcp_free = NULL;
 +      c->type = comm_tcp_accept;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 0;
 +      c->tcp_do_toggle_rw = 0;
 +      c->tcp_check_nb_connect = 0;
 +      c->callback = NULL;
 +      c->cb_arg = NULL;
 +      evbits = EV_READ | EV_PERSIST;
 +      /* libevent stuff */
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_tcp_accept_callback, c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0 ||
 +              event_add(&c->ev->ev, c->timeout) != 0 )
 +      {
 +              log_err("could not add tcpacc event");
 +              comm_point_delete(c);
 +              return NULL;
 +      }
 +
 +      /* now prealloc the tcp handlers */
 +      for(i=0; i<num; i++) {
 +              c->tcp_handlers[i] = comm_point_create_tcp_handler(base,
 +                      c, bufsize, callback, callback_arg);
 +              if(!c->tcp_handlers[i]) {
 +                      comm_point_delete(c);
 +                      return NULL;
 +              }
 +      }
 +      
 +      return c;
 +}
 +
 +struct comm_point* 
 +comm_point_create_tcp_out(struct comm_base *base, size_t bufsize,
 +        comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = -1;
 +      c->buffer = sldns_buffer_new(bufsize);
 +      if(!c->buffer) {
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_tcp;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 0;
 +      c->tcp_do_toggle_rw = 1;
 +      c->tcp_check_nb_connect = 1;
 +      c->repinfo.c = c;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      evbits = EV_PERSIST | EV_WRITE;
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_tcp_handle_callback, c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0)
 +      {
 +              log_err("could not basetset tcpout event");
 +              sldns_buffer_free(c->buffer);
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +
 +      return c;
 +}
 +
 +struct comm_point* 
 +comm_point_create_local(struct comm_base *base, int fd, size_t bufsize,
 +        comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = fd;
 +      c->buffer = sldns_buffer_new(bufsize);
 +      if(!c->buffer) {
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 1;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_local;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 1;
 +      c->tcp_do_toggle_rw = 0;
 +      c->tcp_check_nb_connect = 0;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      /* libevent stuff */
 +      evbits = EV_PERSIST | EV_READ;
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_local_handle_callback, 
 +              c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0 ||
 +              event_add(&c->ev->ev, c->timeout) != 0 )
 +      {
 +              log_err("could not add localhdl event");
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      return c;
 +}
 +
 +struct comm_point* 
 +comm_point_create_raw(struct comm_base* base, int fd, int writing, 
 +      comm_point_callback_t* callback, void* callback_arg)
 +{
 +      struct comm_point* c = (struct comm_point*)calloc(1,
 +              sizeof(struct comm_point));
 +      short evbits;
 +      if(!c)
 +              return NULL;
 +      c->ev = (struct internal_event*)calloc(1,
 +              sizeof(struct internal_event));
 +      if(!c->ev) {
 +              free(c);
 +              return NULL;
 +      }
 +      c->ev->base = base;
 +      c->fd = fd;
 +      c->buffer = NULL;
 +      c->timeout = NULL;
 +      c->tcp_is_reading = 0;
 +      c->tcp_byte_count = 0;
 +      c->tcp_parent = NULL;
 +      c->max_tcp_count = 0;
++      c->cur_tcp_count = 0;
 +      c->tcp_handlers = NULL;
 +      c->tcp_free = NULL;
 +      c->type = comm_raw;
 +      c->tcp_do_close = 0;
 +      c->do_not_close = 1;
 +      c->tcp_do_toggle_rw = 0;
 +      c->tcp_check_nb_connect = 0;
 +      c->callback = callback;
 +      c->cb_arg = callback_arg;
 +      /* libevent stuff */
 +      if(writing)
 +              evbits = EV_PERSIST | EV_WRITE;
 +      else    evbits = EV_PERSIST | EV_READ;
 +      event_set(&c->ev->ev, c->fd, evbits, comm_point_raw_handle_callback, 
 +              c);
 +      if(event_base_set(base->eb->base, &c->ev->ev) != 0 ||
 +              event_add(&c->ev->ev, c->timeout) != 0 )
 +      {
 +              log_err("could not add rawhdl event");
 +              free(c->ev);
 +              free(c);
 +              return NULL;
 +      }
 +      return c;
 +}
 +
 +void 
 +comm_point_close(struct comm_point* c)
 +{
 +      if(!c)
 +              return;
 +      if(c->fd != -1)
 +              if(event_del(&c->ev->ev) != 0) {
 +                      log_err("could not event_del on close");
 +              }
 +      /* close fd after removing from event lists, or epoll.. is messed up */
 +      if(c->fd != -1 && !c->do_not_close) {
 +              verbose(VERB_ALGO, "close fd %d", c->fd);
 +#ifndef USE_WINSOCK
 +              close(c->fd);
 +#else
 +              closesocket(c->fd);
 +#endif
 +      }
 +      c->fd = -1;
 +}
 +
 +void 
 +comm_point_delete(struct comm_point* c)
 +{
 +      if(!c) 
 +              return;
 +      if(c->type == comm_tcp && c->ssl) {
 +#ifdef HAVE_SSL
 +              SSL_shutdown(c->ssl);
 +              SSL_free(c->ssl);
 +#endif
 +      }
 +      comm_point_close(c);
 +      if(c->tcp_handlers) {
 +              int i;
 +              for(i=0; i<c->max_tcp_count; i++)
 +                      comm_point_delete(c->tcp_handlers[i]);
 +              free(c->tcp_handlers);
 +      }
 +      free(c->timeout);
 +      if(c->type == comm_tcp || c->type == comm_local)
 +              sldns_buffer_free(c->buffer);
 +      free(c->ev);
 +      free(c);
 +}
 +
 +void 
 +comm_point_send_reply(struct comm_reply *repinfo)
 +{
 +      log_assert(repinfo && repinfo->c);
 +      if(repinfo->c->type == comm_udp) {
 +              if(repinfo->srctype)
 +                      comm_point_send_udp_msg_if(repinfo->c, 
 +                      repinfo->c->buffer, (struct sockaddr*)&repinfo->addr, 
 +                      repinfo->addrlen, repinfo);
 +              else
 +                      comm_point_send_udp_msg(repinfo->c, repinfo->c->buffer,
 +                      (struct sockaddr*)&repinfo->addr, repinfo->addrlen);
 +#ifdef USE_DNSTAP
 +              if(repinfo->c->dtenv != NULL &&
 +                 repinfo->c->dtenv->log_client_response_messages)
 +                      dt_msg_send_client_response(repinfo->c->dtenv,
 +                      &repinfo->addr, repinfo->c->type, repinfo->c->buffer);
 +#endif
 +      } else {
 +#ifdef USE_DNSTAP
 +              if(repinfo->c->tcp_parent->dtenv != NULL &&
 +                 repinfo->c->tcp_parent->dtenv->log_client_response_messages)
 +                      dt_msg_send_client_response(repinfo->c->tcp_parent->dtenv,
 +                      &repinfo->addr, repinfo->c->type, repinfo->c->buffer);
 +#endif
 +              comm_point_start_listening(repinfo->c, -1, TCP_QUERY_TIMEOUT);
 +      }
 +}
 +
 +void 
 +comm_point_drop_reply(struct comm_reply* repinfo)
 +{
 +      if(!repinfo)
 +              return;
 +      log_assert(repinfo && repinfo->c);
 +      log_assert(repinfo->c->type != comm_tcp_accept);
 +      if(repinfo->c->type == comm_udp)
 +              return;
 +      reclaim_tcp_handler(repinfo->c);
 +}
 +
 +void 
 +comm_point_stop_listening(struct comm_point* c)
 +{
 +      verbose(VERB_ALGO, "comm point stop listening %d", c->fd);
 +      if(event_del(&c->ev->ev) != 0) {
 +              log_err("event_del error to stoplisten");
 +      }
 +}
 +
 +void 
 +comm_point_start_listening(struct comm_point* c, int newfd, int sec)
 +{
 +      verbose(VERB_ALGO, "comm point start listening %d", 
 +              c->fd==-1?newfd:c->fd);
 +      if(c->type == comm_tcp_accept && !c->tcp_free) {
 +              /* no use to start listening no free slots. */
 +              return;
 +      }
 +      if(sec != -1 && sec != 0) {
 +              if(!c->timeout) {
 +                      c->timeout = (struct timeval*)malloc(sizeof(
 +                              struct timeval));
 +                      if(!c->timeout) {
 +                              log_err("cpsl: malloc failed. No net read.");
 +                              return;
 +                      }
 +              }
 +              c->ev->ev.ev_events |= EV_TIMEOUT;
 +#ifndef S_SPLINT_S /* splint fails on struct timeval. */
 +              c->timeout->tv_sec = sec;
 +              c->timeout->tv_usec = 0;
 +#endif /* S_SPLINT_S */
 +      }
 +      if(c->type == comm_tcp) {
 +              c->ev->ev.ev_events &= ~(EV_READ|EV_WRITE);
 +              if(c->tcp_is_reading)
 +                      c->ev->ev.ev_events |= EV_READ;
 +              else    c->ev->ev.ev_events |= EV_WRITE;
 +      }
 +      if(newfd != -1) {
 +              if(c->fd != -1) {
 +#ifndef USE_WINSOCK
 +                      close(c->fd);
 +#else
 +                      closesocket(c->fd);
 +#endif
 +              }
 +              c->fd = newfd;
 +              c->ev->ev.ev_fd = c->fd;
 +      }
 +      if(event_add(&c->ev->ev, sec==0?NULL:c->timeout) != 0) {
 +              log_err("event_add failed. in cpsl.");
 +      }
 +}
 +
 +void comm_point_listen_for_rw(struct comm_point* c, int rd, int wr)
 +{
 +      verbose(VERB_ALGO, "comm point listen_for_rw %d %d", c->fd, wr);
 +      if(event_del(&c->ev->ev) != 0) {
 +              log_err("event_del error to cplf");
 +      }
 +      c->ev->ev.ev_events &= ~(EV_READ|EV_WRITE);
 +      if(rd) c->ev->ev.ev_events |= EV_READ;
 +      if(wr) c->ev->ev.ev_events |= EV_WRITE;
 +      if(event_add(&c->ev->ev, c->timeout) != 0) {
 +              log_err("event_add failed. in cplf.");
 +      }
 +}
 +
 +size_t comm_point_get_mem(struct comm_point* c)
 +{
 +      size_t s;
 +      if(!c) 
 +              return 0;
 +      s = sizeof(*c) + sizeof(*c->ev);
 +      if(c->timeout) 
 +              s += sizeof(*c->timeout);
 +      if(c->type == comm_tcp || c->type == comm_local)
 +              s += sizeof(*c->buffer) + sldns_buffer_capacity(c->buffer);
 +      if(c->type == comm_tcp_accept) {
 +              int i;
 +              for(i=0; i<c->max_tcp_count; i++)
 +                      s += comm_point_get_mem(c->tcp_handlers[i]);
 +      }
 +      return s;
 +}
 +
 +struct comm_timer* 
 +comm_timer_create(struct comm_base* base, void (*cb)(void*), void* cb_arg)
 +{
 +      struct comm_timer *tm = (struct comm_timer*)calloc(1,
 +              sizeof(struct comm_timer));
 +      if(!tm)
 +              return NULL;
 +      tm->ev_timer = (struct internal_timer*)calloc(1,
 +              sizeof(struct internal_timer));
 +      if(!tm->ev_timer) {
 +              log_err("malloc failed");
 +              free(tm);
 +              return NULL;
 +      }
 +      tm->ev_timer->base = base;
 +      tm->callback = cb;
 +      tm->cb_arg = cb_arg;
 +      event_set(&tm->ev_timer->ev, -1, EV_TIMEOUT, 
 +              comm_timer_callback, tm);
 +      if(event_base_set(base->eb->base, &tm->ev_timer->ev) != 0) {
 +              log_err("timer_create: event_base_set failed.");
 +              free(tm->ev_timer);
 +              free(tm);
 +              return NULL;
 +      }
 +      return tm;
 +}
 +
 +void 
 +comm_timer_disable(struct comm_timer* timer)
 +{
 +      if(!timer)
 +              return;
 +      evtimer_del(&timer->ev_timer->ev);
 +      timer->ev_timer->enabled = 0;
 +}
 +
 +void 
 +comm_timer_set(struct comm_timer* timer, struct timeval* tv)
 +{
 +      log_assert(tv);
 +      if(timer->ev_timer->enabled)
 +              comm_timer_disable(timer);
 +      event_set(&timer->ev_timer->ev, -1, EV_TIMEOUT,
 +              comm_timer_callback, timer);
 +      if(event_base_set(timer->ev_timer->base->eb->base, 
 +              &timer->ev_timer->ev) != 0)
 +              log_err("comm_timer_set: set_base failed.");
 +      if(evtimer_add(&timer->ev_timer->ev, tv) != 0)
 +              log_err("comm_timer_set: evtimer_add failed.");
 +      timer->ev_timer->enabled = 1;
 +}
 +
 +void 
 +comm_timer_delete(struct comm_timer* timer)
 +{
 +      if(!timer)
 +              return;
 +      comm_timer_disable(timer);
 +      free(timer->ev_timer);
 +      free(timer);
 +}
 +
 +void 
 +comm_timer_callback(int ATTR_UNUSED(fd), short event, void* arg)
 +{
 +      struct comm_timer* tm = (struct comm_timer*)arg;
 +      if(!(event&EV_TIMEOUT))
 +              return;
 +      comm_base_now(tm->ev_timer->base);
 +      tm->ev_timer->enabled = 0;
 +      fptr_ok(fptr_whitelist_comm_timer(tm->callback));
 +      (*tm->callback)(tm->cb_arg);
 +}
 +
 +int 
 +comm_timer_is_set(struct comm_timer* timer)
 +{
 +      return (int)timer->ev_timer->enabled;
 +}
 +
 +size_t 
 +comm_timer_get_mem(struct comm_timer* timer)
 +{
 +      return sizeof(*timer) + sizeof(struct internal_timer);
 +}
 +
 +struct comm_signal* 
 +comm_signal_create(struct comm_base* base,
 +        void (*callback)(int, void*), void* cb_arg)
 +{
 +      struct comm_signal* com = (struct comm_signal*)malloc(
 +              sizeof(struct comm_signal));
 +      if(!com) {
 +              log_err("malloc failed");
 +              return NULL;
 +      }
 +      com->base = base;
 +      com->callback = callback;
 +      com->cb_arg = cb_arg;
 +      com->ev_signal = NULL;
 +      return com;
 +}
 +
 +void 
 +comm_signal_callback(int sig, short event, void* arg)
 +{
 +      struct comm_signal* comsig = (struct comm_signal*)arg;
 +      if(!(event & EV_SIGNAL))
 +              return;
 +      comm_base_now(comsig->base);
 +      fptr_ok(fptr_whitelist_comm_signal(comsig->callback));
 +      (*comsig->callback)(sig, comsig->cb_arg);
 +}
 +
 +int 
 +comm_signal_bind(struct comm_signal* comsig, int sig)
 +{
 +      struct internal_signal* entry = (struct internal_signal*)calloc(1, 
 +              sizeof(struct internal_signal));
 +      if(!entry) {
 +              log_err("malloc failed");
 +              return 0;
 +      }
 +      log_assert(comsig);
 +      /* add signal event */
 +      signal_set(&entry->ev, sig, comm_signal_callback, comsig);
 +      if(event_base_set(comsig->base->eb->base, &entry->ev) != 0) {
 +              log_err("Could not set signal base");
 +              free(entry);
 +              return 0;
 +      }
 +      if(signal_add(&entry->ev, NULL) != 0) {
 +              log_err("Could not add signal handler");
 +              free(entry);
 +              return 0;
 +      }
 +      /* link into list */
 +      entry->next = comsig->ev_signal;
 +      comsig->ev_signal = entry;
 +      return 1;
 +}
 +
 +void 
 +comm_signal_delete(struct comm_signal* comsig)
 +{
 +      struct internal_signal* p, *np;
 +      if(!comsig)
 +              return;
 +      p=comsig->ev_signal;
 +      while(p) {
 +              np = p->next;
 +              signal_del(&p->ev);
 +              free(p);
 +              p = np;
 +      }
 +      free(comsig);
 +}
diff --cc contrib/unbound/util/netevent.h
index 37322ab933f044e82eca8f7ede509bb19dbea9e8,0000000000000000000000000000000000000000..4b87cdba9e51b5a89b3e31fab575a5b621ba4f34
mode 100644,000000..100644
--- 1/contrib/unbound/util/netevent.h
--- /dev/null
+++ b/contrib/unbound/util/netevent.h
@@@ -1,703 -1,0 +1,705 @@@
 +/*
 + * util/netevent.h - event notification
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains event notification functions.
 + *
 + * There are three types of communication points
 + *    o UDP socket - perthread buffer.
 + *    o TCP-accept socket - array of TCP-sockets, socketcount.
 + *    o TCP socket - own buffer, parent-TCPaccept, read/write state,
 + *                   number of bytes read/written, timeout.
 + *
 + * There are sockets aimed towards our clients and towards the internet.
 + *    o frontside - aimed towards our clients, queries come in, answers back.
 + *    o behind - aimed towards internet, to the authoritative DNS servers.
 + *
 + * Several event types are available:
 + *    o comm_base - for thread safety of the comm points, one per thread.
 + *    o comm_point - udp and tcp networking, with callbacks.
 + *    o comm_timer - a timeout with callback.
 + *    o comm_signal - callbacks when signal is caught.
 + *    o comm_reply - holds reply info during networking callback.
 + *
 + */
 +
 +#ifndef NET_EVENT_H
 +#define NET_EVENT_H
 +
 +struct sldns_buffer;
 +struct comm_point;
 +struct comm_reply;
 +struct event_base;
 +
 +/* internal event notification data storage structure. */
 +struct internal_event;
 +struct internal_base;
 +struct internal_timer;
 +
 +/** callback from communication point function type */
 +typedef int comm_point_callback_t(struct comm_point*, void*, int, 
 +      struct comm_reply*);
 +
 +/** to pass no_error to callback function */
 +#define NETEVENT_NOERROR 0
 +/** to pass closed connection to callback function */
 +#define NETEVENT_CLOSED -1
 +/** to pass timeout happened to callback function */
 +#define NETEVENT_TIMEOUT -2 
 +/** to pass fallback from capsforID to callback function; 0x20 failed */
 +#define NETEVENT_CAPSFAIL -3
 +
 +/** timeout to slow accept calls when not possible, in msec. */
 +#define NETEVENT_SLOW_ACCEPT_TIME 2000
 +
 +/**
 + * A communication point dispatcher. Thread specific.
 + */
 +struct comm_base {
 +      /** behind the scenes structure. with say libevent info. alloced */
 +      struct internal_base* eb;
 +      /** callback to stop listening on accept sockets,
 +       * performed when accept() will not function properly */
 +      void (*stop_accept)(void*);
 +      /** callback to start listening on accept sockets, performed
 +       * after stop_accept() then a timeout has passed. */
 +      void (*start_accept)(void*);
 +      /** user argument for stop_accept and start_accept functions */
 +      void* cb_arg;
 +};
 +
 +/**
 + * Reply information for a communication point.
 + */
 +struct comm_reply {
 +      /** the comm_point with fd to send reply on to. */
 +      struct comm_point* c;
 +      /** the address (for UDP based communication) */
 +      struct sockaddr_storage addr;
 +      /** length of address */
 +      socklen_t addrlen;
 +      /** return type 0 (none), 4(IP4), 6(IP6) */
 +      int srctype;
 +      /** the return source interface data */
 +      union {
 +#ifdef IPV6_PKTINFO
 +              struct in6_pktinfo v6info;
 +#endif
 +#ifdef IP_PKTINFO
 +              struct in_pktinfo v4info;
 +#elif defined(IP_RECVDSTADDR)
 +              struct in_addr v4addr;
 +#endif
 +      }       
 +              /** variable with return source data */
 +              pktinfo;
 +};
 +
 +/** 
 + * Communication point to the network 
 + * These behaviours can be accomplished by setting the flags
 + * and passing return values from the callback.
 + *    udp frontside: called after readdone. sendafter.
 + *    tcp frontside: called readdone, sendafter. close.
 + *    udp behind: called after readdone. No send after.
 + *    tcp behind: write done, read done, then called. No send after.
 + */
 +struct comm_point {
 +      /** behind the scenes structure, with say libevent info. alloced. */
 +      struct internal_event* ev;
 +
 +      /** file descriptor for communication point */
 +      int fd;
 +
 +      /** timeout (NULL if it does not). Malloced. */
 +      struct timeval* timeout;
 +
 +      /** buffer pointer. Either to perthread, or own buffer or NULL */
 +      struct sldns_buffer* buffer;
 +
 +      /* -------- TCP Handler -------- */
 +      /** Read/Write state for TCP */
 +      int tcp_is_reading;
 +      /** The current read/write count for TCP */
 +      size_t tcp_byte_count;
 +      /** parent communication point (for TCP sockets) */
 +      struct comm_point* tcp_parent;
 +      /** sockaddr from peer, for TCP handlers */
 +      struct comm_reply repinfo;
 +
 +      /* -------- TCP Accept -------- */
 +      /** the number of TCP handlers for this tcp-accept socket */
 +      int max_tcp_count;
++      /** current number of tcp handler in-use for this accept socket */
++      int cur_tcp_count;
 +      /** malloced array of tcp handlers for a tcp-accept, 
 +          of size max_tcp_count. */
 +      struct comm_point** tcp_handlers;
 +      /** linked list of free tcp_handlers to use for new queries.
 +          For tcp_accept the first entry, for tcp_handlers the next one. */
 +      struct comm_point* tcp_free;
 +
 +      /* -------- SSL TCP DNS ------- */
 +      /** the SSL object with rw bio (owned) or for commaccept ctx ref */
 +      void* ssl;
 +      /** handshake state for init and renegotiate */
 +      enum {
 +              /** no handshake, it has been done */
 +              comm_ssl_shake_none = 0,
 +              /** ssl initial handshake wants to read */
 +              comm_ssl_shake_read,
 +              /** ssl initial handshake wants to write */
 +              comm_ssl_shake_write,
 +              /** ssl_write wants to read */
 +              comm_ssl_shake_hs_read,
 +              /** ssl_read wants to write */
 +              comm_ssl_shake_hs_write
 +      } ssl_shake_state;
 +
 +      /* -------- dnstap ------- */
 +      /** the dnstap environment */
 +      struct dt_env* dtenv;
 +
 +      /** is this a UDP, TCP-accept or TCP socket. */
 +      enum comm_point_type {
 +              /** UDP socket - handle datagrams. */
 +              comm_udp, 
 +              /** TCP accept socket - only creates handlers if readable. */
 +              comm_tcp_accept, 
 +              /** TCP handler socket - handle byteperbyte readwrite. */
 +              comm_tcp,
 +              /** AF_UNIX socket - for internal commands. */
 +              comm_local,
 +              /** raw - not DNS format - for pipe readers and writers */
 +              comm_raw
 +      } 
 +              /** variable with type of socket, UDP,TCP-accept,TCP,pipe */
 +              type;
 +
 +      /* ---------- Behaviour ----------- */
 +      /** if set the connection is NOT closed on delete. */
 +      int do_not_close;
 +
 +      /** if set, the connection is closed on error, on timeout, 
 +          and after read/write completes. No callback is done. */
 +      int tcp_do_close;
 +
 +      /** if set, read/write completes:
 +              read/write state of tcp is toggled.
 +              buffer reset/bytecount reset.
 +              this flag cleared.
 +          So that when that is done the callback is called. */
 +      int tcp_do_toggle_rw;
 +
 +      /** if set, checks for pending error from nonblocking connect() call.*/
 +      int tcp_check_nb_connect;
 +
 +      /** number of queries outstanding on this socket, used by
 +       * outside network for udp ports */
 +      int inuse;
 +
 +      /** callback when done.
 +          tcp_accept does not get called back, is NULL then.
 +          If a timeout happens, callback with timeout=1 is called.
 +          If an error happens, callback is called with error set 
 +          nonzero. If not NETEVENT_NOERROR, it is an errno value.
 +          If the connection is closed (by remote end) then the
 +          callback is called with error set to NETEVENT_CLOSED=-1.
 +          If a timeout happens on the connection, the error is set to 
 +          NETEVENT_TIMEOUT=-2.
 +          The reply_info can be copied if the reply needs to happen at a
 +          later time. It consists of a struct with commpoint and address.
 +          It can be passed to a msg send routine some time later.
 +          Note the reply information is temporary and must be copied.
 +          NULL is passed for_reply info, in cases where error happened.
 +
 +          declare as: 
 +          int my_callback(struct comm_point* c, void* my_arg, int error,
 +              struct comm_reply *reply_info);
 +
 +          if the routine returns 0, nothing is done.
 +          Notzero, the buffer will be sent back to client.
 +                      For UDP this is done without changing the commpoint.
 +                      In TCP it sets write state.
 +      */
 +      comm_point_callback_t* callback;
 +      /** argument to pass to callback. */
 +      void *cb_arg;
 +};
 +
 +/**
 + * Structure only for making timeout events.
 + */
 +struct comm_timer {
 +      /** the internal event stuff */
 +      struct internal_timer* ev_timer;
 +
 +      /** callback function, takes user arg only */
 +      void (*callback)(void*);
 +
 +      /** callback user argument */
 +      void* cb_arg;
 +};
 +
 +/**
 + * Structure only for signal events.
 + */
 +struct comm_signal {
 +      /** the communication base */
 +      struct comm_base* base;
 +
 +      /** the internal event stuff */
 +      struct internal_signal* ev_signal;
 +
 +      /** callback function, takes signal number and user arg */
 +      void (*callback)(int, void*);
 +
 +      /** callback user argument */
 +      void* cb_arg;
 +};
 +
 +/**
 + * Create a new comm base.
 + * @param sigs: if true it attempts to create a default loop for 
 + *   signal handling.
 + * @return: the new comm base. NULL on error.
 + */
 +struct comm_base* comm_base_create(int sigs);
 +
 +/**
 + * Create comm base that uses the given event_base (underlying event
 + * mechanism pointer).
 + * @param base: underlying lib event base.
 + * @return: the new comm base. NULL on error.
 + */
 +struct comm_base* comm_base_create_event(struct event_base* base);
 +
 +/**
 + * Delete comm base structure but not the underlying lib event base.
 + * All comm points must have been deleted.
 + * @param b: the base to delete.
 + */
 +void comm_base_delete_no_base(struct comm_base* b);
 +
 +/**
 + * Destroy a comm base.
 + * All comm points must have been deleted.
 + * @param b: the base to delete.
 + */
 +void comm_base_delete(struct comm_base* b);
 +
 +/**
 + * Obtain two pointers. The pointers never change (until base_delete()).
 + * The pointers point to time values that are updated regularly.
 + * @param b: the communication base that will update the time values.
 + * @param tt: pointer to time in seconds is returned.
 + * @param tv: pointer to time in microseconds is returned.
 + */
 +void comm_base_timept(struct comm_base* b, time_t** tt, struct timeval** tv);
 +
 +/**
 + * Dispatch the comm base events.
 + * @param b: the communication to perform.
 + */
 +void comm_base_dispatch(struct comm_base* b);
 +
 +/**
 + * Exit from dispatch loop.
 + * @param b: the communication base that is in dispatch().
 + */
 +void comm_base_exit(struct comm_base* b);
 +
 +/**
 + * Set the slow_accept mode handlers.  You can not provide these if you do
 + * not perform accept() calls.
 + * @param b: comm base
 + * @param stop_accept: function that stops listening to accept fds.
 + * @param start_accept: function that resumes listening to accept fds.
 + * @param arg: callback arg to pass to the functions.
 + */
 +void comm_base_set_slow_accept_handlers(struct comm_base* b,
 +      void (*stop_accept)(void*), void (*start_accept)(void*), void* arg);
 +
 +/**
 + * Access internal data structure (for util/tube.c on windows)
 + * @param b: comm base
 + * @return event_base. Could be libevent, or internal event handler.
 + */
 +struct event_base* comm_base_internal(struct comm_base* b);
 +
 +/**
 + * Create an UDP comm point. Calls malloc.
 + * setups the structure with the parameters you provide.
 + * @param base: in which base to alloc the commpoint.
 + * @param fd : file descriptor of open UDP socket.
 + * @param buffer: shared buffer by UDP sockets from this thread.
 + * @param callback: callback function pointer.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: returns the allocated communication point. NULL on error.
 + * Sets timeout to NULL. Turns off TCP options.
 + */
 +struct comm_point* comm_point_create_udp(struct comm_base* base,
 +      int fd, struct sldns_buffer* buffer, 
 +      comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Create an UDP with ancillary data comm point. Calls malloc.
 + * Uses recvmsg instead of recv to get udp message.
 + * setups the structure with the parameters you provide.
 + * @param base: in which base to alloc the commpoint.
 + * @param fd : file descriptor of open UDP socket.
 + * @param buffer: shared buffer by UDP sockets from this thread.
 + * @param callback: callback function pointer.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: returns the allocated communication point. NULL on error.
 + * Sets timeout to NULL. Turns off TCP options.
 + */
 +struct comm_point* comm_point_create_udp_ancil(struct comm_base* base,
 +      int fd, struct sldns_buffer* buffer, 
 +      comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Create a TCP listener comm point. Calls malloc.
 + * Setups the structure with the parameters you provide.
 + * Also Creates TCP Handlers, pre allocated for you.
 + * Uses the parameters you provide.
 + * @param base: in which base to alloc the commpoint.
 + * @param fd: file descriptor of open TCP socket set to listen nonblocking.
 + * @param num: becomes max_tcp_count, the routine allocates that
 + *    many tcp handler commpoints.
 + * @param bufsize: size of buffer to create for handlers.
 + * @param callback: callback function pointer for TCP handlers.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: returns the TCP listener commpoint. You can find the
 + *    TCP handlers in the array inside the listener commpoint.
 + *    returns NULL on error.
 + * Inits timeout to NULL. All handlers are on the free list.
 + */
 +struct comm_point* comm_point_create_tcp(struct comm_base* base,
 +      int fd, int num, size_t bufsize, 
 +      comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Create an outgoing TCP commpoint. No file descriptor is opened, left at -1.
 + * @param base: in which base to alloc the commpoint.
 + * @param bufsize: size of buffer to create for handlers.
 + * @param callback: callback function pointer for the handler.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: the commpoint or NULL on error.
 + */
 +struct comm_point* comm_point_create_tcp_out(struct comm_base* base,
 +      size_t bufsize, comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Create commpoint to listen to a local domain file descriptor.
 + * @param base: in which base to alloc the commpoint.
 + * @param fd: file descriptor of open AF_UNIX socket set to listen nonblocking.
 + * @param bufsize: size of buffer to create for handlers.
 + * @param callback: callback function pointer for the handler.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: the commpoint or NULL on error.
 + */
 +struct comm_point* comm_point_create_local(struct comm_base* base,
 +      int fd, size_t bufsize, 
 +      comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Create commpoint to listen to a local domain pipe descriptor.
 + * @param base: in which base to alloc the commpoint.
 + * @param fd: file descriptor.
 + * @param writing: true if you want to listen to writes, false for reads.
 + * @param callback: callback function pointer for the handler.
 + * @param callback_arg: will be passed to your callback function.
 + * @return: the commpoint or NULL on error.
 + */
 +struct comm_point* comm_point_create_raw(struct comm_base* base,
 +      int fd, int writing, 
 +      comm_point_callback_t* callback, void* callback_arg);
 +
 +/**
 + * Close a comm point fd.
 + * @param c: comm point to close.
 + */
 +void comm_point_close(struct comm_point* c);
 +
 +/**
 + * Close and deallocate (free) the comm point. If the comm point is
 + * a tcp-accept point, also its tcp-handler points are deleted.
 + * @param c: comm point to delete.
 + */
 +void comm_point_delete(struct comm_point* c);
 +
 +/**
 + * Send reply. Put message into commpoint buffer.
 + * @param repinfo: The reply info copied from a commpoint callback call.
 + */
 +void comm_point_send_reply(struct comm_reply* repinfo);
 +
 +/**
 + * Drop reply. Cleans up.
 + * @param repinfo: The reply info copied from a commpoint callback call.
 + */
 +void comm_point_drop_reply(struct comm_reply* repinfo);
 +
 +/**
 + * Send an udp message over a commpoint.
 + * @param c: commpoint to send it from.
 + * @param packet: what to send.
 + * @param addr: where to send it to.
 + * @param addrlen: length of addr.
 + * @return: false on a failure.
 + */
 +int comm_point_send_udp_msg(struct comm_point* c, struct sldns_buffer* packet,
 +      struct sockaddr* addr, socklen_t addrlen);
 +
 +/**
 + * Stop listening for input on the commpoint. No callbacks will happen.
 + * @param c: commpoint to disable. The fd is not closed.
 + */
 +void comm_point_stop_listening(struct comm_point* c);
 +
 +/**
 + * Start listening again for input on the comm point.
 + * @param c: commpoint to enable again.
 + * @param newfd: new fd, or -1 to leave fd be.
 + * @param sec: timeout in seconds, or -1 for no (change to the) timeout.
 + */
 +void comm_point_start_listening(struct comm_point* c, int newfd, int sec);
 +
 +/**
 + * Stop listening and start listening again for reading or writing.
 + * @param c: commpoint
 + * @param rd: if true, listens for reading.
 + * @param wr: if true, listens for writing.
 + */
 +void comm_point_listen_for_rw(struct comm_point* c, int rd, int wr);
 +
 +/**
 + * Get size of memory used by comm point.
 + * For TCP handlers this includes subhandlers.
 + * For UDP handlers, this does not include the (shared) UDP buffer.
 + * @param c: commpoint.
 + * @return size in bytes.
 + */
 +size_t comm_point_get_mem(struct comm_point* c);
 +
 +/**
 + * create timer. Not active upon creation.
 + * @param base: event handling base.
 + * @param cb: callback function: void myfunc(void* myarg);
 + * @param cb_arg: user callback argument.
 + * @return: the new timer or NULL on error.
 + */
 +struct comm_timer* comm_timer_create(struct comm_base* base, 
 +      void (*cb)(void*), void* cb_arg);
 +
 +/**
 + * disable timer. Stops callbacks from happening.
 + * @param timer: to disable.
 + */
 +void comm_timer_disable(struct comm_timer* timer);
 +
 +/**
 + * reset timevalue for timer.
 + * @param timer: timer to (re)set.
 + * @param tv: when the timer should activate. if NULL timer is disabled.
 + */
 +void comm_timer_set(struct comm_timer* timer, struct timeval* tv);
 +
 +/**
 + * delete timer.
 + * @param timer: to delete.
 + */
 +void comm_timer_delete(struct comm_timer* timer);
 +
 +/**
 + * see if timeout has been set to a value.
 + * @param timer: the timer to examine.
 + * @return: false if disabled or not set.
 + */
 +int comm_timer_is_set(struct comm_timer* timer);
 +
 +/**
 + * Get size of memory used by comm timer.
 + * @param timer: the timer to examine.
 + * @return size in bytes.
 + */
 +size_t comm_timer_get_mem(struct comm_timer* timer);
 +
 +/**
 + * Create a signal handler. Call signal_bind() later to bind to a signal.
 + * @param base: communication base to use.
 + * @param callback: called when signal is caught.
 + * @param cb_arg: user argument to callback
 + * @return: the signal struct or NULL on error.
 + */
 +struct comm_signal* comm_signal_create(struct comm_base* base,
 +      void (*callback)(int, void*), void* cb_arg);
 +
 +/**
 + * Bind signal struct to catch a signal. A signle comm_signal can be bound
 + * to multiple signals, calling comm_signal_bind multiple times.
 + * @param comsig: the communication point, with callback information.
 + * @param sig: signal number.
 + * @return: true on success. false on error.
 + */
 +int comm_signal_bind(struct comm_signal* comsig, int sig);
 +
 +/**
 + * Delete the signal communication point.
 + * @param comsig: to delete.
 + */
 +void comm_signal_delete(struct comm_signal* comsig);
 +
 +/**
 + * perform accept(2) with error checking.
 + * @param c: commpoint with accept fd.
 + * @param addr: remote end returned here.
 + * @param addrlen: length of remote end returned here.
 + * @return new fd, or -1 on error.
 + *    if -1, error message has been printed if necessary, simply drop
 + *    out of the reading handler.
 + */
 +int comm_point_perform_accept(struct comm_point* c, 
 +      struct sockaddr_storage* addr, socklen_t* addrlen);
 +
 +/**** internal routines ****/
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for udp comm point.
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_udp_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for udp ancillary data comm point.
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_udp_ancil_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for tcp accept comm point
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_tcp_accept_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for tcp data comm point
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_tcp_handle_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for timer comm.
 + * @param fd: file descriptor (always -1).
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_timer structure.
 + */
 +void comm_timer_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * handle libevent callback for signal comm.
 + * @param fd: file descriptor (used for the signal number).
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the internal commsignal structure.
 + */
 +void comm_signal_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * libevent callback for AF_UNIX fds
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_local_handle_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * libevent callback for raw fd access.
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_point_raw_handle_callback(int fd, short event, void* arg);
 +
 +/**
 + * This routine is published for checks and tests, and is only used internally.
 + * libevent callback for timeout on slow accept.
 + * @param fd: file descriptor.
 + * @param event: event bits from libevent: 
 + *    EV_READ, EV_WRITE, EV_SIGNAL, EV_TIMEOUT.
 + * @param arg: the comm_point structure.
 + */
 +void comm_base_handle_slow_accept(int fd, short event, void* arg);
 +
 +#ifdef USE_WINSOCK
 +/**
 + * Callback for openssl BIO to on windows detect WSAEWOULDBLOCK and notify
 + * the winsock_event of this for proper TCP nonblocking implementation.
 + * @param c: comm_point, fd must be set its struct event is registered.
 + * @param ssl: openssl SSL, fd must be set so it has a bio.
 + */
 +void comm_point_tcp_win_bio_cb(struct comm_point* c, void* ssl);
 +#endif
 +
 +/** see if errno for tcp connect has to be logged or not. This uses errno */
 +int tcp_connect_errno_needs_log(struct sockaddr* addr, socklen_t addrlen);
 +
 +#endif /* NET_EVENT_H */
diff --cc contrib/unbound/validator/autotrust.c
index 5e1dc4ef3cdbbed8c44209f74d67ec559f6364bf,0000000000000000000000000000000000000000..d90eec9eb0d16b6a7c145f3d7d4d24e04c33ed82
mode 100644,000000..100644
--- 1/contrib/unbound/validator/autotrust.c
--- /dev/null
+++ b/contrib/unbound/validator/autotrust.c
@@@ -1,2393 -1,0 +1,2393 @@@
- #include "ldns/sbuffer.h"
- #include "ldns/wire2str.h"
- #include "ldns/str2wire.h"
- #include "ldns/keyraw.h"
- #include "ldns/rrdef.h"
 +/*
 + * validator/autotrust.c - RFC5011 trust anchor management for unbound.
 + *
 + * Copyright (c) 2009, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * Contains autotrust implementation. The implementation was taken from 
 + * the autotrust daemon (BSD licensed), written by Matthijs Mekking.
 + * It was modified to fit into unbound. The state table process is the same.
 + */
 +#include "config.h"
 +#include "validator/autotrust.h"
 +#include "validator/val_anchor.h"
 +#include "validator/val_utils.h"
 +#include "validator/val_sigcrypt.h"
 +#include "util/data/dname.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/log.h"
 +#include "util/module.h"
 +#include "util/net_help.h"
 +#include "util/config_file.h"
 +#include "util/regional.h"
 +#include "util/random.h"
 +#include "util/data/msgparse.h"
 +#include "services/mesh.h"
 +#include "services/cache/rrset.h"
 +#include "validator/val_kcache.h"
-               log_err("could not open autotrust file for writing, %s: %s",
++#include "sldns/sbuffer.h"
++#include "sldns/wire2str.h"
++#include "sldns/str2wire.h"
++#include "sldns/keyraw.h"
++#include "sldns/rrdef.h"
 +#include <stdarg.h>
 +#include <ctype.h>
 +
 +/** number of times a key must be seen before it can become valid */
 +#define MIN_PENDINGCOUNT 2
 +
 +/** Event: Revoked */
 +static void do_revoked(struct module_env* env, struct autr_ta* anchor, int* c);
 +
 +struct autr_global_data* autr_global_create(void)
 +{
 +      struct autr_global_data* global;
 +      global = (struct autr_global_data*)malloc(sizeof(*global));
 +      if(!global) 
 +              return NULL;
 +      rbtree_init(&global->probe, &probetree_cmp);
 +      return global;
 +}
 +
 +void autr_global_delete(struct autr_global_data* global)
 +{
 +      if(!global)
 +              return;
 +      /* elements deleted by parent */
 +      memset(global, 0, sizeof(*global));
 +      free(global);
 +}
 +
 +int probetree_cmp(const void* x, const void* y)
 +{
 +      struct trust_anchor* a = (struct trust_anchor*)x;
 +      struct trust_anchor* b = (struct trust_anchor*)y;
 +      log_assert(a->autr && b->autr);
 +      if(a->autr->next_probe_time < b->autr->next_probe_time)
 +              return -1;
 +      if(a->autr->next_probe_time > b->autr->next_probe_time)
 +              return 1;
 +      /* time is equal, sort on trust point identity */
 +      return anchor_cmp(x, y);
 +}
 +
 +size_t 
 +autr_get_num_anchors(struct val_anchors* anchors)
 +{
 +      size_t res = 0;
 +      if(!anchors)
 +              return 0;
 +      lock_basic_lock(&anchors->lock);
 +      if(anchors->autr)
 +              res = anchors->autr->probe.count;
 +      lock_basic_unlock(&anchors->lock);
 +      return res;
 +}
 +
 +/** Position in string */
 +static int
 +position_in_string(char *str, const char* sub)
 +{
 +      char* pos = strstr(str, sub);
 +      if(pos)
 +              return (int)(pos-str)+(int)strlen(sub);
 +      return -1;
 +}
 +
 +/** Debug routine to print pretty key information */
 +static void
 +verbose_key(struct autr_ta* ta, enum verbosity_value level, 
 +      const char* format, ...) ATTR_FORMAT(printf, 3, 4);
 +
 +/** 
 + * Implementation of debug pretty key print 
 + * @param ta: trust anchor key with DNSKEY data.
 + * @param level: verbosity level to print at.
 + * @param format: printf style format string.
 + */
 +static void
 +verbose_key(struct autr_ta* ta, enum verbosity_value level, 
 +      const char* format, ...) 
 +{
 +      va_list args;
 +      va_start(args, format);
 +      if(verbosity >= level) {
 +              char* str = sldns_wire2str_dname(ta->rr, ta->dname_len);
 +              int keytag = (int)sldns_calc_keytag_raw(sldns_wirerr_get_rdata(
 +                      ta->rr, ta->rr_len, ta->dname_len),
 +                      sldns_wirerr_get_rdatalen(ta->rr, ta->rr_len,
 +                      ta->dname_len));
 +              char msg[MAXSYSLOGMSGLEN];
 +              vsnprintf(msg, sizeof(msg), format, args);
 +              verbose(level, "%s key %d %s", str?str:"??", keytag, msg);
 +              free(str);
 +      }
 +      va_end(args);
 +}
 +
 +/** 
 + * Parse comments 
 + * @param str: to parse
 + * @param ta: trust key autotrust metadata
 + * @return false on failure.
 + */
 +static int
 +parse_comments(char* str, struct autr_ta* ta)
 +{
 +        int len = (int)strlen(str), pos = 0, timestamp = 0;
 +        char* comment = (char*) malloc(sizeof(char)*len+1);
 +        char* comments = comment;
 +      if(!comment) {
 +              log_err("malloc failure in parse");
 +                return 0;
 +      }
 +      /* skip over whitespace and data at start of line */
 +        while (*str != '\0' && *str != ';')
 +                str++;
 +        if (*str == ';')
 +                str++;
 +        /* copy comments */
 +        while (*str != '\0')
 +        {
 +                *comments = *str;
 +                comments++;
 +                str++;
 +        }
 +        *comments = '\0';
 +
 +        comments = comment;
 +
 +        /* read state */
 +        pos = position_in_string(comments, "state=");
 +        if (pos >= (int) strlen(comments))
 +        {
 +              log_err("parse error");
 +                free(comment);
 +                return 0;
 +        }
 +        if (pos <= 0)
 +                ta->s = AUTR_STATE_VALID;
 +        else
 +        {
 +                int s = (int) comments[pos] - '0';
 +                switch(s)
 +                {
 +                        case AUTR_STATE_START:
 +                        case AUTR_STATE_ADDPEND:
 +                        case AUTR_STATE_VALID:
 +                        case AUTR_STATE_MISSING:
 +                        case AUTR_STATE_REVOKED:
 +                        case AUTR_STATE_REMOVED:
 +                                ta->s = s;
 +                                break;
 +                        default:
 +                              verbose_key(ta, VERB_OPS, "has undefined "
 +                                      "state, considered NewKey");
 +                                ta->s = AUTR_STATE_START;
 +                                break;
 +                }
 +        }
 +        /* read pending count */
 +        pos = position_in_string(comments, "count=");
 +        if (pos >= (int) strlen(comments))
 +        {
 +              log_err("parse error");
 +                free(comment);
 +                return 0;
 +        }
 +        if (pos <= 0)
 +                ta->pending_count = 0;
 +        else
 +        {
 +                comments += pos;
 +                ta->pending_count = (uint8_t)atoi(comments);
 +        }
 +
 +        /* read last change */
 +        pos = position_in_string(comments, "lastchange=");
 +        if (pos >= (int) strlen(comments))
 +        {
 +              log_err("parse error");
 +                free(comment);
 +                return 0;
 +        }
 +        if (pos >= 0)
 +        {
 +                comments += pos;
 +                timestamp = atoi(comments);
 +        }
 +        if (pos < 0 || !timestamp)
 +              ta->last_change = 0;
 +        else
 +                ta->last_change = (time_t)timestamp;
 +
 +        free(comment);
 +        return 1;
 +}
 +
 +/** Check if a line contains data (besides comments) */
 +static int
 +str_contains_data(char* str, char comment)
 +{
 +        while (*str != '\0') {
 +                if (*str == comment || *str == '\n')
 +                        return 0;
 +                if (*str != ' ' && *str != '\t')
 +                        return 1;
 +                str++;
 +        }
 +        return 0;
 +}
 +
 +/** Get DNSKEY flags
 + * rdata without rdatalen in front of it. */
 +static int
 +dnskey_flags(uint16_t t, uint8_t* rdata, size_t len)
 +{
 +      uint16_t f;
 +      if(t != LDNS_RR_TYPE_DNSKEY)
 +              return 0;
 +      if(len < 2)
 +              return 0;
 +      memmove(&f, rdata, 2);
 +      f = ntohs(f);
 +      return (int)f;
 +}
 +
 +/** Check if KSK DNSKEY.
 + * pass rdata without rdatalen in front of it */
 +static int
 +rr_is_dnskey_sep(uint16_t t, uint8_t* rdata, size_t len)
 +{
 +      return (dnskey_flags(t, rdata, len)&DNSKEY_BIT_SEP);
 +}
 +
 +/** Check if TA is KSK DNSKEY */
 +static int
 +ta_is_dnskey_sep(struct autr_ta* ta)
 +{
 +      return (dnskey_flags(
 +              sldns_wirerr_get_type(ta->rr, ta->rr_len, ta->dname_len),
 +              sldns_wirerr_get_rdata(ta->rr, ta->rr_len, ta->dname_len),
 +              sldns_wirerr_get_rdatalen(ta->rr, ta->rr_len, ta->dname_len)
 +              ) & DNSKEY_BIT_SEP);
 +}
 +
 +/** Check if REVOKED DNSKEY
 + * pass rdata without rdatalen in front of it */
 +static int
 +rr_is_dnskey_revoked(uint16_t t, uint8_t* rdata, size_t len)
 +{
 +      return (dnskey_flags(t, rdata, len)&LDNS_KEY_REVOKE_KEY);
 +}
 +
 +/** create ta */
 +static struct autr_ta*
 +autr_ta_create(uint8_t* rr, size_t rr_len, size_t dname_len)
 +{
 +      struct autr_ta* ta = (struct autr_ta*)calloc(1, sizeof(*ta));
 +      if(!ta) {
 +              free(rr);
 +              return NULL;
 +      }
 +      ta->rr = rr;
 +      ta->rr_len = rr_len;
 +      ta->dname_len = dname_len;
 +      return ta;
 +}
 +
 +/** create tp */
 +static struct trust_anchor*
 +autr_tp_create(struct val_anchors* anchors, uint8_t* own, size_t own_len,
 +      uint16_t dc)
 +{
 +      struct trust_anchor* tp = (struct trust_anchor*)calloc(1, sizeof(*tp));
 +      if(!tp) return NULL;
 +      tp->name = memdup(own, own_len);
 +      if(!tp->name) {
 +              free(tp);
 +              return NULL;
 +      }
 +      tp->namelen = own_len;
 +      tp->namelabs = dname_count_labels(tp->name);
 +      tp->node.key = tp;
 +      tp->dclass = dc;
 +      tp->autr = (struct autr_point_data*)calloc(1, sizeof(*tp->autr));
 +      if(!tp->autr) {
 +              free(tp->name);
 +              free(tp);
 +              return NULL;
 +      }
 +      tp->autr->pnode.key = tp;
 +
 +      lock_basic_lock(&anchors->lock);
 +      if(!rbtree_insert(anchors->tree, &tp->node)) {
 +              lock_basic_unlock(&anchors->lock);
 +              log_err("trust anchor presented twice");
 +              free(tp->name);
 +              free(tp->autr);
 +              free(tp);
 +              return NULL;
 +      }
 +      if(!rbtree_insert(&anchors->autr->probe, &tp->autr->pnode)) {
 +              (void)rbtree_delete(anchors->tree, tp);
 +              lock_basic_unlock(&anchors->lock);
 +              log_err("trust anchor in probetree twice");
 +              free(tp->name);
 +              free(tp->autr);
 +              free(tp);
 +              return NULL;
 +      }
 +      lock_basic_unlock(&anchors->lock);
 +      lock_basic_init(&tp->lock);
 +      lock_protect(&tp->lock, tp, sizeof(*tp));
 +      lock_protect(&tp->lock, tp->autr, sizeof(*tp->autr));
 +      return tp;
 +}
 +
 +/** delete assembled rrsets */
 +static void
 +autr_rrset_delete(struct ub_packed_rrset_key* r)
 +{
 +      if(r) {
 +              free(r->rk.dname);
 +              free(r->entry.data);
 +              free(r);
 +      }
 +}
 +
 +void autr_point_delete(struct trust_anchor* tp)
 +{
 +      if(!tp)
 +              return;
 +      lock_unprotect(&tp->lock, tp);
 +      lock_unprotect(&tp->lock, tp->autr);
 +      lock_basic_destroy(&tp->lock);
 +      autr_rrset_delete(tp->ds_rrset);
 +      autr_rrset_delete(tp->dnskey_rrset);
 +      if(tp->autr) {
 +              struct autr_ta* p = tp->autr->keys, *np;
 +              while(p) {
 +                      np = p->next;
 +                      free(p->rr);
 +                      free(p);
 +                      p = np;
 +              }
 +              free(tp->autr->file);
 +              free(tp->autr);
 +      }
 +      free(tp->name);
 +      free(tp);
 +}
 +
 +/** find or add a new trust point for autotrust */
 +static struct trust_anchor*
 +find_add_tp(struct val_anchors* anchors, uint8_t* rr, size_t rr_len,
 +      size_t dname_len)
 +{
 +      struct trust_anchor* tp;
 +      tp = anchor_find(anchors, rr, dname_count_labels(rr), dname_len,
 +              sldns_wirerr_get_class(rr, rr_len, dname_len));
 +      if(tp) {
 +              if(!tp->autr) {
 +                      log_err("anchor cannot be with and without autotrust");
 +                      lock_basic_unlock(&tp->lock);
 +                      return NULL;
 +              }
 +              return tp;
 +      }
 +      tp = autr_tp_create(anchors, rr, dname_len, sldns_wirerr_get_class(rr,
 +              rr_len, dname_len));
 +      lock_basic_lock(&tp->lock);
 +      return tp;
 +}
 +
 +/** Add trust anchor from RR */
 +static struct autr_ta*
 +add_trustanchor_frm_rr(struct val_anchors* anchors, uint8_t* rr, size_t rr_len,
 +        size_t dname_len, struct trust_anchor** tp)
 +{
 +      struct autr_ta* ta = autr_ta_create(rr, rr_len, dname_len);
 +      if(!ta) 
 +              return NULL;
 +      *tp = find_add_tp(anchors, rr, rr_len, dname_len);
 +      if(!*tp) {
 +              free(ta->rr);
 +              free(ta);
 +              return NULL;
 +      }
 +      /* add ta to tp */
 +      ta->next = (*tp)->autr->keys;
 +      (*tp)->autr->keys = ta;
 +      lock_basic_unlock(&(*tp)->lock);
 +      return ta;
 +}
 +
 +/**
 + * Add new trust anchor from a string in file.
 + * @param anchors: all anchors
 + * @param str: string with anchor and comments, if any comments.
 + * @param tp: trust point returned.
 + * @param origin: what to use for @
 + * @param origin_len: length of origin
 + * @param prev: previous rr name
 + * @param prev_len: length of prev
 + * @param skip: if true, the result is NULL, but not an error, skip it.
 + * @return new key in trust point.
 + */
 +static struct autr_ta*
 +add_trustanchor_frm_str(struct val_anchors* anchors, char* str, 
 +      struct trust_anchor** tp, uint8_t* origin, size_t origin_len,
 +      uint8_t** prev, size_t* prev_len, int* skip)
 +{
 +      uint8_t rr[LDNS_RR_BUF_SIZE];
 +      size_t rr_len = sizeof(rr), dname_len;
 +      uint8_t* drr;
 +      int lstatus;
 +        if (!str_contains_data(str, ';')) {
 +              *skip = 1;
 +                return NULL; /* empty line */
 +      }
 +      if(0 != (lstatus = sldns_str2wire_rr_buf(str, rr, &rr_len, &dname_len,
 +              0, origin, origin_len, *prev, *prev_len)))
 +      {
 +              log_err("ldns error while converting string to RR at%d: %s: %s",
 +                      LDNS_WIREPARSE_OFFSET(lstatus),
 +                      sldns_get_errorstr_parse(lstatus), str);
 +              return NULL;
 +      }
 +      free(*prev);
 +      *prev = memdup(rr, dname_len);
 +      *prev_len = dname_len;
 +      if(!*prev) {
 +              log_err("malloc failure in add_trustanchor");
 +              return NULL;
 +      }
 +      if(sldns_wirerr_get_type(rr, rr_len, dname_len)!=LDNS_RR_TYPE_DNSKEY &&
 +              sldns_wirerr_get_type(rr, rr_len, dname_len)!=LDNS_RR_TYPE_DS) {
 +              *skip = 1;
 +              return NULL; /* only DS and DNSKEY allowed */
 +      }
 +      drr = memdup(rr, rr_len);
 +      if(!drr) {
 +              log_err("malloc failure in add trustanchor");
 +              return NULL;
 +      }
 +      return add_trustanchor_frm_rr(anchors, drr, rr_len, dname_len, tp);
 +}
 +
 +/** 
 + * Load single anchor 
 + * @param anchors: all points.
 + * @param str: comments line
 + * @param fname: filename
 + * @param origin: the $ORIGIN.
 + * @param origin_len: length of origin
 + * @param prev: passed to ldns.
 + * @param prev_len: length of prev
 + * @param skip: if true, the result is NULL, but not an error, skip it.
 + * @return false on failure, otherwise the tp read.
 + */
 +static struct trust_anchor*
 +load_trustanchor(struct val_anchors* anchors, char* str, const char* fname,
 +      uint8_t* origin, size_t origin_len, uint8_t** prev, size_t* prev_len,
 +      int* skip)
 +{
 +      struct autr_ta* ta = NULL;
 +      struct trust_anchor* tp = NULL;
 +
 +      ta = add_trustanchor_frm_str(anchors, str, &tp, origin, origin_len,
 +              prev, prev_len, skip);
 +      if(!ta)
 +              return NULL;
 +      lock_basic_lock(&tp->lock);
 +      if(!parse_comments(str, ta)) {
 +              lock_basic_unlock(&tp->lock);
 +              return NULL;
 +      }
 +      if(!tp->autr->file) {
 +              tp->autr->file = strdup(fname);
 +              if(!tp->autr->file) {
 +                      lock_basic_unlock(&tp->lock);
 +                      log_err("malloc failure");
 +                      return NULL;
 +              }
 +      }
 +      lock_basic_unlock(&tp->lock);
 +        return tp;
 +}
 +
 +/** iterator for DSes from keylist. return true if a next element exists */
 +static int
 +assemble_iterate_ds(struct autr_ta** list, uint8_t** rr, size_t* rr_len,
 +      size_t* dname_len)
 +{
 +      while(*list) {
 +              if(sldns_wirerr_get_type((*list)->rr, (*list)->rr_len,
 +                      (*list)->dname_len) == LDNS_RR_TYPE_DS) {
 +                      *rr = (*list)->rr;
 +                      *rr_len = (*list)->rr_len;
 +                      *dname_len = (*list)->dname_len;
 +                      *list = (*list)->next;
 +                      return 1;
 +              }
 +              *list = (*list)->next;
 +      }
 +      return 0;
 +}
 +
 +/** iterator for DNSKEYs from keylist. return true if a next element exists */
 +static int
 +assemble_iterate_dnskey(struct autr_ta** list, uint8_t** rr, size_t* rr_len,
 +      size_t* dname_len)
 +{
 +      while(*list) {
 +              if(sldns_wirerr_get_type((*list)->rr, (*list)->rr_len,
 +                 (*list)->dname_len) != LDNS_RR_TYPE_DS &&
 +                      ((*list)->s == AUTR_STATE_VALID || 
 +                       (*list)->s == AUTR_STATE_MISSING)) {
 +                      *rr = (*list)->rr;
 +                      *rr_len = (*list)->rr_len;
 +                      *dname_len = (*list)->dname_len;
 +                      *list = (*list)->next;
 +                      return 1;
 +              }
 +              *list = (*list)->next;
 +      }
 +      return 0;
 +}
 +
 +/** see if iterator-list has any elements in it, or it is empty */
 +static int
 +assemble_iterate_hasfirst(int iter(struct autr_ta**, uint8_t**, size_t*,
 +      size_t*), struct autr_ta* list)
 +{
 +      uint8_t* rr = NULL;
 +      size_t rr_len = 0, dname_len = 0;
 +      return iter(&list, &rr, &rr_len, &dname_len);
 +}
 +
 +/** number of elements in iterator list */
 +static size_t
 +assemble_iterate_count(int iter(struct autr_ta**, uint8_t**, size_t*,
 +      size_t*), struct autr_ta* list)
 +{
 +      uint8_t* rr = NULL;
 +      size_t i = 0, rr_len = 0, dname_len = 0;
 +      while(iter(&list, &rr, &rr_len, &dname_len)) {
 +              i++;
 +      }
 +      return i;
 +}
 +
 +/**
 + * Create a ub_packed_rrset_key allocated on the heap.
 + * It therefore does not have the correct ID value, and cannot be used
 + * inside the cache.  It can be used in storage outside of the cache.
 + * Keys for the cache have to be obtained from alloc.h .
 + * @param iter: iterator over the elements in the list.  It filters elements.
 + * @param list: the list.
 + * @return key allocated or NULL on failure.
 + */
 +static struct ub_packed_rrset_key* 
 +ub_packed_rrset_heap_key(int iter(struct autr_ta**, uint8_t**, size_t*,
 +      size_t*), struct autr_ta* list)
 +{
 +      uint8_t* rr = NULL;
 +      size_t rr_len = 0, dname_len = 0;
 +      struct ub_packed_rrset_key* k;
 +      if(!iter(&list, &rr, &rr_len, &dname_len))
 +              return NULL;
 +      k = (struct ub_packed_rrset_key*)calloc(1, sizeof(*k));
 +      if(!k)
 +              return NULL;
 +      k->rk.type = htons(sldns_wirerr_get_type(rr, rr_len, dname_len));
 +      k->rk.rrset_class = htons(sldns_wirerr_get_class(rr, rr_len, dname_len));
 +      k->rk.dname_len = dname_len;
 +      k->rk.dname = memdup(rr, dname_len);
 +      if(!k->rk.dname) {
 +              free(k);
 +              return NULL;
 +      }
 +      return k;
 +}
 +
 +/**
 + * Create packed_rrset data on the heap.
 + * @param iter: iterator over the elements in the list.  It filters elements.
 + * @param list: the list.
 + * @return data allocated or NULL on failure.
 + */
 +static struct packed_rrset_data* 
 +packed_rrset_heap_data(int iter(struct autr_ta**, uint8_t**, size_t*,
 +      size_t*), struct autr_ta* list)
 +{
 +      uint8_t* rr = NULL;
 +      size_t rr_len = 0, dname_len = 0;
 +      struct packed_rrset_data* data;
 +      size_t count=0, rrsig_count=0, len=0, i, total;
 +      uint8_t* nextrdata;
 +      struct autr_ta* list_i;
 +      time_t ttl = 0;
 +
 +      list_i = list;
 +      while(iter(&list_i, &rr, &rr_len, &dname_len)) {
 +              if(sldns_wirerr_get_type(rr, rr_len, dname_len) ==
 +                      LDNS_RR_TYPE_RRSIG)
 +                      rrsig_count++;
 +              else    count++;
 +              /* sizeof the rdlength + rdatalen */
 +              len += 2 + sldns_wirerr_get_rdatalen(rr, rr_len, dname_len);
 +              ttl = (time_t)sldns_wirerr_get_ttl(rr, rr_len, dname_len);
 +      }
 +      if(count == 0 && rrsig_count == 0)
 +              return NULL;
 +
 +      /* allocate */
 +      total = count + rrsig_count;
 +      len += sizeof(*data) + total*(sizeof(size_t) + sizeof(time_t) + 
 +              sizeof(uint8_t*));
 +      data = (struct packed_rrset_data*)calloc(1, len);
 +      if(!data)
 +              return NULL;
 +
 +      /* fill it */
 +      data->ttl = ttl;
 +      data->count = count;
 +      data->rrsig_count = rrsig_count;
 +      data->rr_len = (size_t*)((uint8_t*)data +
 +              sizeof(struct packed_rrset_data));
 +      data->rr_data = (uint8_t**)&(data->rr_len[total]);
 +      data->rr_ttl = (time_t*)&(data->rr_data[total]);
 +      nextrdata = (uint8_t*)&(data->rr_ttl[total]);
 +
 +      /* fill out len, ttl, fields */
 +      list_i = list;
 +      i = 0;
 +      while(iter(&list_i, &rr, &rr_len, &dname_len)) {
 +              data->rr_ttl[i] = (time_t)sldns_wirerr_get_ttl(rr, rr_len,
 +                      dname_len);
 +              if(data->rr_ttl[i] < data->ttl)
 +                      data->ttl = data->rr_ttl[i];
 +              data->rr_len[i] = 2 /* the rdlength */ +
 +                      sldns_wirerr_get_rdatalen(rr, rr_len, dname_len);
 +              i++;
 +      }
 +
 +      /* fixup rest of ptrs */
 +      for(i=0; i<total; i++) {
 +              data->rr_data[i] = nextrdata;
 +              nextrdata += data->rr_len[i];
 +      }
 +
 +      /* copy data in there */
 +      list_i = list;
 +      i = 0;
 +      while(iter(&list_i, &rr, &rr_len, &dname_len)) {
 +              memmove(data->rr_data[i],
 +                      sldns_wirerr_get_rdatawl(rr, rr_len, dname_len),
 +                      data->rr_len[i]);
 +              i++;
 +      }
 +
 +      if(data->rrsig_count && data->count == 0) {
 +              data->count = data->rrsig_count; /* rrset type is RRSIG */
 +              data->rrsig_count = 0;
 +      }
 +      return data;
 +}
 +
 +/**
 + * Assemble the trust anchors into DS and DNSKEY packed rrsets.
 + * Uses only VALID and MISSING DNSKEYs.
 + * Read the sldns_rrs and builds packed rrsets
 + * @param tp: the trust point. Must be locked.
 + * @return false on malloc failure.
 + */
 +static int 
 +autr_assemble(struct trust_anchor* tp)
 +{
 +      struct ub_packed_rrset_key* ubds=NULL, *ubdnskey=NULL;
 +
 +      /* make packed rrset keys - malloced with no ID number, they
 +       * are not in the cache */
 +      /* make packed rrset data (if there is a key) */
 +      if(assemble_iterate_hasfirst(assemble_iterate_ds, tp->autr->keys)) {
 +              ubds = ub_packed_rrset_heap_key(
 +                      assemble_iterate_ds, tp->autr->keys);
 +              if(!ubds)
 +                      goto error_cleanup;
 +              ubds->entry.data = packed_rrset_heap_data(
 +                      assemble_iterate_ds, tp->autr->keys);
 +              if(!ubds->entry.data)
 +                      goto error_cleanup;
 +      }
 +
 +      /* make packed DNSKEY data */
 +      if(assemble_iterate_hasfirst(assemble_iterate_dnskey, tp->autr->keys)) {
 +              ubdnskey = ub_packed_rrset_heap_key(
 +                      assemble_iterate_dnskey, tp->autr->keys);
 +              if(!ubdnskey)
 +                      goto error_cleanup;
 +              ubdnskey->entry.data = packed_rrset_heap_data(
 +                      assemble_iterate_dnskey, tp->autr->keys);
 +              if(!ubdnskey->entry.data) {
 +              error_cleanup:
 +                      autr_rrset_delete(ubds);
 +                      autr_rrset_delete(ubdnskey);
 +                      return 0;
 +              }
 +      }
 +
 +      /* we have prepared the new keys so nothing can go wrong any more.
 +       * And we are sure we cannot be left without trustanchor after
 +       * any errors. Put in the new keys and remove old ones. */
 +
 +      /* free the old data */
 +      autr_rrset_delete(tp->ds_rrset);
 +      autr_rrset_delete(tp->dnskey_rrset);
 +
 +      /* assign the data to replace the old */
 +      tp->ds_rrset = ubds;
 +      tp->dnskey_rrset = ubdnskey;
 +      tp->numDS = assemble_iterate_count(assemble_iterate_ds,
 +              tp->autr->keys);
 +      tp->numDNSKEY = assemble_iterate_count(assemble_iterate_dnskey,
 +              tp->autr->keys);
 +      return 1;
 +}
 +
 +/** parse integer */
 +static unsigned int
 +parse_int(char* line, int* ret)
 +{
 +      char *e;
 +      unsigned int x = (unsigned int)strtol(line, &e, 10);
 +      if(line == e) {
 +              *ret = -1; /* parse error */
 +              return 0; 
 +      }
 +      *ret = 1; /* matched */
 +      return x;
 +}
 +
 +/** parse id sequence for anchor */
 +static struct trust_anchor*
 +parse_id(struct val_anchors* anchors, char* line)
 +{
 +      struct trust_anchor *tp;
 +      int r;
 +      uint16_t dclass;
 +      uint8_t* dname;
 +      size_t dname_len;
 +      /* read the owner name */
 +      char* next = strchr(line, ' ');
 +      if(!next)
 +              return NULL;
 +      next[0] = 0;
 +      dname = sldns_str2wire_dname(line, &dname_len);
 +      if(!dname)
 +              return NULL;
 +
 +      /* read the class */
 +      dclass = parse_int(next+1, &r);
 +      if(r == -1) {
 +              free(dname);
 +              return NULL;
 +      }
 +
 +      /* find the trust point */
 +      tp = autr_tp_create(anchors, dname, dname_len, dclass);
 +      free(dname);
 +      return tp;
 +}
 +
 +/** 
 + * Parse variable from trustanchor header 
 + * @param line: to parse
 + * @param anchors: the anchor is added to this, if "id:" is seen.
 + * @param anchor: the anchor as result value or previously returned anchor
 + *    value to read the variable lines into.
 + * @return: 0 no match, -1 failed syntax error, +1 success line read.
 + *    +2 revoked trust anchor file.
 + */
 +static int
 +parse_var_line(char* line, struct val_anchors* anchors, 
 +      struct trust_anchor** anchor)
 +{
 +      struct trust_anchor* tp = *anchor;
 +      int r = 0;
 +      if(strncmp(line, ";;id: ", 6) == 0) {
 +              *anchor = parse_id(anchors, line+6);
 +              if(!*anchor) return -1;
 +              else return 1;
 +      } else if(strncmp(line, ";;REVOKED", 9) == 0) {
 +              if(tp) {
 +                      log_err("REVOKED statement must be at start of file");
 +                      return -1;
 +              }
 +              return 2;
 +      } else if(strncmp(line, ";;last_queried: ", 16) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&tp->lock);
 +              tp->autr->last_queried = (time_t)parse_int(line+16, &r);
 +              lock_basic_unlock(&tp->lock);
 +      } else if(strncmp(line, ";;last_success: ", 16) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&tp->lock);
 +              tp->autr->last_success = (time_t)parse_int(line+16, &r);
 +              lock_basic_unlock(&tp->lock);
 +      } else if(strncmp(line, ";;next_probe_time: ", 19) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&anchors->lock);
 +              lock_basic_lock(&tp->lock);
 +              (void)rbtree_delete(&anchors->autr->probe, tp);
 +              tp->autr->next_probe_time = (time_t)parse_int(line+19, &r);
 +              (void)rbtree_insert(&anchors->autr->probe, &tp->autr->pnode);
 +              lock_basic_unlock(&tp->lock);
 +              lock_basic_unlock(&anchors->lock);
 +      } else if(strncmp(line, ";;query_failed: ", 16) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&tp->lock);
 +              tp->autr->query_failed = (uint8_t)parse_int(line+16, &r);
 +              lock_basic_unlock(&tp->lock);
 +      } else if(strncmp(line, ";;query_interval: ", 18) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&tp->lock);
 +              tp->autr->query_interval = (time_t)parse_int(line+18, &r);
 +              lock_basic_unlock(&tp->lock);
 +      } else if(strncmp(line, ";;retry_time: ", 14) == 0) {
 +              if(!tp) return -1;
 +              lock_basic_lock(&tp->lock);
 +              tp->autr->retry_time = (time_t)parse_int(line+14, &r);
 +              lock_basic_unlock(&tp->lock);
 +      }
 +      return r;
 +}
 +
 +/** handle origin lines */
 +static int
 +handle_origin(char* line, uint8_t** origin, size_t* origin_len)
 +{
 +      size_t len = 0;
 +      while(isspace((unsigned char)*line))
 +              line++;
 +      if(strncmp(line, "$ORIGIN", 7) != 0)
 +              return 0;
 +      free(*origin);
 +      line += 7;
 +      while(isspace((unsigned char)*line))
 +              line++;
 +      *origin = sldns_str2wire_dname(line, &len);
 +      *origin_len = len;
 +      if(!*origin)
 +              log_warn("malloc failure or parse error in $ORIGIN");
 +      return 1;
 +}
 +
 +/** Read one line and put multiline RRs onto one line string */
 +static int
 +read_multiline(char* buf, size_t len, FILE* in, int* linenr)
 +{
 +      char* pos = buf;
 +      size_t left = len;
 +      int depth = 0;
 +      buf[len-1] = 0;
 +      while(left > 0 && fgets(pos, (int)left, in) != NULL) {
 +              size_t i, poslen = strlen(pos);
 +              (*linenr)++;
 +
 +              /* check what the new depth is after the line */
 +              /* this routine cannot handle braces inside quotes,
 +                 say for TXT records, but this routine only has to read keys */
 +              for(i=0; i<poslen; i++) {
 +                      if(pos[i] == '(') {
 +                              depth++;
 +                      } else if(pos[i] == ')') {
 +                              if(depth == 0) {
 +                                      log_err("mismatch: too many ')'");
 +                                      return -1;
 +                              }
 +                              depth--;
 +                      } else if(pos[i] == ';') {
 +                              break;
 +                      }
 +              }
 +
 +              /* normal oneline or last line: keeps newline and comments */
 +              if(depth == 0) {
 +                      return 1;
 +              }
 +
 +              /* more lines expected, snip off comments and newline */
 +              if(poslen>0) 
 +                      pos[poslen-1] = 0; /* strip newline */
 +              if(strchr(pos, ';')) 
 +                      strchr(pos, ';')[0] = 0; /* strip comments */
 +
 +              /* move to paste other lines behind this one */
 +              poslen = strlen(pos);
 +              pos += poslen;
 +              left -= poslen;
 +              /* the newline is changed into a space */
 +              if(left <= 2 /* space and eos */) {
 +                      log_err("line too long");
 +                      return -1;
 +              }
 +              pos[0] = ' ';
 +              pos[1] = 0;
 +              pos += 1;
 +              left -= 1;
 +      }
 +      if(depth != 0) {
 +              log_err("mismatch: too many '('");
 +              return -1;
 +      }
 +      if(pos != buf)
 +              return 1;
 +      return 0;
 +}
 +
 +int autr_read_file(struct val_anchors* anchors, const char* nm)
 +{
 +        /* the file descriptor */
 +        FILE* fd;
 +        /* keep track of line numbers */
 +        int line_nr = 0;
 +        /* single line */
 +        char line[10240];
 +      /* trust point being read */
 +      struct trust_anchor *tp = NULL, *tp2;
 +      int r;
 +      /* for $ORIGIN parsing */
 +      uint8_t *origin=NULL, *prev=NULL;
 +      size_t origin_len=0, prev_len=0;
 +
 +        if (!(fd = fopen(nm, "r"))) {
 +                log_err("unable to open %s for reading: %s", 
 +                      nm, strerror(errno));
 +                return 0;
 +        }
 +        verbose(VERB_ALGO, "reading autotrust anchor file %s", nm);
 +        while ( (r=read_multiline(line, sizeof(line), fd, &line_nr)) != 0) {
 +              if(r == -1 || (r = parse_var_line(line, anchors, &tp)) == -1) {
 +                      log_err("could not parse auto-trust-anchor-file "
 +                              "%s line %d", nm, line_nr);
 +                      fclose(fd);
 +                      free(origin);
 +                      free(prev);
 +                      return 0;
 +              } else if(r == 1) {
 +                      continue;
 +              } else if(r == 2) {
 +                      log_warn("trust anchor %s has been revoked", nm);
 +                      fclose(fd);
 +                      free(origin);
 +                      free(prev);
 +                      return 1;
 +              }
 +              if (!str_contains_data(line, ';'))
 +                      continue; /* empty lines allowed */
 +              if(handle_origin(line, &origin, &origin_len))
 +                      continue;
 +              r = 0;
 +                if(!(tp2=load_trustanchor(anchors, line, nm, origin,
 +                      origin_len, &prev, &prev_len, &r))) {
 +                      if(!r) log_err("failed to load trust anchor from %s "
 +                              "at line %i, skipping", nm, line_nr);
 +                        /* try to do the rest */
 +                      continue;
 +                }
 +              if(tp && tp != tp2) {
 +                      log_err("file %s has mismatching data inside: "
 +                              "the file may only contain keys for one name, "
 +                              "remove keys for other domain names", nm);
 +                      fclose(fd);
 +                      free(origin);
 +                      free(prev);
 +                      return 0;
 +              }
 +              tp = tp2;
 +        }
 +        fclose(fd);
 +      free(origin);
 +      free(prev);
 +      if(!tp) {
 +              log_err("failed to read %s", nm);
 +              return 0;
 +      }
 +
 +      /* now assemble the data into DNSKEY and DS packed rrsets */
 +      lock_basic_lock(&tp->lock);
 +      if(!autr_assemble(tp)) {
 +              lock_basic_unlock(&tp->lock);
 +              log_err("malloc failure assembling %s", nm);
 +              return 0;
 +      }
 +      lock_basic_unlock(&tp->lock);
 +      return 1;
 +}
 +
 +/** string for a trustanchor state */
 +static const char*
 +trustanchor_state2str(autr_state_t s)
 +{
 +        switch (s) {
 +                case AUTR_STATE_START:       return "  START  ";
 +                case AUTR_STATE_ADDPEND:     return " ADDPEND ";
 +                case AUTR_STATE_VALID:       return "  VALID  ";
 +                case AUTR_STATE_MISSING:     return " MISSING ";
 +                case AUTR_STATE_REVOKED:     return " REVOKED ";
 +                case AUTR_STATE_REMOVED:     return " REMOVED ";
 +        }
 +        return " UNKNOWN ";
 +}
 +
 +/** print ID to file */
 +static int
 +print_id(FILE* out, char* fname, uint8_t* nm, size_t nmlen, uint16_t dclass)
 +{
 +      char* s = sldns_wire2str_dname(nm, nmlen);
 +      if(!s) {
 +              log_err("malloc failure in write to %s", fname);
 +              return 0;
 +      }
 +      if(fprintf(out, ";;id: %s %d\n", s, (int)dclass) < 0) {
 +              log_err("could not write to %s: %s", fname, strerror(errno));
 +              free(s);
 +              return 0;
 +      }
 +      free(s);
 +      return 1;
 +}
 +
 +static int
 +autr_write_contents(FILE* out, char* fn, struct trust_anchor* tp)
 +{
 +      char tmi[32];
 +      struct autr_ta* ta;
 +      char* str;
 +
 +      /* write pretty header */
 +      if(fprintf(out, "; autotrust trust anchor file\n") < 0) {
 +              log_err("could not write to %s: %s", fn, strerror(errno));
 +              return 0;
 +      }
 +      if(tp->autr->revoked) {
 +              if(fprintf(out, ";;REVOKED\n") < 0 ||
 +                 fprintf(out, "; The zone has all keys revoked, and is\n"
 +                      "; considered as if it has no trust anchors.\n"
 +                      "; the remainder of the file is the last probe.\n"
 +                      "; to restart the trust anchor, overwrite this file.\n"
 +                      "; with one containing valid DNSKEYs or DSes.\n") < 0) {
 +                 log_err("could not write to %s: %s", fn, strerror(errno));
 +                 return 0;
 +              }
 +      }
 +      if(!print_id(out, fn, tp->name, tp->namelen, tp->dclass)) {
 +              return 0;
 +      }
 +      if(fprintf(out, ";;last_queried: %u ;;%s", 
 +              (unsigned int)tp->autr->last_queried, 
 +              ctime_r(&(tp->autr->last_queried), tmi)) < 0 ||
 +         fprintf(out, ";;last_success: %u ;;%s", 
 +              (unsigned int)tp->autr->last_success,
 +              ctime_r(&(tp->autr->last_success), tmi)) < 0 ||
 +         fprintf(out, ";;next_probe_time: %u ;;%s", 
 +              (unsigned int)tp->autr->next_probe_time,
 +              ctime_r(&(tp->autr->next_probe_time), tmi)) < 0 ||
 +         fprintf(out, ";;query_failed: %d\n", (int)tp->autr->query_failed)<0
 +         || fprintf(out, ";;query_interval: %d\n", 
 +         (int)tp->autr->query_interval) < 0 ||
 +         fprintf(out, ";;retry_time: %d\n", (int)tp->autr->retry_time) < 0) {
 +              log_err("could not write to %s: %s", fn, strerror(errno));
 +              return 0;
 +      }
 +
 +      /* write anchors */
 +      for(ta=tp->autr->keys; ta; ta=ta->next) {
 +              /* by default do not store START and REMOVED keys */
 +              if(ta->s == AUTR_STATE_START)
 +                      continue;
 +              if(ta->s == AUTR_STATE_REMOVED)
 +                      continue;
 +              /* only store keys */
 +              if(sldns_wirerr_get_type(ta->rr, ta->rr_len, ta->dname_len)
 +                      != LDNS_RR_TYPE_DNSKEY)
 +                      continue;
 +              str = sldns_wire2str_rr(ta->rr, ta->rr_len);
 +              if(!str || !str[0]) {
 +                      free(str);
 +                      log_err("malloc failure writing %s", fn);
 +                      return 0;
 +              }
 +              str[strlen(str)-1] = 0; /* remove newline */
 +              if(fprintf(out, "%s ;;state=%d [%s] ;;count=%d "
 +                      ";;lastchange=%u ;;%s", str, (int)ta->s, 
 +                      trustanchor_state2str(ta->s), (int)ta->pending_count,
 +                      (unsigned int)ta->last_change, 
 +                      ctime_r(&(ta->last_change), tmi)) < 0) {
 +                 log_err("could not write to %s: %s", fn, strerror(errno));
 +                 free(str);
 +                 return 0;
 +              }
 +              free(str);
 +      }
 +      return 1;
 +}
 +
 +void autr_write_file(struct module_env* env, struct trust_anchor* tp)
 +{
 +      FILE* out;
 +      char* fname = tp->autr->file;
 +      char tempf[2048];
 +      log_assert(tp->autr);
 +      if(!env) {
 +              log_err("autr_write_file: Module environment is NULL.");
 +              return;
 +      }
 +      /* unique name with pid number and thread number */
 +      snprintf(tempf, sizeof(tempf), "%s.%d-%d", fname, (int)getpid(),
 +              env->worker?*(int*)env->worker:0);
 +      verbose(VERB_ALGO, "autotrust: write to disk: %s", tempf);
 +      out = fopen(tempf, "w");
 +      if(!out) {
-               log_err("could not completely write: %s", fname);
++              fatal_exit("could not open autotrust file for writing, %s: %s",
 +                      tempf, strerror(errno));
 +              return;
 +      }
 +      if(!autr_write_contents(out, tempf, tp)) {
 +              /* failed to write contents (completely) */
 +              fclose(out);
 +              unlink(tempf);
-               log_err("could not complete write: %s: %s",
++              fatal_exit("could not completely write: %s", fname);
 +              return;
 +      }
 +      if(fclose(out) != 0) {
-               log_err("rename(%s to %s): %s", tempf, fname, strerror(errno));
++              fatal_exit("could not complete write: %s: %s",
 +                      fname, strerror(errno));
 +              unlink(tempf);
 +              return;
 +      }
 +      /* success; overwrite actual file */
 +      verbose(VERB_ALGO, "autotrust: replaced %s", fname);
 +#ifdef UB_ON_WINDOWS
 +      (void)unlink(fname); /* windows does not replace file with rename() */
 +#endif
 +      if(rename(tempf, fname) < 0) {
++              fatal_exit("rename(%s to %s): %s", tempf, fname, strerror(errno));
 +      }
 +}
 +
 +/** 
 + * Verify if dnskey works for trust point 
 + * @param env: environment (with time) for verification
 + * @param ve: validator environment (with options) for verification.
 + * @param tp: trust point to verify with
 + * @param rrset: DNSKEY rrset to verify.
 + * @return false on failure, true if verification successful.
 + */
 +static int
 +verify_dnskey(struct module_env* env, struct val_env* ve,
 +        struct trust_anchor* tp, struct ub_packed_rrset_key* rrset)
 +{
 +      char* reason = NULL;
 +      uint8_t sigalg[ALGO_NEEDS_MAX+1];
 +      int downprot = 1;
 +      enum sec_status sec = val_verify_DNSKEY_with_TA(env, ve, rrset,
 +              tp->ds_rrset, tp->dnskey_rrset, downprot?sigalg:NULL, &reason);
 +      /* sigalg is ignored, it returns algorithms signalled to exist, but
 +       * in 5011 there are no other rrsets to check.  if downprot is
 +       * enabled, then it checks that the DNSKEY is signed with all
 +       * algorithms available in the trust store. */
 +      verbose(VERB_ALGO, "autotrust: validate DNSKEY with anchor: %s",
 +              sec_status_to_string(sec));
 +      return sec == sec_status_secure;
 +}
 +
 +static int32_t
 +rrsig_get_expiry(uint8_t* d, size_t len)
 +{
 +      /* rrsig: 2(rdlen), 2(type) 1(alg) 1(v) 4(origttl), then 4(expi), (4)incep) */
 +      if(len < 2+8+4)
 +              return 0;
 +      return sldns_read_uint32(d+2+8);
 +}
 +
 +/** Find minimum expiration interval from signatures */
 +static time_t
 +min_expiry(struct module_env* env, struct packed_rrset_data* dd)
 +{
 +      size_t i;
 +      int32_t t, r = 15 * 24 * 3600; /* 15 days max */
 +      for(i=dd->count; i<dd->count+dd->rrsig_count; i++) {
 +              t = rrsig_get_expiry(dd->rr_data[i], dd->rr_len[i]);
 +              if((int32_t)t - (int32_t)*env->now > 0) {
 +                      t -= (int32_t)*env->now;
 +                      if(t < r)
 +                              r = t;
 +              }
 +      }
 +      return (time_t)r;
 +}
 +
 +/** Is rr self-signed revoked key */
 +static int
 +rr_is_selfsigned_revoked(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key* dnskey_rrset, size_t i)
 +{
 +      enum sec_status sec;
 +      char* reason = NULL;
 +      verbose(VERB_ALGO, "seen REVOKE flag, check self-signed, rr %d",
 +              (int)i);
 +      /* no algorithm downgrade protection necessary, if it is selfsigned
 +       * revoked it can be removed. */
 +      sec = dnskey_verify_rrset(env, ve, dnskey_rrset, dnskey_rrset, i, 
 +              &reason);
 +      return (sec == sec_status_secure);
 +}
 +
 +/** Set fetched value */
 +static void
 +seen_trustanchor(struct autr_ta* ta, uint8_t seen)
 +{
 +      ta->fetched = seen;
 +      if(ta->pending_count < 250) /* no numerical overflow, please */
 +              ta->pending_count++;
 +}
 +
 +/** set revoked value */
 +static void
 +seen_revoked_trustanchor(struct autr_ta* ta, uint8_t revoked)
 +{
 +      ta->revoked = revoked;
 +}
 +
 +/** revoke a trust anchor */
 +static void
 +revoke_dnskey(struct autr_ta* ta, int off)
 +{
 +      uint16_t flags;
 +      uint8_t* data;
 +      if(sldns_wirerr_get_type(ta->rr, ta->rr_len, ta->dname_len) !=
 +              LDNS_RR_TYPE_DNSKEY)
 +              return;
 +      if(sldns_wirerr_get_rdatalen(ta->rr, ta->rr_len, ta->dname_len) < 2)
 +              return;
 +      data = sldns_wirerr_get_rdata(ta->rr, ta->rr_len, ta->dname_len);
 +      flags = sldns_read_uint16(data);
 +      if (off && (flags&LDNS_KEY_REVOKE_KEY))
 +              flags ^= LDNS_KEY_REVOKE_KEY; /* flip */
 +      else
 +              flags |= LDNS_KEY_REVOKE_KEY;
 +      sldns_write_uint16(data, flags);
 +}
 +
 +/** Compare two RRs skipping the REVOKED bit. Pass rdata(no len) */
 +static int
 +dnskey_compare_skip_revbit(uint8_t* a, size_t a_len, uint8_t* b, size_t b_len)
 +{
 +      size_t i;
 +      if(a_len != b_len)
 +              return -1;
 +      /* compare RRs RDATA byte for byte. */
 +      for(i = 0; i < a_len; i++)
 +      {
 +              uint8_t rdf1, rdf2;
 +              rdf1 = a[i];
 +              rdf2 = b[i];
 +              if(i==1) {
 +                      /* this is the second part of the flags field */
 +                      rdf1 |= LDNS_KEY_REVOKE_KEY;
 +                      rdf2 |= LDNS_KEY_REVOKE_KEY;
 +              }
 +              if (rdf1 < rdf2)        return -1;
 +              else if (rdf1 > rdf2)   return 1;
 +        }
 +      return 0;
 +}
 +
 +
 +/** compare trust anchor with rdata, 0 if equal. Pass rdata(no len) */
 +static int
 +ta_compare(struct autr_ta* a, uint16_t t, uint8_t* b, size_t b_len)
 +{
 +      if(!a) return -1;
 +      else if(!b) return -1;
 +      else if(sldns_wirerr_get_type(a->rr, a->rr_len, a->dname_len) != t)
 +              return (int)sldns_wirerr_get_type(a->rr, a->rr_len,
 +                      a->dname_len) - (int)t;
 +      else if(t == LDNS_RR_TYPE_DNSKEY) {
 +              return dnskey_compare_skip_revbit(
 +                      sldns_wirerr_get_rdata(a->rr, a->rr_len, a->dname_len),
 +                      sldns_wirerr_get_rdatalen(a->rr, a->rr_len,
 +                      a->dname_len), b, b_len);
 +      }
 +      else if(t == LDNS_RR_TYPE_DS) {
 +              if(sldns_wirerr_get_rdatalen(a->rr, a->rr_len, a->dname_len) !=
 +                      b_len)
 +                      return -1;
 +              return memcmp(sldns_wirerr_get_rdata(a->rr,
 +                      a->rr_len, a->dname_len), b, b_len);
 +      }
 +      return -1;
 +}
 +
 +/** 
 + * Find key
 + * @param tp: to search in
 + * @param t: rr type of the rdata.
 + * @param rdata: to look for  (no rdatalen in it)
 + * @param rdata_len: length of rdata
 + * @param result: returns NULL or the ta key looked for.
 + * @return false on malloc failure during search. if true examine result.
 + */
 +static int
 +find_key(struct trust_anchor* tp, uint16_t t, uint8_t* rdata, size_t rdata_len,
 +      struct autr_ta** result)
 +{
 +      struct autr_ta* ta;
 +      if(!tp || !rdata) {
 +              *result = NULL;
 +              return 0;
 +      }
 +      for(ta=tp->autr->keys; ta; ta=ta->next) {
 +              if(ta_compare(ta, t, rdata, rdata_len) == 0) {
 +                      *result = ta;
 +                      return 1;
 +              }
 +      }
 +      *result = NULL;
 +      return 1;
 +}
 +
 +/** add key and clone RR and tp already locked. rdata without rdlen. */
 +static struct autr_ta*
 +add_key(struct trust_anchor* tp, uint32_t ttl, uint8_t* rdata, size_t rdata_len)
 +{
 +      struct autr_ta* ta;
 +      uint8_t* rr;
 +      size_t rr_len, dname_len;
 +      uint16_t rrtype = htons(LDNS_RR_TYPE_DNSKEY);
 +      uint16_t rrclass = htons(LDNS_RR_CLASS_IN);
 +      uint16_t rdlen = htons(rdata_len);
 +      dname_len = tp->namelen;
 +      ttl = htonl(ttl);
 +      rr_len = dname_len + 10 /* type,class,ttl,rdatalen */ + rdata_len;
 +      rr = (uint8_t*)malloc(rr_len);
 +      if(!rr) return NULL;
 +      memmove(rr, tp->name, tp->namelen);
 +      memmove(rr+dname_len, &rrtype, 2);
 +      memmove(rr+dname_len+2, &rrclass, 2);
 +      memmove(rr+dname_len+4, &ttl, 4);
 +      memmove(rr+dname_len+8, &rdlen, 2);
 +      memmove(rr+dname_len+10, rdata, rdata_len);
 +      ta = autr_ta_create(rr, rr_len, dname_len);
 +      if(!ta) {
 +              /* rr freed in autr_ta_create */
 +              return NULL;
 +      }
 +      /* link in, tp already locked */
 +      ta->next = tp->autr->keys;
 +      tp->autr->keys = ta;
 +      return ta;
 +}
 +
 +/** get TTL from DNSKEY rrset */
 +static time_t
 +key_ttl(struct ub_packed_rrset_key* k)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      return d->ttl;
 +}
 +
 +/** update the time values for the trustpoint */
 +static void
 +set_tp_times(struct trust_anchor* tp, time_t rrsig_exp_interval, 
 +      time_t origttl, int* changed)
 +{
 +      time_t x, qi = tp->autr->query_interval, rt = tp->autr->retry_time;
 +      
 +      /* x = MIN(15days, ttl/2, expire/2) */
 +      x = 15 * 24 * 3600;
 +      if(origttl/2 < x)
 +              x = origttl/2;
 +      if(rrsig_exp_interval/2 < x)
 +              x = rrsig_exp_interval/2;
 +      /* MAX(1hr, x) */
 +      if(x < 3600)
 +              tp->autr->query_interval = 3600;
 +      else    tp->autr->query_interval = x;
 +
 +      /* x= MIN(1day, ttl/10, expire/10) */
 +      x = 24 * 3600;
 +      if(origttl/10 < x)
 +              x = origttl/10;
 +      if(rrsig_exp_interval/10 < x)
 +              x = rrsig_exp_interval/10;
 +      /* MAX(1hr, x) */
 +      if(x < 3600)
 +              tp->autr->retry_time = 3600;
 +      else    tp->autr->retry_time = x;
 +
 +      if(qi != tp->autr->query_interval || rt != tp->autr->retry_time) {
 +              *changed = 1;
 +              verbose(VERB_ALGO, "orig_ttl is %d", (int)origttl);
 +              verbose(VERB_ALGO, "rrsig_exp_interval is %d", 
 +                      (int)rrsig_exp_interval);
 +              verbose(VERB_ALGO, "query_interval: %d, retry_time: %d",
 +                      (int)tp->autr->query_interval, 
 +                      (int)tp->autr->retry_time);
 +      }
 +}
 +
 +/** init events to zero */
 +static void
 +init_events(struct trust_anchor* tp)
 +{
 +      struct autr_ta* ta;
 +      for(ta=tp->autr->keys; ta; ta=ta->next) {
 +              ta->fetched = 0;
 +      }
 +}
 +
 +/** check for revoked keys without trusting any other information */
 +static void
 +check_contains_revoked(struct module_env* env, struct val_env* ve,
 +      struct trust_anchor* tp, struct ub_packed_rrset_key* dnskey_rrset,
 +      int* changed)
 +{
 +      struct packed_rrset_data* dd = (struct packed_rrset_data*)
 +              dnskey_rrset->entry.data;
 +      size_t i;
 +      log_assert(ntohs(dnskey_rrset->rk.type) == LDNS_RR_TYPE_DNSKEY);
 +      for(i=0; i<dd->count; i++) {
 +              struct autr_ta* ta = NULL;
 +              if(!rr_is_dnskey_sep(ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2) ||
 +                      !rr_is_dnskey_revoked(ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2))
 +                      continue; /* not a revoked KSK */
 +              if(!find_key(tp, ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2, &ta)) {
 +                      log_err("malloc failure");
 +                      continue; /* malloc fail in compare*/
 +              }
 +              if(!ta)
 +                      continue; /* key not found */
 +              if(rr_is_selfsigned_revoked(env, ve, dnskey_rrset, i)) {
 +                      /* checked if there is an rrsig signed by this key. */
 +                      /* same keytag, but stored can be revoked already, so 
 +                       * compare keytags, with +0 or +128(REVOKE flag) */
 +                      log_assert(dnskey_calc_keytag(dnskey_rrset, i)-128 ==
 +                              sldns_calc_keytag_raw(sldns_wirerr_get_rdata(
 +                              ta->rr, ta->rr_len, ta->dname_len),
 +                              sldns_wirerr_get_rdatalen(ta->rr, ta->rr_len,
 +                              ta->dname_len)) ||
 +                              dnskey_calc_keytag(dnskey_rrset, i) ==
 +                              sldns_calc_keytag_raw(sldns_wirerr_get_rdata(
 +                              ta->rr, ta->rr_len, ta->dname_len),
 +                              sldns_wirerr_get_rdatalen(ta->rr, ta->rr_len,
 +                              ta->dname_len))); /* checks conversion*/
 +                      verbose_key(ta, VERB_ALGO, "is self-signed revoked");
 +                      if(!ta->revoked) 
 +                              *changed = 1;
 +                      seen_revoked_trustanchor(ta, 1);
 +                      do_revoked(env, ta, changed);
 +              }
 +      }
 +}
 +
 +/** See if a DNSKEY is verified by one of the DSes */
 +static int
 +key_matches_a_ds(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key* dnskey_rrset, size_t key_idx,
 +      struct ub_packed_rrset_key* ds_rrset)
 +{
 +      struct packed_rrset_data* dd = (struct packed_rrset_data*)
 +                      ds_rrset->entry.data;
 +      size_t ds_idx, num = dd->count;
 +      int d = val_favorite_ds_algo(ds_rrset);
 +      char* reason = "";
 +      for(ds_idx=0; ds_idx<num; ds_idx++) {
 +              if(!ds_digest_algo_is_supported(ds_rrset, ds_idx) ||
 +                      !ds_key_algo_is_supported(ds_rrset, ds_idx) ||
 +                      ds_get_digest_algo(ds_rrset, ds_idx) != d)
 +                      continue;
 +              if(ds_get_key_algo(ds_rrset, ds_idx)
 +                 != dnskey_get_algo(dnskey_rrset, key_idx)
 +                 || dnskey_calc_keytag(dnskey_rrset, key_idx)
 +                 != ds_get_keytag(ds_rrset, ds_idx)) {
 +                      continue;
 +              }
 +              if(!ds_digest_match_dnskey(env, dnskey_rrset, key_idx,
 +                      ds_rrset, ds_idx)) {
 +                      verbose(VERB_ALGO, "DS match attempt failed");
 +                      continue;
 +              }
 +              if(dnskey_verify_rrset(env, ve, dnskey_rrset, 
 +                      dnskey_rrset, key_idx, &reason) == sec_status_secure) {
 +                      return 1;
 +              } else {
 +                      verbose(VERB_ALGO, "DS match failed because the key "
 +                              "does not verify the keyset: %s", reason);
 +              }
 +      }
 +      return 0;
 +}
 +
 +/** Set update events */
 +static int
 +update_events(struct module_env* env, struct val_env* ve, 
 +      struct trust_anchor* tp, struct ub_packed_rrset_key* dnskey_rrset, 
 +      int* changed)
 +{
 +      struct packed_rrset_data* dd = (struct packed_rrset_data*)
 +              dnskey_rrset->entry.data;
 +      size_t i;
 +      log_assert(ntohs(dnskey_rrset->rk.type) == LDNS_RR_TYPE_DNSKEY);
 +      init_events(tp);
 +      for(i=0; i<dd->count; i++) {
 +              struct autr_ta* ta = NULL;
 +              if(!rr_is_dnskey_sep(ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2))
 +                      continue;
 +              if(rr_is_dnskey_revoked(ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2)) {
 +                      /* self-signed revoked keys already detected before,
 +                       * other revoked keys are not 'added' again */
 +                      continue;
 +              }
 +              /* is a key of this type supported?. Note rr_list and
 +               * packed_rrset are in the same order. */
 +              if(!dnskey_algo_is_supported(dnskey_rrset, i)) {
 +                      /* skip unknown algorithm key, it is useless to us */
 +                      log_nametypeclass(VERB_DETAIL, "trust point has "
 +                              "unsupported algorithm at", 
 +                              tp->name, LDNS_RR_TYPE_DNSKEY, tp->dclass);
 +                      continue;
 +              }
 +
 +              /* is it new? if revocation bit set, find the unrevoked key */
 +              if(!find_key(tp, ntohs(dnskey_rrset->rk.type),
 +                      dd->rr_data[i]+2, dd->rr_len[i]-2, &ta)) {
 +                      return 0;
 +              }
 +              if(!ta) {
 +                      ta = add_key(tp, (uint32_t)dd->rr_ttl[i],
 +                              dd->rr_data[i]+2, dd->rr_len[i]-2);
 +                      *changed = 1;
 +                      /* first time seen, do we have DSes? if match: VALID */
 +                      if(ta && tp->ds_rrset && key_matches_a_ds(env, ve,
 +                              dnskey_rrset, i, tp->ds_rrset)) {
 +                              verbose_key(ta, VERB_ALGO, "verified by DS");
 +                              ta->s = AUTR_STATE_VALID;
 +                      }
 +              }
 +              if(!ta) {
 +                      return 0;
 +              }
 +              seen_trustanchor(ta, 1);
 +              verbose_key(ta, VERB_ALGO, "in DNS response");
 +      }
 +      set_tp_times(tp, min_expiry(env, dd), key_ttl(dnskey_rrset), changed);
 +      return 1;
 +}
 +
 +/**
 + * Check if the holddown time has already exceeded
 + * setting: add-holddown: add holddown timer
 + * setting: del-holddown: del holddown timer
 + * @param env: environment with current time
 + * @param ta: trust anchor to check for.
 + * @param holddown: the timer value
 + * @return number of seconds the holddown has passed.
 + */
 +static time_t
 +check_holddown(struct module_env* env, struct autr_ta* ta,
 +      unsigned int holddown)
 +{
 +        time_t elapsed;
 +      if(*env->now < ta->last_change) {
 +              log_warn("time goes backwards. delaying key holddown");
 +              return 0;
 +      }
 +      elapsed = *env->now - ta->last_change;
 +        if (elapsed > (time_t)holddown) {
 +                return elapsed-(time_t)holddown;
 +        }
 +      verbose_key(ta, VERB_ALGO, "holddown time " ARG_LL "d seconds to go",
 +              (long long) ((time_t)holddown-elapsed));
 +        return 0;
 +}
 +
 +
 +/** Set last_change to now */
 +static void
 +reset_holddown(struct module_env* env, struct autr_ta* ta, int* changed)
 +{
 +      ta->last_change = *env->now;
 +      *changed = 1;
 +}
 +
 +/** Set the state for this trust anchor */
 +static void
 +set_trustanchor_state(struct module_env* env, struct autr_ta* ta, int* changed,
 +      autr_state_t s)
 +{
 +      verbose_key(ta, VERB_ALGO, "update: %s to %s",
 +              trustanchor_state2str(ta->s), trustanchor_state2str(s));
 +      ta->s = s;
 +      reset_holddown(env, ta, changed);
 +}
 +
 +
 +/** Event: NewKey */
 +static void
 +do_newkey(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      if (anchor->s == AUTR_STATE_START)
 +              set_trustanchor_state(env, anchor, c, AUTR_STATE_ADDPEND);
 +}
 +
 +/** Event: AddTime */
 +static void
 +do_addtime(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      /* This not according to RFC, this is 30 days, but the RFC demands 
 +       * MAX(30days, TTL expire time of first DNSKEY set with this key),
 +       * The value may be too small if a very large TTL was used. */
 +      time_t exceeded = check_holddown(env, anchor, env->cfg->add_holddown);
 +      if (exceeded && anchor->s == AUTR_STATE_ADDPEND) {
 +              verbose_key(anchor, VERB_ALGO, "add-holddown time exceeded "
 +                      ARG_LL "d seconds ago, and pending-count %d",
 +                      (long long)exceeded, anchor->pending_count);
 +              if(anchor->pending_count >= MIN_PENDINGCOUNT) {
 +                      set_trustanchor_state(env, anchor, c, AUTR_STATE_VALID);
 +                      anchor->pending_count = 0;
 +                      return;
 +              }
 +              verbose_key(anchor, VERB_ALGO, "add-holddown time sanity check "
 +                      "failed (pending count: %d)", anchor->pending_count);
 +      }
 +}
 +
 +/** Event: RemTime */
 +static void
 +do_remtime(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      time_t exceeded = check_holddown(env, anchor, env->cfg->del_holddown);
 +      if(exceeded && anchor->s == AUTR_STATE_REVOKED) {
 +              verbose_key(anchor, VERB_ALGO, "del-holddown time exceeded "
 +                      ARG_LL "d seconds ago", (long long)exceeded);
 +              set_trustanchor_state(env, anchor, c, AUTR_STATE_REMOVED);
 +      }
 +}
 +
 +/** Event: KeyRem */
 +static void
 +do_keyrem(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      if(anchor->s == AUTR_STATE_ADDPEND) {
 +              set_trustanchor_state(env, anchor, c, AUTR_STATE_START);
 +              anchor->pending_count = 0;
 +      } else if(anchor->s == AUTR_STATE_VALID)
 +              set_trustanchor_state(env, anchor, c, AUTR_STATE_MISSING);
 +}
 +
 +/** Event: KeyPres */
 +static void
 +do_keypres(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      if(anchor->s == AUTR_STATE_MISSING)
 +              set_trustanchor_state(env, anchor, c, AUTR_STATE_VALID);
 +}
 +
 +/* Event: Revoked */
 +static void
 +do_revoked(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      if(anchor->s == AUTR_STATE_VALID || anchor->s == AUTR_STATE_MISSING) {
 +                set_trustanchor_state(env, anchor, c, AUTR_STATE_REVOKED);
 +              verbose_key(anchor, VERB_ALGO, "old id, prior to revocation");
 +                revoke_dnskey(anchor, 0);
 +              verbose_key(anchor, VERB_ALGO, "new id, after revocation");
 +      }
 +}
 +
 +/** Do statestable transition matrix for anchor */
 +static void
 +anchor_state_update(struct module_env* env, struct autr_ta* anchor, int* c)
 +{
 +      log_assert(anchor);
 +      switch(anchor->s) {
 +      /* START */
 +      case AUTR_STATE_START:
 +              /* NewKey: ADDPEND */
 +              if (anchor->fetched)
 +                      do_newkey(env, anchor, c);
 +              break;
 +      /* ADDPEND */
 +      case AUTR_STATE_ADDPEND:
 +              /* KeyRem: START */
 +              if (!anchor->fetched)
 +                      do_keyrem(env, anchor, c);
 +              /* AddTime: VALID */
 +              else    do_addtime(env, anchor, c);
 +              break;
 +      /* VALID */
 +      case AUTR_STATE_VALID:
 +              /* RevBit: REVOKED */
 +              if (anchor->revoked)
 +                      do_revoked(env, anchor, c);
 +              /* KeyRem: MISSING */
 +              else if (!anchor->fetched)
 +                      do_keyrem(env, anchor, c);
 +              else if(!anchor->last_change) {
 +                      verbose_key(anchor, VERB_ALGO, "first seen");
 +                      reset_holddown(env, anchor, c);
 +              }
 +              break;
 +      /* MISSING */
 +      case AUTR_STATE_MISSING:
 +              /* RevBit: REVOKED */
 +              if (anchor->revoked)
 +                      do_revoked(env, anchor, c);
 +              /* KeyPres */
 +              else if (anchor->fetched)
 +                      do_keypres(env, anchor, c);
 +              break;
 +      /* REVOKED */
 +      case AUTR_STATE_REVOKED:
 +              if (anchor->fetched)
 +                      reset_holddown(env, anchor, c);
 +              /* RemTime: REMOVED */
 +              else    do_remtime(env, anchor, c);
 +              break;
 +      /* REMOVED */
 +      case AUTR_STATE_REMOVED:
 +      default:
 +              break;
 +      }
 +}
 +
 +/** if ZSK init then trust KSKs */
 +static int
 +init_zsk_to_ksk(struct module_env* env, struct trust_anchor* tp, int* changed)
 +{
 +      /* search for VALID ZSKs */
 +      struct autr_ta* anchor;
 +      int validzsk = 0;
 +      int validksk = 0;
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +              /* last_change test makes sure it was manually configured */
 +              if(sldns_wirerr_get_type(anchor->rr, anchor->rr_len,
 +                      anchor->dname_len) == LDNS_RR_TYPE_DNSKEY &&
 +                      anchor->last_change == 0 && 
 +                      !ta_is_dnskey_sep(anchor) &&
 +                      anchor->s == AUTR_STATE_VALID)
 +                        validzsk++;
 +      }
 +      if(validzsk == 0)
 +              return 0;
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +                if (ta_is_dnskey_sep(anchor) && 
 +                      anchor->s == AUTR_STATE_ADDPEND) {
 +                      verbose_key(anchor, VERB_ALGO, "trust KSK from "
 +                              "ZSK(config)");
 +                      set_trustanchor_state(env, anchor, changed, 
 +                              AUTR_STATE_VALID);
 +                      validksk++;
 +              }
 +      }
 +      return validksk;
 +}
 +
 +/** Remove missing trustanchors so the list does not grow forever */
 +static void
 +remove_missing_trustanchors(struct module_env* env, struct trust_anchor* tp,
 +      int* changed)
 +{
 +      struct autr_ta* anchor;
 +      time_t exceeded;
 +      int valid = 0;
 +      /* see if we have anchors that are valid */
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +              /* Only do KSKs */
 +                if (!ta_is_dnskey_sep(anchor))
 +                        continue;
 +                if (anchor->s == AUTR_STATE_VALID)
 +                        valid++;
 +      }
 +      /* if there are no SEP Valid anchors, see if we started out with
 +       * a ZSK (last-change=0) anchor, which is VALID and there are KSKs
 +       * now that can be made valid.  Do this immediately because there
 +       * is no guarantee that the ZSKs get announced long enough.  Usually
 +       * this is immediately after init with a ZSK trusted, unless the domain
 +       * was not advertising any KSKs at all.  In which case we perfectly
 +       * track the zero number of KSKs. */
 +      if(valid == 0) {
 +              valid = init_zsk_to_ksk(env, tp, changed);
 +              if(valid == 0)
 +                      return;
 +      }
 +      
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +              /* ignore ZSKs if newly added */
 +              if(anchor->s == AUTR_STATE_START)
 +                      continue;
 +              /* remove ZSKs if a KSK is present */
 +                if (!ta_is_dnskey_sep(anchor)) {
 +                      if(valid > 0) {
 +                              verbose_key(anchor, VERB_ALGO, "remove ZSK "
 +                                      "[%d key(s) VALID]", valid);
 +                              set_trustanchor_state(env, anchor, changed, 
 +                                      AUTR_STATE_REMOVED);
 +                      }
 +                        continue;
 +              }
 +                /* Only do MISSING keys */
 +                if (anchor->s != AUTR_STATE_MISSING)
 +                        continue;
 +              if(env->cfg->keep_missing == 0)
 +                      continue; /* keep forever */
 +
 +              exceeded = check_holddown(env, anchor, env->cfg->keep_missing);
 +              /* If keep_missing has exceeded and we still have more than 
 +               * one valid KSK: remove missing trust anchor */
 +                if (exceeded && valid > 0) {
 +                      verbose_key(anchor, VERB_ALGO, "keep-missing time "
 +                              "exceeded " ARG_LL "d seconds ago, [%d key(s) VALID]",
 +                              (long long)exceeded, valid);
 +                      set_trustanchor_state(env, anchor, changed, 
 +                              AUTR_STATE_REMOVED);
 +              }
 +      }
 +}
 +
 +/** Do the statetable from RFC5011 transition matrix */
 +static int
 +do_statetable(struct module_env* env, struct trust_anchor* tp, int* changed)
 +{
 +      struct autr_ta* anchor;
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +              /* Only do KSKs */
 +              if(!ta_is_dnskey_sep(anchor))
 +                      continue;
 +              anchor_state_update(env, anchor, changed);
 +      }
 +      remove_missing_trustanchors(env, tp, changed);
 +      return 1;
 +}
 +
 +/** See if time alone makes ADDPEND to VALID transition */
 +static void
 +autr_holddown_exceed(struct module_env* env, struct trust_anchor* tp, int* c)
 +{
 +      struct autr_ta* anchor;
 +      for(anchor = tp->autr->keys; anchor; anchor = anchor->next) {
 +              if(ta_is_dnskey_sep(anchor) && 
 +                      anchor->s == AUTR_STATE_ADDPEND)
 +                      do_addtime(env, anchor, c);
 +      }
 +}
 +
 +/** cleanup key list */
 +static void
 +autr_cleanup_keys(struct trust_anchor* tp)
 +{
 +      struct autr_ta* p, **prevp;
 +      prevp = &tp->autr->keys;
 +      p = tp->autr->keys;
 +      while(p) {
 +              /* do we want to remove this key? */
 +              if(p->s == AUTR_STATE_START || p->s == AUTR_STATE_REMOVED ||
 +                      sldns_wirerr_get_type(p->rr, p->rr_len, p->dname_len)
 +                      != LDNS_RR_TYPE_DNSKEY) {
 +                      struct autr_ta* np = p->next;
 +                      /* remove */
 +                      free(p->rr);
 +                      free(p);
 +                      /* snip and go to next item */
 +                      *prevp = np;
 +                      p = np;
 +                      continue;
 +              }
 +              /* remove pending counts if no longer pending */
 +              if(p->s != AUTR_STATE_ADDPEND)
 +                      p->pending_count = 0;
 +              prevp = &p->next;
 +              p = p->next;
 +      }
 +}
 +
 +/** calculate next probe time */
 +static time_t
 +calc_next_probe(struct module_env* env, time_t wait)
 +{
 +      /* make it random, 90-100% */
 +      time_t rnd, rest;
 +      if(wait < 3600)
 +              wait = 3600;
 +      rnd = wait/10;
 +      rest = wait-rnd;
 +      rnd = (time_t)ub_random_max(env->rnd, (long int)rnd);
 +      return (time_t)(*env->now + rest + rnd);
 +}
 +
 +/** what is first probe time (anchors must be locked) */
 +static time_t
 +wait_probe_time(struct val_anchors* anchors)
 +{
 +      rbnode_t* t = rbtree_first(&anchors->autr->probe);
 +      if(t != RBTREE_NULL) 
 +              return ((struct trust_anchor*)t->key)->autr->next_probe_time;
 +      return 0;
 +}
 +
 +/** reset worker timer */
 +static void
 +reset_worker_timer(struct module_env* env)
 +{
 +      struct timeval tv;
 +#ifndef S_SPLINT_S
 +      time_t next = (time_t)wait_probe_time(env->anchors);
 +      /* in case this is libunbound, no timer */
 +      if(!env->probe_timer)
 +              return;
 +      if(next > *env->now)
 +              tv.tv_sec = (time_t)(next - *env->now);
 +      else    tv.tv_sec = 0;
 +#endif
 +      tv.tv_usec = 0;
 +      comm_timer_set(env->probe_timer, &tv);
 +      verbose(VERB_ALGO, "scheduled next probe in " ARG_LL "d sec", (long long)tv.tv_sec);
 +}
 +
 +/** set next probe for trust anchor */
 +static int
 +set_next_probe(struct module_env* env, struct trust_anchor* tp,
 +      struct ub_packed_rrset_key* dnskey_rrset)
 +{
 +      struct trust_anchor key, *tp2;
 +      time_t mold, mnew;
 +      /* use memory allocated in rrset for temporary name storage */
 +      key.node.key = &key;
 +      key.name = dnskey_rrset->rk.dname;
 +      key.namelen = dnskey_rrset->rk.dname_len;
 +      key.namelabs = dname_count_labels(key.name);
 +      key.dclass = tp->dclass;
 +      lock_basic_unlock(&tp->lock);
 +
 +      /* fetch tp again and lock anchors, so that we can modify the trees */
 +      lock_basic_lock(&env->anchors->lock);
 +      tp2 = (struct trust_anchor*)rbtree_search(env->anchors->tree, &key);
 +      if(!tp2) {
 +              verbose(VERB_ALGO, "trustpoint was deleted in set_next_probe");
 +              lock_basic_unlock(&env->anchors->lock);
 +              return 0;
 +      }
 +      log_assert(tp == tp2);
 +      lock_basic_lock(&tp->lock);
 +
 +      /* schedule */
 +      mold = wait_probe_time(env->anchors);
 +      (void)rbtree_delete(&env->anchors->autr->probe, tp);
 +      tp->autr->next_probe_time = calc_next_probe(env, 
 +              tp->autr->query_interval);
 +      (void)rbtree_insert(&env->anchors->autr->probe, &tp->autr->pnode);
 +      mnew = wait_probe_time(env->anchors);
 +
 +      lock_basic_unlock(&env->anchors->lock);
 +      verbose(VERB_ALGO, "next probe set in %d seconds", 
 +              (int)tp->autr->next_probe_time - (int)*env->now);
 +      if(mold != mnew) {
 +              reset_worker_timer(env);
 +      }
 +      return 1;
 +}
 +
 +/** Revoke and Delete a trust point */
 +static void
 +autr_tp_remove(struct module_env* env, struct trust_anchor* tp,
 +      struct ub_packed_rrset_key* dnskey_rrset)
 +{
 +      struct trust_anchor* del_tp;
 +      struct trust_anchor key;
 +      struct autr_point_data pd;
 +      time_t mold, mnew;
 +
 +      log_nametypeclass(VERB_OPS, "trust point was revoked",
 +              tp->name, LDNS_RR_TYPE_DNSKEY, tp->dclass);
 +      tp->autr->revoked = 1;
 +
 +      /* use space allocated for dnskey_rrset to save name of anchor */
 +      memset(&key, 0, sizeof(key));
 +      memset(&pd, 0, sizeof(pd));
 +      key.autr = &pd;
 +      key.node.key = &key;
 +      pd.pnode.key = &key;
 +      pd.next_probe_time = tp->autr->next_probe_time;
 +      key.name = dnskey_rrset->rk.dname;
 +      key.namelen = tp->namelen;
 +      key.namelabs = tp->namelabs;
 +      key.dclass = tp->dclass;
 +
 +      /* unlock */
 +      lock_basic_unlock(&tp->lock);
 +
 +      /* take from tree. It could be deleted by someone else,hence (void). */
 +      lock_basic_lock(&env->anchors->lock);
 +      del_tp = (struct trust_anchor*)rbtree_delete(env->anchors->tree, &key);
 +      mold = wait_probe_time(env->anchors);
 +      (void)rbtree_delete(&env->anchors->autr->probe, &key);
 +      mnew = wait_probe_time(env->anchors);
 +      anchors_init_parents_locked(env->anchors);
 +      lock_basic_unlock(&env->anchors->lock);
 +
 +      /* if !del_tp then the trust point is no longer present in the tree,
 +       * it was deleted by someone else, who will write the zonefile and
 +       * clean up the structure */
 +      if(del_tp) {
 +              /* save on disk */
 +              del_tp->autr->next_probe_time = 0; /* no more probing for it */
 +              autr_write_file(env, del_tp);
 +
 +              /* delete */
 +              autr_point_delete(del_tp);
 +      }
 +      if(mold != mnew) {
 +              reset_worker_timer(env);
 +      }
 +}
 +
 +int autr_process_prime(struct module_env* env, struct val_env* ve,
 +      struct trust_anchor* tp, struct ub_packed_rrset_key* dnskey_rrset)
 +{
 +      int changed = 0;
 +      log_assert(tp && tp->autr);
 +      /* autotrust update trust anchors */
 +      /* the tp is locked, and stays locked unless it is deleted */
 +
 +      /* we could just catch the anchor here while another thread
 +       * is busy deleting it. Just unlock and let the other do its job */
 +      if(tp->autr->revoked) {
 +              log_nametypeclass(VERB_ALGO, "autotrust not processed, "
 +                      "trust point revoked", tp->name, 
 +                      LDNS_RR_TYPE_DNSKEY, tp->dclass);
 +              lock_basic_unlock(&tp->lock);
 +              return 0; /* it is revoked */
 +      }
 +
 +      /* query_dnskeys(): */
 +      tp->autr->last_queried = *env->now;
 +
 +      log_nametypeclass(VERB_ALGO, "autotrust process for",
 +              tp->name, LDNS_RR_TYPE_DNSKEY, tp->dclass);
 +      /* see if time alone makes some keys valid */
 +      autr_holddown_exceed(env, tp, &changed);
 +      if(changed) {
 +              verbose(VERB_ALGO, "autotrust: morekeys, reassemble");
 +              if(!autr_assemble(tp)) {
 +                      log_err("malloc failure assembling autotrust keys");
 +                      return 1; /* unchanged */
 +              }
 +      }
 +      /* did we get any data? */
 +      if(!dnskey_rrset) {
 +              verbose(VERB_ALGO, "autotrust: no dnskey rrset");
 +              /* no update of query_failed, because then we would have
 +               * to write to disk. But we cannot because we maybe are
 +               * still 'initialising' with DS records, that we cannot write
 +               * in the full format (which only contains KSKs). */
 +              return 1; /* trust point exists */
 +      }
 +      /* check for revoked keys to remove immediately */
 +      check_contains_revoked(env, ve, tp, dnskey_rrset, &changed);
 +      if(changed) {
 +              verbose(VERB_ALGO, "autotrust: revokedkeys, reassemble");
 +              if(!autr_assemble(tp)) {
 +                      log_err("malloc failure assembling autotrust keys");
 +                      return 1; /* unchanged */
 +              }
 +              if(!tp->ds_rrset && !tp->dnskey_rrset) {
 +                      /* no more keys, all are revoked */
 +                      /* this is a success for this probe attempt */
 +                      tp->autr->last_success = *env->now;
 +                      autr_tp_remove(env, tp, dnskey_rrset);
 +                      return 0; /* trust point removed */
 +              }
 +      }
 +      /* verify the dnskey rrset and see if it is valid. */
 +      if(!verify_dnskey(env, ve, tp, dnskey_rrset)) {
 +              verbose(VERB_ALGO, "autotrust: dnskey did not verify.");
 +              /* only increase failure count if this is not the first prime,
 +               * this means there was a previous succesful probe */
 +              if(tp->autr->last_success) {
 +                      tp->autr->query_failed += 1;
 +                      autr_write_file(env, tp);
 +              }
 +              return 1; /* trust point exists */
 +      }
 +
 +      tp->autr->last_success = *env->now;
 +      tp->autr->query_failed = 0;
 +
 +      /* Add new trust anchors to the data structure
 +       * - note which trust anchors are seen this probe.
 +       * Set trustpoint query_interval and retry_time.
 +       * - find minimum rrsig expiration interval
 +       */
 +      if(!update_events(env, ve, tp, dnskey_rrset, &changed)) {
 +              log_err("malloc failure in autotrust update_events. "
 +                      "trust point unchanged.");
 +              return 1; /* trust point unchanged, so exists */
 +      }
 +
 +      /* - for every SEP key do the 5011 statetable.
 +       * - remove missing trustanchors (if veryold and we have new anchors).
 +       */
 +      if(!do_statetable(env, tp, &changed)) {
 +              log_err("malloc failure in autotrust do_statetable. "
 +                      "trust point unchanged.");
 +              return 1; /* trust point unchanged, so exists */
 +      }
 +
 +      autr_cleanup_keys(tp);
 +      if(!set_next_probe(env, tp, dnskey_rrset))
 +              return 0; /* trust point does not exist */
 +      autr_write_file(env, tp);
 +      if(changed) {
 +              verbose(VERB_ALGO, "autotrust: changed, reassemble");
 +              if(!autr_assemble(tp)) {
 +                      log_err("malloc failure assembling autotrust keys");
 +                      return 1; /* unchanged */
 +              }
 +              if(!tp->ds_rrset && !tp->dnskey_rrset) {
 +                      /* no more keys, all are revoked */
 +                      autr_tp_remove(env, tp, dnskey_rrset);
 +                      return 0; /* trust point removed */
 +              }
 +      } else verbose(VERB_ALGO, "autotrust: no changes");
 +      
 +      return 1; /* trust point exists */
 +}
 +
 +/** debug print a trust anchor key */
 +static void 
 +autr_debug_print_ta(struct autr_ta* ta)
 +{
 +      char buf[32];
 +      char* str = sldns_wire2str_rr(ta->rr, ta->rr_len);
 +      if(!str) {
 +              log_info("out of memory in debug_print_ta");
 +              return;
 +      }
 +      if(str && str[0]) str[strlen(str)-1]=0; /* remove newline */
 +      ctime_r(&ta->last_change, buf);
 +      if(buf[0]) buf[strlen(buf)-1]=0; /* remove newline */
 +      log_info("[%s] %s ;;state:%d ;;pending_count:%d%s%s last:%s",
 +              trustanchor_state2str(ta->s), str, ta->s, ta->pending_count,
 +              ta->fetched?" fetched":"", ta->revoked?" revoked":"", buf);
 +      free(str);
 +}
 +
 +/** debug print a trust point */
 +static void 
 +autr_debug_print_tp(struct trust_anchor* tp)
 +{
 +      struct autr_ta* ta;
 +      char buf[257];
 +      if(!tp->autr)
 +              return;
 +      dname_str(tp->name, buf);
 +      log_info("trust point %s : %d", buf, (int)tp->dclass);
 +      log_info("assembled %d DS and %d DNSKEYs", 
 +              (int)tp->numDS, (int)tp->numDNSKEY);
 +      if(tp->ds_rrset) {
 +              log_packed_rrset(0, "DS:", tp->ds_rrset);
 +      }
 +      if(tp->dnskey_rrset) {
 +              log_packed_rrset(0, "DNSKEY:", tp->dnskey_rrset);
 +      }
 +      log_info("file %s", tp->autr->file);
 +      ctime_r(&tp->autr->last_queried, buf);
 +      if(buf[0]) buf[strlen(buf)-1]=0; /* remove newline */
 +      log_info("last_queried: %u %s", (unsigned)tp->autr->last_queried, buf);
 +      ctime_r(&tp->autr->last_success, buf);
 +      if(buf[0]) buf[strlen(buf)-1]=0; /* remove newline */
 +      log_info("last_success: %u %s", (unsigned)tp->autr->last_success, buf);
 +      ctime_r(&tp->autr->next_probe_time, buf);
 +      if(buf[0]) buf[strlen(buf)-1]=0; /* remove newline */
 +      log_info("next_probe_time: %u %s", (unsigned)tp->autr->next_probe_time,
 +              buf);
 +      log_info("query_interval: %u", (unsigned)tp->autr->query_interval);
 +      log_info("retry_time: %u", (unsigned)tp->autr->retry_time);
 +      log_info("query_failed: %u", (unsigned)tp->autr->query_failed);
 +              
 +      for(ta=tp->autr->keys; ta; ta=ta->next) {
 +              autr_debug_print_ta(ta);
 +      }
 +}
 +
 +void 
 +autr_debug_print(struct val_anchors* anchors)
 +{
 +      struct trust_anchor* tp;
 +      lock_basic_lock(&anchors->lock);
 +      RBTREE_FOR(tp, struct trust_anchor*, anchors->tree) {
 +              lock_basic_lock(&tp->lock);
 +              autr_debug_print_tp(tp);
 +              lock_basic_unlock(&tp->lock);
 +      }
 +      lock_basic_unlock(&anchors->lock);
 +}
 +
 +void probe_answer_cb(void* arg, int ATTR_UNUSED(rcode), 
 +      sldns_buffer* ATTR_UNUSED(buf), enum sec_status ATTR_UNUSED(sec),
 +      char* ATTR_UNUSED(why_bogus))
 +{
 +      /* retry was set before the query was done,
 +       * re-querytime is set when query succeeded, but that may not
 +       * have reset this timer because the query could have been
 +       * handled by another thread. In that case, this callback would
 +       * get called after the original timeout is done. 
 +       * By not resetting the timer, it may probe more often, but not
 +       * less often.
 +       * Unless the new lookup resulted in smaller TTLs and thus smaller
 +       * timeout values. In that case one old TTL could be mistakenly done.
 +       */
 +      struct module_env* env = (struct module_env*)arg;
 +      verbose(VERB_ALGO, "autotrust probe answer cb");
 +      reset_worker_timer(env);
 +}
 +
 +/** probe a trust anchor DNSKEY and unlocks tp */
 +static void
 +probe_anchor(struct module_env* env, struct trust_anchor* tp)
 +{
 +      struct query_info qinfo;
 +      uint16_t qflags = BIT_RD;
 +      struct edns_data edns;
 +      sldns_buffer* buf = env->scratch_buffer;
 +      qinfo.qname = regional_alloc_init(env->scratch, tp->name, tp->namelen);
 +      if(!qinfo.qname) {
 +              log_err("out of memory making 5011 probe");
 +              return;
 +      }
 +      qinfo.qname_len = tp->namelen;
 +      qinfo.qtype = LDNS_RR_TYPE_DNSKEY;
 +      qinfo.qclass = tp->dclass;
 +      log_query_info(VERB_ALGO, "autotrust probe", &qinfo);
 +      verbose(VERB_ALGO, "retry probe set in %d seconds", 
 +              (int)tp->autr->next_probe_time - (int)*env->now);
 +      edns.edns_present = 1;
 +      edns.ext_rcode = 0;
 +      edns.edns_version = 0;
 +      edns.bits = EDNS_DO;
 +      if(sldns_buffer_capacity(buf) < 65535)
 +              edns.udp_size = (uint16_t)sldns_buffer_capacity(buf);
 +      else    edns.udp_size = 65535;
 +
 +      /* can't hold the lock while mesh_run is processing */
 +      lock_basic_unlock(&tp->lock);
 +
 +      /* delete the DNSKEY from rrset and key cache so an active probe
 +       * is done. First the rrset so another thread does not use it
 +       * to recreate the key entry in a race condition. */
 +      rrset_cache_remove(env->rrset_cache, qinfo.qname, qinfo.qname_len,
 +              qinfo.qtype, qinfo.qclass, 0);
 +      key_cache_remove(env->key_cache, qinfo.qname, qinfo.qname_len, 
 +              qinfo.qclass);
 +
 +      if(!mesh_new_callback(env->mesh, &qinfo, qflags, &edns, buf, 0, 
 +              &probe_answer_cb, env)) {
 +              log_err("out of memory making 5011 probe");
 +      }
 +}
 +
 +/** fetch first to-probe trust-anchor and lock it and set retrytime */
 +static struct trust_anchor*
 +todo_probe(struct module_env* env, time_t* next)
 +{
 +      struct trust_anchor* tp;
 +      rbnode_t* el;
 +      /* get first one */
 +      lock_basic_lock(&env->anchors->lock);
 +      if( (el=rbtree_first(&env->anchors->autr->probe)) == RBTREE_NULL) {
 +              /* in case of revoked anchors */
 +              lock_basic_unlock(&env->anchors->lock);
 +              return NULL;
 +      }
 +      tp = (struct trust_anchor*)el->key;
 +      lock_basic_lock(&tp->lock);
 +
 +      /* is it eligible? */
 +      if((time_t)tp->autr->next_probe_time > *env->now) {
 +              /* no more to probe */
 +              *next = (time_t)tp->autr->next_probe_time - *env->now;
 +              lock_basic_unlock(&tp->lock);
 +              lock_basic_unlock(&env->anchors->lock);
 +              return NULL;
 +      }
 +
 +      /* reset its next probe time */
 +      (void)rbtree_delete(&env->anchors->autr->probe, tp);
 +      tp->autr->next_probe_time = calc_next_probe(env, tp->autr->retry_time);
 +      (void)rbtree_insert(&env->anchors->autr->probe, &tp->autr->pnode);
 +      lock_basic_unlock(&env->anchors->lock);
 +
 +      return tp;
 +}
 +
 +time_t 
 +autr_probe_timer(struct module_env* env)
 +{
 +      struct trust_anchor* tp;
 +      time_t next_probe = 3600;
 +      int num = 0;
 +      verbose(VERB_ALGO, "autotrust probe timer callback");
 +      /* while there are still anchors to probe */
 +      while( (tp = todo_probe(env, &next_probe)) ) {
 +              /* make a probe for this anchor */
 +              probe_anchor(env, tp);
 +              num++;
 +      }
 +      regional_free_all(env->scratch);
 +      if(num == 0)
 +              return 0; /* no trust points to probe */
 +      verbose(VERB_ALGO, "autotrust probe timer %d callbacks done", num);
 +      return next_probe;
 +}
diff --cc contrib/unbound/validator/val_anchor.c
index 3a67fff454ab21f99b51f2c1cbd9ea048be99aca,0000000000000000000000000000000000000000..845b54a2e85ef7316618e28e55410fc263a00194
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_anchor.c
--- /dev/null
+++ b/contrib/unbound/validator/val_anchor.c
@@@ -1,1256 -1,0 +1,1262 @@@
- #include "ldns/sbuffer.h"
- #include "ldns/rrdef.h"
- #include "ldns/str2wire.h"
 +/*
 + * validator/val_anchor.c - validator trust anchor storage.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains storage for the trust anchors for the validator.
 + */
 +#include "config.h"
 +#include <ctype.h>
 +#include "validator/val_anchor.h"
 +#include "validator/val_sigcrypt.h"
 +#include "validator/autotrust.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/dname.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/config_file.h"
-       pd->rr_len = (size_t*)malloc(num*sizeof(size_t));
++#include "sldns/sbuffer.h"
++#include "sldns/rrdef.h"
++#include "sldns/str2wire.h"
 +#ifdef HAVE_GLOB_H
 +#include <glob.h>
 +#endif
 +
 +int
 +anchor_cmp(const void* k1, const void* k2)
 +{
 +      int m;
 +      struct trust_anchor* n1 = (struct trust_anchor*)k1;
 +      struct trust_anchor* n2 = (struct trust_anchor*)k2;
 +      /* no need to ntohs(class) because sort order is irrelevant */
 +      if(n1->dclass != n2->dclass) {
 +              if(n1->dclass < n2->dclass)
 +                      return -1;
 +              return 1;
 +      }
 +      return dname_lab_cmp(n1->name, n1->namelabs, n2->name, n2->namelabs, 
 +              &m);
 +}
 +
 +struct val_anchors* 
 +anchors_create(void)
 +{
 +      struct val_anchors* a = (struct val_anchors*)calloc(1, sizeof(*a));
 +      if(!a)
 +              return NULL;
 +      a->tree = rbtree_create(anchor_cmp);
 +      if(!a->tree) {
 +              anchors_delete(a);
 +              return NULL;
 +      }
 +      a->autr = autr_global_create();
 +      if(!a->autr) {
 +              anchors_delete(a);
 +              return NULL;
 +      }
 +      lock_basic_init(&a->lock);
 +      lock_protect(&a->lock, a, sizeof(*a));
 +      lock_protect(&a->lock, a->autr, sizeof(*a->autr));
 +      return a;
 +}
 +
 +/** delete assembled rrset */
 +static void
 +assembled_rrset_delete(struct ub_packed_rrset_key* pkey)
 +{
 +      if(!pkey) return;
 +      if(pkey->entry.data) {
 +              struct packed_rrset_data* pd = (struct packed_rrset_data*)
 +                      pkey->entry.data;
 +              free(pd->rr_data);
 +              free(pd->rr_ttl);
 +              free(pd->rr_len);
 +              free(pd);
 +      }
 +      free(pkey->rk.dname);
 +      free(pkey);
 +}
 +
 +/** destroy locks in tree and delete autotrust anchors */
 +static void
 +anchors_delfunc(rbnode_t* elem, void* ATTR_UNUSED(arg))
 +{
 +      struct trust_anchor* ta = (struct trust_anchor*)elem;
 +      if(!ta) return;
 +      if(ta->autr) {
 +              autr_point_delete(ta);
 +      } else {
 +              struct ta_key* p, *np;
 +              lock_basic_destroy(&ta->lock);
 +              free(ta->name);
 +              p = ta->keylist;
 +              while(p) {
 +                      np = p->next;
 +                      free(p->data);
 +                      free(p);
 +                      p = np;
 +              }
 +              assembled_rrset_delete(ta->ds_rrset);
 +              assembled_rrset_delete(ta->dnskey_rrset);
 +              free(ta);
 +      }
 +}
 +
 +void 
 +anchors_delete(struct val_anchors* anchors)
 +{
 +      if(!anchors)
 +              return;
 +      lock_unprotect(&anchors->lock, anchors->autr);
 +      lock_unprotect(&anchors->lock, anchors);
 +      lock_basic_destroy(&anchors->lock);
 +      if(anchors->tree)
 +              traverse_postorder(anchors->tree, anchors_delfunc, NULL);
 +      free(anchors->tree);
 +      autr_global_delete(anchors->autr);
 +      free(anchors);
 +}
 +
 +void
 +anchors_init_parents_locked(struct val_anchors* anchors)
 +{
 +      struct trust_anchor* node, *prev = NULL, *p;
 +      int m; 
 +      /* nobody else can grab locks because we hold the main lock.
 +       * Thus the previous items, after unlocked, are not deleted */
 +      RBTREE_FOR(node, struct trust_anchor*, anchors->tree) {
 +              lock_basic_lock(&node->lock);
 +              node->parent = NULL;
 +              if(!prev || prev->dclass != node->dclass) {
 +                      prev = node;
 +                      lock_basic_unlock(&node->lock);
 +                      continue;
 +              }
 +              (void)dname_lab_cmp(prev->name, prev->namelabs, node->name, 
 +                      node->namelabs, &m); /* we know prev is smaller */
 +              /* sort order like: . com. bla.com. zwb.com. net. */
 +              /* find the previous, or parent-parent-parent */
 +              for(p = prev; p; p = p->parent)
 +                      /* looking for name with few labels, a parent */
 +                      if(p->namelabs <= m) {
 +                              /* ==: since prev matched m, this is closest*/
 +                              /* <: prev matches more, but is not a parent,
 +                              * this one is a (grand)parent */
 +                              node->parent = p;
 +                              break;
 +                      }
 +              lock_basic_unlock(&node->lock);
 +              prev = node;
 +      }
 +}
 +
 +/** initialise parent pointers in the tree */
 +static void
 +init_parents(struct val_anchors* anchors)
 +{
 +      lock_basic_lock(&anchors->lock);
 +      anchors_init_parents_locked(anchors);
 +      lock_basic_unlock(&anchors->lock);
 +}
 +
 +struct trust_anchor*
 +anchor_find(struct val_anchors* anchors, uint8_t* name, int namelabs,
 +      size_t namelen, uint16_t dclass)
 +{
 +      struct trust_anchor key;
 +      rbnode_t* n;
 +      if(!name) return NULL;
 +      key.node.key = &key;
 +      key.name = name;
 +      key.namelabs = namelabs;
 +      key.namelen = namelen;
 +      key.dclass = dclass;
 +      lock_basic_lock(&anchors->lock);
 +      n = rbtree_search(anchors->tree, &key);
 +      if(n) {
 +              lock_basic_lock(&((struct trust_anchor*)n->key)->lock);
 +      }
 +      lock_basic_unlock(&anchors->lock);
 +      if(!n)
 +              return NULL;
 +      return (struct trust_anchor*)n->key;
 +}
 +
 +/** create new trust anchor object */
 +static struct trust_anchor*
 +anchor_new_ta(struct val_anchors* anchors, uint8_t* name, int namelabs,
 +      size_t namelen, uint16_t dclass, int lockit)
 +{
 +#ifdef UNBOUND_DEBUG
 +      rbnode_t* r;
 +#endif
 +      struct trust_anchor* ta = (struct trust_anchor*)malloc(
 +              sizeof(struct trust_anchor));
 +      if(!ta)
 +              return NULL;
 +      memset(ta, 0, sizeof(*ta));
 +      ta->node.key = ta;
 +      ta->name = memdup(name, namelen);
 +      if(!ta->name) {
 +              free(ta);
 +              return NULL;
 +      }
 +      ta->namelabs = namelabs;
 +      ta->namelen = namelen;
 +      ta->dclass = dclass;
 +      lock_basic_init(&ta->lock);
 +      if(lockit) {
 +              lock_basic_lock(&anchors->lock);
 +      }
 +#ifdef UNBOUND_DEBUG
 +      r =
 +#else
 +      (void)
 +#endif
 +      rbtree_insert(anchors->tree, &ta->node);
 +      if(lockit) {
 +              lock_basic_unlock(&anchors->lock);
 +      }
 +      log_assert(r != NULL);
 +      return ta;
 +}
 +
 +/** find trustanchor key by exact data match */
 +static struct ta_key*
 +anchor_find_key(struct trust_anchor* ta, uint8_t* rdata, size_t rdata_len,
 +      uint16_t type)
 +{
 +      struct ta_key* k;
 +      for(k = ta->keylist; k; k = k->next) {
 +              if(k->type == type && k->len == rdata_len &&
 +                      memcmp(k->data, rdata, rdata_len) == 0)
 +                      return k;
 +      }
 +      return NULL;
 +}
 +      
 +/** create new trustanchor key */
 +static struct ta_key*
 +anchor_new_ta_key(uint8_t* rdata, size_t rdata_len, uint16_t type)
 +{
 +      struct ta_key* k = (struct ta_key*)malloc(sizeof(*k));
 +      if(!k)
 +              return NULL;
 +      memset(k, 0, sizeof(*k));
 +      k->data = memdup(rdata, rdata_len);
 +      if(!k->data) {
 +              free(k);
 +              return NULL;
 +      }
 +      k->len = rdata_len;
 +      k->type = type;
 +      return k;
 +}
 +
 +/**
 + * This routine adds a new RR to a trust anchor. The trust anchor may not
 + * exist yet, and is created if not. The RR can be DS or DNSKEY.
 + * This routine will also remove duplicates; storing them only once.
 + * @param anchors: anchor storage.
 + * @param name: name of trust anchor (wireformat)
 + * @param type: type or RR
 + * @param dclass: class of RR
 + * @param rdata: rdata wireformat, starting with rdlength.
 + *    If NULL, nothing is stored, but an entry is created.
 + * @param rdata_len: length of rdata including rdlength.
 + * @return: NULL on error, else the trust anchor.
 + */
 +static struct trust_anchor*
 +anchor_store_new_key(struct val_anchors* anchors, uint8_t* name, uint16_t type,
 +      uint16_t dclass, uint8_t* rdata, size_t rdata_len)
 +{
 +      struct ta_key* k;
 +      struct trust_anchor* ta;
 +      int namelabs;
 +      size_t namelen;
 +      namelabs = dname_count_size_labels(name, &namelen);
 +      if(type != LDNS_RR_TYPE_DS && type != LDNS_RR_TYPE_DNSKEY) {
 +              log_err("Bad type for trust anchor");
 +              return 0;
 +      }
 +      /* lookup or create trustanchor */
 +      ta = anchor_find(anchors, name, namelabs, namelen, dclass);
 +      if(!ta) {
 +              ta = anchor_new_ta(anchors, name, namelabs, namelen, dclass, 1);
 +              if(!ta)
 +                      return NULL;
 +              lock_basic_lock(&ta->lock);
 +      }
 +      if(!rdata) {
 +              lock_basic_unlock(&ta->lock);
 +              return ta;
 +      }
 +      /* look for duplicates */
 +      if(anchor_find_key(ta, rdata, rdata_len, type)) {
 +              lock_basic_unlock(&ta->lock);
 +              return ta;
 +      }
 +      k = anchor_new_ta_key(rdata, rdata_len, type);
 +      if(!k) {
 +              lock_basic_unlock(&ta->lock);
 +              return NULL;
 +      }
 +      /* add new key */
 +      if(type == LDNS_RR_TYPE_DS)
 +              ta->numDS++;
 +      else    ta->numDNSKEY++;
 +      k->next = ta->keylist;
 +      ta->keylist = k;
 +      lock_basic_unlock(&ta->lock);
 +      return ta;
 +}
 +
 +/**
 + * Add new RR. It converts ldns RR to wire format.
 + * @param anchors: anchor storage.
 + * @param rr: the wirerr.
 + * @param rl: length of rr.
 + * @param dl: length of dname.
 + * @return NULL on error, else the trust anchor.
 + */
 +static struct trust_anchor*
 +anchor_store_new_rr(struct val_anchors* anchors, uint8_t* rr, size_t rl,
 +      size_t dl)
 +{
 +      struct trust_anchor* ta;
 +      if(!(ta=anchor_store_new_key(anchors, rr,
 +              sldns_wirerr_get_type(rr, rl, dl),
 +              sldns_wirerr_get_class(rr, rl, dl),
 +              sldns_wirerr_get_rdatawl(rr, rl, dl),
 +              sldns_wirerr_get_rdatalen(rr, rl, dl)+2))) {
 +              return NULL;
 +      }
 +      log_nametypeclass(VERB_QUERY, "adding trusted key",
 +              rr, sldns_wirerr_get_type(rr, rl, dl),
 +              sldns_wirerr_get_class(rr, rl, dl));
 +      return ta;
 +}
 +
 +/**
 + * Insert insecure anchor
 + * @param anchors: anchor storage.
 + * @param str: the domain name.
 + * @return NULL on error, Else last trust anchor point
 + */
 +static struct trust_anchor*
 +anchor_insert_insecure(struct val_anchors* anchors, const char* str)
 +{
 +      struct trust_anchor* ta;
 +      size_t dname_len = 0;
 +      uint8_t* nm = sldns_str2wire_dname(str, &dname_len);
 +      if(!nm) {
 +              log_err("parse error in domain name '%s'", str);
 +              return NULL;
 +      }
 +      ta = anchor_store_new_key(anchors, nm, LDNS_RR_TYPE_DS,
 +              LDNS_RR_CLASS_IN, NULL, 0);
 +      free(nm);
 +      return ta;
 +}
 +
 +struct trust_anchor*
 +anchor_store_str(struct val_anchors* anchors, sldns_buffer* buffer,
 +      const char* str)
 +{
 +      struct trust_anchor* ta;
 +      uint8_t* rr = sldns_buffer_begin(buffer);
 +      size_t len = sldns_buffer_capacity(buffer), dname_len = 0;
 +      int status = sldns_str2wire_rr_buf(str, rr, &len, &dname_len,
 +              0, NULL, 0, NULL, 0);
 +      if(status != 0) {
 +              log_err("error parsing trust anchor %s: at %d: %s", 
 +                      str, LDNS_WIREPARSE_OFFSET(status),
 +                      sldns_get_errorstr_parse(status));
 +              return NULL;
 +      }
 +      if(!(ta=anchor_store_new_rr(anchors, rr, len, dname_len))) {
 +              log_err("out of memory");
 +              return NULL;
 +      }
 +      return ta;
 +}
 +
 +/**
 + * Read a file with trust anchors
 + * @param anchors: anchor storage.
 + * @param buffer: parsing buffer.
 + * @param fname: string.
 + * @param onlyone: only one trust anchor allowed in file.
 + * @return NULL on error. Else last trust-anchor point.
 + */
 +static struct trust_anchor*
 +anchor_read_file(struct val_anchors* anchors, sldns_buffer* buffer,
 +      const char* fname, int onlyone)
 +{
 +      struct trust_anchor* ta = NULL, *tanew;
 +      struct sldns_file_parse_state pst;
 +      int status;
 +      size_t len, dname_len;
 +      uint8_t* rr = sldns_buffer_begin(buffer);
 +      int ok = 1;
 +      FILE* in = fopen(fname, "r");
 +      if(!in) {
 +              log_err("error opening file %s: %s", fname, strerror(errno));
 +              return 0;
 +      }
 +      memset(&pst, 0, sizeof(pst));
 +      pst.default_ttl = 3600;
 +      pst.lineno = 1;
 +      while(!feof(in)) {
 +              len = sldns_buffer_capacity(buffer);
 +              dname_len = 0;
 +              status = sldns_fp2wire_rr_buf(in, rr, &len, &dname_len, &pst);
 +              if(len == 0) /* empty, $TTL, $ORIGIN */
 +                      continue;
 +              if(status != 0) {
 +                      log_err("parse error in %s:%d:%d : %s", fname,
 +                              pst.lineno, LDNS_WIREPARSE_OFFSET(status),
 +                              sldns_get_errorstr_parse(status));
 +                      ok = 0;
 +                      break;
 +              }
 +              if(sldns_wirerr_get_type(rr, len, dname_len) !=
 +                      LDNS_RR_TYPE_DS && sldns_wirerr_get_type(rr, len,
 +                      dname_len) != LDNS_RR_TYPE_DNSKEY) {
 +                      continue;
 +              }
 +              if(!(tanew=anchor_store_new_rr(anchors, rr, len, dname_len))) {
 +                      log_err("mem error at %s line %d", fname, pst.lineno);
 +                      ok = 0;
 +                      break;
 +              }
 +              if(onlyone && ta && ta != tanew) {
 +                      log_err("error at %s line %d: no multiple anchor "
 +                              "domains allowed (you can have multiple "
 +                              "keys, but they must have the same name).", 
 +                              fname, pst.lineno);
 +                      ok = 0;
 +                      break;
 +              }
 +              ta = tanew;
 +      }
 +      fclose(in);
 +      if(!ok) return NULL;
 +      /* empty file is OK when multiple anchors are allowed */
 +      if(!onlyone && !ta) return (struct trust_anchor*)1;
 +      return ta;
 +}
 +
 +/** skip file to end of line */
 +static void
 +skip_to_eol(FILE* in)
 +{
 +      int c;
 +      while((c = getc(in)) != EOF ) {
 +              if(c == '\n')
 +                      return;
 +      }
 +}
 +
 +/** true for special characters in bind configs */
 +static int
 +is_bind_special(int c)
 +{
 +      switch(c) {
 +              case '{':
 +              case '}':
 +              case '"':
 +              case ';':
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** 
 + * Read a keyword skipping bind comments; spaces, specials, restkeywords. 
 + * The file is split into the following tokens:
 + *    * special characters, on their own, rdlen=1, { } doublequote ;
 + *    * whitespace becomes a single ' ' or tab. Newlines become spaces.
 + *    * other words ('keywords')
 + *    * comments are skipped if desired
 + *            / / C++ style comment to end of line
 + *            # to end of line
 + *            / * C style comment * /
 + * @param in: file to read from.
 + * @param buf: buffer, what is read is stored after current buffer position.
 + *    Space is left in the buffer to write a terminating 0.
 + * @param line: line number is increased per line, for error reports.
 + * @param comments: if 0, comments are not possible and become text.
 + *    if 1, comments are skipped entirely.
 + *    In BIND files, this is when reading quoted strings, for example
 + *    " base 64 text with / / in there "
 + * @return the number of character written to the buffer. 
 + *    0 on end of file.
 + */
 +static int
 +readkeyword_bindfile(FILE* in, sldns_buffer* buf, int* line, int comments)
 +{
 +      int c;
 +      int numdone = 0;
 +      while((c = getc(in)) != EOF ) {
 +              if(comments && c == '#') {      /*   # blabla   */
 +                      skip_to_eol(in);
 +                      (*line)++;
 +                      continue;
 +              } else if(comments && c=='/' && numdone>0 && /* /_/ bla*/
 +                      sldns_buffer_read_u8_at(buf, 
 +                      sldns_buffer_position(buf)-1) == '/') {
 +                      sldns_buffer_skip(buf, -1);
 +                      numdone--;
 +                      skip_to_eol(in);
 +                      (*line)++;
 +                      continue;
 +              } else if(comments && c=='*' && numdone>0 && /* /_* bla *_/ */
 +                      sldns_buffer_read_u8_at(buf, 
 +                      sldns_buffer_position(buf)-1) == '/') {
 +                      sldns_buffer_skip(buf, -1);
 +                      numdone--;
 +                      /* skip to end of comment */
 +                      while(c != EOF && (c=getc(in)) != EOF ) {
 +                              if(c == '*') {
 +                                      if((c=getc(in)) == '/')
 +                                              break;
 +                              }
 +                              if(c == '\n')
 +                                      (*line)++;
 +                      }
 +                      continue;
 +              }
 +              /* not a comment, complete the keyword */
 +              if(numdone > 0) {
 +                      /* check same type */
 +                      if(isspace((unsigned char)c)) {
 +                              ungetc(c, in);
 +                              return numdone;
 +                      }
 +                      if(is_bind_special(c)) {
 +                              ungetc(c, in);
 +                              return numdone;
 +                      }
 +              }
 +              if(c == '\n') {
 +                      c = ' ';
 +                      (*line)++;
 +              }
 +              /* space for 1 char + 0 string terminator */
 +              if(sldns_buffer_remaining(buf) < 2) {
 +                      fatal_exit("trusted-keys, %d, string too long", *line);
 +              }
 +              sldns_buffer_write_u8(buf, (uint8_t)c);
 +              numdone++;
 +              if(isspace((unsigned char)c)) {
 +                      /* collate whitespace into ' ' */
 +                      while((c = getc(in)) != EOF ) {
 +                              if(c == '\n')
 +                                      (*line)++;
 +                              if(!isspace((unsigned char)c)) {
 +                                      ungetc(c, in);
 +                                      break;
 +                              }
 +                      }
 +                      return numdone;
 +              }
 +              if(is_bind_special(c))
 +                      return numdone;
 +      }
 +      return numdone;
 +}
 +
 +/** skip through file to { or ; */
 +static int 
 +skip_to_special(FILE* in, sldns_buffer* buf, int* line, int spec) 
 +{
 +      int rdlen;
 +      sldns_buffer_clear(buf);
 +      while((rdlen=readkeyword_bindfile(in, buf, line, 1))) {
 +              if(rdlen == 1 && isspace((unsigned char)*sldns_buffer_begin(buf))) {
 +                      sldns_buffer_clear(buf);
 +                      continue;
 +              }
 +              if(rdlen != 1 || *sldns_buffer_begin(buf) != (uint8_t)spec) {
 +                      sldns_buffer_write_u8(buf, 0);
 +                      log_err("trusted-keys, line %d, expected %c", 
 +                              *line, spec);
 +                      return 0;
 +              }
 +              return 1;
 +      }
 +      log_err("trusted-keys, line %d, expected %c got EOF", *line, spec);
 +      return 0;
 +}
 +
 +/** 
 + * read contents of trusted-keys{ ... ; clauses and insert keys into storage.
 + * @param anchors: where to store keys
 + * @param buf: buffer to use
 + * @param line: line number in file
 + * @param in: file to read from.
 + * @return 0 on error.
 + */
 +static int
 +process_bind_contents(struct val_anchors* anchors, sldns_buffer* buf, 
 +      int* line, FILE* in)
 +{
 +      /* loop over contents, collate strings before ; */
 +      /* contents is (numbered): 0   1    2  3 4   5  6 7 8    */
 +      /*                           name. 257 3 5 base64 base64 */
 +      /* quoted value:           0 "111"  0  0 0   0  0 0 0    */
 +      /* comments value:         1 "000"  1  1  1 "0  0 0 0"  1 */
 +      int contnum = 0;
 +      int quoted = 0;
 +      int comments = 1;
 +      int rdlen;
 +      char* str = 0;
 +      sldns_buffer_clear(buf);
 +      while((rdlen=readkeyword_bindfile(in, buf, line, comments))) {
 +              if(rdlen == 1 && sldns_buffer_position(buf) == 1
 +                      && isspace((unsigned char)*sldns_buffer_begin(buf))) {
 +                      /* starting whitespace is removed */
 +                      sldns_buffer_clear(buf);
 +                      continue;
 +              } else if(rdlen == 1 && sldns_buffer_current(buf)[-1] == '"') {
 +                      /* remove " from the string */
 +                      if(contnum == 0) {
 +                              quoted = 1;
 +                              comments = 0;
 +                      }
 +                      sldns_buffer_skip(buf, -1);
 +                      if(contnum > 0 && quoted) {
 +                              if(sldns_buffer_remaining(buf) < 8+1) {
 +                                      log_err("line %d, too long", *line);
 +                                      return 0;
 +                              }
 +                              sldns_buffer_write(buf, " DNSKEY ", 8);
 +                              quoted = 0;
 +                              comments = 1;
 +                      } else if(contnum > 0)
 +                              comments = !comments;
 +                      continue;
 +              } else if(rdlen == 1 && sldns_buffer_current(buf)[-1] == ';') {
 +
 +                      if(contnum < 5) {
 +                              sldns_buffer_write_u8(buf, 0);
 +                              log_err("line %d, bad key", *line);
 +                              return 0;
 +                      }
 +                      sldns_buffer_skip(buf, -1);
 +                      sldns_buffer_write_u8(buf, 0);
 +                      str = strdup((char*)sldns_buffer_begin(buf));
 +                      if(!str) {
 +                              log_err("line %d, allocation failure", *line);
 +                              return 0;
 +                      }
 +                      if(!anchor_store_str(anchors, buf, str)) {
 +                              log_err("line %d, bad key", *line);
 +                              free(str);
 +                              return 0;
 +                      }
 +                      free(str);
 +                      sldns_buffer_clear(buf);
 +                      contnum = 0;
 +                      quoted = 0;
 +                      comments = 1;
 +                      continue;
 +              } else if(rdlen == 1 && sldns_buffer_current(buf)[-1] == '}') {
 +                      if(contnum > 0) {
 +                              sldns_buffer_write_u8(buf, 0);
 +                              log_err("line %d, bad key before }", *line);
 +                              return 0;
 +                      }
 +                      return 1;
 +              } else if(rdlen == 1 && 
 +                      isspace((unsigned char)sldns_buffer_current(buf)[-1])) {
 +                      /* leave whitespace here */
 +              } else {
 +                      /* not space or whatnot, so actual content */
 +                      contnum ++;
 +                      if(contnum == 1 && !quoted) {
 +                              if(sldns_buffer_remaining(buf) < 8+1) {
 +                                      log_err("line %d, too long", *line);
 +                                      return 0;
 +                              }       
 +                              sldns_buffer_write(buf, " DNSKEY ", 8);
 +                      }
 +              }
 +      }
 +
 +      log_err("line %d, EOF before }", *line);
 +      return 0;
 +}
 +
 +/**
 + * Read a BIND9 like file with trust anchors in named.conf format.
 + * @param anchors: anchor storage.
 + * @param buffer: parsing buffer.
 + * @param fname: string.
 + * @return false on error.
 + */
 +static int
 +anchor_read_bind_file(struct val_anchors* anchors, sldns_buffer* buffer,
 +      const char* fname)
 +{
 +      int line_nr = 1;
 +      FILE* in = fopen(fname, "r");
 +      int rdlen = 0;
 +      if(!in) {
 +              log_err("error opening file %s: %s", fname, strerror(errno));
 +              return 0;
 +      }
 +      verbose(VERB_QUERY, "reading in bind-compat-mode: '%s'", fname);
 +      /* scan for  trusted-keys  keyword, ignore everything else */
 +      sldns_buffer_clear(buffer);
 +      while((rdlen=readkeyword_bindfile(in, buffer, &line_nr, 1)) != 0) {
 +              if(rdlen != 12 || strncmp((char*)sldns_buffer_begin(buffer),
 +                      "trusted-keys", 12) != 0) {
 +                      sldns_buffer_clear(buffer);
 +                      /* ignore everything but trusted-keys */
 +                      continue;
 +              }
 +              if(!skip_to_special(in, buffer, &line_nr, '{')) {
 +                      log_err("error in trusted key: \"%s\"", fname);
 +                      fclose(in);
 +                      return 0;
 +              }
 +              /* process contents */
 +              if(!process_bind_contents(anchors, buffer, &line_nr, in)) {
 +                      log_err("error in trusted key: \"%s\"", fname);
 +                      fclose(in);
 +                      return 0;
 +              }
 +              if(!skip_to_special(in, buffer, &line_nr, ';')) {
 +                      log_err("error in trusted key: \"%s\"", fname);
 +                      fclose(in);
 +                      return 0;
 +              }
 +              sldns_buffer_clear(buffer);
 +      }
 +      fclose(in);
 +      return 1;
 +}
 +
 +/**
 + * Read a BIND9 like files with trust anchors in named.conf format.
 + * Performs wildcard processing of name.
 + * @param anchors: anchor storage.
 + * @param buffer: parsing buffer.
 + * @param pat: pattern string. (can be wildcarded)
 + * @return false on error.
 + */
 +static int
 +anchor_read_bind_file_wild(struct val_anchors* anchors, sldns_buffer* buffer,
 +      const char* pat)
 +{
 +#ifdef HAVE_GLOB
 +      glob_t g;
 +      size_t i;
 +      int r, flags;
 +      if(!strchr(pat, '*') && !strchr(pat, '?') && !strchr(pat, '[') && 
 +              !strchr(pat, '{') && !strchr(pat, '~')) {
 +              return anchor_read_bind_file(anchors, buffer, pat);
 +      }
 +      verbose(VERB_QUERY, "wildcard found, processing %s", pat);
 +      flags = 0 
 +#ifdef GLOB_ERR
 +              | GLOB_ERR
 +#endif
 +#ifdef GLOB_NOSORT
 +              | GLOB_NOSORT
 +#endif
 +#ifdef GLOB_BRACE
 +              | GLOB_BRACE
 +#endif
 +#ifdef GLOB_TILDE
 +              | GLOB_TILDE
 +#endif
 +      ;
 +      memset(&g, 0, sizeof(g));
 +      r = glob(pat, flags, NULL, &g);
 +      if(r) {
 +              /* some error */
 +              if(r == GLOB_NOMATCH) {
 +                      verbose(VERB_QUERY, "trusted-keys-file: "
 +                              "no matches for %s", pat);
 +                      return 1;
 +              } else if(r == GLOB_NOSPACE) {
 +                      log_err("wildcard trusted-keys-file %s: "
 +                              "pattern out of memory", pat);
 +              } else if(r == GLOB_ABORTED) {
 +                      log_err("wildcard trusted-keys-file %s: expansion "
 +                              "aborted (%s)", pat, strerror(errno));
 +              } else {
 +                      log_err("wildcard trusted-keys-file %s: expansion "
 +                              "failed (%s)", pat, strerror(errno));
 +              }
 +              /* ignore globs that yield no files */
 +              return 1; 
 +      }
 +      /* process files found, if any */
 +      for(i=0; i<(size_t)g.gl_pathc; i++) {
 +              if(!anchor_read_bind_file(anchors, buffer, g.gl_pathv[i])) {
 +                      log_err("error reading wildcard "
 +                              "trusted-keys-file: %s", g.gl_pathv[i]);
 +                      globfree(&g);
 +                      return 0;
 +              }
 +      }
 +      globfree(&g);
 +      return 1;
 +#else /* not HAVE_GLOB */
 +      return anchor_read_bind_file(anchors, buffer, pat);
 +#endif /* HAVE_GLOB */
 +}
 +
 +/** 
 + * Assemble an rrset structure for the type 
 + * @param ta: trust anchor.
 + * @param num: number of items to fetch from list.
 + * @param type: fetch only items of this type.
 + * @return rrset or NULL on error.
 + */
 +static struct ub_packed_rrset_key*
 +assemble_it(struct trust_anchor* ta, size_t num, uint16_t type)
 +{
 +      struct ub_packed_rrset_key* pkey = (struct ub_packed_rrset_key*)
 +              malloc(sizeof(*pkey));
 +      struct packed_rrset_data* pd;
 +      struct ta_key* tk;
 +      size_t i;
 +      if(!pkey)
 +              return NULL;
 +      memset(pkey, 0, sizeof(*pkey));
 +      pkey->rk.dname = memdup(ta->name, ta->namelen);
 +      if(!pkey->rk.dname) {
 +              free(pkey);
 +              return NULL;
 +      }
 +
 +      pkey->rk.dname_len = ta->namelen;
 +      pkey->rk.type = htons(type);
 +      pkey->rk.rrset_class = htons(ta->dclass);
 +      /* The rrset is build in an uncompressed way. This means it
 +       * cannot be copied in the normal way. */
 +      pd = (struct packed_rrset_data*)malloc(sizeof(*pd));
 +      if(!pd) {
 +              free(pkey->rk.dname);
 +              free(pkey);
 +              return NULL;
 +      }
 +      memset(pd, 0, sizeof(*pd));
 +      pd->count = num;
 +      pd->trust = rrset_trust_ultimate;
-       pd->rr_ttl = (time_t*)malloc(num*sizeof(time_t));
++      pd->rr_len = (size_t*)reallocarray(NULL, num, sizeof(size_t));
 +      if(!pd->rr_len) {
 +              free(pd);
 +              free(pkey->rk.dname);
 +              free(pkey);
 +              return NULL;
 +      }
-       pd->rr_data = (uint8_t**)malloc(num*sizeof(uint8_t*));
++      pd->rr_ttl = (time_t*)reallocarray(NULL, num, sizeof(time_t));
 +      if(!pd->rr_ttl) {
 +              free(pd->rr_len);
 +              free(pd);
 +              free(pkey->rk.dname);
 +              free(pkey);
 +              return NULL;
 +      }
-                               " upgrade unbound and openssl)", b);
++      pd->rr_data = (uint8_t**)reallocarray(NULL, num, sizeof(uint8_t*));
 +      if(!pd->rr_data) {
 +              free(pd->rr_ttl);
 +              free(pd->rr_len);
 +              free(pd);
 +              free(pkey->rk.dname);
 +              free(pkey);
 +              return NULL;
 +      }
 +      /* fill in rrs */
 +      i=0;
 +      for(tk = ta->keylist; tk; tk = tk->next) {
 +              if(tk->type != type)
 +                      continue;
 +              pd->rr_len[i] = tk->len;
 +              /* reuse data ptr to allocation in talist */
 +              pd->rr_data[i] = tk->data;
 +              pd->rr_ttl[i] = 0;
 +              i++;
 +      }
 +      pkey->entry.data = (void*)pd;
 +      return pkey;
 +}
 +
 +/**
 + * Assemble structures for the trust DS and DNSKEY rrsets.
 + * @param ta: trust anchor
 + * @return: false on error.
 + */
 +static int
 +anchors_assemble(struct trust_anchor* ta)
 +{
 +      if(ta->numDS > 0) {
 +              ta->ds_rrset = assemble_it(ta, ta->numDS, LDNS_RR_TYPE_DS);
 +              if(!ta->ds_rrset)
 +                      return 0;
 +      }
 +      if(ta->numDNSKEY > 0) {
 +              ta->dnskey_rrset = assemble_it(ta, ta->numDNSKEY,
 +                      LDNS_RR_TYPE_DNSKEY);
 +              if(!ta->dnskey_rrset)
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Check DS algos for support, warn if not.
 + * @param ta: trust anchor
 + * @return number of DS anchors with unsupported algorithms.
 + */
 +static size_t
 +anchors_ds_unsupported(struct trust_anchor* ta)
 +{
 +      size_t i, num = 0;
 +      for(i=0; i<ta->numDS; i++) {
 +              if(!ds_digest_algo_is_supported(ta->ds_rrset, i) || 
 +                      !ds_key_algo_is_supported(ta->ds_rrset, i))
 +                      num++;
 +      }
 +      return num;
 +}
 +
 +/**
 + * Check DNSKEY algos for support, warn if not.
 + * @param ta: trust anchor
 + * @return number of DNSKEY anchors with unsupported algorithms.
 + */
 +static size_t
 +anchors_dnskey_unsupported(struct trust_anchor* ta)
 +{
 +      size_t i, num = 0;
 +      for(i=0; i<ta->numDNSKEY; i++) {
 +              if(!dnskey_algo_is_supported(ta->dnskey_rrset, i))
 +                      num++;
 +      }
 +      return num;
 +}
 +
 +/**
 + * Assemble the rrsets in the anchors, ready for use by validator.
 + * @param anchors: trust anchor storage.
 + * @return: false on error.
 + */
 +static int
 +anchors_assemble_rrsets(struct val_anchors* anchors)
 +{
 +      struct trust_anchor* ta;
 +      struct trust_anchor* next;
 +      size_t nods, nokey;
 +      lock_basic_lock(&anchors->lock);
 +      ta=(struct trust_anchor*)rbtree_first(anchors->tree);
 +      while((rbnode_t*)ta != RBTREE_NULL) {
 +              next = (struct trust_anchor*)rbtree_next(&ta->node);
 +              lock_basic_lock(&ta->lock);
 +              if(ta->autr || (ta->numDS == 0 && ta->numDNSKEY == 0)) {
 +                      lock_basic_unlock(&ta->lock);
 +                      ta = next; /* skip */
 +                      continue;
 +              }
 +              if(!anchors_assemble(ta)) {
 +                      log_err("out of memory");
 +                      lock_basic_unlock(&ta->lock);
 +                      lock_basic_unlock(&anchors->lock);
 +                      return 0;
 +              }
 +              nods = anchors_ds_unsupported(ta);
 +              nokey = anchors_dnskey_unsupported(ta);
 +              if(nods) {
 +                      log_nametypeclass(0, "warning: unsupported "
 +                              "algorithm for trust anchor", 
 +                              ta->name, LDNS_RR_TYPE_DS, ta->dclass);
 +              }
 +              if(nokey) {
 +                      log_nametypeclass(0, "warning: unsupported "
 +                              "algorithm for trust anchor", 
 +                              ta->name, LDNS_RR_TYPE_DNSKEY, ta->dclass);
 +              }
 +              if(nods == ta->numDS && nokey == ta->numDNSKEY) {
 +                      char b[257];
 +                      dname_str(ta->name, b);
 +                      log_warn("trust anchor %s has no supported algorithms,"
 +                              " the anchor is ignored (check if you need to"
++                              " upgrade unbound and "
++#ifdef HAVE_LIBRESSL
++                              "libressl"
++#else
++                              "openssl"
++#endif
++                              ")", b);
 +                      (void)rbtree_delete(anchors->tree, &ta->node);
 +                      lock_basic_unlock(&ta->lock);
 +                      anchors_delfunc(&ta->node, NULL);
 +                      ta = next;
 +                      continue;
 +              }
 +              lock_basic_unlock(&ta->lock);
 +              ta = next;
 +      }
 +      lock_basic_unlock(&anchors->lock);
 +      return 1;
 +}
 +
 +int 
 +anchors_apply_cfg(struct val_anchors* anchors, struct config_file* cfg)
 +{
 +      struct config_strlist* f;
 +      char* nm;
 +      sldns_buffer* parsebuf = sldns_buffer_new(65535);
 +      for(f = cfg->domain_insecure; f; f = f->next) {
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              if(!anchor_insert_insecure(anchors, f->str)) {
 +                      log_err("error in domain-insecure: %s", f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +      }
 +      for(f = cfg->trust_anchor_file_list; f; f = f->next) {
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              nm = f->str;
 +              if(cfg->chrootdir && cfg->chrootdir[0] && strncmp(nm,
 +                      cfg->chrootdir, strlen(cfg->chrootdir)) == 0)
 +                      nm += strlen(cfg->chrootdir);
 +              if(!anchor_read_file(anchors, parsebuf, nm, 0)) {
 +                      log_err("error reading trust-anchor-file: %s", f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +      }
 +      for(f = cfg->trusted_keys_file_list; f; f = f->next) {
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              nm = f->str;
 +              if(cfg->chrootdir && cfg->chrootdir[0] && strncmp(nm,
 +                      cfg->chrootdir, strlen(cfg->chrootdir)) == 0)
 +                      nm += strlen(cfg->chrootdir);
 +              if(!anchor_read_bind_file_wild(anchors, parsebuf, nm)) {
 +                      log_err("error reading trusted-keys-file: %s", f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +      }
 +      for(f = cfg->trust_anchor_list; f; f = f->next) {
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              if(!anchor_store_str(anchors, parsebuf, f->str)) {
 +                      log_err("error in trust-anchor: \"%s\"", f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +      }
 +      if(cfg->dlv_anchor_file && cfg->dlv_anchor_file[0] != 0) {
 +              struct trust_anchor* dlva;
 +              nm = cfg->dlv_anchor_file;
 +              if(cfg->chrootdir && cfg->chrootdir[0] && strncmp(nm,
 +                      cfg->chrootdir, strlen(cfg->chrootdir)) == 0)
 +                      nm += strlen(cfg->chrootdir);
 +              if(!(dlva = anchor_read_file(anchors, parsebuf,
 +                      nm, 1))) {
 +                      log_err("error reading dlv-anchor-file: %s", 
 +                              cfg->dlv_anchor_file);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +              lock_basic_lock(&anchors->lock);
 +              anchors->dlv_anchor = dlva;
 +              lock_basic_unlock(&anchors->lock);
 +      }
 +      for(f = cfg->dlv_anchor_list; f; f = f->next) {
 +              struct trust_anchor* dlva;
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              if(!(dlva = anchor_store_str(
 +                      anchors, parsebuf, f->str))) {
 +                      log_err("error in dlv-anchor: \"%s\"", f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +              lock_basic_lock(&anchors->lock);
 +              anchors->dlv_anchor = dlva;
 +              lock_basic_unlock(&anchors->lock);
 +      }
 +      /* do autr last, so that it sees what anchors are filled by other
 +       * means can can print errors about double config for the name */
 +      for(f = cfg->auto_trust_anchor_file_list; f; f = f->next) {
 +              if(!f->str || f->str[0] == 0) /* empty "" */
 +                      continue;
 +              nm = f->str;
 +              if(cfg->chrootdir && cfg->chrootdir[0] && strncmp(nm,
 +                      cfg->chrootdir, strlen(cfg->chrootdir)) == 0)
 +                      nm += strlen(cfg->chrootdir);
 +              if(!autr_read_file(anchors, nm)) {
 +                      log_err("error reading auto-trust-anchor-file: %s", 
 +                              f->str);
 +                      sldns_buffer_free(parsebuf);
 +                      return 0;
 +              }
 +      }
 +      /* first assemble, since it may delete useless anchors */
 +      anchors_assemble_rrsets(anchors);
 +      init_parents(anchors);
 +      sldns_buffer_free(parsebuf);
 +      if(verbosity >= VERB_ALGO) autr_debug_print(anchors);
 +      return 1;
 +}
 +
 +struct trust_anchor* 
 +anchors_lookup(struct val_anchors* anchors,
 +        uint8_t* qname, size_t qname_len, uint16_t qclass)
 +{
 +      struct trust_anchor key;
 +      struct trust_anchor* result;
 +      rbnode_t* res = NULL;
 +      key.node.key = &key;
 +      key.name = qname;
 +      key.namelabs = dname_count_labels(qname);
 +      key.namelen = qname_len;
 +      key.dclass = qclass;
 +      lock_basic_lock(&anchors->lock);
 +      if(rbtree_find_less_equal(anchors->tree, &key, &res)) {
 +              /* exact */
 +              result = (struct trust_anchor*)res;
 +      } else {
 +              /* smaller element (or no element) */
 +              int m;
 +              result = (struct trust_anchor*)res;
 +              if(!result || result->dclass != qclass) {
 +                      lock_basic_unlock(&anchors->lock);
 +                      return NULL;
 +              }
 +              /* count number of labels matched */
 +              (void)dname_lab_cmp(result->name, result->namelabs, key.name,
 +                      key.namelabs, &m);
 +              while(result) { /* go up until qname is subdomain of stub */
 +                      if(result->namelabs <= m)
 +                              break;
 +                      result = result->parent;
 +              }
 +      }
 +      if(result) {
 +              lock_basic_lock(&result->lock);
 +      }
 +      lock_basic_unlock(&anchors->lock);
 +      return result;
 +}
 +
 +size_t 
 +anchors_get_mem(struct val_anchors* anchors)
 +{
 +      struct trust_anchor *ta;
 +      size_t s = sizeof(*anchors);
 +      if(!anchors)
 +              return 0;
 +      RBTREE_FOR(ta, struct trust_anchor*, anchors->tree) {
 +              s += sizeof(*ta) + ta->namelen;
 +              /* keys and so on */
 +      }
 +      return s;
 +}
 +
 +int
 +anchors_add_insecure(struct val_anchors* anchors, uint16_t c, uint8_t* nm)
 +{
 +      struct trust_anchor key;
 +      key.node.key = &key;
 +      key.name = nm;
 +      key.namelabs = dname_count_size_labels(nm, &key.namelen);
 +      key.dclass = c;
 +      lock_basic_lock(&anchors->lock);
 +      if(rbtree_search(anchors->tree, &key)) {
 +              lock_basic_unlock(&anchors->lock);
 +              /* nothing to do, already an anchor or insecure point */
 +              return 1;
 +      }
 +      if(!anchor_new_ta(anchors, nm, key.namelabs, key.namelen, c, 0)) {
 +              log_err("out of memory");
 +              lock_basic_unlock(&anchors->lock);
 +              return 0;
 +      }
 +      /* no other contents in new ta, because it is insecure point */
 +      anchors_init_parents_locked(anchors);
 +      lock_basic_unlock(&anchors->lock);
 +      return 1;
 +}
 +
 +void
 +anchors_delete_insecure(struct val_anchors* anchors, uint16_t c,
 +        uint8_t* nm)
 +{
 +      struct trust_anchor key;
 +      struct trust_anchor* ta;
 +      key.node.key = &key;
 +      key.name = nm;
 +      key.namelabs = dname_count_size_labels(nm, &key.namelen);
 +      key.dclass = c;
 +      lock_basic_lock(&anchors->lock);
 +      if(!(ta=(struct trust_anchor*)rbtree_search(anchors->tree, &key))) {
 +              lock_basic_unlock(&anchors->lock);
 +              /* nothing there */
 +              return;
 +      }
 +      /* lock it to drive away other threads that use it */
 +      lock_basic_lock(&ta->lock);
 +      /* see if its really an insecure point */
 +      if(ta->keylist || ta->autr || ta->numDS || ta->numDNSKEY) {
 +              lock_basic_unlock(&anchors->lock);
 +              lock_basic_unlock(&ta->lock);
 +              /* its not an insecure point, do not remove it */
 +              return;
 +      }
 +
 +      /* remove from tree */
 +      (void)rbtree_delete(anchors->tree, &ta->node);
 +      anchors_init_parents_locked(anchors);
 +      lock_basic_unlock(&anchors->lock);
 +
 +      /* actual free of data */
 +      lock_basic_unlock(&ta->lock);
 +      anchors_delfunc(&ta->node, NULL);
 +}
 +
diff --cc contrib/unbound/validator/val_kentry.c
index f99f18e894a11d729fa1f262b11a71d35dd1690b,0000000000000000000000000000000000000000..93fe2145e6f85c640b980fc5e0b747e65818b199
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_kentry.c
--- /dev/null
+++ b/contrib/unbound/validator/val_kentry.c
@@@ -1,413 -1,0 +1,413 @@@
- #include "ldns/rrdef.h"
- #include "ldns/keyraw.h"
 +/*
 + * validator/val_kentry.c - validator key entry definition.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains functions for dealing with validator key entries.
 + */
 +#include "config.h"
 +#include "validator/val_kentry.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/dname.h"
 +#include "util/storage/lookup3.h"
 +#include "util/regional.h"
 +#include "util/net_help.h"
++#include "sldns/rrdef.h"
++#include "sldns/keyraw.h"
 +
 +size_t 
 +key_entry_sizefunc(void* key, void* data)
 +{
 +      struct key_entry_key* kk = (struct key_entry_key*)key;
 +      struct key_entry_data* kd = (struct key_entry_data*)data;
 +      size_t s = sizeof(*kk) + kk->namelen;
 +      s += sizeof(*kd) + lock_get_mem(&kk->entry.lock);
 +      if(kd->rrset_data)
 +              s += packed_rrset_sizeof(kd->rrset_data);
 +      if(kd->reason)
 +              s += strlen(kd->reason)+1;
 +      if(kd->algo)
 +              s += strlen((char*)kd->algo)+1;
 +      return s;
 +}
 +
 +int 
 +key_entry_compfunc(void* k1, void* k2)
 +{
 +      struct key_entry_key* n1 = (struct key_entry_key*)k1;
 +      struct key_entry_key* n2 = (struct key_entry_key*)k2;
 +      if(n1->key_class != n2->key_class) {
 +              if(n1->key_class < n2->key_class)
 +                      return -1;
 +              return 1;
 +      }
 +      return query_dname_compare(n1->name, n2->name);
 +}
 +
 +void 
 +key_entry_delkeyfunc(void* key, void* ATTR_UNUSED(userarg))
 +{
 +      struct key_entry_key* kk = (struct key_entry_key*)key;
 +      if(!key)
 +              return;
 +      lock_rw_destroy(&kk->entry.lock);
 +      free(kk->name);
 +      free(kk);
 +}
 +
 +void 
 +key_entry_deldatafunc(void* data, void* ATTR_UNUSED(userarg))
 +{
 +      struct key_entry_data* kd = (struct key_entry_data*)data;
 +      free(kd->reason);
 +      free(kd->rrset_data);
 +      free(kd->algo);
 +      free(kd);
 +}
 +
 +void 
 +key_entry_hash(struct key_entry_key* kk)
 +{
 +      kk->entry.hash = 0x654;
 +      kk->entry.hash = hashlittle(&kk->key_class, sizeof(kk->key_class), 
 +              kk->entry.hash);
 +      kk->entry.hash = dname_query_hash(kk->name, kk->entry.hash);
 +}
 +
 +struct key_entry_key* 
 +key_entry_copy_toregion(struct key_entry_key* kkey, struct regional* region)
 +{
 +      struct key_entry_key* newk;
 +      newk = regional_alloc_init(region, kkey, sizeof(*kkey));
 +      if(!newk)
 +              return NULL;
 +      newk->name = regional_alloc_init(region, kkey->name, kkey->namelen);
 +      if(!newk->name)
 +              return NULL;
 +      newk->entry.key = newk;
 +      if(newk->entry.data) {
 +              /* copy data element */
 +              struct key_entry_data *d = (struct key_entry_data*)
 +                      kkey->entry.data;
 +              struct key_entry_data *newd;
 +              newd = regional_alloc_init(region, d, sizeof(*d));
 +              if(!newd)
 +                      return NULL;
 +              /* copy rrset */
 +              if(d->rrset_data) {
 +                      newd->rrset_data = regional_alloc_init(region,
 +                              d->rrset_data, 
 +                              packed_rrset_sizeof(d->rrset_data));
 +                      if(!newd->rrset_data)
 +                              return NULL;
 +                      packed_rrset_ptr_fixup(newd->rrset_data);
 +              }
 +              if(d->reason) {
 +                      newd->reason = regional_strdup(region, d->reason);
 +                      if(!newd->reason)
 +                              return NULL;
 +              }
 +              if(d->algo) {
 +                      newd->algo = (uint8_t*)regional_strdup(region,
 +                              (char*)d->algo);
 +                      if(!newd->algo)
 +                              return NULL;
 +              }
 +              newk->entry.data = newd;
 +      }
 +      return newk;
 +}
 +
 +struct key_entry_key* 
 +key_entry_copy(struct key_entry_key* kkey)
 +{
 +      struct key_entry_key* newk;
 +      if(!kkey)
 +              return NULL;
 +      newk = memdup(kkey, sizeof(*kkey));
 +      if(!newk)
 +              return NULL;
 +      newk->name = memdup(kkey->name, kkey->namelen);
 +      if(!newk->name) {
 +              free(newk);
 +              return NULL;
 +      }
 +      lock_rw_init(&newk->entry.lock);
 +      newk->entry.key = newk;
 +      if(newk->entry.data) {
 +              /* copy data element */
 +              struct key_entry_data *d = (struct key_entry_data*)
 +                      kkey->entry.data;
 +              struct key_entry_data *newd;
 +              newd = memdup(d, sizeof(*d));
 +              if(!newd) {
 +                      free(newk->name);
 +                      free(newk);
 +                      return NULL;
 +              }
 +              /* copy rrset */
 +              if(d->rrset_data) {
 +                      newd->rrset_data = memdup(d->rrset_data, 
 +                              packed_rrset_sizeof(d->rrset_data));
 +                      if(!newd->rrset_data) {
 +                              free(newd);
 +                              free(newk->name);
 +                              free(newk);
 +                              return NULL;
 +                      }
 +                      packed_rrset_ptr_fixup(newd->rrset_data);
 +              }
 +              if(d->reason) {
 +                      newd->reason = strdup(d->reason);
 +                      if(!newd->reason) {
 +                              free(newd->rrset_data);
 +                              free(newd);
 +                              free(newk->name);
 +                              free(newk);
 +                              return NULL;
 +                      }
 +              }
 +              if(d->algo) {
 +                      newd->algo = (uint8_t*)strdup((char*)d->algo);
 +                      if(!newd->algo) {
 +                              free(newd->rrset_data);
 +                              free(newd->reason);
 +                              free(newd);
 +                              free(newk->name);
 +                              free(newk);
 +                              return NULL;
 +                      }
 +              }
 +              newk->entry.data = newd;
 +      }
 +      return newk;
 +}
 +
 +int 
 +key_entry_isnull(struct key_entry_key* kkey)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      return (!d->isbad && d->rrset_data == NULL);
 +}
 +
 +int 
 +key_entry_isgood(struct key_entry_key* kkey)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      return (!d->isbad && d->rrset_data != NULL);
 +}
 +
 +int 
 +key_entry_isbad(struct key_entry_key* kkey)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      return (int)(d->isbad);
 +}
 +
 +void
 +key_entry_set_reason(struct key_entry_key* kkey, char* reason)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      d->reason = reason;
 +}
 +
 +char*
 +key_entry_get_reason(struct key_entry_key* kkey)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      return d->reason;
 +}
 +
 +/** setup key entry in region */
 +static int
 +key_entry_setup(struct regional* region,
 +      uint8_t* name, size_t namelen, uint16_t dclass, 
 +      struct key_entry_key** k, struct key_entry_data** d)
 +{
 +      *k = regional_alloc(region, sizeof(**k));
 +      if(!*k)
 +              return 0;
 +      memset(*k, 0, sizeof(**k));
 +      (*k)->entry.key = *k;
 +      (*k)->name = regional_alloc_init(region, name, namelen);
 +      if(!(*k)->name)
 +              return 0;
 +      (*k)->namelen = namelen;
 +      (*k)->key_class = dclass;
 +      *d = regional_alloc(region, sizeof(**d));
 +      if(!*d)
 +              return 0;
 +      (*k)->entry.data = *d;
 +      return 1;
 +}
 +
 +struct key_entry_key* 
 +key_entry_create_null(struct regional* region,
 +      uint8_t* name, size_t namelen, uint16_t dclass, time_t ttl,
 +      time_t now)
 +{
 +      struct key_entry_key* k;
 +      struct key_entry_data* d;
 +      if(!key_entry_setup(region, name, namelen, dclass, &k, &d))
 +              return NULL;
 +      d->ttl = now + ttl;
 +      d->isbad = 0;
 +      d->reason = NULL;
 +      d->rrset_type = LDNS_RR_TYPE_DNSKEY;
 +      d->rrset_data = NULL;
 +      d->algo = NULL;
 +      return k;
 +}
 +
 +struct key_entry_key* 
 +key_entry_create_rrset(struct regional* region,
 +      uint8_t* name, size_t namelen, uint16_t dclass,
 +      struct ub_packed_rrset_key* rrset, uint8_t* sigalg, time_t now)
 +{
 +      struct key_entry_key* k;
 +      struct key_entry_data* d;
 +      struct packed_rrset_data* rd = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      if(!key_entry_setup(region, name, namelen, dclass, &k, &d))
 +              return NULL;
 +      d->ttl = rd->ttl + now;
 +      d->isbad = 0;
 +      d->reason = NULL;
 +      d->rrset_type = ntohs(rrset->rk.type);
 +      d->rrset_data = (struct packed_rrset_data*)regional_alloc_init(region,
 +              rd, packed_rrset_sizeof(rd));
 +      if(!d->rrset_data)
 +              return NULL;
 +      if(sigalg) {
 +              d->algo = (uint8_t*)regional_strdup(region, (char*)sigalg);
 +              if(!d->algo)
 +                      return NULL;
 +      } else d->algo = NULL;
 +      packed_rrset_ptr_fixup(d->rrset_data);
 +      return k;
 +}
 +
 +struct key_entry_key* 
 +key_entry_create_bad(struct regional* region,
 +      uint8_t* name, size_t namelen, uint16_t dclass, time_t ttl, 
 +      time_t now)
 +{
 +      struct key_entry_key* k;
 +      struct key_entry_data* d;
 +      if(!key_entry_setup(region, name, namelen, dclass, &k, &d))
 +              return NULL;
 +      d->ttl = now + ttl;
 +      d->isbad = 1;
 +      d->reason = NULL;
 +      d->rrset_type = LDNS_RR_TYPE_DNSKEY;
 +      d->rrset_data = NULL;
 +      d->algo = NULL;
 +      return k;
 +}
 +
 +struct ub_packed_rrset_key* 
 +key_entry_get_rrset(struct key_entry_key* kkey, struct regional* region)
 +{
 +      struct key_entry_data* d = (struct key_entry_data*)kkey->entry.data;
 +      struct ub_packed_rrset_key* rrk;
 +      struct packed_rrset_data* rrd;
 +      if(!d || !d->rrset_data)
 +              return NULL;
 +      rrk = regional_alloc(region, sizeof(*rrk));
 +      if(!rrk)
 +              return NULL;
 +      memset(rrk, 0, sizeof(*rrk));
 +      rrk->rk.dname = regional_alloc_init(region, kkey->name, kkey->namelen);
 +      if(!rrk->rk.dname)
 +              return NULL;
 +      rrk->rk.dname_len = kkey->namelen;
 +      rrk->rk.type = htons(d->rrset_type);
 +      rrk->rk.rrset_class = htons(kkey->key_class);
 +      rrk->entry.key = rrk;
 +      rrd = regional_alloc_init(region, d->rrset_data, 
 +              packed_rrset_sizeof(d->rrset_data));
 +      if(!rrd)
 +              return NULL;
 +      rrk->entry.data = rrd;
 +      packed_rrset_ptr_fixup(rrd);
 +      return rrk;
 +}
 +
 +/** Get size of key in keyset */
 +static size_t
 +dnskey_get_keysize(struct packed_rrset_data* data, size_t idx)
 +{
 +      unsigned char* pk;
 +      unsigned int pklen = 0;
 +      int algo;
 +      if(data->rr_len[idx] < 2+5)
 +              return 0;
 +      algo = (int)data->rr_data[idx][2+3];
 +      pk = (unsigned char*)data->rr_data[idx]+2+4;
 +      pklen = (unsigned)data->rr_len[idx]-2-4;
 +      return sldns_rr_dnskey_key_size_raw(pk, pklen, algo);
 +}
 +
 +/** get dnskey flags from data */
 +static uint16_t
 +kd_get_flags(struct packed_rrset_data* data, size_t idx)
 +{
 +      uint16_t f;
 +      if(data->rr_len[idx] < 2+2)
 +              return 0;
 +      memmove(&f, data->rr_data[idx]+2, 2);
 +      f = ntohs(f);
 +      return f;
 +}
 +
 +size_t 
 +key_entry_keysize(struct key_entry_key* kkey)
 +{
 +      struct packed_rrset_data* d;
 +      /* compute size of smallest ZSK key in the rrset */
 +      size_t i;
 +      size_t bits = 0;
 +      if(!key_entry_isgood(kkey))
 +              return 0;
 +      d = ((struct key_entry_data*)kkey->entry.data)->rrset_data;
 +      for(i=0; i<d->count; i++) {
 +              if(!(kd_get_flags(d, i) & DNSKEY_BIT_ZSK))
 +                      continue;
 +              if(i==0 || dnskey_get_keysize(d, i) < bits)
 +                      bits = dnskey_get_keysize(d, i);
 +      }
 +      return bits;
 +}
diff --cc contrib/unbound/validator/val_neg.c
index 1d7a5c56e85fe40c2462c3a4aa6886137580b0f8,0000000000000000000000000000000000000000..b1ff8d9a1ba5765dabd37a74f281732da24cdb4c
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_neg.c
--- /dev/null
+++ b/contrib/unbound/validator/val_neg.c
@@@ -1,1460 -1,0 +1,1460 @@@
- #include "ldns/rrdef.h"
- #include "ldns/sbuffer.h"
 +/*
 + * validator/val_neg.c - validator aggressive negative caching functions.
 + *
 + * Copyright (c) 2008, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains helper functions for the validator module.
 + * The functions help with aggressive negative caching.
 + * This creates new denials of existance, and proofs for absence of types
 + * from cached NSEC records.
 + */
 +#include "config.h"
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include "openssl/ssl.h"
 +#define NSEC3_SHA_LEN SHA_DIGEST_LENGTH
 +#else
 +#define NSEC3_SHA_LEN 20
 +#endif
 +#include "validator/val_neg.h"
 +#include "validator/val_nsec.h"
 +#include "validator/val_nsec3.h"
 +#include "validator/val_utils.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgreply.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/config_file.h"
 +#include "services/cache/rrset.h"
 +#include "services/cache/dns.h"
++#include "sldns/rrdef.h"
++#include "sldns/sbuffer.h"
 +
 +int val_neg_data_compare(const void* a, const void* b)
 +{
 +      struct val_neg_data* x = (struct val_neg_data*)a;
 +      struct val_neg_data* y = (struct val_neg_data*)b;
 +      int m;
 +      return dname_canon_lab_cmp(x->name, x->labs, y->name, y->labs, &m);
 +}
 +
 +int val_neg_zone_compare(const void* a, const void* b)
 +{
 +      struct val_neg_zone* x = (struct val_neg_zone*)a;
 +      struct val_neg_zone* y = (struct val_neg_zone*)b;
 +      int m;
 +      if(x->dclass != y->dclass) {
 +              if(x->dclass < y->dclass)
 +                      return -1;
 +              return 1;
 +      }
 +      return dname_canon_lab_cmp(x->name, x->labs, y->name, y->labs, &m);
 +}
 +
 +struct val_neg_cache* val_neg_create(struct config_file* cfg, size_t maxiter)
 +{
 +      struct val_neg_cache* neg = (struct val_neg_cache*)calloc(1, 
 +              sizeof(*neg));
 +      if(!neg) {
 +              log_err("Could not create neg cache: out of memory");
 +              return NULL;
 +      }
 +      neg->nsec3_max_iter = maxiter;
 +      neg->max = 1024*1024; /* 1 M is thousands of entries */
 +      if(cfg) neg->max = cfg->neg_cache_size;
 +      rbtree_init(&neg->tree, &val_neg_zone_compare);
 +      lock_basic_init(&neg->lock);
 +      lock_protect(&neg->lock, neg, sizeof(*neg));
 +      return neg;
 +}
 +
 +size_t val_neg_get_mem(struct val_neg_cache* neg)
 +{
 +      size_t result;
 +      lock_basic_lock(&neg->lock);
 +      result = sizeof(*neg) + neg->use;
 +      lock_basic_unlock(&neg->lock);
 +      return result;
 +}
 +
 +/** clear datas on cache deletion */
 +static void
 +neg_clear_datas(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct val_neg_data* d = (struct val_neg_data*)n;
 +      free(d->name);
 +      free(d);
 +}
 +
 +/** clear zones on cache deletion */
 +static void
 +neg_clear_zones(rbnode_t* n, void* ATTR_UNUSED(arg))
 +{
 +      struct val_neg_zone* z = (struct val_neg_zone*)n;
 +      /* delete all the rrset entries in the tree */
 +      traverse_postorder(&z->tree, &neg_clear_datas, NULL);
 +      free(z->nsec3_salt);
 +      free(z->name);
 +      free(z);
 +}
 +
 +void neg_cache_delete(struct val_neg_cache* neg)
 +{
 +      if(!neg) return;
 +      lock_basic_destroy(&neg->lock);
 +      /* delete all the zones in the tree */
 +      traverse_postorder(&neg->tree, &neg_clear_zones, NULL);
 +      free(neg);
 +}
 +
 +/**
 + * Put data element at the front of the LRU list.
 + * @param neg: negative cache with LRU start and end.
 + * @param data: this data is fronted.
 + */
 +static void neg_lru_front(struct val_neg_cache* neg, 
 +      struct val_neg_data* data)
 +{
 +      data->prev = NULL;
 +      data->next = neg->first;
 +      if(!neg->first)
 +              neg->last = data;
 +      else    neg->first->prev = data;
 +      neg->first = data;
 +}
 +
 +/**
 + * Remove data element from LRU list.
 + * @param neg: negative cache with LRU start and end.
 + * @param data: this data is removed from the list.
 + */
 +static void neg_lru_remove(struct val_neg_cache* neg, 
 +      struct val_neg_data* data)
 +{
 +      if(data->prev)
 +              data->prev->next = data->next;
 +      else    neg->first = data->next;
 +      if(data->next)
 +              data->next->prev = data->prev;
 +      else    neg->last = data->prev;
 +}
 +
 +/**
 + * Touch LRU for data element, put it at the start of the LRU list.
 + * @param neg: negative cache with LRU start and end.
 + * @param data: this data is used.
 + */
 +static void neg_lru_touch(struct val_neg_cache* neg, 
 +      struct val_neg_data* data)
 +{
 +      if(data == neg->first)
 +              return; /* nothing to do */
 +      /* remove from current lru position */
 +      neg_lru_remove(neg, data);
 +      /* add at front */
 +      neg_lru_front(neg, data);
 +}
 +
 +/**
 + * Delete a zone element from the negative cache.
 + * May delete other zone elements to keep tree coherent, or
 + * only mark the element as 'not in use'.
 + * @param neg: negative cache.
 + * @param z: zone element to delete.
 + */
 +static void neg_delete_zone(struct val_neg_cache* neg, struct val_neg_zone* z)
 +{
 +      struct val_neg_zone* p, *np;
 +      if(!z) return;
 +      log_assert(z->in_use);
 +      log_assert(z->count > 0);
 +      z->in_use = 0;
 +
 +      /* go up the tree and reduce counts */
 +      p = z;
 +      while(p) {
 +              log_assert(p->count > 0);
 +              p->count --;
 +              p = p->parent;
 +      }
 +
 +      /* remove zones with zero count */
 +      p = z;
 +      while(p && p->count == 0) {
 +              np = p->parent;
 +              (void)rbtree_delete(&neg->tree, &p->node);
 +              neg->use -= p->len + sizeof(*p);
 +              free(p->nsec3_salt);
 +              free(p->name);
 +              free(p);
 +              p = np;
 +      }
 +}
 +      
 +void neg_delete_data(struct val_neg_cache* neg, struct val_neg_data* el)
 +{
 +      struct val_neg_zone* z;
 +      struct val_neg_data* p, *np;
 +      if(!el) return;
 +      z = el->zone;
 +      log_assert(el->in_use);
 +      log_assert(el->count > 0);
 +      el->in_use = 0;
 +
 +      /* remove it from the lru list */
 +      neg_lru_remove(neg, el);
 +      
 +      /* go up the tree and reduce counts */
 +      p = el;
 +      while(p) {
 +              log_assert(p->count > 0);
 +              p->count --;
 +              p = p->parent;
 +      }
 +
 +      /* delete 0 count items from tree */
 +      p = el;
 +      while(p && p->count == 0) {
 +              np = p->parent;
 +              (void)rbtree_delete(&z->tree, &p->node);
 +              neg->use -= p->len + sizeof(*p);
 +              free(p->name);
 +              free(p);
 +              p = np;
 +      }
 +
 +      /* check if the zone is now unused */
 +      if(z->tree.count == 0) {
 +              neg_delete_zone(neg, z);
 +      }
 +}
 +
 +/**
 + * Create more space in negative cache
 + * The oldest elements are deleted until enough space is present.
 + * Empty zones are deleted.
 + * @param neg: negative cache.
 + * @param need: how many bytes are needed.
 + */
 +static void neg_make_space(struct val_neg_cache* neg, size_t need)
 +{
 +      /* delete elements until enough space or its empty */
 +      while(neg->last && neg->max < neg->use + need) {
 +              neg_delete_data(neg, neg->last);
 +      }
 +}
 +
 +struct val_neg_zone* neg_find_zone(struct val_neg_cache* neg, 
 +      uint8_t* nm, size_t len, uint16_t dclass)
 +{
 +      struct val_neg_zone lookfor;
 +      struct val_neg_zone* result;
 +      lookfor.node.key = &lookfor;
 +      lookfor.name = nm;
 +      lookfor.len = len;
 +      lookfor.labs = dname_count_labels(lookfor.name);
 +      lookfor.dclass = dclass;
 +
 +      result = (struct val_neg_zone*)
 +              rbtree_search(&neg->tree, lookfor.node.key);
 +      return result;
 +}
 +
 +/**
 + * Find the given data
 + * @param zone: negative zone
 + * @param nm: what to look for.
 + * @param len: length of nm
 + * @param labs: labels in nm
 + * @return data or NULL if not found.
 + */
 +static struct val_neg_data* neg_find_data(struct val_neg_zone* zone, 
 +      uint8_t* nm, size_t len, int labs)
 +{
 +      struct val_neg_data lookfor;
 +      struct val_neg_data* result;
 +      lookfor.node.key = &lookfor;
 +      lookfor.name = nm;
 +      lookfor.len = len;
 +      lookfor.labs = labs;
 +
 +      result = (struct val_neg_data*)
 +              rbtree_search(&zone->tree, lookfor.node.key);
 +      return result;
 +}
 +
 +/**
 + * Calculate space needed for the data and all its parents
 + * @param rep: NSEC entries.
 + * @return size.
 + */
 +static size_t calc_data_need(struct reply_info* rep)
 +{
 +      uint8_t* d;
 +      size_t i, len, res = 0;
 +
 +      for(i=rep->an_numrrsets; i<rep->an_numrrsets+rep->ns_numrrsets; i++) {
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      d = rep->rrsets[i]->rk.dname;
 +                      len = rep->rrsets[i]->rk.dname_len;
 +                      res = sizeof(struct val_neg_data) + len;
 +                      while(!dname_is_root(d)) {
 +                              log_assert(len > 1); /* not root label */
 +                              dname_remove_label(&d, &len);
 +                              res += sizeof(struct val_neg_data) + len;
 +                      }
 +              }
 +      }
 +      return res;
 +}
 +
 +/**
 + * Calculate space needed for zone and all its parents
 + * @param d: name of zone
 + * @param len: length of name
 + * @return size.
 + */
 +static size_t calc_zone_need(uint8_t* d, size_t len)
 +{
 +      size_t res = sizeof(struct val_neg_zone) + len;
 +      while(!dname_is_root(d)) {
 +              log_assert(len > 1); /* not root label */
 +              dname_remove_label(&d, &len);
 +              res += sizeof(struct val_neg_zone) + len;
 +      }
 +      return res;
 +}
 +
 +/**
 + * Find closest existing parent zone of the given name.
 + * @param neg: negative cache.
 + * @param nm: name to look for
 + * @param nm_len: length of nm
 + * @param labs: labelcount of nm.
 + * @param qclass: class.
 + * @return the zone or NULL if none found.
 + */
 +static struct val_neg_zone* neg_closest_zone_parent(struct val_neg_cache* neg,
 +      uint8_t* nm, size_t nm_len, int labs, uint16_t qclass)
 +{
 +      struct val_neg_zone key;
 +      struct val_neg_zone* result;
 +      rbnode_t* res = NULL;
 +      key.node.key = &key;
 +      key.name = nm;
 +      key.len = nm_len;
 +      key.labs = labs;
 +      key.dclass = qclass;
 +      if(rbtree_find_less_equal(&neg->tree, &key, &res)) {
 +              /* exact match */
 +              result = (struct val_neg_zone*)res;
 +      } else {
 +              /* smaller element (or no element) */
 +              int m;
 +              result = (struct val_neg_zone*)res;
 +              if(!result || result->dclass != qclass)
 +                      return NULL;
 +              /* count number of labels matched */
 +              (void)dname_lab_cmp(result->name, result->labs, key.name,
 +                      key.labs, &m);
 +              while(result) { /* go up until qname is subdomain of stub */
 +                      if(result->labs <= m)
 +                              break;
 +                      result = result->parent;
 +              }
 +      }
 +      return result;
 +}
 +
 +/**
 + * Find closest existing parent data for the given name.
 + * @param zone: to look in.
 + * @param nm: name to look for
 + * @param nm_len: length of nm
 + * @param labs: labelcount of nm.
 + * @return the data or NULL if none found.
 + */
 +static struct val_neg_data* neg_closest_data_parent(
 +      struct val_neg_zone* zone, uint8_t* nm, size_t nm_len, int labs)
 +{
 +      struct val_neg_data key;
 +      struct val_neg_data* result;
 +      rbnode_t* res = NULL;
 +      key.node.key = &key;
 +      key.name = nm;
 +      key.len = nm_len;
 +      key.labs = labs;
 +      if(rbtree_find_less_equal(&zone->tree, &key, &res)) {
 +              /* exact match */
 +              result = (struct val_neg_data*)res;
 +      } else {
 +              /* smaller element (or no element) */
 +              int m;
 +              result = (struct val_neg_data*)res;
 +              if(!result)
 +                      return NULL;
 +              /* count number of labels matched */
 +              (void)dname_lab_cmp(result->name, result->labs, key.name,
 +                      key.labs, &m);
 +              while(result) { /* go up until qname is subdomain of stub */
 +                      if(result->labs <= m)
 +                              break;
 +                      result = result->parent;
 +              }
 +      }
 +      return result;
 +}
 +
 +/**
 + * Create a single zone node
 + * @param nm: name for zone (copied)
 + * @param nm_len: length of name
 + * @param labs: labels in name.
 + * @param dclass: class of zone, host order.
 + * @return new zone or NULL on failure
 + */
 +static struct val_neg_zone* neg_setup_zone_node(
 +      uint8_t* nm, size_t nm_len, int labs, uint16_t dclass)
 +{
 +      struct val_neg_zone* zone = 
 +              (struct val_neg_zone*)calloc(1, sizeof(*zone));
 +      if(!zone) {
 +              return NULL;
 +      }
 +      zone->node.key = zone;
 +      zone->name = memdup(nm, nm_len);
 +      if(!zone->name) {
 +              free(zone);
 +              return NULL;
 +      }
 +      zone->len = nm_len;
 +      zone->labs = labs;
 +      zone->dclass = dclass;
 +
 +      rbtree_init(&zone->tree, &val_neg_data_compare);
 +      return zone;
 +}
 +
 +/**
 + * Create a linked list of parent zones, starting at longname ending on
 + * the parent (can be NULL, creates to the root).
 + * @param nm: name for lowest in chain
 + * @param nm_len: length of name
 + * @param labs: labels in name.
 + * @param dclass: class of zone.
 + * @param parent: NULL for to root, else so it fits under here.
 + * @return zone; a chain of zones and their parents up to the parent.
 + *    or NULL on malloc failure
 + */
 +static struct val_neg_zone* neg_zone_chain(
 +      uint8_t* nm, size_t nm_len, int labs, uint16_t dclass,
 +      struct val_neg_zone* parent)
 +{
 +      int i;
 +      int tolabs = parent?parent->labs:0;
 +      struct val_neg_zone* zone, *prev = NULL, *first = NULL;
 +
 +      /* create the new subtree, i is labelcount of current creation */
 +      /* this creates a 'first' to z->parent=NULL list of zones */
 +      for(i=labs; i!=tolabs; i--) {
 +              /* create new item */
 +              zone = neg_setup_zone_node(nm, nm_len, i, dclass);
 +              if(!zone) {
 +                      /* need to delete other allocations in this routine!*/
 +                      struct val_neg_zone* p=first, *np;
 +                      while(p) {
 +                              np = p->parent;
 +                              free(p->name);
 +                              free(p);
 +                              p = np;
 +                      }
 +                      return NULL;
 +              }
 +              if(i == labs) {
 +                      first = zone;
 +              } else {
 +                      prev->parent = zone;
 +              }
 +              /* prepare for next name */
 +              prev = zone;
 +              dname_remove_label(&nm, &nm_len);
 +      }
 +      return first;
 +}     
 +
 +void val_neg_zone_take_inuse(struct val_neg_zone* zone)
 +{
 +      if(!zone->in_use) {
 +              struct val_neg_zone* p;
 +              zone->in_use = 1;
 +              /* increase usage count of all parents */
 +              for(p=zone; p; p = p->parent) {
 +                      p->count++;
 +              }
 +      }
 +}
 +
 +struct val_neg_zone* neg_create_zone(struct val_neg_cache* neg,
 +      uint8_t* nm, size_t nm_len, uint16_t dclass)
 +{
 +      struct val_neg_zone* zone;
 +      struct val_neg_zone* parent;
 +      struct val_neg_zone* p, *np;
 +      int labs = dname_count_labels(nm);
 +
 +      /* find closest enclosing parent zone that (still) exists */
 +      parent = neg_closest_zone_parent(neg, nm, nm_len, labs, dclass);
 +      if(parent && query_dname_compare(parent->name, nm) == 0)
 +              return parent; /* already exists, weird */
 +      /* if parent exists, it is in use */
 +      log_assert(!parent || parent->count > 0);
 +      zone = neg_zone_chain(nm, nm_len, labs, dclass, parent);
 +      if(!zone) {
 +              return NULL;
 +      }
 +
 +      /* insert the list of zones into the tree */
 +      p = zone;
 +      while(p) {
 +              np = p->parent;
 +              /* mem use */
 +              neg->use += sizeof(struct val_neg_zone) + p->len;
 +              /* insert in tree */
 +              (void)rbtree_insert(&neg->tree, &p->node);
 +              /* last one needs proper parent pointer */
 +              if(np == NULL)
 +                      p->parent = parent;
 +              p = np;
 +      }
 +      return zone;
 +}
 +
 +/** find zone name of message, returns the SOA record */
 +static struct ub_packed_rrset_key* reply_find_soa(struct reply_info* rep)
 +{
 +      size_t i;
 +      for(i=rep->an_numrrsets; i< rep->an_numrrsets+rep->ns_numrrsets; i++){
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_SOA)
 +                      return rep->rrsets[i];
 +      }
 +      return NULL;
 +}
 +
 +/** see if the reply has NSEC records worthy of caching */
 +static int reply_has_nsec(struct reply_info* rep)
 +{
 +      size_t i;
 +      struct packed_rrset_data* d;
 +      if(rep->security != sec_status_secure)
 +              return 0;
 +      for(i=rep->an_numrrsets; i< rep->an_numrrsets+rep->ns_numrrsets; i++){
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      d = (struct packed_rrset_data*)rep->rrsets[i]->
 +                              entry.data;
 +                      if(d->security == sec_status_secure)
 +                              return 1;
 +              }
 +      }
 +      return 0;
 +}
 +
 +
 +/**
 + * Create single node of data element.
 + * @param nm: name (copied)
 + * @param nm_len: length of name
 + * @param labs: labels in name.
 + * @return element with name nm, or NULL malloc failure.
 + */
 +static struct val_neg_data* neg_setup_data_node(
 +      uint8_t* nm, size_t nm_len, int labs)
 +{
 +      struct val_neg_data* el;
 +      el = (struct val_neg_data*)calloc(1, sizeof(*el));
 +      if(!el) {
 +              return NULL;
 +      }
 +      el->node.key = el;
 +      el->name = memdup(nm, nm_len);
 +      if(!el->name) {
 +              free(el);
 +              return NULL;
 +      }
 +      el->len = nm_len;
 +      el->labs = labs;
 +      return el;
 +}
 +
 +/**
 + * Create chain of data element and parents
 + * @param nm: name
 + * @param nm_len: length of name
 + * @param labs: labels in name.
 + * @param parent: up to where to make, if NULL up to root label.
 + * @return lowest element with name nm, or NULL malloc failure.
 + */
 +static struct val_neg_data* neg_data_chain(
 +      uint8_t* nm, size_t nm_len, int labs, struct val_neg_data* parent)
 +{
 +      int i;
 +      int tolabs = parent?parent->labs:0;
 +      struct val_neg_data* el, *first = NULL, *prev = NULL;
 +
 +      /* create the new subtree, i is labelcount of current creation */
 +      /* this creates a 'first' to z->parent=NULL list of zones */
 +      for(i=labs; i!=tolabs; i--) {
 +              /* create new item */
 +              el = neg_setup_data_node(nm, nm_len, i);
 +              if(!el) {
 +                      /* need to delete other allocations in this routine!*/
 +                      struct val_neg_data* p = first, *np;
 +                      while(p) {
 +                              np = p->parent;
 +                              free(p->name);
 +                              free(p);
 +                              p = np;
 +                      }
 +                      return NULL;
 +              }
 +              if(i == labs) {
 +                      first = el;
 +              } else {
 +                      prev->parent = el;
 +              }
 +
 +              /* prepare for next name */
 +              prev = el;
 +              dname_remove_label(&nm, &nm_len);
 +      }
 +      return first;
 +}
 +
 +/**
 + * Remove NSEC records between start and end points.
 + * By walking the tree, the tree is sorted canonically.
 + * @param neg: negative cache.
 + * @param zone: the zone
 + * @param el: element to start walking at.
 + * @param nsec: the nsec record with the end point
 + */
 +static void wipeout(struct val_neg_cache* neg, struct val_neg_zone* zone, 
 +      struct val_neg_data* el, struct ub_packed_rrset_key* nsec)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)nsec->
 +              entry.data;
 +      uint8_t* end;
 +      size_t end_len;
 +      int end_labs, m;
 +      rbnode_t* walk, *next;
 +      struct val_neg_data* cur;
 +      uint8_t buf[257];
 +      /* get endpoint */
 +      if(!d || d->count == 0 || d->rr_len[0] < 2+1)
 +              return;
 +      if(ntohs(nsec->rk.type) == LDNS_RR_TYPE_NSEC) {
 +              end = d->rr_data[0]+2;
 +              end_len = dname_valid(end, d->rr_len[0]-2);
 +              end_labs = dname_count_labels(end);
 +      } else {
 +              /* NSEC3 */
 +              if(!nsec3_get_nextowner_b32(nsec, 0, buf, sizeof(buf)))
 +                      return;
 +              end = buf;
 +              end_labs = dname_count_size_labels(end, &end_len);
 +      }
 +
 +      /* sanity check, both owner and end must be below the zone apex */
 +      if(!dname_subdomain_c(el->name, zone->name) || 
 +              !dname_subdomain_c(end, zone->name))
 +              return;
 +
 +      /* detect end of zone NSEC ; wipe until the end of zone */
 +      if(query_dname_compare(end, zone->name) == 0) {
 +              end = NULL;
 +      }
 +
 +      walk = rbtree_next(&el->node);
 +      while(walk && walk != RBTREE_NULL) {
 +              cur = (struct val_neg_data*)walk;
 +              /* sanity check: must be larger than start */
 +              if(dname_canon_lab_cmp(cur->name, cur->labs, 
 +                      el->name, el->labs, &m) <= 0) {
 +                      /* r == 0 skip original record. */
 +                      /* r < 0  too small! */
 +                      walk = rbtree_next(walk);
 +                      continue;
 +              }
 +              /* stop at endpoint, also data at empty nonterminals must be
 +               * removed (no NSECs there) so everything between 
 +               * start and end */
 +              if(end && dname_canon_lab_cmp(cur->name, cur->labs,
 +                      end, end_labs, &m) >= 0) {
 +                      break;
 +              }
 +              /* this element has to be deleted, but we cannot do it
 +               * now, because we are walking the tree still ... */
 +              /* get the next element: */
 +              next = rbtree_next(walk);
 +              /* now delete the original element, this may trigger
 +               * rbtree rebalances, but really, the next element is
 +               * the one we need.
 +               * But it may trigger delete of other data and the
 +               * entire zone. However, if that happens, this is done
 +               * by deleting the *parents* of the element for deletion,
 +               * and maybe also the entire zone if it is empty. 
 +               * But parents are smaller in canonical compare, thus,
 +               * if a larger element exists, then it is not a parent,
 +               * it cannot get deleted, the zone cannot get empty.
 +               * If the next==NULL, then zone can be empty. */
 +              if(cur->in_use)
 +                      neg_delete_data(neg, cur);
 +              walk = next;
 +      }
 +}
 +
 +void neg_insert_data(struct val_neg_cache* neg, 
 +      struct val_neg_zone* zone, struct ub_packed_rrset_key* nsec)
 +{
 +      struct packed_rrset_data* d;
 +      struct val_neg_data* parent;
 +      struct val_neg_data* el;
 +      uint8_t* nm = nsec->rk.dname;
 +      size_t nm_len = nsec->rk.dname_len;
 +      int labs = dname_count_labels(nsec->rk.dname);
 +
 +      d = (struct packed_rrset_data*)nsec->entry.data;
 +      if( !(d->security == sec_status_secure ||
 +              (d->security == sec_status_unchecked && d->rrsig_count > 0)))
 +              return;
 +      log_nametypeclass(VERB_ALGO, "negcache rr", 
 +              nsec->rk.dname, ntohs(nsec->rk.type), 
 +              ntohs(nsec->rk.rrset_class));
 +
 +      /* find closest enclosing parent data that (still) exists */
 +      parent = neg_closest_data_parent(zone, nm, nm_len, labs);
 +      if(parent && query_dname_compare(parent->name, nm) == 0) {
 +              /* perfect match already exists */
 +              log_assert(parent->count > 0);
 +              el = parent;
 +      } else { 
 +              struct val_neg_data* p, *np;
 +
 +              /* create subtree for perfect match */
 +              /* if parent exists, it is in use */
 +              log_assert(!parent || parent->count > 0);
 +
 +              el = neg_data_chain(nm, nm_len, labs, parent);
 +              if(!el) {
 +                      log_err("out of memory inserting NSEC negative cache");
 +                      return;
 +              }
 +              el->in_use = 0; /* set on below */
 +
 +              /* insert the list of zones into the tree */
 +              p = el;
 +              while(p) {
 +                      np = p->parent;
 +                      /* mem use */
 +                      neg->use += sizeof(struct val_neg_data) + p->len;
 +                      /* insert in tree */
 +                      p->zone = zone;
 +                      (void)rbtree_insert(&zone->tree, &p->node);
 +                      /* last one needs proper parent pointer */
 +                      if(np == NULL)
 +                              p->parent = parent;
 +                      p = np;
 +              }
 +      }
 +
 +      if(!el->in_use) {
 +              struct val_neg_data* p;
 +
 +              el->in_use = 1;
 +              /* increase usage count of all parents */
 +              for(p=el; p; p = p->parent) {
 +                      p->count++;
 +              }
 +
 +              neg_lru_front(neg, el);
 +      } else {
 +              /* in use, bring to front, lru */
 +              neg_lru_touch(neg, el);
 +      }
 +
 +      /* if nsec3 store last used parameters */
 +      if(ntohs(nsec->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +              int h;
 +              uint8_t* s;
 +              size_t slen, it;
 +              if(nsec3_get_params(nsec, 0, &h, &it, &s, &slen) &&
 +                      it <= neg->nsec3_max_iter &&
 +                      (h != zone->nsec3_hash || it != zone->nsec3_iter ||
 +                      slen != zone->nsec3_saltlen || 
 +                      memcmp(zone->nsec3_salt, s, slen) != 0)) {
 +                      uint8_t* sa = memdup(s, slen);
 +                      if(sa) {
 +                              free(zone->nsec3_salt);
 +                              zone->nsec3_salt = sa;
 +                              zone->nsec3_saltlen = slen;
 +                              zone->nsec3_hash = h;
 +                              zone->nsec3_iter = it;
 +                      }
 +              }
 +      }
 +
 +      /* wipe out the cache items between NSEC start and end */
 +      wipeout(neg, zone, el, nsec);
 +}
 +
 +void val_neg_addreply(struct val_neg_cache* neg, struct reply_info* rep)
 +{
 +      size_t i, need;
 +      struct ub_packed_rrset_key* soa;
 +      struct val_neg_zone* zone;
 +      /* see if secure nsecs inside */
 +      if(!reply_has_nsec(rep))
 +              return;
 +      /* find the zone name in message */
 +      soa = reply_find_soa(rep);
 +      if(!soa)
 +              return;
 +
 +      log_nametypeclass(VERB_ALGO, "negcache insert for zone",
 +              soa->rk.dname, LDNS_RR_TYPE_SOA, ntohs(soa->rk.rrset_class));
 +      
 +      /* ask for enough space to store all of it */
 +      need = calc_data_need(rep) + 
 +              calc_zone_need(soa->rk.dname, soa->rk.dname_len);
 +      lock_basic_lock(&neg->lock);
 +      neg_make_space(neg, need);
 +
 +      /* find or create the zone entry */
 +      zone = neg_find_zone(neg, soa->rk.dname, soa->rk.dname_len,
 +              ntohs(soa->rk.rrset_class));
 +      if(!zone) {
 +              if(!(zone = neg_create_zone(neg, soa->rk.dname, 
 +                      soa->rk.dname_len, ntohs(soa->rk.rrset_class)))) {
 +                      lock_basic_unlock(&neg->lock);
 +                      log_err("out of memory adding negative zone");
 +                      return;
 +              }
 +      }
 +      val_neg_zone_take_inuse(zone);
 +
 +      /* insert the NSECs */
 +      for(i=rep->an_numrrsets; i< rep->an_numrrsets+rep->ns_numrrsets; i++){
 +              if(ntohs(rep->rrsets[i]->rk.type) != LDNS_RR_TYPE_NSEC)
 +                      continue;
 +              if(!dname_subdomain_c(rep->rrsets[i]->rk.dname, 
 +                      zone->name)) continue;
 +              /* insert NSEC into this zone's tree */
 +              neg_insert_data(neg, zone, rep->rrsets[i]);
 +      }
 +      if(zone->tree.count == 0) {
 +              /* remove empty zone if inserts failed */
 +              neg_delete_zone(neg, zone);
 +      }
 +      lock_basic_unlock(&neg->lock);
 +}
 +
 +/**
 + * Lookup closest data record. For NSEC denial.
 + * @param zone: zone to look in
 + * @param qname: name to look for.
 + * @param len: length of name
 + * @param labs: labels in name
 + * @param data: data element, exact or smaller or NULL
 + * @return true if exact match.
 + */
 +static int neg_closest_data(struct val_neg_zone* zone,
 +      uint8_t* qname, size_t len, int labs, struct val_neg_data** data)
 +{
 +      struct val_neg_data key;
 +      rbnode_t* r;
 +      key.node.key = &key;
 +      key.name = qname;
 +      key.len = len;
 +      key.labs = labs;
 +      if(rbtree_find_less_equal(&zone->tree, &key, &r)) {
 +              /* exact match */
 +              *data = (struct val_neg_data*)r;
 +              return 1;
 +      } else {
 +              /* smaller match */
 +              *data = (struct val_neg_data*)r;
 +              return 0;
 +      }
 +}
 +
 +int val_neg_dlvlookup(struct val_neg_cache* neg, uint8_t* qname, size_t len,
 +        uint16_t qclass, struct rrset_cache* rrset_cache, time_t now)
 +{
 +      /* lookup closest zone */
 +      struct val_neg_zone* zone;
 +      struct val_neg_data* data;
 +      int labs;
 +      struct ub_packed_rrset_key* nsec;
 +      struct packed_rrset_data* d;
 +      uint32_t flags;
 +      uint8_t* wc;
 +      struct query_info qinfo;
 +      if(!neg) return 0;
 +
 +      log_nametypeclass(VERB_ALGO, "negcache dlvlookup", qname, 
 +              LDNS_RR_TYPE_DLV, qclass);
 +      
 +      labs = dname_count_labels(qname);
 +      lock_basic_lock(&neg->lock);
 +      zone = neg_closest_zone_parent(neg, qname, len, labs, qclass);
 +      while(zone && !zone->in_use)
 +              zone = zone->parent;
 +      if(!zone) {
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +      log_nametypeclass(VERB_ALGO, "negcache zone", zone->name, 0, 
 +              zone->dclass);
 +
 +      /* DLV is defined to use NSEC only */
 +      if(zone->nsec3_hash) {
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +
 +      /* lookup closest data record */
 +      (void)neg_closest_data(zone, qname, len, labs, &data);
 +      while(data && !data->in_use)
 +              data = data->parent;
 +      if(!data) {
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +      log_nametypeclass(VERB_ALGO, "negcache rr", data->name, 
 +              LDNS_RR_TYPE_NSEC, zone->dclass);
 +
 +      /* lookup rrset in rrset cache */
 +      flags = 0;
 +      if(query_dname_compare(data->name, zone->name) == 0)
 +              flags = PACKED_RRSET_NSEC_AT_APEX;
 +      nsec = rrset_cache_lookup(rrset_cache, data->name, data->len,
 +              LDNS_RR_TYPE_NSEC, zone->dclass, flags, now, 0);
 +
 +      /* check if secure and TTL ok */
 +      if(!nsec) {
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +      d = (struct packed_rrset_data*)nsec->entry.data;
 +      if(!d || now > d->ttl) {
 +              lock_rw_unlock(&nsec->entry.lock);
 +              /* delete data record if expired */
 +              neg_delete_data(neg, data);
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +      if(d->security != sec_status_secure) {
 +              lock_rw_unlock(&nsec->entry.lock);
 +              neg_delete_data(neg, data);
 +              lock_basic_unlock(&neg->lock);
 +              return 0;
 +      }
 +      verbose(VERB_ALGO, "negcache got secure rrset");
 +
 +      /* check NSEC security */
 +      /* check if NSEC proves no DLV type exists */
 +      /* check if NSEC proves NXDOMAIN for qname */
 +      qinfo.qname = qname;
 +      qinfo.qtype = LDNS_RR_TYPE_DLV;
 +      qinfo.qclass = qclass;
 +      if(!nsec_proves_nodata(nsec, &qinfo, &wc) &&
 +              !val_nsec_proves_name_error(nsec, qname)) {
 +              /* the NSEC is not a denial for the DLV */
 +              lock_rw_unlock(&nsec->entry.lock);
 +              lock_basic_unlock(&neg->lock);
 +              verbose(VERB_ALGO, "negcache not proven");
 +              return 0;
 +      }
 +      /* so the NSEC was a NODATA proof, or NXDOMAIN proof. */
 +
 +      /* no need to check for wildcard NSEC; no wildcards in DLV repos */
 +      /* no need to lookup SOA record for client; no response message */
 +
 +      lock_rw_unlock(&nsec->entry.lock);
 +      /* if OK touch the LRU for neg_data element */
 +      neg_lru_touch(neg, data);
 +      lock_basic_unlock(&neg->lock);
 +      verbose(VERB_ALGO, "negcache DLV denial proven");
 +      return 1;
 +}
 +
 +/** see if the reply has signed NSEC records and return the signer */
 +static uint8_t* reply_nsec_signer(struct reply_info* rep, size_t* signer_len,
 +      uint16_t* dclass)
 +{
 +      size_t i;
 +      struct packed_rrset_data* d;
 +      uint8_t* s;
 +      for(i=rep->an_numrrsets; i< rep->an_numrrsets+rep->ns_numrrsets; i++){
 +              if(ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NSEC ||
 +                      ntohs(rep->rrsets[i]->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      d = (struct packed_rrset_data*)rep->rrsets[i]->
 +                              entry.data;
 +                      /* return first signer name of first NSEC */
 +                      if(d->rrsig_count != 0) {
 +                              val_find_rrset_signer(rep->rrsets[i],
 +                                      &s, signer_len);
 +                              if(s && *signer_len) {
 +                                      *dclass = ntohs(rep->rrsets[i]->
 +                                              rk.rrset_class);
 +                                      return s;
 +                              }
 +                      }
 +              }
 +      }
 +      return 0;
 +}
 +
 +void val_neg_addreferral(struct val_neg_cache* neg, struct reply_info* rep,
 +      uint8_t* zone_name)
 +{
 +      size_t i, need;
 +      uint8_t* signer;
 +      size_t signer_len;
 +      uint16_t dclass;
 +      struct val_neg_zone* zone;
 +      /* no SOA in this message, find RRSIG over NSEC's signer name.
 +       * note the NSEC records are maybe not validated yet */
 +      signer = reply_nsec_signer(rep, &signer_len, &dclass);
 +      if(!signer) 
 +              return;
 +      if(!dname_subdomain_c(signer, zone_name)) {
 +              /* the signer is not in the bailiwick, throw it out */
 +              return;
 +      }
 +
 +      log_nametypeclass(VERB_ALGO, "negcache insert referral ",
 +              signer, LDNS_RR_TYPE_NS, dclass);
 +      
 +      /* ask for enough space to store all of it */
 +      need = calc_data_need(rep) + calc_zone_need(signer, signer_len);
 +      lock_basic_lock(&neg->lock);
 +      neg_make_space(neg, need);
 +
 +      /* find or create the zone entry */
 +      zone = neg_find_zone(neg, signer, signer_len, dclass);
 +      if(!zone) {
 +              if(!(zone = neg_create_zone(neg, signer, signer_len, 
 +                      dclass))) {
 +                      lock_basic_unlock(&neg->lock);
 +                      log_err("out of memory adding negative zone");
 +                      return;
 +              }
 +      }
 +      val_neg_zone_take_inuse(zone);
 +
 +      /* insert the NSECs */
 +      for(i=rep->an_numrrsets; i< rep->an_numrrsets+rep->ns_numrrsets; i++){
 +              if(ntohs(rep->rrsets[i]->rk.type) != LDNS_RR_TYPE_NSEC &&
 +                      ntohs(rep->rrsets[i]->rk.type) != LDNS_RR_TYPE_NSEC3)
 +                      continue;
 +              if(!dname_subdomain_c(rep->rrsets[i]->rk.dname, 
 +                      zone->name)) continue;
 +              /* insert NSEC into this zone's tree */
 +              neg_insert_data(neg, zone, rep->rrsets[i]);
 +      }
 +      if(zone->tree.count == 0) {
 +              /* remove empty zone if inserts failed */
 +              neg_delete_zone(neg, zone);
 +      }
 +      lock_basic_unlock(&neg->lock);
 +}
 +
 +/**
 + * Check that an NSEC3 rrset does not have a type set.
 + * None of the nsec3s in a hash-collision are allowed to have the type.
 + * (since we do not know which one is the nsec3 looked at, flags, ..., we
 + * ignore the cached item and let it bypass negative caching).
 + * @param k: the nsec3 rrset to check.
 + * @param t: type to check
 + * @return true if no RRs have the type.
 + */
 +static int nsec3_no_type(struct ub_packed_rrset_key* k, uint16_t t)
 +{
 +      int count = (int)((struct packed_rrset_data*)k->entry.data)->count;
 +      int i;
 +      for(i=0; i<count; i++)
 +              if(nsec3_has_type(k, i, t))
 +                      return 0;
 +      return 1;
 +}
 +
 +/**
 + * See if rrset exists in rrset cache.
 + * If it does, the bit is checked, and if not expired, it is returned
 + * allocated in region.
 + * @param rrset_cache: rrset cache
 + * @param qname: to lookup rrset name
 + * @param qname_len: length of qname.
 + * @param qtype: type of rrset to lookup, host order
 + * @param qclass: class of rrset to lookup, host order
 + * @param flags: flags for rrset to lookup
 + * @param region: where to alloc result
 + * @param checkbit: if true, a bit in the nsec typemap is checked for absence.
 + * @param checktype: which bit to check
 + * @param now: to check ttl against
 + * @return rrset or NULL
 + */
 +static struct ub_packed_rrset_key*
 +grab_nsec(struct rrset_cache* rrset_cache, uint8_t* qname, size_t qname_len,
 +      uint16_t qtype, uint16_t qclass, uint32_t flags, 
 +      struct regional* region, int checkbit, uint16_t checktype, 
 +      time_t now)
 +{
 +      struct ub_packed_rrset_key* r, *k = rrset_cache_lookup(rrset_cache,
 +              qname, qname_len, qtype, qclass, flags, now, 0);
 +      struct packed_rrset_data* d;
 +      if(!k) return NULL;
 +      d = (struct packed_rrset_data*)k->entry.data;
 +      if(d->ttl < now) {
 +              lock_rw_unlock(&k->entry.lock);
 +              return NULL;
 +      }
 +      /* only secure or unchecked records that have signatures. */
 +      if( ! ( d->security == sec_status_secure ||
 +              (d->security == sec_status_unchecked &&
 +              d->rrsig_count > 0) ) ) {
 +              lock_rw_unlock(&k->entry.lock);
 +              return NULL;
 +      }
 +      /* check if checktype is absent */
 +      if(checkbit && (
 +              (qtype == LDNS_RR_TYPE_NSEC && nsec_has_type(k, checktype)) ||
 +              (qtype == LDNS_RR_TYPE_NSEC3 && !nsec3_no_type(k, checktype))
 +              )) {
 +              lock_rw_unlock(&k->entry.lock);
 +              return NULL;
 +      }
 +      /* looks OK! copy to region and return it */
 +      r = packed_rrset_copy_region(k, region, now);
 +      /* if it failed, we return the NULL */
 +      lock_rw_unlock(&k->entry.lock);
 +      return r;
 +}
 +
 +/** find nsec3 closest encloser in neg cache */
 +static struct val_neg_data*
 +neg_find_nsec3_ce(struct val_neg_zone* zone, uint8_t* qname, size_t qname_len,
 +              int qlabs, sldns_buffer* buf, uint8_t* hashnc, size_t* nclen)
 +{
 +      struct val_neg_data* data;
 +      uint8_t hashce[NSEC3_SHA_LEN];
 +      uint8_t b32[257];
 +      size_t celen, b32len;
 +
 +      *nclen = 0;
 +      while(qlabs > 0) {
 +              /* hash */
 +              if(!(celen=nsec3_get_hashed(buf, qname, qname_len, 
 +                      zone->nsec3_hash, zone->nsec3_iter, zone->nsec3_salt, 
 +                      zone->nsec3_saltlen, hashce, sizeof(hashce))))
 +                      return NULL;
 +              if(!(b32len=nsec3_hash_to_b32(hashce, celen, zone->name,
 +                      zone->len, b32, sizeof(b32))))
 +                      return NULL;
 +
 +              /* lookup (exact match only) */
 +              data = neg_find_data(zone, b32, b32len, zone->labs+1);
 +              if(data && data->in_use) {
 +                      /* found ce match! */
 +                      return data;
 +              }
 +
 +              *nclen = celen;
 +              memmove(hashnc, hashce, celen);
 +              dname_remove_label(&qname, &qname_len);
 +              qlabs --;
 +      }
 +      return NULL;
 +}
 +
 +/** check nsec3 parameters on nsec3 rrset with current zone values */
 +static int
 +neg_params_ok(struct val_neg_zone* zone, struct ub_packed_rrset_key* rrset)
 +{
 +      int h;
 +      uint8_t* s;
 +      size_t slen, it;
 +      if(!nsec3_get_params(rrset, 0, &h, &it, &s, &slen))
 +              return 0;
 +      return (h == zone->nsec3_hash && it == zone->nsec3_iter &&
 +              slen == zone->nsec3_saltlen &&
 +              memcmp(zone->nsec3_salt, s, slen) == 0);
 +}
 +
 +/** get next closer for nsec3 proof */
 +static struct ub_packed_rrset_key*
 +neg_nsec3_getnc(struct val_neg_zone* zone, uint8_t* hashnc, size_t nclen,
 +      struct rrset_cache* rrset_cache, struct regional* region, 
 +      time_t now, uint8_t* b32, size_t maxb32)
 +{
 +      struct ub_packed_rrset_key* nc_rrset;
 +      struct val_neg_data* data;
 +      size_t b32len;
 +
 +      if(!(b32len=nsec3_hash_to_b32(hashnc, nclen, zone->name,
 +              zone->len, b32, maxb32)))
 +              return NULL;
 +      (void)neg_closest_data(zone, b32, b32len, zone->labs+1, &data);
 +      if(!data && zone->tree.count != 0) {
 +              /* could be before the first entry ; return the last
 +               * entry (possibly the rollover nsec3 at end) */
 +              data = (struct val_neg_data*)rbtree_last(&zone->tree);
 +      }
 +      while(data && !data->in_use)
 +              data = data->parent;
 +      if(!data)
 +              return NULL;
 +      /* got a data element in tree, grab it */
 +      nc_rrset = grab_nsec(rrset_cache, data->name, data->len, 
 +              LDNS_RR_TYPE_NSEC3, zone->dclass, 0, region, 0, 0, now);
 +      if(!nc_rrset)
 +              return NULL;
 +      if(!neg_params_ok(zone, nc_rrset))
 +              return NULL;
 +      return nc_rrset;
 +}
 +
 +/** neg cache nsec3 proof procedure*/
 +static struct dns_msg*
 +neg_nsec3_proof_ds(struct val_neg_zone* zone, uint8_t* qname, size_t qname_len,
 +              int qlabs, sldns_buffer* buf, struct rrset_cache* rrset_cache,
 +              struct regional* region, time_t now, uint8_t* topname)
 +{
 +      struct dns_msg* msg;
 +      struct val_neg_data* data;
 +      uint8_t hashnc[NSEC3_SHA_LEN];
 +      size_t nclen;
 +      struct ub_packed_rrset_key* ce_rrset, *nc_rrset;
 +      struct nsec3_cached_hash c;
 +      uint8_t nc_b32[257];
 +
 +      /* for NSEC3 ; determine the closest encloser for which we
 +       * can find an exact match. Remember the hashed lower name,
 +       * since that is the one we need a closest match for. 
 +       * If we find a match straight away, then it becomes NODATA.
 +       * Otherwise, NXDOMAIN or if OPTOUT, an insecure delegation.
 +       * Also check that parameters are the same on closest encloser
 +       * and on closest match.
 +       */
 +      if(!zone->nsec3_hash) 
 +              return NULL; /* not nsec3 zone */
 +
 +      if(!(data=neg_find_nsec3_ce(zone, qname, qname_len, qlabs, buf,
 +              hashnc, &nclen))) {
 +              return NULL;
 +      }
 +
 +      /* grab the ce rrset */
 +      ce_rrset = grab_nsec(rrset_cache, data->name, data->len, 
 +              LDNS_RR_TYPE_NSEC3, zone->dclass, 0, region, 1, 
 +              LDNS_RR_TYPE_DS, now);
 +      if(!ce_rrset)
 +              return NULL;
 +      if(!neg_params_ok(zone, ce_rrset))
 +              return NULL;
 +
 +      if(nclen == 0) {
 +              /* exact match, just check the type bits */
 +              /* need: -SOA, -DS, +NS */
 +              if(nsec3_has_type(ce_rrset, 0, LDNS_RR_TYPE_SOA) ||
 +                      nsec3_has_type(ce_rrset, 0, LDNS_RR_TYPE_DS) ||
 +                      !nsec3_has_type(ce_rrset, 0, LDNS_RR_TYPE_NS))
 +                      return NULL;
 +              if(!(msg = dns_msg_create(qname, qname_len, 
 +                      LDNS_RR_TYPE_DS, zone->dclass, region, 1))) 
 +                      return NULL;
 +              /* TTL reduced in grab_nsec */
 +              if(!dns_msg_authadd(msg, region, ce_rrset, 0)) 
 +                      return NULL;
 +              return msg;
 +      }
 +
 +      /* optout is not allowed without knowing the trust-anchor in use,
 +       * otherwise the optout could spoof away that anchor */
 +      if(!topname)
 +              return NULL;
 +
 +      /* if there is no exact match, it must be in an optout span
 +       * (an existing DS implies an NSEC3 must exist) */
 +      nc_rrset = neg_nsec3_getnc(zone, hashnc, nclen, rrset_cache, 
 +              region, now, nc_b32, sizeof(nc_b32));
 +      if(!nc_rrset) 
 +              return NULL;
 +      if(!neg_params_ok(zone, nc_rrset))
 +              return NULL;
 +      if(!nsec3_has_optout(nc_rrset, 0))
 +              return NULL;
 +      c.hash = hashnc;
 +      c.hash_len = nclen;
 +      c.b32 = nc_b32+1;
 +      c.b32_len = (size_t)nc_b32[0];
 +      if(nsec3_covers(zone->name, &c, nc_rrset, 0, buf)) {
 +              /* nc_rrset covers the next closer name.
 +               * ce_rrset equals a closer encloser.
 +               * nc_rrset is optout.
 +               * No need to check wildcard for type DS */
 +              /* capacity=3: ce + nc + soa(if needed) */
 +              if(!(msg = dns_msg_create(qname, qname_len, 
 +                      LDNS_RR_TYPE_DS, zone->dclass, region, 3))) 
 +                      return NULL;
 +              /* now=0 because TTL was reduced in grab_nsec */
 +              if(!dns_msg_authadd(msg, region, ce_rrset, 0)) 
 +                      return NULL;
 +              if(!dns_msg_authadd(msg, region, nc_rrset, 0)) 
 +                      return NULL;
 +              return msg;
 +      }
 +      return NULL;
 +}
 +
 +/**
 + * Add SOA record for external responses.
 + * @param rrset_cache: to look into.
 + * @param now: current time.
 + * @param region: where to perform the allocation
 + * @param msg: current msg with NSEC.
 + * @param zone: val_neg_zone if we have one.
 + * @return false on lookup or alloc failure.
 + */
 +static int add_soa(struct rrset_cache* rrset_cache, time_t now,
 +      struct regional* region, struct dns_msg* msg, struct val_neg_zone* zone)
 +{
 +      struct ub_packed_rrset_key* soa;
 +      uint8_t* nm;
 +      size_t nmlen;
 +      uint16_t dclass;
 +      if(zone) {
 +              nm = zone->name;
 +              nmlen = zone->len;
 +              dclass = zone->dclass;
 +      } else {
 +              /* Assumes the signer is the zone SOA to add */
 +              nm = reply_nsec_signer(msg->rep, &nmlen, &dclass);
 +              if(!nm) 
 +                      return 0;
 +      }
 +      soa = rrset_cache_lookup(rrset_cache, nm, nmlen, LDNS_RR_TYPE_SOA, 
 +              dclass, PACKED_RRSET_SOA_NEG, now, 0);
 +      if(!soa)
 +              return 0;
 +      if(!dns_msg_authadd(msg, region, soa, now)) {
 +              lock_rw_unlock(&soa->entry.lock);
 +              return 0;
 +      }
 +      lock_rw_unlock(&soa->entry.lock);
 +      return 1;
 +}
 +
 +struct dns_msg* 
 +val_neg_getmsg(struct val_neg_cache* neg, struct query_info* qinfo, 
 +      struct regional* region, struct rrset_cache* rrset_cache, 
 +      sldns_buffer* buf, time_t now, int addsoa, uint8_t* topname)
 +{
 +      struct dns_msg* msg;
 +      struct ub_packed_rrset_key* rrset;
 +      uint8_t* zname;
 +      size_t zname_len;
 +      int zname_labs;
 +      struct val_neg_zone* zone;
 +
 +      /* only for DS queries */
 +      if(qinfo->qtype != LDNS_RR_TYPE_DS)
 +              return NULL;
 +      log_assert(!topname || dname_subdomain_c(qinfo->qname, topname));
 +
 +      /* see if info from neg cache is available 
 +       * For NSECs, because there is no optout; a DS next to a delegation
 +       * always has exactly an NSEC for it itself; check its DS bit.
 +       * flags=0 (not the zone apex).
 +       */
 +      rrset = grab_nsec(rrset_cache, qinfo->qname, qinfo->qname_len,
 +              LDNS_RR_TYPE_NSEC, qinfo->qclass, 0, region, 1, 
 +              qinfo->qtype, now);
 +      if(rrset) {
 +              /* return msg with that rrset */
 +              if(!(msg = dns_msg_create(qinfo->qname, qinfo->qname_len, 
 +                      qinfo->qtype, qinfo->qclass, region, 2))) 
 +                      return NULL;
 +              /* TTL already subtracted in grab_nsec */
 +              if(!dns_msg_authadd(msg, region, rrset, 0)) 
 +                      return NULL;
 +              if(addsoa && !add_soa(rrset_cache, now, region, msg, NULL))
 +                      return NULL;
 +              return msg;
 +      }
 +
 +      /* check NSEC3 neg cache for type DS */
 +      /* need to look one zone higher for DS type */
 +      zname = qinfo->qname;
 +      zname_len = qinfo->qname_len;
 +      dname_remove_label(&zname, &zname_len);
 +      zname_labs = dname_count_labels(zname);
 +
 +      /* lookup closest zone */
 +      lock_basic_lock(&neg->lock);
 +      zone = neg_closest_zone_parent(neg, zname, zname_len, zname_labs, 
 +              qinfo->qclass);
 +      while(zone && !zone->in_use)
 +              zone = zone->parent;
 +      /* check that the zone is not too high up so that we do not pick data
 +       * out of a zone that is above the last-seen key (or trust-anchor). */
 +      if(zone && topname) {
 +              if(!dname_subdomain_c(zone->name, topname))
 +                      zone = NULL;
 +      }
 +      if(!zone) {
 +              lock_basic_unlock(&neg->lock);
 +              return NULL;
 +      }
 +
 +      msg = neg_nsec3_proof_ds(zone, qinfo->qname, qinfo->qname_len, 
 +              zname_labs+1, buf, rrset_cache, region, now, topname);
 +      if(msg && addsoa && !add_soa(rrset_cache, now, region, msg, zone)) {
 +              lock_basic_unlock(&neg->lock);
 +              return NULL;
 +      }
 +      lock_basic_unlock(&neg->lock);
 +      return msg;
 +}
diff --cc contrib/unbound/validator/val_nsec3.c
index 548daf2bf0a7b625720da0112661ce8bc2083635,0000000000000000000000000000000000000000..80ca4d0ba36fbad6128bf13d7f1c70b5ae48fad2
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_nsec3.c
--- /dev/null
+++ b/contrib/unbound/validator/val_nsec3.c
@@@ -1,1488 -1,0 +1,1488 @@@
- #include "ldns/sbuffer.h"
 +/*
 + * validator/val_nsec3.c - validator NSEC3 denial of existance functions.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains helper functions for the validator module.
 + * The functions help with NSEC3 checking, the different NSEC3 proofs
 + * for denial of existance, and proofs for presence of types.
 + */
 +#include "config.h"
 +#include <ctype.h>
 +#ifdef HAVE_OPENSSL_SSL_H
 +#include "openssl/ssl.h"
 +#endif
 +#ifdef HAVE_NSS
 +/* nss3 */
 +#include "sechash.h"
 +#endif
 +#include "validator/val_nsec3.h"
 +#include "validator/validator.h"
 +#include "validator/val_kentry.h"
 +#include "services/cache/rrset.h"
 +#include "util/regional.h"
 +#include "util/rbtree.h"
 +#include "util/module.h"
 +#include "util/net_help.h"
 +#include "util/data/packed_rrset.h"
 +#include "util/data/dname.h"
 +#include "util/data/msgreply.h"
 +/* we include nsec.h for the bitmap_has_type function */
 +#include "validator/val_nsec.h"
++#include "sldns/sbuffer.h"
 +
 +/** 
 + * This function we get from ldns-compat or from base system 
 + * it returns the number of data bytes stored at the target, or <0 on error.
 + */
 +int sldns_b32_ntop_extended_hex(uint8_t const *src, size_t srclength,
 +      char *target, size_t targsize);
 +/** 
 + * This function we get from ldns-compat or from base system 
 + * it returns the number of data bytes stored at the target, or <0 on error.
 + */
 +int sldns_b32_pton_extended_hex(char const *src, size_t hashed_owner_str_len, 
 +      uint8_t *target, size_t targsize);
 +
 +/**
 + * Closest encloser (ce) proof results
 + * Contains the ce and the next-closer (nc) proof.
 + */
 +struct ce_response {
 +      /** the closest encloser name */
 +      uint8_t* ce;
 +      /** length of ce */
 +      size_t ce_len;
 +      /** NSEC3 record that proved ce. rrset */
 +      struct ub_packed_rrset_key* ce_rrset;
 +      /** NSEC3 record that proved ce. rr number */
 +      int ce_rr;
 +      /** NSEC3 record that proved nc. rrset */
 +      struct ub_packed_rrset_key* nc_rrset;
 +      /** NSEC3 record that proved nc. rr*/
 +      int nc_rr;
 +};
 +
 +/**
 + * Filter conditions for NSEC3 proof
 + * Used to iterate over the applicable NSEC3 RRs.
 + */
 +struct nsec3_filter {
 +      /** Zone name, only NSEC3 records for this zone are considered */
 +      uint8_t* zone;
 +      /** length of the zonename */
 +      size_t zone_len;
 +      /** the list of NSEC3s to filter; array */
 +      struct ub_packed_rrset_key** list;
 +      /** number of rrsets in list */
 +      size_t num;
 +      /** class of records for the NSEC3, only this class applies */
 +      uint16_t fclass;
 +};
 +
 +/** return number of rrs in an rrset */
 +static size_t
 +rrset_get_count(struct ub_packed_rrset_key* rrset)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +        if(!d) return 0;
 +        return d->count;
 +}
 +
 +/** return if nsec3 RR has unknown flags */
 +static int
 +nsec3_unknown_flags(struct ub_packed_rrset_key* rrset, int r)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+2)
 +              return 0; /* malformed */
 +      return (int)(d->rr_data[r][2+1] & NSEC3_UNKNOWN_FLAGS);
 +}
 +
 +int
 +nsec3_has_optout(struct ub_packed_rrset_key* rrset, int r)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+2)
 +              return 0; /* malformed */
 +      return (int)(d->rr_data[r][2+1] & NSEC3_OPTOUT);
 +}
 +
 +/** return nsec3 RR algorithm */
 +static int
 +nsec3_get_algo(struct ub_packed_rrset_key* rrset, int r)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+1)
 +              return 0; /* malformed */
 +      return (int)(d->rr_data[r][2+0]);
 +}
 +
 +/** return if nsec3 RR has known algorithm */
 +static int
 +nsec3_known_algo(struct ub_packed_rrset_key* rrset, int r)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+1)
 +              return 0; /* malformed */
 +      switch(d->rr_data[r][2+0]) {
 +              case NSEC3_HASH_SHA1:
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** return nsec3 RR iteration count */
 +static size_t
 +nsec3_get_iter(struct ub_packed_rrset_key* rrset, int r)
 +{
 +      uint16_t i;
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+4)
 +              return 0; /* malformed */
 +      memmove(&i, d->rr_data[r]+2+2, sizeof(i));
 +      i = ntohs(i);
 +      return (size_t)i;
 +}
 +
 +/** return nsec3 RR salt */
 +static int
 +nsec3_get_salt(struct ub_packed_rrset_key* rrset, int r,
 +      uint8_t** salt, size_t* saltlen)
 +{
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+5) {
 +              *salt = 0;
 +              *saltlen = 0;
 +              return 0; /* malformed */
 +      }
 +      *saltlen = (size_t)d->rr_data[r][2+4];
 +      if(d->rr_len[r] < 2+5+(size_t)*saltlen) {
 +              *salt = 0;
 +              *saltlen = 0;
 +              return 0; /* malformed */
 +      }
 +      *salt = d->rr_data[r]+2+5;
 +      return 1;
 +}
 +
 +int nsec3_get_params(struct ub_packed_rrset_key* rrset, int r,
 +      int* algo, size_t* iter, uint8_t** salt, size_t* saltlen)
 +{
 +      if(!nsec3_known_algo(rrset, r) || nsec3_unknown_flags(rrset, r))
 +              return 0;
 +      if(!nsec3_get_salt(rrset, r, salt, saltlen))
 +              return 0;
 +      *algo = nsec3_get_algo(rrset, r);
 +      *iter = nsec3_get_iter(rrset, r);
 +      return 1;
 +}
 +
 +int
 +nsec3_get_nextowner(struct ub_packed_rrset_key* rrset, int r,
 +      uint8_t** next, size_t* nextlen)
 +{
 +      size_t saltlen;
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      if(d->rr_len[r] < 2+5) {
 +              *next = 0;
 +              *nextlen = 0;
 +              return 0; /* malformed */
 +      }
 +      saltlen = (size_t)d->rr_data[r][2+4];
 +      if(d->rr_len[r] < 2+5+saltlen+1) {
 +              *next = 0;
 +              *nextlen = 0;
 +              return 0; /* malformed */
 +      }
 +      *nextlen = (size_t)d->rr_data[r][2+5+saltlen];
 +      if(d->rr_len[r] < 2+5+saltlen+1+*nextlen) {
 +              *next = 0;
 +              *nextlen = 0;
 +              return 0; /* malformed */
 +      }
 +      *next = d->rr_data[r]+2+5+saltlen+1;
 +      return 1;
 +}
 +
 +size_t nsec3_hash_to_b32(uint8_t* hash, size_t hashlen, uint8_t* zone,
 +      size_t zonelen, uint8_t* buf, size_t max)
 +{
 +      /* write b32 of name, leave one for length */
 +      int ret;
 +      if(max < hashlen*2+1) /* quick approx of b32, as if hexb16 */
 +              return 0;
 +      ret = sldns_b32_ntop_extended_hex(hash, hashlen, (char*)buf+1, max-1);
 +      if(ret < 1) 
 +              return 0;
 +      buf[0] = (uint8_t)ret; /* length of b32 label */
 +      ret++;
 +      if(max - ret < zonelen)
 +              return 0;
 +      memmove(buf+ret, zone, zonelen);
 +      return zonelen+(size_t)ret;
 +}
 +
 +size_t nsec3_get_nextowner_b32(struct ub_packed_rrset_key* rrset, int r,
 +      uint8_t* buf, size_t max)
 +{
 +      uint8_t* nm, *zone;
 +      size_t nmlen, zonelen;
 +      if(!nsec3_get_nextowner(rrset, r, &nm, &nmlen))
 +              return 0;
 +      /* append zone name; the owner name must be <b32>.zone */
 +      zone = rrset->rk.dname;
 +      zonelen = rrset->rk.dname_len;
 +      dname_remove_label(&zone, &zonelen);
 +      return nsec3_hash_to_b32(nm, nmlen, zone, zonelen, buf, max);
 +}
 +
 +int
 +nsec3_has_type(struct ub_packed_rrset_key* rrset, int r, uint16_t type)
 +{
 +      uint8_t* bitmap;
 +      size_t bitlen, skiplen;
 +        struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      log_assert(d && r < (int)d->count);
 +      skiplen = 2+4;
 +      /* skip salt */
 +      if(d->rr_len[r] < skiplen+1)
 +              return 0; /* malformed, too short */
 +      skiplen += 1+(size_t)d->rr_data[r][skiplen]; 
 +      /* skip next hashed owner */
 +      if(d->rr_len[r] < skiplen+1)
 +              return 0; /* malformed, too short */
 +      skiplen += 1+(size_t)d->rr_data[r][skiplen]; 
 +      if(d->rr_len[r] < skiplen)
 +              return 0; /* malformed, too short */
 +      bitlen = d->rr_len[r] - skiplen;
 +      bitmap = d->rr_data[r]+skiplen;
 +      return nsecbitmap_has_type_rdata(bitmap, bitlen, type);
 +}
 +      
 +/** 
 + * Iterate through NSEC3 list, per RR 
 + * This routine gives the next RR in the list (or sets rrset null). 
 + * Usage:
 + *
 + * size_t rrsetnum;
 + * int rrnum;
 + * struct ub_packed_rrset_key* rrset;
 + * for(rrset=filter_first(filter, &rrsetnum, &rrnum); rrset; 
 + *    rrset=filter_next(filter, &rrsetnum, &rrnum))
 + *            do_stuff;
 + * 
 + * Also filters out 
 + *    o unknown flag NSEC3s
 + *    o unknown algorithm NSEC3s.
 + * @param filter: nsec3 filter structure.
 + * @param rrsetnum: in/out rrset number to look at.
 + * @param rrnum: in/out rr number in rrset to look at.
 + * @returns ptr to the next rrset (or NULL at end).
 + */
 +static struct ub_packed_rrset_key*
 +filter_next(struct nsec3_filter* filter, size_t* rrsetnum, int* rrnum)
 +{
 +      size_t i;
 +      int r;
 +      uint8_t* nm;
 +      size_t nmlen;
 +      if(!filter->zone) /* empty list */
 +              return NULL;
 +      for(i=*rrsetnum; i<filter->num; i++) {
 +              /* see if RRset qualifies */
 +              if(ntohs(filter->list[i]->rk.type) != LDNS_RR_TYPE_NSEC3 ||
 +                      ntohs(filter->list[i]->rk.rrset_class) != 
 +                      filter->fclass) 
 +                      continue;
 +              /* check RRset zone */
 +              nm = filter->list[i]->rk.dname;
 +              nmlen = filter->list[i]->rk.dname_len;
 +              dname_remove_label(&nm, &nmlen);
 +              if(query_dname_compare(nm, filter->zone) != 0)
 +                      continue;
 +              if(i == *rrsetnum)
 +                      r = (*rrnum) + 1; /* continue at next RR */
 +              else    r = 0;          /* new RRset start at first RR */
 +              for(; r < (int)rrset_get_count(filter->list[i]); r++) {
 +                      /* skip unknown flags, algo */
 +                      if(nsec3_unknown_flags(filter->list[i], r) ||
 +                              !nsec3_known_algo(filter->list[i], r))
 +                              continue;
 +                      /* this one is a good target */
 +                      *rrsetnum = i;
 +                      *rrnum = r;
 +                      return filter->list[i];
 +              }
 +      }
 +      return NULL;
 +}
 +
 +/**
 + * Start iterating over NSEC3 records.
 + * @param filter: the filter structure, must have been filter_init-ed.
 + * @param rrsetnum: can be undefined on call, inited.
 + * @param rrnum: can be undefined on call, inited.
 + * @return first rrset of an NSEC3, together with rrnum this points to
 + *    the first RR to examine. Is NULL on empty list.
 + */
 +static struct ub_packed_rrset_key*
 +filter_first(struct nsec3_filter* filter, size_t* rrsetnum, int* rrnum)
 +{
 +      *rrsetnum = 0;
 +      *rrnum = -1;
 +      return filter_next(filter, rrsetnum, rrnum);
 +}
 +
 +/** see if at least one RR is known (flags, algo) */
 +static int
 +nsec3_rrset_has_known(struct ub_packed_rrset_key* s)
 +{
 +      int r;
 +      for(r=0; r < (int)rrset_get_count(s); r++) {
 +              if(!nsec3_unknown_flags(s, r) && nsec3_known_algo(s, r))
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/** 
 + * Initialize the filter structure.
 + * Finds the zone by looking at available NSEC3 records and best match.
 + *    (skips the unknown flag and unknown algo NSEC3s).
 + *
 + * @param filter: nsec3 filter structure.
 + * @param list: list of rrsets, an array of them.
 + * @param num: number of rrsets in list.
 + * @param qinfo: 
 + *    query name to match a zone for.
 + *    query type (if DS a higher zone must be chosen)
 + *    qclass, to filter NSEC3s with.
 + */
 +static void
 +filter_init(struct nsec3_filter* filter, struct ub_packed_rrset_key** list,
 +      size_t num, struct query_info* qinfo)
 +{
 +      size_t i;
 +      uint8_t* nm;
 +      size_t nmlen;
 +      filter->zone = NULL;
 +      filter->zone_len = 0;
 +      filter->list = list;
 +      filter->num = num;
 +      filter->fclass = qinfo->qclass;
 +      for(i=0; i<num; i++) {
 +              /* ignore other stuff in the list */
 +              if(ntohs(list[i]->rk.type) != LDNS_RR_TYPE_NSEC3 ||
 +                      ntohs(list[i]->rk.rrset_class) != qinfo->qclass) 
 +                      continue;
 +              /* skip unknown flags, algo */
 +              if(!nsec3_rrset_has_known(list[i]))
 +                      continue;
 +
 +              /* since NSEC3s are base32.zonename, we can find the zone
 +               * name by stripping off the first label of the record */
 +              nm = list[i]->rk.dname;
 +              nmlen = list[i]->rk.dname_len;
 +              dname_remove_label(&nm, &nmlen);
 +              /* if we find a domain that can prove about the qname,
 +               * and if this domain is closer to the qname */
 +              if(dname_subdomain_c(qinfo->qname, nm) && (!filter->zone ||
 +                      dname_subdomain_c(nm, filter->zone))) {
 +                      /* for a type DS do not accept a zone equal to qname*/
 +                      if(qinfo->qtype == LDNS_RR_TYPE_DS && 
 +                              query_dname_compare(qinfo->qname, nm) == 0 &&
 +                              !dname_is_root(qinfo->qname))
 +                              continue;
 +                      filter->zone = nm;
 +                      filter->zone_len = nmlen;
 +              }
 +      }
 +}
 +
 +/**
 + * Find max iteration count using config settings and key size
 + * @param ve: validator environment with iteration count config settings.
 + * @param bits: key size
 + * @return max iteration count
 + */
 +static size_t
 +get_max_iter(struct val_env* ve, size_t bits)
 +{
 +      int i;
 +      log_assert(ve->nsec3_keyiter_count > 0);
 +      /* round up to nearest config keysize, linear search, keep it small */
 +      for(i=0; i<ve->nsec3_keyiter_count; i++) {
 +              if(bits <= ve->nsec3_keysize[i])
 +                      return ve->nsec3_maxiter[i];
 +      }
 +      /* else, use value for biggest key */
 +      return ve->nsec3_maxiter[ve->nsec3_keyiter_count-1];
 +}
 +
 +/** 
 + * Determine if any of the NSEC3 rrs iteration count is too high, from key.
 + * @param ve: validator environment with iteration count config settings.
 + * @param filter: what NSEC3s to loop over.
 + * @param kkey: key entry used for verification; used for iteration counts.
 + * @return 1 if some nsec3s are above the max iteration count.
 + */
 +static int
 +nsec3_iteration_count_high(struct val_env* ve, struct nsec3_filter* filter, 
 +      struct key_entry_key* kkey)
 +{
 +      size_t rrsetnum;
 +      int rrnum;
 +      struct ub_packed_rrset_key* rrset;
 +      /* first determine the max number of iterations */
 +      size_t bits = key_entry_keysize(kkey);
 +      size_t max_iter = get_max_iter(ve, bits);
 +      verbose(VERB_ALGO, "nsec3: keysize %d bits, max iterations %d",
 +              (int)bits, (int)max_iter);
 +
 +      for(rrset=filter_first(filter, &rrsetnum, &rrnum); rrset; 
 +              rrset=filter_next(filter, &rrsetnum, &rrnum)) {
 +              if(nsec3_get_iter(rrset, rrnum) > max_iter)
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +/* nsec3_cache_compare for rbtree */
 +int
 +nsec3_hash_cmp(const void* c1, const void* c2) 
 +{
 +      struct nsec3_cached_hash* h1 = (struct nsec3_cached_hash*)c1;
 +      struct nsec3_cached_hash* h2 = (struct nsec3_cached_hash*)c2;
 +      uint8_t* s1, *s2;
 +      size_t s1len, s2len;
 +      int c = query_dname_compare(h1->dname, h2->dname);
 +      if(c != 0)
 +              return c;
 +      /* compare parameters */
 +      /* if both malformed, its equal, robustness */
 +      if(nsec3_get_algo(h1->nsec3, h1->rr) !=
 +              nsec3_get_algo(h2->nsec3, h2->rr)) {
 +              if(nsec3_get_algo(h1->nsec3, h1->rr) <
 +                      nsec3_get_algo(h2->nsec3, h2->rr))
 +                      return -1;
 +              return 1;
 +      }
 +      if(nsec3_get_iter(h1->nsec3, h1->rr) !=
 +              nsec3_get_iter(h2->nsec3, h2->rr)) {
 +              if(nsec3_get_iter(h1->nsec3, h1->rr) <
 +                      nsec3_get_iter(h2->nsec3, h2->rr))
 +                      return -1;
 +              return 1;
 +      }
 +      (void)nsec3_get_salt(h1->nsec3, h1->rr, &s1, &s1len);
 +      (void)nsec3_get_salt(h2->nsec3, h2->rr, &s2, &s2len);
 +      if(s1len != s2len) {
 +              if(s1len < s2len)
 +                      return -1;
 +              return 1;
 +      }
 +      return memcmp(s1, s2, s1len);
 +}
 +
 +size_t
 +nsec3_get_hashed(sldns_buffer* buf, uint8_t* nm, size_t nmlen, int algo, 
 +      size_t iter, uint8_t* salt, size_t saltlen, uint8_t* res, size_t max)
 +{
 +      size_t i, hash_len;
 +      /* prepare buffer for first iteration */
 +      sldns_buffer_clear(buf);
 +      sldns_buffer_write(buf, nm, nmlen);
 +      query_dname_tolower(sldns_buffer_begin(buf));
 +      sldns_buffer_write(buf, salt, saltlen);
 +      sldns_buffer_flip(buf);
 +      switch(algo) {
 +#if defined(HAVE_EVP_SHA1) || defined(HAVE_NSS)
 +              case NSEC3_HASH_SHA1:
 +#ifdef HAVE_SSL
 +                      hash_len = SHA_DIGEST_LENGTH;
 +#else
 +                      hash_len = SHA1_LENGTH;
 +#endif
 +                      if(hash_len > max)
 +                              return 0;
 +#  ifdef HAVE_SSL
 +                      (void)SHA1((unsigned char*)sldns_buffer_begin(buf),
 +                              (unsigned long)sldns_buffer_limit(buf),
 +                              (unsigned char*)res);
 +#  else
 +                      (void)HASH_HashBuf(HASH_AlgSHA1, (unsigned char*)res,
 +                              (unsigned char*)sldns_buffer_begin(buf),
 +                              (unsigned long)sldns_buffer_limit(buf));
 +#  endif
 +                      for(i=0; i<iter; i++) {
 +                              sldns_buffer_clear(buf);
 +                              sldns_buffer_write(buf, res, hash_len);
 +                              sldns_buffer_write(buf, salt, saltlen);
 +                              sldns_buffer_flip(buf);
 +#  ifdef HAVE_SSL
 +                              (void)SHA1(
 +                                      (unsigned char*)sldns_buffer_begin(buf),
 +                                      (unsigned long)sldns_buffer_limit(buf),
 +                                      (unsigned char*)res);
 +#  else
 +                              (void)HASH_HashBuf(HASH_AlgSHA1,
 +                                      (unsigned char*)res,
 +                                      (unsigned char*)sldns_buffer_begin(buf),
 +                                      (unsigned long)sldns_buffer_limit(buf));
 +#  endif
 +                      }
 +                      break;
 +#endif /* HAVE_EVP_SHA1 or NSS */
 +              default:
 +                      log_err("nsec3 hash of unknown algo %d", algo);
 +                      return 0;
 +      }
 +      return hash_len;
 +}
 +
 +/** perform hash of name */
 +static int
 +nsec3_calc_hash(struct regional* region, sldns_buffer* buf, 
 +      struct nsec3_cached_hash* c)
 +{
 +      int algo = nsec3_get_algo(c->nsec3, c->rr);
 +      size_t iter = nsec3_get_iter(c->nsec3, c->rr);
 +      uint8_t* salt;
 +      size_t saltlen, i;
 +      if(!nsec3_get_salt(c->nsec3, c->rr, &salt, &saltlen))
 +              return -1;
 +      /* prepare buffer for first iteration */
 +      sldns_buffer_clear(buf);
 +      sldns_buffer_write(buf, c->dname, c->dname_len);
 +      query_dname_tolower(sldns_buffer_begin(buf));
 +      sldns_buffer_write(buf, salt, saltlen);
 +      sldns_buffer_flip(buf);
 +      switch(algo) {
 +#if defined(HAVE_EVP_SHA1) || defined(HAVE_NSS)
 +              case NSEC3_HASH_SHA1:
 +#ifdef HAVE_SSL
 +                      c->hash_len = SHA_DIGEST_LENGTH;
 +#else
 +                      c->hash_len = SHA1_LENGTH;
 +#endif
 +                      c->hash = (uint8_t*)regional_alloc(region, 
 +                              c->hash_len);
 +                      if(!c->hash)
 +                              return 0;
 +#  ifdef HAVE_SSL
 +                      (void)SHA1((unsigned char*)sldns_buffer_begin(buf),
 +                              (unsigned long)sldns_buffer_limit(buf),
 +                              (unsigned char*)c->hash);
 +#  else
 +                      (void)HASH_HashBuf(HASH_AlgSHA1,
 +                              (unsigned char*)c->hash,
 +                              (unsigned char*)sldns_buffer_begin(buf),
 +                              (unsigned long)sldns_buffer_limit(buf));
 +#  endif
 +                      for(i=0; i<iter; i++) {
 +                              sldns_buffer_clear(buf);
 +                              sldns_buffer_write(buf, c->hash, c->hash_len);
 +                              sldns_buffer_write(buf, salt, saltlen);
 +                              sldns_buffer_flip(buf);
 +#  ifdef HAVE_SSL
 +                              (void)SHA1(
 +                                      (unsigned char*)sldns_buffer_begin(buf),
 +                                      (unsigned long)sldns_buffer_limit(buf),
 +                                      (unsigned char*)c->hash);
 +#  else
 +                              (void)HASH_HashBuf(HASH_AlgSHA1,
 +                                      (unsigned char*)c->hash,
 +                                      (unsigned char*)sldns_buffer_begin(buf),
 +                                      (unsigned long)sldns_buffer_limit(buf));
 +#  endif
 +                      }
 +                      break;
 +#endif /* HAVE_EVP_SHA1 or NSS */
 +              default:
 +                      log_err("nsec3 hash of unknown algo %d", algo);
 +                      return -1;
 +      }
 +      return 1;
 +}
 +
 +/** perform b32 encoding of hash */
 +static int
 +nsec3_calc_b32(struct regional* region, sldns_buffer* buf, 
 +      struct nsec3_cached_hash* c)
 +{
 +      int r;
 +      sldns_buffer_clear(buf);
 +      r = sldns_b32_ntop_extended_hex(c->hash, c->hash_len,
 +              (char*)sldns_buffer_begin(buf), sldns_buffer_limit(buf));
 +      if(r < 1) {
 +              log_err("b32_ntop_extended_hex: error in encoding: %d", r);
 +              return 0;
 +      }
 +      c->b32_len = (size_t)r;
 +      c->b32 = regional_alloc_init(region, sldns_buffer_begin(buf), 
 +              c->b32_len);
 +      if(!c->b32)
 +              return 0;
 +      return 1;
 +}
 +
 +int
 +nsec3_hash_name(rbtree_t* table, struct regional* region, sldns_buffer* buf,
 +      struct ub_packed_rrset_key* nsec3, int rr, uint8_t* dname, 
 +      size_t dname_len, struct nsec3_cached_hash** hash)
 +{
 +      struct nsec3_cached_hash* c;
 +      struct nsec3_cached_hash looki;
 +#ifdef UNBOUND_DEBUG
 +      rbnode_t* n;
 +#endif
 +      int r;
 +      looki.node.key = &looki;
 +      looki.nsec3 = nsec3;
 +      looki.rr = rr;
 +      looki.dname = dname;
 +      looki.dname_len = dname_len;
 +      /* lookup first in cache */
 +      c = (struct nsec3_cached_hash*)rbtree_search(table, &looki);
 +      if(c) {
 +              *hash = c;
 +              return 1;
 +      }
 +      /* create a new entry */
 +      c = (struct nsec3_cached_hash*)regional_alloc(region, sizeof(*c));
 +      if(!c) return 0;
 +      c->node.key = c;
 +      c->nsec3 = nsec3;
 +      c->rr = rr;
 +      c->dname = dname;
 +      c->dname_len = dname_len;
 +      r = nsec3_calc_hash(region, buf, c);
 +      if(r != 1)
 +              return r;
 +      r = nsec3_calc_b32(region, buf, c);
 +      if(r != 1)
 +              return r;
 +#ifdef UNBOUND_DEBUG
 +      n =
 +#else
 +      (void)
 +#endif
 +      rbtree_insert(table, &c->node);
 +      log_assert(n); /* cannot be duplicate, just did lookup */
 +      *hash = c;
 +      return 1;
 +}
 +
 +/**
 + * compare a label lowercased
 + */
 +static int
 +label_compare_lower(uint8_t* lab1, uint8_t* lab2, size_t lablen)
 +{
 +      size_t i;
 +      for(i=0; i<lablen; i++) {
 +              if(tolower((unsigned char)*lab1) != tolower((unsigned char)*lab2)) {
 +                      if(tolower((unsigned char)*lab1) < tolower((unsigned char)*lab2))
 +                              return -1;
 +                      return 1;
 +              }
 +              lab1++;
 +              lab2++;
 +      }
 +      return 0;
 +}
 +
 +/**
 + * Compare a hashed name with the owner name of an NSEC3 RRset.
 + * @param flt: filter with zone name.
 + * @param hash: the hashed name.
 + * @param s: rrset with owner name.
 + * @return true if matches exactly, false if not.
 + */
 +static int
 +nsec3_hash_matches_owner(struct nsec3_filter* flt, 
 +      struct nsec3_cached_hash* hash, struct ub_packed_rrset_key* s)
 +{
 +      uint8_t* nm = s->rk.dname;
 +      /* compare, does hash of name based on params in this NSEC3
 +       * match the owner name of this NSEC3? 
 +       * name must be: <hashlength>base32 . zone name 
 +       * so; first label must not be root label (not zero length),
 +       * and match the b32 encoded hash length, 
 +       * and the label content match the b32 encoded hash
 +       * and the rest must be the zone name.
 +       */
 +      if(hash->b32_len != 0 && (size_t)nm[0] == hash->b32_len &&
 +              label_compare_lower(nm+1, hash->b32, hash->b32_len) == 0 &&
 +              query_dname_compare(nm+(size_t)nm[0]+1, flt->zone) == 0) {
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +/**
 + * Find matching NSEC3
 + * Find the NSEC3Record that matches a hash of a name.
 + * @param env: module environment with temporary region and buffer.
 + * @param flt: the NSEC3 RR filter, contains zone name and RRs.
 + * @param ct: cached hashes table.
 + * @param nm: name to look for.
 + * @param nmlen: length of name.
 + * @param rrset: nsec3 that matches is returned here.
 + * @param rr: rr number in nsec3 rrset that matches.
 + * @return true if a matching NSEC3 is found, false if not.
 + */
 +static int
 +find_matching_nsec3(struct module_env* env, struct nsec3_filter* flt,
 +      rbtree_t* ct, uint8_t* nm, size_t nmlen, 
 +      struct ub_packed_rrset_key** rrset, int* rr)
 +{
 +      size_t i_rs;
 +      int i_rr;
 +      struct ub_packed_rrset_key* s;
 +      struct nsec3_cached_hash* hash;
 +      int r;
 +
 +      /* this loop skips other-zone and unknown NSEC3s, also non-NSEC3 RRs */
 +      for(s=filter_first(flt, &i_rs, &i_rr); s; 
 +              s=filter_next(flt, &i_rs, &i_rr)) {
 +              /* get name hashed for this NSEC3 RR */
 +              r = nsec3_hash_name(ct, env->scratch, env->scratch_buffer,
 +                      s, i_rr, nm, nmlen, &hash);
 +              if(r == 0) {
 +                      log_err("nsec3: malloc failure");
 +                      break; /* alloc failure */
 +              } else if(r < 0)
 +                      continue; /* malformed NSEC3 */
 +              else if(nsec3_hash_matches_owner(flt, hash, s)) {
 +                      *rrset = s; /* rrset with this name */
 +                      *rr = i_rr; /* matches hash with these parameters */
 +                      return 1;
 +              }
 +      }
 +      *rrset = NULL;
 +      *rr = 0;
 +      return 0;
 +}
 +
 +int
 +nsec3_covers(uint8_t* zone, struct nsec3_cached_hash* hash,
 +      struct ub_packed_rrset_key* rrset, int rr, sldns_buffer* buf)
 +{
 +      uint8_t* next, *owner;
 +      size_t nextlen;
 +      int len;
 +      if(!nsec3_get_nextowner(rrset, rr, &next, &nextlen))
 +              return 0; /* malformed RR proves nothing */
 +
 +      /* check the owner name is a hashed value . apex
 +       * base32 encoded values must have equal length. 
 +       * hash_value and next hash value must have equal length. */
 +      if(nextlen != hash->hash_len || hash->hash_len==0||hash->b32_len==0|| 
 +              (size_t)*rrset->rk.dname != hash->b32_len ||
 +              query_dname_compare(rrset->rk.dname+1+
 +                      (size_t)*rrset->rk.dname, zone) != 0)
 +              return 0; /* bad lengths or owner name */
 +
 +      /* This is the "normal case: owner < next and owner < hash < next */
 +      if(label_compare_lower(rrset->rk.dname+1, hash->b32, 
 +              hash->b32_len) < 0 && 
 +              memcmp(hash->hash, next, nextlen) < 0)
 +              return 1;
 +
 +      /* convert owner name from text to binary */
 +      sldns_buffer_clear(buf);
 +      owner = sldns_buffer_begin(buf);
 +      len = sldns_b32_pton_extended_hex((char*)rrset->rk.dname+1, 
 +              hash->b32_len, owner, sldns_buffer_limit(buf));
 +      if(len<1)
 +              return 0; /* bad owner name in some way */
 +      if((size_t)len != hash->hash_len || (size_t)len != nextlen)
 +              return 0; /* wrong length */
 +
 +      /* this is the end of zone case: next <= owner && 
 +       *      (hash > owner || hash < next) 
 +       * this also covers the only-apex case of next==owner.
 +       */
 +      if(memcmp(next, owner, nextlen) <= 0 &&
 +              ( memcmp(hash->hash, owner, nextlen) > 0 ||
 +                memcmp(hash->hash, next, nextlen) < 0)) {
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +/**
 + * findCoveringNSEC3
 + * Given a name, find a covering NSEC3 from among a list of NSEC3s.
 + *
 + * @param env: module environment with temporary region and buffer.
 + * @param flt: the NSEC3 RR filter, contains zone name and RRs.
 + * @param ct: cached hashes table.
 + * @param nm: name to check if covered.
 + * @param nmlen: length of name.
 + * @param rrset: covering NSEC3 rrset is returned here.
 + * @param rr: rr of cover is returned here.
 + * @return true if a covering NSEC3 is found, false if not.
 + */
 +static int
 +find_covering_nsec3(struct module_env* env, struct nsec3_filter* flt,
 +        rbtree_t* ct, uint8_t* nm, size_t nmlen, 
 +      struct ub_packed_rrset_key** rrset, int* rr)
 +{
 +      size_t i_rs;
 +      int i_rr;
 +      struct ub_packed_rrset_key* s;
 +      struct nsec3_cached_hash* hash;
 +      int r;
 +
 +      /* this loop skips other-zone and unknown NSEC3s, also non-NSEC3 RRs */
 +      for(s=filter_first(flt, &i_rs, &i_rr); s; 
 +              s=filter_next(flt, &i_rs, &i_rr)) {
 +              /* get name hashed for this NSEC3 RR */
 +              r = nsec3_hash_name(ct, env->scratch, env->scratch_buffer,
 +                      s, i_rr, nm, nmlen, &hash);
 +              if(r == 0) {
 +                      log_err("nsec3: malloc failure");
 +                      break; /* alloc failure */
 +              } else if(r < 0)
 +                      continue; /* malformed NSEC3 */
 +              else if(nsec3_covers(flt->zone, hash, s, i_rr, 
 +                      env->scratch_buffer)) {
 +                      *rrset = s; /* rrset with this name */
 +                      *rr = i_rr; /* covers hash with these parameters */
 +                      return 1;
 +              }
 +      }
 +      *rrset = NULL;
 +      *rr = 0;
 +      return 0;
 +}
 +
 +/**
 + * findClosestEncloser
 + * Given a name and a list of NSEC3s, find the candidate closest encloser.
 + * This will be the first ancestor of 'name' (including itself) to have a
 + * matching NSEC3 RR.
 + * @param env: module environment with temporary region and buffer.
 + * @param flt: the NSEC3 RR filter, contains zone name and RRs.
 + * @param ct: cached hashes table.
 + * @param qinfo: query that is verified for.
 + * @param ce: closest encloser information is returned in here.
 + * @return true if a closest encloser candidate is found, false if not.
 + */
 +static int
 +nsec3_find_closest_encloser(struct module_env* env, struct nsec3_filter* flt, 
 +      rbtree_t* ct, struct query_info* qinfo, struct ce_response* ce)
 +{
 +      uint8_t* nm = qinfo->qname;
 +      size_t nmlen = qinfo->qname_len;
 +
 +      /* This scans from longest name to shortest, so the first match 
 +       * we find is the only viable candidate. */
 +
 +      /* (David:) FIXME: modify so that the NSEC3 matching the zone apex need 
 +       * not be present. (Mark Andrews idea).
 +       * (Wouter:) But make sure you check for DNAME bit in zone apex,
 +       * if the NSEC3 you find is the only NSEC3 in the zone, then this
 +       * may be the case. */
 +
 +      while(dname_subdomain_c(nm, flt->zone)) {
 +              if(find_matching_nsec3(env, flt, ct, nm, nmlen, 
 +                      &ce->ce_rrset, &ce->ce_rr)) {
 +                      ce->ce = nm;
 +                      ce->ce_len = nmlen;
 +                      return 1;
 +              }
 +              dname_remove_label(&nm, &nmlen);
 +      }
 +      return 0;
 +}
 +
 +/**
 + * Given a qname and its proven closest encloser, calculate the "next
 + * closest" name. Basically, this is the name that is one label longer than
 + * the closest encloser that is still a subdomain of qname.
 + *
 + * @param qname: query name.
 + * @param qnamelen: length of qname.
 + * @param ce: closest encloser
 + * @param nm: result name.
 + * @param nmlen: length of nm.
 + */
 +static void
 +next_closer(uint8_t* qname, size_t qnamelen, uint8_t* ce, 
 +      uint8_t** nm, size_t* nmlen)
 +{
 +      int strip = dname_count_labels(qname) - dname_count_labels(ce) -1;
 +      *nm = qname;
 +      *nmlen = qnamelen;
 +      if(strip>0)
 +              dname_remove_labels(nm, nmlen, strip);
 +}
 +
 +/**
 + * proveClosestEncloser
 + * Given a List of nsec3 RRs, find and prove the closest encloser to qname.
 + * @param env: module environment with temporary region and buffer.
 + * @param flt: the NSEC3 RR filter, contains zone name and RRs.
 + * @param ct: cached hashes table.
 + * @param qinfo: query that is verified for.
 + * @param prove_does_not_exist: If true, then if the closest encloser 
 + *    turns out to be qname, then null is returned.
 + *    If set true, and the return value is true, then you can be 
 + *    certain that the ce.nc_rrset and ce.nc_rr are set properly.
 + * @param ce: closest encloser information is returned in here.
 + * @return bogus if no closest encloser could be proven.
 + *    secure if a closest encloser could be proven, ce is set.
 + *    insecure if the closest-encloser candidate turns out to prove
 + *            that an insecure delegation exists above the qname.
 + */
 +static enum sec_status
 +nsec3_prove_closest_encloser(struct module_env* env, struct nsec3_filter* flt, 
 +      rbtree_t* ct, struct query_info* qinfo, int prove_does_not_exist,
 +      struct ce_response* ce)
 +{
 +      uint8_t* nc;
 +      size_t nc_len;
 +      /* robust: clean out ce, in case it gets abused later */
 +      memset(ce, 0, sizeof(*ce));
 +
 +      if(!nsec3_find_closest_encloser(env, flt, ct, qinfo, ce)) {
 +              verbose(VERB_ALGO, "nsec3 proveClosestEncloser: could "
 +                      "not find a candidate for the closest encloser.");
 +              return sec_status_bogus;
 +      }
 +      log_nametypeclass(VERB_ALGO, "ce candidate", ce->ce, 0, 0);
 +
 +      if(query_dname_compare(ce->ce, qinfo->qname) == 0) {
 +              if(prove_does_not_exist) {
 +                      verbose(VERB_ALGO, "nsec3 proveClosestEncloser: "
 +                              "proved that qname existed, bad");
 +                      return sec_status_bogus;
 +              }
 +              /* otherwise, we need to nothing else to prove that qname 
 +               * is its own closest encloser. */
 +              return sec_status_secure;
 +      }
 +
 +      /* If the closest encloser is actually a delegation, then the 
 +       * response should have been a referral. If it is a DNAME, then 
 +       * it should have been a DNAME response. */
 +      if(nsec3_has_type(ce->ce_rrset, ce->ce_rr, LDNS_RR_TYPE_NS) &&
 +              !nsec3_has_type(ce->ce_rrset, ce->ce_rr, LDNS_RR_TYPE_SOA)) {
 +              if(!nsec3_has_type(ce->ce_rrset, ce->ce_rr, LDNS_RR_TYPE_DS)) {
 +                      verbose(VERB_ALGO, "nsec3 proveClosestEncloser: "
 +                              "closest encloser is insecure delegation");
 +                      return sec_status_insecure;
 +              }
 +              verbose(VERB_ALGO, "nsec3 proveClosestEncloser: closest "
 +                      "encloser was a delegation, bad");
 +              return sec_status_bogus;
 +      }
 +      if(nsec3_has_type(ce->ce_rrset, ce->ce_rr, LDNS_RR_TYPE_DNAME)) {
 +              verbose(VERB_ALGO, "nsec3 proveClosestEncloser: closest "
 +                      "encloser was a DNAME, bad");
 +              return sec_status_bogus;
 +      }
 +      
 +      /* Otherwise, we need to show that the next closer name is covered. */
 +      next_closer(qinfo->qname, qinfo->qname_len, ce->ce, &nc, &nc_len);
 +      if(!find_covering_nsec3(env, flt, ct, nc, nc_len, 
 +              &ce->nc_rrset, &ce->nc_rr)) {
 +              verbose(VERB_ALGO, "nsec3: Could not find proof that the "
 +                        "candidate encloser was the closest encloser");
 +              return sec_status_bogus;
 +      }
 +      return sec_status_secure;
 +}
 +
 +/** allocate a wildcard for the closest encloser */
 +static uint8_t*
 +nsec3_ce_wildcard(struct regional* region, uint8_t* ce, size_t celen,
 +      size_t* len)
 +{
 +      uint8_t* nm;
 +      if(celen > LDNS_MAX_DOMAINLEN - 2)
 +              return 0; /* too long */
 +      nm = (uint8_t*)regional_alloc(region, celen+2);
 +      if(!nm) {
 +              log_err("nsec3 wildcard: out of memory");
 +              return 0; /* alloc failure */
 +      }
 +      nm[0] = 1;
 +      nm[1] = (uint8_t)'*'; /* wildcard label */
 +      memmove(nm+2, ce, celen);
 +      *len = celen+2;
 +      return nm;
 +}
 +
 +/** Do the name error proof */
 +static enum sec_status
 +nsec3_do_prove_nameerror(struct module_env* env, struct nsec3_filter* flt, 
 +      rbtree_t* ct, struct query_info* qinfo)
 +{
 +      struct ce_response ce;
 +      uint8_t* wc;
 +      size_t wclen;
 +      struct ub_packed_rrset_key* wc_rrset;
 +      int wc_rr;
 +      enum sec_status sec;
 +
 +      /* First locate and prove the closest encloser to qname. We will 
 +       * use the variant that fails if the closest encloser turns out 
 +       * to be qname. */
 +      sec = nsec3_prove_closest_encloser(env, flt, ct, qinfo, 1, &ce);
 +      if(sec != sec_status_secure) {
 +              if(sec == sec_status_bogus)
 +                      verbose(VERB_ALGO, "nsec3 nameerror proof: failed "
 +                              "to prove a closest encloser");
 +              else    verbose(VERB_ALGO, "nsec3 nameerror proof: closest "
 +                              "nsec3 is an insecure delegation");
 +              return sec;
 +      }
 +      log_nametypeclass(VERB_ALGO, "nsec3 namerror: proven ce=", ce.ce,0,0);
 +
 +      /* At this point, we know that qname does not exist. Now we need 
 +       * to prove that the wildcard does not exist. */
 +      log_assert(ce.ce);
 +      wc = nsec3_ce_wildcard(env->scratch, ce.ce, ce.ce_len, &wclen);
 +      if(!wc || !find_covering_nsec3(env, flt, ct, wc, wclen, 
 +              &wc_rrset, &wc_rr)) {
 +              verbose(VERB_ALGO, "nsec3 nameerror proof: could not prove "
 +                      "that the applicable wildcard did not exist.");
 +              return sec_status_bogus;
 +      }
 +
 +      if(ce.nc_rrset && nsec3_has_optout(ce.nc_rrset, ce.nc_rr)) {
 +              verbose(VERB_ALGO, "nsec3 nameerror proof: nc has optout");
 +              return sec_status_insecure;
 +      }
 +      return sec_status_secure;
 +}
 +
 +enum sec_status
 +nsec3_prove_nameerror(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key** list, size_t num,
 +      struct query_info* qinfo, struct key_entry_key* kkey)
 +{
 +      rbtree_t ct;
 +      struct nsec3_filter flt;
 +
 +      if(!list || num == 0 || !kkey || !key_entry_isgood(kkey))
 +              return sec_status_bogus; /* no valid NSEC3s, bogus */
 +      rbtree_init(&ct, &nsec3_hash_cmp); /* init names-to-hash cache */
 +      filter_init(&flt, list, num, qinfo); /* init RR iterator */
 +      if(!flt.zone)
 +              return sec_status_bogus; /* no RRs */
 +      if(nsec3_iteration_count_high(ve, &flt, kkey))
 +              return sec_status_insecure; /* iteration count too high */
 +      log_nametypeclass(VERB_ALGO, "start nsec3 nameerror proof, zone", 
 +              flt.zone, 0, 0);
 +      return nsec3_do_prove_nameerror(env, &flt, &ct, qinfo);
 +}
 +
 +/* 
 + * No code to handle qtype=NSEC3 specially. 
 + * This existed in early drafts, but was later (-05) removed.
 + */
 +
 +/** Do the nodata proof */
 +static enum sec_status
 +nsec3_do_prove_nodata(struct module_env* env, struct nsec3_filter* flt, 
 +      rbtree_t* ct, struct query_info* qinfo)
 +{
 +      struct ce_response ce;
 +      uint8_t* wc;
 +      size_t wclen;
 +      struct ub_packed_rrset_key* rrset;
 +      int rr;
 +      enum sec_status sec;
 +
 +      if(find_matching_nsec3(env, flt, ct, qinfo->qname, qinfo->qname_len, 
 +              &rrset, &rr)) {
 +              /* cases 1 and 2 */
 +              if(nsec3_has_type(rrset, rr, qinfo->qtype)) {
 +                      verbose(VERB_ALGO, "proveNodata: Matching NSEC3 "
 +                              "proved that type existed, bogus");
 +                      return sec_status_bogus;
 +              } else if(nsec3_has_type(rrset, rr, LDNS_RR_TYPE_CNAME)) {
 +                      verbose(VERB_ALGO, "proveNodata: Matching NSEC3 "
 +                              "proved that a CNAME existed, bogus");
 +                      return sec_status_bogus;
 +              }
 +
 +              /* 
 +               * If type DS: filter_init zone find already found a parent
 +               *   zone, so this nsec3 is from a parent zone. 
 +               *   o can be not a delegation (unusual query for normal name,
 +               *      no DS anyway, but we can verify that).
 +               *   o can be a delegation (which is the usual DS check).
 +               *   o may not have the SOA bit set (only the top of the
 +               *      zone, which must have been above the name, has that).
 +               *      Except for the root; which is checked by itself.
 +               *
 +               * If not type DS: matching nsec3 must not be a delegation.
 +               */
 +              if(qinfo->qtype == LDNS_RR_TYPE_DS && qinfo->qname_len != 1 
 +                      && nsec3_has_type(rrset, rr, LDNS_RR_TYPE_SOA) &&
 +                      !dname_is_root(qinfo->qname)) {
 +                      verbose(VERB_ALGO, "proveNodata: apex NSEC3 "
 +                              "abused for no DS proof, bogus");
 +                      return sec_status_bogus;
 +              } else if(qinfo->qtype != LDNS_RR_TYPE_DS && 
 +                      nsec3_has_type(rrset, rr, LDNS_RR_TYPE_NS) &&
 +                      !nsec3_has_type(rrset, rr, LDNS_RR_TYPE_SOA)) {
 +                      if(!nsec3_has_type(rrset, rr, LDNS_RR_TYPE_DS)) {
 +                              verbose(VERB_ALGO, "proveNodata: matching "
 +                                      "NSEC3 is insecure delegation");
 +                              return sec_status_insecure;
 +                      }
 +                      verbose(VERB_ALGO, "proveNodata: matching "
 +                              "NSEC3 is a delegation, bogus");
 +                      return sec_status_bogus;
 +              }
 +              return sec_status_secure;
 +      }
 +
 +      /* For cases 3 - 5, we need the proven closest encloser, and it 
 +       * can't match qname. Although, at this point, we know that it 
 +       * won't since we just checked that. */
 +      sec = nsec3_prove_closest_encloser(env, flt, ct, qinfo, 1, &ce);
 +      if(sec == sec_status_bogus) {
 +              verbose(VERB_ALGO, "proveNodata: did not match qname, "
 +                        "nor found a proven closest encloser.");
 +              return sec_status_bogus;
 +      } else if(sec==sec_status_insecure && qinfo->qtype!=LDNS_RR_TYPE_DS){
 +              verbose(VERB_ALGO, "proveNodata: closest nsec3 is insecure "
 +                        "delegation.");
 +              return sec_status_insecure;
 +      }
 +
 +      /* Case 3: removed */
 +
 +      /* Case 4: */
 +      log_assert(ce.ce);
 +      wc = nsec3_ce_wildcard(env->scratch, ce.ce, ce.ce_len, &wclen);
 +      if(wc && find_matching_nsec3(env, flt, ct, wc, wclen, &rrset, &rr)) {
 +              /* found wildcard */
 +              if(nsec3_has_type(rrset, rr, qinfo->qtype)) {
 +                      verbose(VERB_ALGO, "nsec3 nodata proof: matching "
 +                              "wildcard had qtype, bogus");
 +                      return sec_status_bogus;
 +              } else if(nsec3_has_type(rrset, rr, LDNS_RR_TYPE_CNAME)) {
 +                      verbose(VERB_ALGO, "nsec3 nodata proof: matching "
 +                              "wildcard had a CNAME, bogus");
 +                      return sec_status_bogus;
 +              }
 +              if(qinfo->qtype == LDNS_RR_TYPE_DS && qinfo->qname_len != 1 
 +                      && nsec3_has_type(rrset, rr, LDNS_RR_TYPE_SOA)) {
 +                      verbose(VERB_ALGO, "nsec3 nodata proof: matching "
 +                              "wildcard for no DS proof has a SOA, bogus");
 +                      return sec_status_bogus;
 +              } else if(qinfo->qtype != LDNS_RR_TYPE_DS && 
 +                      nsec3_has_type(rrset, rr, LDNS_RR_TYPE_NS) &&
 +                      !nsec3_has_type(rrset, rr, LDNS_RR_TYPE_SOA)) {
 +                      verbose(VERB_ALGO, "nsec3 nodata proof: matching "
 +                              "wilcard is a delegation, bogus");
 +                      return sec_status_bogus;
 +              }
 +              /* everything is peachy keen, except for optout spans */
 +              if(ce.nc_rrset && nsec3_has_optout(ce.nc_rrset, ce.nc_rr)) {
 +                      verbose(VERB_ALGO, "nsec3 nodata proof: matching "
 +                              "wildcard is in optout range, insecure");
 +                      return sec_status_insecure;
 +              }
 +              return sec_status_secure;
 +      }
 +
 +      /* Case 5: */
 +      /* Due to forwarders, cnames, and other collating effects, we
 +       * can see the ordinary unsigned data from a zone beneath an
 +       * insecure delegation under an optout here */
 +      if(!ce.nc_rrset) {
 +              verbose(VERB_ALGO, "nsec3 nodata proof: no next closer nsec3");
 +              return sec_status_bogus;
 +      }
 +
 +      /* We need to make sure that the covering NSEC3 is opt-out. */
 +      log_assert(ce.nc_rrset);
 +      if(!nsec3_has_optout(ce.nc_rrset, ce.nc_rr)) {
 +              if(qinfo->qtype == LDNS_RR_TYPE_DS)
 +                verbose(VERB_ALGO, "proveNodata: covering NSEC3 was not "
 +                      "opt-out in an opt-out DS NOERROR/NODATA case.");
 +              else verbose(VERB_ALGO, "proveNodata: could not find matching "
 +                      "NSEC3, nor matching wildcard, nor optout NSEC3 "
 +                      "-- no more options, bogus.");
 +              return sec_status_bogus;
 +      }
 +      /* RFC5155 section 9.2: if nc has optout then no AD flag set */
 +      return sec_status_insecure;
 +}
 +
 +enum sec_status
 +nsec3_prove_nodata(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key** list, size_t num,
 +      struct query_info* qinfo, struct key_entry_key* kkey)
 +{
 +      rbtree_t ct;
 +      struct nsec3_filter flt;
 +
 +      if(!list || num == 0 || !kkey || !key_entry_isgood(kkey))
 +              return sec_status_bogus; /* no valid NSEC3s, bogus */
 +      rbtree_init(&ct, &nsec3_hash_cmp); /* init names-to-hash cache */
 +      filter_init(&flt, list, num, qinfo); /* init RR iterator */
 +      if(!flt.zone)
 +              return sec_status_bogus; /* no RRs */
 +      if(nsec3_iteration_count_high(ve, &flt, kkey))
 +              return sec_status_insecure; /* iteration count too high */
 +      return nsec3_do_prove_nodata(env, &flt, &ct, qinfo);
 +}
 +
 +enum sec_status
 +nsec3_prove_wildcard(struct module_env* env, struct val_env* ve,
 +        struct ub_packed_rrset_key** list, size_t num,
 +      struct query_info* qinfo, struct key_entry_key* kkey, uint8_t* wc)
 +{
 +      rbtree_t ct;
 +      struct nsec3_filter flt;
 +      struct ce_response ce;
 +      uint8_t* nc;
 +      size_t nc_len;
 +      size_t wclen;
 +      (void)dname_count_size_labels(wc, &wclen);
 +
 +      if(!list || num == 0 || !kkey || !key_entry_isgood(kkey))
 +              return sec_status_bogus; /* no valid NSEC3s, bogus */
 +      rbtree_init(&ct, &nsec3_hash_cmp); /* init names-to-hash cache */
 +      filter_init(&flt, list, num, qinfo); /* init RR iterator */
 +      if(!flt.zone)
 +              return sec_status_bogus; /* no RRs */
 +      if(nsec3_iteration_count_high(ve, &flt, kkey))
 +              return sec_status_insecure; /* iteration count too high */
 +
 +      /* We know what the (purported) closest encloser is by just 
 +       * looking at the supposed generating wildcard. 
 +       * The *. has already been removed from the wc name.
 +       */
 +      memset(&ce, 0, sizeof(ce));
 +      ce.ce = wc;
 +      ce.ce_len = wclen;
 +
 +      /* Now we still need to prove that the original data did not exist.
 +       * Otherwise, we need to show that the next closer name is covered. */
 +      next_closer(qinfo->qname, qinfo->qname_len, ce.ce, &nc, &nc_len);
 +      if(!find_covering_nsec3(env, &flt, &ct, nc, nc_len, 
 +              &ce.nc_rrset, &ce.nc_rr)) {
 +              verbose(VERB_ALGO, "proveWildcard: did not find a covering "
 +                      "NSEC3 that covered the next closer name.");
 +              return sec_status_bogus;
 +      }
 +      if(ce.nc_rrset && nsec3_has_optout(ce.nc_rrset, ce.nc_rr)) {
 +              verbose(VERB_ALGO, "proveWildcard: NSEC3 optout");
 +              return sec_status_insecure;
 +      }
 +      return sec_status_secure;
 +}
 +
 +/** test if list is all secure */
 +static int
 +list_is_secure(struct module_env* env, struct val_env* ve, 
 +      struct ub_packed_rrset_key** list, size_t num,
 +      struct key_entry_key* kkey, char** reason)
 +{
 +      struct packed_rrset_data* d;
 +      size_t i;
 +      for(i=0; i<num; i++) {
 +              d = (struct packed_rrset_data*)list[i]->entry.data;
 +              if(list[i]->rk.type != htons(LDNS_RR_TYPE_NSEC3))
 +                      continue;
 +              if(d->security == sec_status_secure)
 +                      continue;
 +              rrset_check_sec_status(env->rrset_cache, list[i], *env->now);
 +              if(d->security == sec_status_secure)
 +                      continue;
 +              d->security = val_verify_rrset_entry(env, ve, list[i], kkey,
 +                      reason);
 +              if(d->security != sec_status_secure) {
 +                      verbose(VERB_ALGO, "NSEC3 did not verify");
 +                      return 0;
 +              }
 +              rrset_update_sec_status(env->rrset_cache, list[i], *env->now);
 +      }
 +      return 1;
 +}
 +
 +enum sec_status
 +nsec3_prove_nods(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key** list, size_t num,
 +      struct query_info* qinfo, struct key_entry_key* kkey, char** reason)
 +{
 +      rbtree_t ct;
 +      struct nsec3_filter flt;
 +      struct ce_response ce;
 +      struct ub_packed_rrset_key* rrset;
 +      int rr;
 +      log_assert(qinfo->qtype == LDNS_RR_TYPE_DS);
 +
 +      if(!list || num == 0 || !kkey || !key_entry_isgood(kkey)) {
 +              *reason = "no valid NSEC3s";
 +              return sec_status_bogus; /* no valid NSEC3s, bogus */
 +      }
 +      if(!list_is_secure(env, ve, list, num, kkey, reason))
 +              return sec_status_bogus; /* not all NSEC3 records secure */
 +      rbtree_init(&ct, &nsec3_hash_cmp); /* init names-to-hash cache */
 +      filter_init(&flt, list, num, qinfo); /* init RR iterator */
 +      if(!flt.zone) {
 +              *reason = "no NSEC3 records";
 +              return sec_status_bogus; /* no RRs */
 +      }
 +      if(nsec3_iteration_count_high(ve, &flt, kkey))
 +              return sec_status_insecure; /* iteration count too high */
 +
 +      /* Look for a matching NSEC3 to qname -- this is the normal 
 +       * NODATA case. */
 +      if(find_matching_nsec3(env, &flt, &ct, qinfo->qname, qinfo->qname_len, 
 +              &rrset, &rr)) {
 +              /* If the matching NSEC3 has the SOA bit set, it is from 
 +               * the wrong zone (the child instead of the parent). If 
 +               * it has the DS bit set, then we were lied to. */
 +              if(nsec3_has_type(rrset, rr, LDNS_RR_TYPE_SOA) && 
 +                      qinfo->qname_len != 1) {
 +                      verbose(VERB_ALGO, "nsec3 provenods: NSEC3 is from"
 +                              " child zone, bogus");
 +                      *reason = "NSEC3 from child zone";
 +                      return sec_status_bogus;
 +              } else if(nsec3_has_type(rrset, rr, LDNS_RR_TYPE_DS)) {
 +                      verbose(VERB_ALGO, "nsec3 provenods: NSEC3 has qtype"
 +                              " DS, bogus");
 +                      *reason = "NSEC3 has DS in bitmap";
 +                      return sec_status_bogus;
 +              }
 +              /* If the NSEC3 RR doesn't have the NS bit set, then 
 +               * this wasn't a delegation point. */
 +              if(!nsec3_has_type(rrset, rr, LDNS_RR_TYPE_NS))
 +                      return sec_status_indeterminate;
 +              /* Otherwise, this proves no DS. */
 +              return sec_status_secure;
 +      }
 +
 +      /* Otherwise, we are probably in the opt-out case. */
 +      if(nsec3_prove_closest_encloser(env, &flt, &ct, qinfo, 1, &ce)
 +              != sec_status_secure) {
 +              /* an insecure delegation *above* the qname does not prove
 +               * anything about this qname exactly, and bogus is bogus */
 +              verbose(VERB_ALGO, "nsec3 provenods: did not match qname, "
 +                        "nor found a proven closest encloser.");
 +              *reason = "no NSEC3 closest encloser";
 +              return sec_status_bogus;
 +      }
 +
 +      /* robust extra check */
 +      if(!ce.nc_rrset) {
 +              verbose(VERB_ALGO, "nsec3 nods proof: no next closer nsec3");
 +              *reason = "no NSEC3 next closer";
 +              return sec_status_bogus;
 +      }
 +
 +      /* we had the closest encloser proof, then we need to check that the
 +       * covering NSEC3 was opt-out -- the proveClosestEncloser step already
 +       * checked to see if the closest encloser was a delegation or DNAME.
 +       */
 +      log_assert(ce.nc_rrset);
 +      if(!nsec3_has_optout(ce.nc_rrset, ce.nc_rr)) {
 +              verbose(VERB_ALGO, "nsec3 provenods: covering NSEC3 was not "
 +                      "opt-out in an opt-out DS NOERROR/NODATA case.");
 +              *reason = "covering NSEC3 was not opt-out in an opt-out "
 +                      "DS NOERROR/NODATA case";
 +              return sec_status_bogus;
 +      }
 +      /* RFC5155 section 9.2: if nc has optout then no AD flag set */
 +      return sec_status_insecure;
 +}
 +
 +enum sec_status
 +nsec3_prove_nxornodata(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key** list, size_t num, 
 +      struct query_info* qinfo, struct key_entry_key* kkey, int* nodata)
 +{
 +      enum sec_status sec, secnx;
 +      rbtree_t ct;
 +      struct nsec3_filter flt;
 +      *nodata = 0;
 +
 +      if(!list || num == 0 || !kkey || !key_entry_isgood(kkey))
 +              return sec_status_bogus; /* no valid NSEC3s, bogus */
 +      rbtree_init(&ct, &nsec3_hash_cmp); /* init names-to-hash cache */
 +      filter_init(&flt, list, num, qinfo); /* init RR iterator */
 +      if(!flt.zone)
 +              return sec_status_bogus; /* no RRs */
 +      if(nsec3_iteration_count_high(ve, &flt, kkey))
 +              return sec_status_insecure; /* iteration count too high */
 +
 +      /* try nxdomain and nodata after another, while keeping the
 +       * hash cache intact */
 +
 +      secnx = nsec3_do_prove_nameerror(env, &flt, &ct, qinfo);
 +      if(secnx==sec_status_secure)
 +              return sec_status_secure;
 +      sec = nsec3_do_prove_nodata(env, &flt, &ct, qinfo);
 +      if(sec==sec_status_secure) {
 +              *nodata = 1;
 +      } else if(sec == sec_status_insecure) {
 +              *nodata = 1;
 +      } else if(secnx == sec_status_insecure) {
 +              sec = sec_status_insecure;
 +      }
 +      return sec;
 +}
diff --cc contrib/unbound/validator/val_secalgo.c
index 3437c8da60478ef41f26e46ca041fdb1d2bdfe59,0000000000000000000000000000000000000000..8ed403dfcf92d10b5076fc068a1c2d6faf9cfbb6
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_secalgo.c
--- /dev/null
+++ b/contrib/unbound/validator/val_secalgo.c
@@@ -1,1073 -1,0 +1,1073 @@@
- #include "ldns/rrdef.h"
- #include "ldns/keyraw.h"
- #include "ldns/sbuffer.h"
 +/*
 + * validator/val_secalgo.c - validator security algorithm functions.
 + *
 + * Copyright (c) 2012, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains helper functions for the validator module.
 + * These functions take raw data buffers, formatted for crypto verification,
 + * and do the library calls (for the crypto library in use).
 + */
 +#include "config.h"
 +/* packed_rrset on top to define enum types (forced by c99 standard) */
 +#include "util/data/packed_rrset.h"
 +#include "validator/val_secalgo.h"
 +#include "util/log.h"
++#include "sldns/rrdef.h"
++#include "sldns/keyraw.h"
++#include "sldns/sbuffer.h"
 +
 +#if !defined(HAVE_SSL) && !defined(HAVE_NSS)
 +#error "Need crypto library to do digital signature cryptography"
 +#endif
 +
 +/* OpenSSL implementation */
 +#ifdef HAVE_SSL
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +
 +/**
 + * Return size of DS digest according to its hash algorithm.
 + * @param algo: DS digest algo.
 + * @return size in bytes of digest, or 0 if not supported. 
 + */
 +size_t
 +ds_digest_size_supported(int algo)
 +{
 +      switch(algo) {
 +#ifdef HAVE_EVP_SHA1
 +              case LDNS_SHA1:
 +                      return SHA_DIGEST_LENGTH;
 +#endif
 +#ifdef HAVE_EVP_SHA256
 +              case LDNS_SHA256:
 +                      return SHA256_DIGEST_LENGTH;
 +#endif
 +#ifdef USE_GOST
 +              case LDNS_HASH_GOST:
 +                      if(EVP_get_digestbyname("md_gost94"))
 +                              return 32;
 +                      else    return 0;
 +#endif
 +#ifdef USE_ECDSA
 +              case LDNS_SHA384:
 +                      return SHA384_DIGEST_LENGTH;
 +#endif
 +              default: break;
 +      }
 +      return 0;
 +}
 +
 +#ifdef USE_GOST
 +/** Perform GOST hash */
 +static int
 +do_gost94(unsigned char* data, size_t len, unsigned char* dest)
 +{
 +      const EVP_MD* md = EVP_get_digestbyname("md_gost94");
 +      if(!md) 
 +              return 0;
 +      return sldns_digest_evp(data, (unsigned int)len, dest, md);
 +}
 +#endif
 +
 +int
 +secalgo_ds_digest(int algo, unsigned char* buf, size_t len,
 +      unsigned char* res)
 +{
 +      switch(algo) {
 +#ifdef HAVE_EVP_SHA1
 +              case LDNS_SHA1:
 +                      (void)SHA1(buf, len, res);
 +                      return 1;
 +#endif
 +#ifdef HAVE_EVP_SHA256
 +              case LDNS_SHA256:
 +                      (void)SHA256(buf, len, res);
 +                      return 1;
 +#endif
 +#ifdef USE_GOST
 +              case LDNS_HASH_GOST:
 +                      if(do_gost94(buf, len, res))
 +                              return 1;
 +                      break;
 +#endif
 +#ifdef USE_ECDSA
 +              case LDNS_SHA384:
 +                      (void)SHA384(buf, len, res);
 +                      return 1;
 +#endif
 +              default: 
 +                      verbose(VERB_QUERY, "unknown DS digest algorithm %d", 
 +                              algo);
 +                      break;
 +      }
 +      return 0;
 +}
 +
 +/** return true if DNSKEY algorithm id is supported */
 +int
 +dnskey_algo_id_is_supported(int id)
 +{
 +      switch(id) {
 +      case LDNS_RSAMD5:
 +              /* RFC 6725 deprecates RSAMD5 */
 +              return 0;
 +      case LDNS_DSA:
 +      case LDNS_DSA_NSEC3:
 +      case LDNS_RSASHA1:
 +      case LDNS_RSASHA1_NSEC3:
 +#if defined(HAVE_EVP_SHA256) && defined(USE_SHA2)
 +      case LDNS_RSASHA256:
 +#endif
 +#if defined(HAVE_EVP_SHA512) && defined(USE_SHA2)
 +      case LDNS_RSASHA512:
 +#endif
 +#ifdef USE_ECDSA
 +      case LDNS_ECDSAP256SHA256:
 +      case LDNS_ECDSAP384SHA384:
 +#endif
 +              return 1;
 +#ifdef USE_GOST
 +      case LDNS_ECC_GOST:
 +              /* we support GOST if it can be loaded */
 +              return sldns_key_EVP_load_gost_id();
 +#endif
 +      default:
 +              return 0;
 +      }
 +}
 +
 +/**
 + * Output a libcrypto openssl error to the logfile.
 + * @param str: string to add to it.
 + * @param e: the error to output, error number from ERR_get_error().
 + */
 +static void
 +log_crypto_error(const char* str, unsigned long e)
 +{
 +      char buf[128];
 +      /* or use ERR_error_string if ERR_error_string_n is not avail TODO */
 +      ERR_error_string_n(e, buf, sizeof(buf));
 +      /* buf now contains */
 +      /* error:[error code]:[library name]:[function name]:[reason string] */
 +      log_err("%s crypto %s", str, buf);
 +}
 +
 +/**
 + * Setup DSA key digest in DER encoding ... 
 + * @param sig: input is signature output alloced ptr (unless failure).
 + *    caller must free alloced ptr if this routine returns true.
 + * @param len: input is initial siglen, output is output len.
 + * @return false on failure.
 + */
 +static int
 +setup_dsa_sig(unsigned char** sig, unsigned int* len)
 +{
 +      unsigned char* orig = *sig;
 +      unsigned int origlen = *len;
 +      int newlen;
 +      BIGNUM *R, *S;
 +      DSA_SIG *dsasig;
 +
 +      /* extract the R and S field from the sig buffer */
 +      if(origlen < 1 + 2*SHA_DIGEST_LENGTH)
 +              return 0;
 +      R = BN_new();
 +      if(!R) return 0;
 +      (void) BN_bin2bn(orig + 1, SHA_DIGEST_LENGTH, R);
 +      S = BN_new();
 +      if(!S) return 0;
 +      (void) BN_bin2bn(orig + 21, SHA_DIGEST_LENGTH, S);
 +      dsasig = DSA_SIG_new();
 +      if(!dsasig) return 0;
 +
 +      dsasig->r = R;
 +      dsasig->s = S;
 +      *sig = NULL;
 +      newlen = i2d_DSA_SIG(dsasig, sig);
 +      if(newlen < 0) {
 +              DSA_SIG_free(dsasig);
 +              free(*sig);
 +              return 0;
 +      }
 +      *len = (unsigned int)newlen;
 +      DSA_SIG_free(dsasig);
 +      return 1;
 +}
 +
 +#ifdef USE_ECDSA
 +/**
 + * Setup the ECDSA signature in its encoding that the library wants.
 + * Converts from plain numbers to ASN formatted.
 + * @param sig: input is signature, output alloced ptr (unless failure).
 + *    caller must free alloced ptr if this routine returns true.
 + * @param len: input is initial siglen, output is output len.
 + * @return false on failure.
 + */
 +static int
 +setup_ecdsa_sig(unsigned char** sig, unsigned int* len)
 +{
 +      ECDSA_SIG* ecdsa_sig;
 +      int newlen;
 +      int bnsize = (int)((*len)/2);
 +      /* if too short or not even length, fails */
 +      if(*len < 16 || bnsize*2 != (int)*len)
 +              return 0;
 +      /* use the raw data to parse two evenly long BIGNUMs, "r | s". */
 +      ecdsa_sig = ECDSA_SIG_new();
 +      if(!ecdsa_sig) return 0;
 +      ecdsa_sig->r = BN_bin2bn(*sig, bnsize, ecdsa_sig->r);
 +      ecdsa_sig->s = BN_bin2bn(*sig+bnsize, bnsize, ecdsa_sig->s);
 +      if(!ecdsa_sig->r || !ecdsa_sig->s) {
 +              ECDSA_SIG_free(ecdsa_sig);
 +              return 0;
 +      }
 +
 +      /* spool it into ASN format */
 +      *sig = NULL;
 +      newlen = i2d_ECDSA_SIG(ecdsa_sig, sig);
 +      if(newlen <= 0) {
 +              ECDSA_SIG_free(ecdsa_sig);
 +              free(*sig);
 +              return 0;
 +      }
 +      *len = (unsigned int)newlen;
 +      ECDSA_SIG_free(ecdsa_sig);
 +      return 1;
 +}
 +#endif /* USE_ECDSA */
 +
 +/**
 + * Setup key and digest for verification. Adjust sig if necessary.
 + *
 + * @param algo: key algorithm
 + * @param evp_key: EVP PKEY public key to create.
 + * @param digest_type: digest type to use
 + * @param key: key to setup for.
 + * @param keylen: length of key.
 + * @return false on failure.
 + */
 +static int
 +setup_key_digest(int algo, EVP_PKEY** evp_key, const EVP_MD** digest_type, 
 +      unsigned char* key, size_t keylen)
 +{
 +      DSA* dsa;
 +      RSA* rsa;
 +
 +      switch(algo) {
 +              case LDNS_DSA:
 +              case LDNS_DSA_NSEC3:
 +                      *evp_key = EVP_PKEY_new();
 +                      if(!*evp_key) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      dsa = sldns_key_buf2dsa_raw(key, keylen);
 +                      if(!dsa) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_key_buf2dsa_raw failed");
 +                              return 0;
 +                      }
 +                      if(EVP_PKEY_assign_DSA(*evp_key, dsa) == 0) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "EVP_PKEY_assign_DSA failed");
 +                              return 0;
 +                      }
 +                      *digest_type = EVP_dss1();
 +
 +                      break;
 +              case LDNS_RSASHA1:
 +              case LDNS_RSASHA1_NSEC3:
 +#if defined(HAVE_EVP_SHA256) && defined(USE_SHA2)
 +              case LDNS_RSASHA256:
 +#endif
 +#if defined(HAVE_EVP_SHA512) && defined(USE_SHA2)
 +              case LDNS_RSASHA512:
 +#endif
 +                      *evp_key = EVP_PKEY_new();
 +                      if(!*evp_key) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      rsa = sldns_key_buf2rsa_raw(key, keylen);
 +                      if(!rsa) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_key_buf2rsa_raw SHA failed");
 +                              return 0;
 +                      }
 +                      if(EVP_PKEY_assign_RSA(*evp_key, rsa) == 0) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "EVP_PKEY_assign_RSA SHA failed");
 +                              return 0;
 +                      }
 +
 +                      /* select SHA version */
 +#if defined(HAVE_EVP_SHA256) && defined(USE_SHA2)
 +                      if(algo == LDNS_RSASHA256)
 +                              *digest_type = EVP_sha256();
 +                      else
 +#endif
 +#if defined(HAVE_EVP_SHA512) && defined(USE_SHA2)
 +                              if(algo == LDNS_RSASHA512)
 +                              *digest_type = EVP_sha512();
 +                      else
 +#endif
 +                              *digest_type = EVP_sha1();
 +
 +                      break;
 +              case LDNS_RSAMD5:
 +                      *evp_key = EVP_PKEY_new();
 +                      if(!*evp_key) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      rsa = sldns_key_buf2rsa_raw(key, keylen);
 +                      if(!rsa) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_key_buf2rsa_raw MD5 failed");
 +                              return 0;
 +                      }
 +                      if(EVP_PKEY_assign_RSA(*evp_key, rsa) == 0) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "EVP_PKEY_assign_RSA MD5 failed");
 +                              return 0;
 +                      }
 +                      *digest_type = EVP_md5();
 +
 +                      break;
 +#ifdef USE_GOST
 +              case LDNS_ECC_GOST:
 +                      *evp_key = sldns_gost2pkey_raw(key, keylen);
 +                      if(!*evp_key) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_gost2pkey_raw failed");
 +                              return 0;
 +                      }
 +                      *digest_type = EVP_get_digestbyname("md_gost94");
 +                      if(!*digest_type) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "EVP_getdigest md_gost94 failed");
 +                              return 0;
 +                      }
 +                      break;
 +#endif
 +#ifdef USE_ECDSA
 +              case LDNS_ECDSAP256SHA256:
 +                      *evp_key = sldns_ecdsa2pkey_raw(key, keylen,
 +                              LDNS_ECDSAP256SHA256);
 +                      if(!*evp_key) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_ecdsa2pkey_raw failed");
 +                              return 0;
 +                      }
 +#ifdef USE_ECDSA_EVP_WORKAROUND
 +                      /* openssl before 1.0.0 fixes RSA with the SHA256
 +                       * hash in EVP.  We create one for ecdsa_sha256 */
 +                      {
 +                              static int md_ecdsa_256_done = 0;
 +                              static EVP_MD md;
 +                              if(!md_ecdsa_256_done) {
 +                                      EVP_MD m = *EVP_sha256();
 +                                      md_ecdsa_256_done = 1;
 +                                      m.required_pkey_type[0] = (*evp_key)->type;
 +                                      m.verify = (void*)ECDSA_verify;
 +                                      md = m;
 +                              }
 +                              *digest_type = &md;
 +                      }
 +#else
 +                      *digest_type = EVP_sha256();
 +#endif
 +                      break;
 +              case LDNS_ECDSAP384SHA384:
 +                      *evp_key = sldns_ecdsa2pkey_raw(key, keylen,
 +                              LDNS_ECDSAP384SHA384);
 +                      if(!*evp_key) {
 +                              verbose(VERB_QUERY, "verify: "
 +                                      "sldns_ecdsa2pkey_raw failed");
 +                              return 0;
 +                      }
 +#ifdef USE_ECDSA_EVP_WORKAROUND
 +                      /* openssl before 1.0.0 fixes RSA with the SHA384
 +                       * hash in EVP.  We create one for ecdsa_sha384 */
 +                      {
 +                              static int md_ecdsa_384_done = 0;
 +                              static EVP_MD md;
 +                              if(!md_ecdsa_384_done) {
 +                                      EVP_MD m = *EVP_sha384();
 +                                      md_ecdsa_384_done = 1;
 +                                      m.required_pkey_type[0] = (*evp_key)->type;
 +                                      m.verify = (void*)ECDSA_verify;
 +                                      md = m;
 +                              }
 +                              *digest_type = &md;
 +                      }
 +#else
 +                      *digest_type = EVP_sha384();
 +#endif
 +                      break;
 +#endif /* USE_ECDSA */
 +              default:
 +                      verbose(VERB_QUERY, "verify: unknown algorithm %d", 
 +                              algo);
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Check a canonical sig+rrset and signature against a dnskey
 + * @param buf: buffer with data to verify, the first rrsig part and the
 + *    canonicalized rrset.
 + * @param algo: DNSKEY algorithm.
 + * @param sigblock: signature rdata field from RRSIG
 + * @param sigblock_len: length of sigblock data.
 + * @param key: public key data from DNSKEY RR.
 + * @param keylen: length of keydata.
 + * @param reason: bogus reason in more detail.
 + * @return secure if verification succeeded, bogus on crypto failure,
 + *    unchecked on format errors and alloc failures.
 + */
 +enum sec_status
 +verify_canonrrset(sldns_buffer* buf, int algo, unsigned char* sigblock, 
 +      unsigned int sigblock_len, unsigned char* key, unsigned int keylen,
 +      char** reason)
 +{
 +      const EVP_MD *digest_type;
 +      EVP_MD_CTX ctx;
 +      int res, dofree = 0;
 +      EVP_PKEY *evp_key = NULL;
 +      
 +      if(!setup_key_digest(algo, &evp_key, &digest_type, key, keylen)) {
 +              verbose(VERB_QUERY, "verify: failed to setup key");
 +              *reason = "use of key for crypto failed";
 +              EVP_PKEY_free(evp_key);
 +              return sec_status_bogus;
 +      }
 +      /* if it is a DSA signature in bind format, convert to DER format */
 +      if((algo == LDNS_DSA || algo == LDNS_DSA_NSEC3) && 
 +              sigblock_len == 1+2*SHA_DIGEST_LENGTH) {
 +              if(!setup_dsa_sig(&sigblock, &sigblock_len)) {
 +                      verbose(VERB_QUERY, "verify: failed to setup DSA sig");
 +                      *reason = "use of key for DSA crypto failed";
 +                      EVP_PKEY_free(evp_key);
 +                      return sec_status_bogus;
 +              }
 +              dofree = 1;
 +      }
 +#ifdef USE_ECDSA
 +      else if(algo == LDNS_ECDSAP256SHA256 || algo == LDNS_ECDSAP384SHA384) {
 +              /* EVP uses ASN prefix on sig, which is not in the wire data */
 +              if(!setup_ecdsa_sig(&sigblock, &sigblock_len)) {
 +                      verbose(VERB_QUERY, "verify: failed to setup ECDSA sig");
 +                      *reason = "use of signature for ECDSA crypto failed";
 +                      EVP_PKEY_free(evp_key);
 +                      return sec_status_bogus;
 +              }
 +              dofree = 1;
 +      }
 +#endif /* USE_ECDSA */
 +
 +      /* do the signature cryptography work */
 +      EVP_MD_CTX_init(&ctx);
 +      if(EVP_VerifyInit(&ctx, digest_type) == 0) {
 +              verbose(VERB_QUERY, "verify: EVP_VerifyInit failed");
 +              EVP_PKEY_free(evp_key);
 +              if(dofree) free(sigblock);
 +              return sec_status_unchecked;
 +      }
 +      if(EVP_VerifyUpdate(&ctx, (unsigned char*)sldns_buffer_begin(buf), 
 +              (unsigned int)sldns_buffer_limit(buf)) == 0) {
 +              verbose(VERB_QUERY, "verify: EVP_VerifyUpdate failed");
 +              EVP_PKEY_free(evp_key);
 +              if(dofree) free(sigblock);
 +              return sec_status_unchecked;
 +      }
 +
 +      res = EVP_VerifyFinal(&ctx, sigblock, sigblock_len, evp_key);
 +      if(EVP_MD_CTX_cleanup(&ctx) == 0) {
 +              verbose(VERB_QUERY, "verify: EVP_MD_CTX_cleanup failed");
 +              EVP_PKEY_free(evp_key);
 +              if(dofree) free(sigblock);
 +              return sec_status_unchecked;
 +      }
 +      EVP_PKEY_free(evp_key);
 +
 +      if(dofree)
 +              free(sigblock);
 +
 +      if(res == 1) {
 +              return sec_status_secure;
 +      } else if(res == 0) {
 +              verbose(VERB_QUERY, "verify: signature mismatch");
 +              *reason = "signature crypto failed";
 +              return sec_status_bogus;
 +      }
 +
 +      log_crypto_error("verify:", ERR_get_error());
 +      return sec_status_unchecked;
 +}
 +
 +/**************************************************/
 +#elif defined(HAVE_NSS)
 +/* libnss implementation */
 +/* nss3 */
 +#include "sechash.h"
 +#include "pk11pub.h"
 +#include "keyhi.h"
 +#include "secerr.h"
 +#include "cryptohi.h"
 +/* nspr4 */
 +#include "prerror.h"
 +
 +size_t
 +ds_digest_size_supported(int algo)
 +{
 +      /* uses libNSS */
 +      switch(algo) {
 +              case LDNS_SHA1:
 +                      return SHA1_LENGTH;
 +#ifdef USE_SHA2
 +              case LDNS_SHA256:
 +                      return SHA256_LENGTH;
 +#endif
 +#ifdef USE_ECDSA
 +              case LDNS_SHA384:
 +                      return SHA384_LENGTH;
 +#endif
 +              /* GOST not supported in NSS */
 +              case LDNS_HASH_GOST:
 +              default: break;
 +      }
 +      return 0;
 +}
 +
 +int
 +secalgo_ds_digest(int algo, unsigned char* buf, size_t len,
 +      unsigned char* res)
 +{
 +      /* uses libNSS */
 +      switch(algo) {
 +              case LDNS_SHA1:
 +                      return HASH_HashBuf(HASH_AlgSHA1, res, buf, len)
 +                              == SECSuccess;
 +#if defined(USE_SHA2)
 +              case LDNS_SHA256:
 +                      return HASH_HashBuf(HASH_AlgSHA256, res, buf, len)
 +                              == SECSuccess;
 +#endif
 +#ifdef USE_ECDSA
 +              case LDNS_SHA384:
 +                      return HASH_HashBuf(HASH_AlgSHA384, res, buf, len)
 +                              == SECSuccess;
 +#endif
 +              case LDNS_HASH_GOST:
 +              default: 
 +                      verbose(VERB_QUERY, "unknown DS digest algorithm %d", 
 +                              algo);
 +                      break;
 +      }
 +      return 0;
 +}
 +
 +int
 +dnskey_algo_id_is_supported(int id)
 +{
 +      /* uses libNSS */
 +      switch(id) {
 +      case LDNS_RSAMD5:
 +              /* RFC 6725 deprecates RSAMD5 */
 +              return 0;
 +      case LDNS_DSA:
 +      case LDNS_DSA_NSEC3:
 +      case LDNS_RSASHA1:
 +      case LDNS_RSASHA1_NSEC3:
 +#ifdef USE_SHA2
 +      case LDNS_RSASHA256:
 +#endif
 +#ifdef USE_SHA2
 +      case LDNS_RSASHA512:
 +#endif
 +              return 1;
 +#ifdef USE_ECDSA
 +      case LDNS_ECDSAP256SHA256:
 +      case LDNS_ECDSAP384SHA384:
 +              return PK11_TokenExists(CKM_ECDSA);
 +#endif
 +      case LDNS_ECC_GOST:
 +      default:
 +              return 0;
 +      }
 +}
 +
 +/* return a new public key for NSS */
 +static SECKEYPublicKey* nss_key_create(KeyType ktype)
 +{
 +      SECKEYPublicKey* key;
 +      PLArenaPool* arena = PORT_NewArena(DER_DEFAULT_CHUNKSIZE);
 +      if(!arena) {
 +              log_err("out of memory, PORT_NewArena failed");
 +              return NULL;
 +      }
 +      key = PORT_ArenaZNew(arena, SECKEYPublicKey);
 +      if(!key) {
 +              log_err("out of memory, PORT_ArenaZNew failed");
 +              PORT_FreeArena(arena, PR_FALSE);
 +              return NULL;
 +      }
 +      key->arena = arena;
 +      key->keyType = ktype;
 +      key->pkcs11Slot = NULL;
 +      key->pkcs11ID = CK_INVALID_HANDLE;
 +      return key;
 +}
 +
 +static SECKEYPublicKey* nss_buf2ecdsa(unsigned char* key, size_t len, int algo)
 +{
 +      SECKEYPublicKey* pk;
 +      SECItem pub = {siBuffer, NULL, 0};
 +      SECItem params = {siBuffer, NULL, 0};
 +      static unsigned char param256[] = {
 +              /* OBJECTIDENTIFIER 1.2.840.10045.3.1.7 (P-256)
 +               * {iso(1) member-body(2) us(840) ansi-x962(10045) curves(3) prime(1) prime256v1(7)} */
 +              0x06, 0x08, 0x2a, 0x86, 0x48, 0xce, 0x3d, 0x03, 0x01, 0x07
 +      };
 +      static unsigned char param384[] = {
 +              /* OBJECTIDENTIFIER 1.3.132.0.34 (P-384)
 +               * {iso(1) identified-organization(3) certicom(132) curve(0) ansip384r1(34)} */
 +              0x06, 0x05, 0x2b, 0x81, 0x04, 0x00, 0x22
 +      };
 +      unsigned char buf[256+2]; /* sufficient for 2*384/8+1 */
 +
 +      /* check length, which uncompressed must be 2 bignums */
 +      if(algo == LDNS_ECDSAP256SHA256) {
 +              if(len != 2*256/8) return NULL;
 +              /* ECCurve_X9_62_PRIME_256V1 */
 +      } else if(algo == LDNS_ECDSAP384SHA384) {
 +              if(len != 2*384/8) return NULL;
 +              /* ECCurve_X9_62_PRIME_384R1 */
 +      } else    return NULL;
 +
 +      buf[0] = 0x04; /* POINT_FORM_UNCOMPRESSED */
 +      memmove(buf+1, key, len);
 +      pub.data = buf;
 +      pub.len = len+1;
 +      if(algo == LDNS_ECDSAP256SHA256) {
 +              params.data = param256;
 +              params.len = sizeof(param256);
 +      } else {
 +              params.data = param384;
 +              params.len = sizeof(param384);
 +      }
 +
 +      pk = nss_key_create(ecKey);
 +      if(!pk)
 +              return NULL;
 +      pk->u.ec.size = (len/2)*8;
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.ec.publicValue, &pub)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.ec.DEREncodedParams, &params)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +
 +      return pk;
 +}
 +
 +static SECKEYPublicKey* nss_buf2dsa(unsigned char* key, size_t len)
 +{
 +      SECKEYPublicKey* pk;
 +      uint8_t T;
 +      uint16_t length;
 +      uint16_t offset;
 +      SECItem Q = {siBuffer, NULL, 0};
 +      SECItem P = {siBuffer, NULL, 0};
 +      SECItem G = {siBuffer, NULL, 0};
 +      SECItem Y = {siBuffer, NULL, 0};
 +
 +      if(len == 0)
 +              return NULL;
 +      T = (uint8_t)key[0];
 +      length = (64 + T * 8);
 +      offset = 1;
 +
 +      if (T > 8) {
 +              return NULL;
 +      }
 +      if(len < (size_t)1 + SHA1_LENGTH + 3*length)
 +              return NULL;
 +
 +      Q.data = key+offset;
 +      Q.len = SHA1_LENGTH;
 +      offset += SHA1_LENGTH;
 +
 +      P.data = key+offset;
 +      P.len = length;
 +      offset += length;
 +
 +      G.data = key+offset;
 +      G.len = length;
 +      offset += length;
 +
 +      Y.data = key+offset;
 +      Y.len = length;
 +      offset += length;
 +
 +      pk = nss_key_create(dsaKey);
 +      if(!pk)
 +              return NULL;
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.dsa.params.prime, &P)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.dsa.params.subPrime, &Q)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.dsa.params.base, &G)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.dsa.publicValue, &Y)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      return pk;
 +}
 +
 +static SECKEYPublicKey* nss_buf2rsa(unsigned char* key, size_t len)
 +{
 +      SECKEYPublicKey* pk;
 +      uint16_t exp;
 +      uint16_t offset;
 +      uint16_t int16;
 +      SECItem modulus = {siBuffer, NULL, 0};
 +      SECItem exponent = {siBuffer, NULL, 0};
 +      if(len == 0)
 +              return NULL;
 +      if(key[0] == 0) {
 +              if(len < 3)
 +                      return NULL;
 +              /* the exponent is too large so it's places further */
 +              memmove(&int16, key+1, 2);
 +              exp = ntohs(int16);
 +              offset = 3;
 +      } else {
 +              exp = key[0];
 +              offset = 1;
 +      }
 +
 +      /* key length at least one */
 +      if(len < (size_t)offset + exp + 1)
 +              return NULL;
 +      
 +      exponent.data = key+offset;
 +      exponent.len = exp;
 +      offset += exp;
 +      modulus.data = key+offset;
 +      modulus.len = (len - offset);
 +
 +      pk = nss_key_create(rsaKey);
 +      if(!pk)
 +              return NULL;
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.rsa.modulus, &modulus)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      if(SECITEM_CopyItem(pk->arena, &pk->u.rsa.publicExponent, &exponent)) {
 +              SECKEY_DestroyPublicKey(pk);
 +              return NULL;
 +      }
 +      return pk;
 +}
 +
 +/**
 + * Setup key and digest for verification. Adjust sig if necessary.
 + *
 + * @param algo: key algorithm
 + * @param evp_key: EVP PKEY public key to create.
 + * @param digest_type: digest type to use
 + * @param key: key to setup for.
 + * @param keylen: length of key.
 + * @param prefix: if returned, the ASN prefix for the hashblob.
 + * @param prefixlen: length of the prefix.
 + * @return false on failure.
 + */
 +static int
 +nss_setup_key_digest(int algo, SECKEYPublicKey** pubkey, HASH_HashType* htype,
 +      unsigned char* key, size_t keylen, unsigned char** prefix,
 +      size_t* prefixlen)
 +{
 +      /* uses libNSS */
 +
 +      /* hash prefix for md5, RFC2537 */
 +      static unsigned char p_md5[] = {0x30, 0x20, 0x30, 0x0c, 0x06, 0x08, 0x2a,
 +      0x86, 0x48, 0x86, 0xf7, 0x0d, 0x02, 0x05, 0x05, 0x00, 0x04, 0x10};
 +      /* hash prefix to prepend to hash output, from RFC3110 */
 +      static unsigned char p_sha1[] = {0x30, 0x21, 0x30, 0x09, 0x06, 0x05, 0x2B,
 +              0x0E, 0x03, 0x02, 0x1A, 0x05, 0x00, 0x04, 0x14};
 +      /* from RFC5702 */
 +      static unsigned char p_sha256[] = {0x30, 0x31, 0x30, 0x0d, 0x06, 0x09, 0x60,
 +      0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x01, 0x05, 0x00, 0x04, 0x20};
 +      static unsigned char p_sha512[] = {0x30, 0x51, 0x30, 0x0d, 0x06, 0x09, 0x60,
 +      0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x03, 0x05, 0x00, 0x04, 0x40};
 +      /* from RFC6234 */
 +      /* for future RSASHA384 .. 
 +      static unsigned char p_sha384[] = {0x30, 0x51, 0x30, 0x0d, 0x06, 0x09, 0x60,
 +      0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x02, 0x05, 0x00, 0x04, 0x30};
 +      */
 +
 +      switch(algo) {
 +              case LDNS_DSA:
 +              case LDNS_DSA_NSEC3:
 +                      *pubkey = nss_buf2dsa(key, keylen);
 +                      if(!*pubkey) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      *htype = HASH_AlgSHA1;
 +                      /* no prefix for DSA verification */
 +                      break;
 +              case LDNS_RSASHA1:
 +              case LDNS_RSASHA1_NSEC3:
 +#ifdef USE_SHA2
 +              case LDNS_RSASHA256:
 +#endif
 +#ifdef USE_SHA2
 +              case LDNS_RSASHA512:
 +#endif
 +                      *pubkey = nss_buf2rsa(key, keylen);
 +                      if(!*pubkey) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      /* select SHA version */
 +#ifdef USE_SHA2
 +                      if(algo == LDNS_RSASHA256) {
 +                              *htype = HASH_AlgSHA256;
 +                              *prefix = p_sha256;
 +                              *prefixlen = sizeof(p_sha256);
 +                      } else
 +#endif
 +#ifdef USE_SHA2
 +                              if(algo == LDNS_RSASHA512) {
 +                              *htype = HASH_AlgSHA512;
 +                              *prefix = p_sha512;
 +                              *prefixlen = sizeof(p_sha512);
 +                      } else
 +#endif
 +                      {
 +                              *htype = HASH_AlgSHA1;
 +                              *prefix = p_sha1;
 +                              *prefixlen = sizeof(p_sha1);
 +                      }
 +
 +                      break;
 +              case LDNS_RSAMD5:
 +                      *pubkey = nss_buf2rsa(key, keylen);
 +                      if(!*pubkey) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      *htype = HASH_AlgMD5;
 +                      *prefix = p_md5;
 +                      *prefixlen = sizeof(p_md5);
 +
 +                      break;
 +#ifdef USE_ECDSA
 +              case LDNS_ECDSAP256SHA256:
 +                      *pubkey = nss_buf2ecdsa(key, keylen,
 +                              LDNS_ECDSAP256SHA256);
 +                      if(!*pubkey) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      *htype = HASH_AlgSHA256;
 +                      /* no prefix for DSA verification */
 +                      break;
 +              case LDNS_ECDSAP384SHA384:
 +                      *pubkey = nss_buf2ecdsa(key, keylen,
 +                              LDNS_ECDSAP384SHA384);
 +                      if(!*pubkey) {
 +                              log_err("verify: malloc failure in crypto");
 +                              return 0;
 +                      }
 +                      *htype = HASH_AlgSHA384;
 +                      /* no prefix for DSA verification */
 +                      break;
 +#endif /* USE_ECDSA */
 +              case LDNS_ECC_GOST:
 +              default:
 +                      verbose(VERB_QUERY, "verify: unknown algorithm %d", 
 +                              algo);
 +                      return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Check a canonical sig+rrset and signature against a dnskey
 + * @param buf: buffer with data to verify, the first rrsig part and the
 + *    canonicalized rrset.
 + * @param algo: DNSKEY algorithm.
 + * @param sigblock: signature rdata field from RRSIG
 + * @param sigblock_len: length of sigblock data.
 + * @param key: public key data from DNSKEY RR.
 + * @param keylen: length of keydata.
 + * @param reason: bogus reason in more detail.
 + * @return secure if verification succeeded, bogus on crypto failure,
 + *    unchecked on format errors and alloc failures.
 + */
 +enum sec_status
 +verify_canonrrset(sldns_buffer* buf, int algo, unsigned char* sigblock, 
 +      unsigned int sigblock_len, unsigned char* key, unsigned int keylen,
 +      char** reason)
 +{
 +      /* uses libNSS */
 +      /* large enough for the different hashes */
 +      unsigned char hash[HASH_LENGTH_MAX];
 +      unsigned char hash2[HASH_LENGTH_MAX*2];
 +      HASH_HashType htype = 0;
 +      SECKEYPublicKey* pubkey = NULL;
 +      SECItem secsig = {siBuffer, sigblock, sigblock_len};
 +      SECItem sechash = {siBuffer, hash, 0};
 +      SECStatus res;
 +      unsigned char* prefix = NULL; /* prefix for hash, RFC3110, RFC5702 */
 +      size_t prefixlen = 0;
 +      int err;
 +
 +      if(!nss_setup_key_digest(algo, &pubkey, &htype, key, keylen,
 +              &prefix, &prefixlen)) {
 +              verbose(VERB_QUERY, "verify: failed to setup key");
 +              *reason = "use of key for crypto failed";
 +              SECKEY_DestroyPublicKey(pubkey);
 +              return sec_status_bogus;
 +      }
 +
 +      /* need to convert DSA, ECDSA signatures? */
 +      if((algo == LDNS_DSA || algo == LDNS_DSA_NSEC3)) {
 +              if(sigblock_len == 1+2*SHA1_LENGTH) {
 +                      secsig.data ++;
 +                      secsig.len --;
 +              } else {
 +                      SECItem* p = DSAU_DecodeDerSig(&secsig);
 +                      if(!p) {
 +                              verbose(VERB_QUERY, "verify: failed DER decode");
 +                              *reason = "signature DER decode failed";
 +                              SECKEY_DestroyPublicKey(pubkey);
 +                              return sec_status_bogus;
 +                      }
 +                      if(SECITEM_CopyItem(pubkey->arena, &secsig, p)) {
 +                              log_err("alloc failure in DER decode");
 +                              SECKEY_DestroyPublicKey(pubkey);
 +                              SECITEM_FreeItem(p, PR_TRUE);
 +                              return sec_status_unchecked;
 +                      }
 +                      SECITEM_FreeItem(p, PR_TRUE);
 +              }
 +      }
 +
 +      /* do the signature cryptography work */
 +      /* hash the data */
 +      sechash.len = HASH_ResultLen(htype);
 +      if(sechash.len > sizeof(hash)) {
 +              verbose(VERB_QUERY, "verify: hash too large for buffer");
 +              SECKEY_DestroyPublicKey(pubkey);
 +              return sec_status_unchecked;
 +      }
 +      if(HASH_HashBuf(htype, hash, (unsigned char*)sldns_buffer_begin(buf),
 +              (unsigned int)sldns_buffer_limit(buf)) != SECSuccess) {
 +              verbose(VERB_QUERY, "verify: HASH_HashBuf failed");
 +              SECKEY_DestroyPublicKey(pubkey);
 +              return sec_status_unchecked;
 +      }
 +      if(prefix) {
 +              int hashlen = sechash.len;
 +              if(prefixlen+hashlen > sizeof(hash2)) {
 +                      verbose(VERB_QUERY, "verify: hashprefix too large");
 +                      SECKEY_DestroyPublicKey(pubkey);
 +                      return sec_status_unchecked;
 +              }
 +              sechash.data = hash2;
 +              sechash.len = prefixlen+hashlen;
 +              memcpy(sechash.data, prefix, prefixlen);
 +              memmove(sechash.data+prefixlen, hash, hashlen);
 +      }
 +
 +      /* verify the signature */
 +      res = PK11_Verify(pubkey, &secsig, &sechash, NULL /*wincx*/);
 +      SECKEY_DestroyPublicKey(pubkey);
 +
 +      if(res == SECSuccess) {
 +              return sec_status_secure;
 +      }
 +      err = PORT_GetError();
 +      if(err != SEC_ERROR_BAD_SIGNATURE) {
 +              /* failed to verify */
 +              verbose(VERB_QUERY, "verify: PK11_Verify failed: %s",
 +                      PORT_ErrorToString(err));
 +              /* if it is not supported, like ECC is removed, we get,
 +               * SEC_ERROR_NO_MODULE */
 +              if(err == SEC_ERROR_NO_MODULE)
 +                      return sec_status_unchecked;
 +              /* but other errors are commonly returned
 +               * for a bad signature from NSS.  Thus we return bogus,
 +               * not unchecked */
 +              *reason = "signature crypto failed";
 +              return sec_status_bogus;
 +      }
 +      verbose(VERB_QUERY, "verify: signature mismatch: %s",
 +              PORT_ErrorToString(err));
 +      *reason = "signature crypto failed";
 +      return sec_status_bogus;
 +}
 +
 +
 +#endif /* HAVE_SSL or HAVE_NSS */
diff --cc contrib/unbound/validator/val_sigcrypt.c
index 5a4d0f471a84f7c7651c1def47b264981a60035e,0000000000000000000000000000000000000000..7c643cab141d289b8f11376229e0b7dee45d9455
mode 100644,000000..100644
--- 1/contrib/unbound/validator/val_sigcrypt.c
--- /dev/null
+++ b/contrib/unbound/validator/val_sigcrypt.c
@@@ -1,1437 -1,0 +1,1441 @@@
- #include "ldns/keyraw.h"
- #include "ldns/sbuffer.h"
- #include "ldns/parseutil.h"
- #include "ldns/wire2str.h"
 +/*
 + * validator/val_sigcrypt.c - validator signature crypto functions.
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains helper functions for the validator module.
 + * The functions help with signature verification and checking, the
 + * bridging between RR wireformat data and crypto calls.
 + */
 +#include "config.h"
 +#include "validator/val_sigcrypt.h"
 +#include "validator/val_secalgo.h"
 +#include "validator/validator.h"
 +#include "util/data/msgreply.h"
 +#include "util/data/msgparse.h"
 +#include "util/data/dname.h"
 +#include "util/rbtree.h"
 +#include "util/module.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
++#include "sldns/keyraw.h"
++#include "sldns/sbuffer.h"
++#include "sldns/parseutil.h"
++#include "sldns/wire2str.h"
 +
 +#include <ctype.h>
 +#if !defined(HAVE_SSL) && !defined(HAVE_NSS)
 +#error "Need crypto library to do digital signature cryptography"
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ERR_H
 +#include <openssl/err.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_RAND_H
 +#include <openssl/rand.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_CONF_H
 +#include <openssl/conf.h>
 +#endif
 +
 +#ifdef HAVE_OPENSSL_ENGINE_H
 +#include <openssl/engine.h>
 +#endif
 +
 +/** return number of rrs in an rrset */
 +static size_t
 +rrset_get_count(struct ub_packed_rrset_key* rrset)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)
 +      rrset->entry.data;
 +      if(!d) return 0;
 +      return d->count;
 +}
 +
 +/**
 + * Get RR signature count
 + */
 +static size_t
 +rrset_get_sigcount(struct ub_packed_rrset_key* k)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      return d->rrsig_count;
 +}
 +
 +/**
 + * Get signature keytag value
 + * @param k: rrset (with signatures)
 + * @param sig_idx: signature index.
 + * @return keytag or 0 if malformed rrsig.
 + */
 +static uint16_t 
 +rrset_get_sig_keytag(struct ub_packed_rrset_key* k, size_t sig_idx)
 +{
 +      uint16_t t;
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      log_assert(sig_idx < d->rrsig_count);
 +      if(d->rr_len[d->count + sig_idx] < 2+18)
 +              return 0;
 +      memmove(&t, d->rr_data[d->count + sig_idx]+2+16, 2);
 +      return ntohs(t);
 +}
 +
 +/**
 + * Get signature signing algorithm value
 + * @param k: rrset (with signatures)
 + * @param sig_idx: signature index.
 + * @return algo or 0 if malformed rrsig.
 + */
 +static int 
 +rrset_get_sig_algo(struct ub_packed_rrset_key* k, size_t sig_idx)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      log_assert(sig_idx < d->rrsig_count);
 +      if(d->rr_len[d->count + sig_idx] < 2+3)
 +              return 0;
 +      return (int)d->rr_data[d->count + sig_idx][2+2];
 +}
 +
 +/** get rdata pointer and size */
 +static void
 +rrset_get_rdata(struct ub_packed_rrset_key* k, size_t idx, uint8_t** rdata,
 +      size_t* len)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      log_assert(d && idx < (d->count + d->rrsig_count));
 +      *rdata = d->rr_data[idx];
 +      *len = d->rr_len[idx];
 +}
 +
 +uint16_t
 +dnskey_get_flags(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      uint16_t f;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+2)
 +              return 0;
 +      memmove(&f, rdata+2, 2);
 +      f = ntohs(f);
 +      return f;
 +}
 +
 +/**
 + * Get DNSKEY protocol value from rdata
 + * @param k: DNSKEY rrset.
 + * @param idx: which key.
 + * @return protocol octet value
 + */
 +static int
 +dnskey_get_protocol(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+4)
 +              return 0;
 +      return (int)rdata[2+2];
 +}
 +
 +int
 +dnskey_get_algo(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+4)
 +              return 0;
 +      return (int)rdata[2+3];
 +}
 +
 +/** get public key rdata field from a dnskey RR and do some checks */
 +static void
 +dnskey_get_pubkey(struct ub_packed_rrset_key* k, size_t idx,
 +      unsigned char** pk, unsigned int* pklen)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+5) {
 +              *pk = NULL;
 +              *pklen = 0;
 +              return;
 +      }
 +      *pk = (unsigned char*)rdata+2+4;
 +      *pklen = (unsigned)len-2-4;
 +}
 +
 +int
 +ds_get_key_algo(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+3)
 +              return 0;
 +      return (int)rdata[2+2];
 +}
 +
 +int
 +ds_get_digest_algo(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(k, idx, &rdata, &len);
 +      if(len < 2+4)
 +              return 0;
 +      return (int)rdata[2+3];
 +}
 +
 +uint16_t 
 +ds_get_keytag(struct ub_packed_rrset_key* ds_rrset, size_t ds_idx)
 +{
 +      uint16_t t;
 +      uint8_t* rdata;
 +      size_t len;
 +      rrset_get_rdata(ds_rrset, ds_idx, &rdata, &len);
 +      if(len < 2+2)
 +              return 0;
 +      memmove(&t, rdata+2, 2);
 +      return ntohs(t);
 +}
 +
 +/**
 + * Return pointer to the digest in a DS RR.
 + * @param k: DS rrset.
 + * @param idx: which DS.
 + * @param digest: digest data is returned.
 + *    on error, this is NULL.
 + * @param len: length of digest is returned.
 + *    on error, the length is 0.
 + */
 +static void
 +ds_get_sigdata(struct ub_packed_rrset_key* k, size_t idx, uint8_t** digest,
 +        size_t* len)
 +{
 +      uint8_t* rdata;
 +      size_t rdlen;
 +      rrset_get_rdata(k, idx, &rdata, &rdlen);
 +      if(rdlen < 2+5) {
 +              *digest = NULL;
 +              *len = 0;
 +              return;
 +      }
 +      *digest = rdata + 2 + 4;
 +      *len = rdlen - 2 - 4;
 +}
 +
 +/**
 + * Return size of DS digest according to its hash algorithm.
 + * @param k: DS rrset.
 + * @param idx: which DS.
 + * @return size in bytes of digest, or 0 if not supported. 
 + */
 +static size_t
 +ds_digest_size_algo(struct ub_packed_rrset_key* k, size_t idx)
 +{
 +      return ds_digest_size_supported(ds_get_digest_algo(k, idx));
 +}
 +
 +/**
 + * Create a DS digest for a DNSKEY entry.
 + *
 + * @param env: module environment. Uses scratch space.
 + * @param dnskey_rrset: DNSKEY rrset.
 + * @param dnskey_idx: index of RR in rrset.
 + * @param ds_rrset: DS rrset
 + * @param ds_idx: index of RR in DS rrset.
 + * @param digest: digest is returned in here (must be correctly sized).
 + * @return false on error.
 + */
 +static int
 +ds_create_dnskey_digest(struct module_env* env, 
 +      struct ub_packed_rrset_key* dnskey_rrset, size_t dnskey_idx,
 +      struct ub_packed_rrset_key* ds_rrset, size_t ds_idx,
 +      uint8_t* digest)
 +{
 +      sldns_buffer* b = env->scratch_buffer;
 +      uint8_t* dnskey_rdata;
 +      size_t dnskey_len;
 +      rrset_get_rdata(dnskey_rrset, dnskey_idx, &dnskey_rdata, &dnskey_len);
 +
 +      /* create digest source material in buffer 
 +       * digest = digest_algorithm( DNSKEY owner name | DNSKEY RDATA);
 +       *      DNSKEY RDATA = Flags | Protocol | Algorithm | Public Key. */
 +      sldns_buffer_clear(b);
 +      sldns_buffer_write(b, dnskey_rrset->rk.dname, 
 +              dnskey_rrset->rk.dname_len);
 +      query_dname_tolower(sldns_buffer_begin(b));
 +      sldns_buffer_write(b, dnskey_rdata+2, dnskey_len-2); /* skip rdatalen*/
 +      sldns_buffer_flip(b);
 +      
 +      return secalgo_ds_digest(ds_get_digest_algo(ds_rrset, ds_idx),
 +              (unsigned char*)sldns_buffer_begin(b), sldns_buffer_limit(b),
 +              (unsigned char*)digest);
 +}
 +
 +int ds_digest_match_dnskey(struct module_env* env,
 +      struct ub_packed_rrset_key* dnskey_rrset, size_t dnskey_idx,
 +      struct ub_packed_rrset_key* ds_rrset, size_t ds_idx)
 +{
 +      uint8_t* ds;    /* DS digest */
 +      size_t dslen;
 +      uint8_t* digest; /* generated digest */
 +      size_t digestlen = ds_digest_size_algo(ds_rrset, ds_idx);
 +      
 +      if(digestlen == 0) {
 +              verbose(VERB_QUERY, "DS fail: not supported, or DS RR "
 +                      "format error");
 +              return 0; /* not supported, or DS RR format error */
 +      }
 +      /* check digest length in DS with length from hash function */
 +      ds_get_sigdata(ds_rrset, ds_idx, &ds, &dslen);
 +      if(!ds || dslen != digestlen) {
 +              verbose(VERB_QUERY, "DS fail: DS RR algo and digest do not "
 +                      "match each other");
 +              return 0; /* DS algorithm and digest do not match */
 +      }
 +
 +      digest = regional_alloc(env->scratch, digestlen);
 +      if(!digest) {
 +              verbose(VERB_QUERY, "DS fail: out of memory");
 +              return 0; /* mem error */
 +      }
 +      if(!ds_create_dnskey_digest(env, dnskey_rrset, dnskey_idx, ds_rrset, 
 +              ds_idx, digest)) {
 +              verbose(VERB_QUERY, "DS fail: could not calc key digest");
 +              return 0; /* digest algo failed */
 +      }
 +      if(memcmp(digest, ds, dslen) != 0) {
 +              verbose(VERB_QUERY, "DS fail: digest is different");
 +              return 0; /* digest different */
 +      }
 +      return 1;
 +}
 +
 +int 
 +ds_digest_algo_is_supported(struct ub_packed_rrset_key* ds_rrset, 
 +      size_t ds_idx)
 +{
 +      return (ds_digest_size_algo(ds_rrset, ds_idx) != 0);
 +}
 +
 +int 
 +ds_key_algo_is_supported(struct ub_packed_rrset_key* ds_rrset, 
 +      size_t ds_idx)
 +{
 +      return dnskey_algo_id_is_supported(ds_get_key_algo(ds_rrset, ds_idx));
 +}
 +
 +uint16_t 
 +dnskey_calc_keytag(struct ub_packed_rrset_key* dnskey_rrset, size_t dnskey_idx)
 +{
 +      uint8_t* data;
 +      size_t len;
 +      rrset_get_rdata(dnskey_rrset, dnskey_idx, &data, &len);
 +      /* do not pass rdatalen to ldns */
 +      return sldns_calc_keytag_raw(data+2, len-2);
 +}
 +
 +int dnskey_algo_is_supported(struct ub_packed_rrset_key* dnskey_rrset,
 +        size_t dnskey_idx)
 +{
 +      return dnskey_algo_id_is_supported(dnskey_get_algo(dnskey_rrset, 
 +              dnskey_idx));
 +}
 +
 +void algo_needs_init_dnskey_add(struct algo_needs* n,
 +        struct ub_packed_rrset_key* dnskey, uint8_t* sigalg)
 +{
 +      uint8_t algo;
 +      size_t i, total = n->num;
 +      size_t num = rrset_get_count(dnskey);
 +
 +      for(i=0; i<num; i++) {
 +              algo = (uint8_t)dnskey_get_algo(dnskey, i);
 +              if(!dnskey_algo_id_is_supported((int)algo))
 +                      continue;
 +              if(n->needs[algo] == 0) {
 +                      n->needs[algo] = 1;
 +                      sigalg[total] = algo;
 +                      total++;
 +              }
 +      }
 +      sigalg[total] = 0;
 +      n->num = total;
 +}
 +
 +void algo_needs_init_list(struct algo_needs* n, uint8_t* sigalg)
 +{
 +      uint8_t algo;
 +      size_t total = 0;
 +
 +      memset(n->needs, 0, sizeof(uint8_t)*ALGO_NEEDS_MAX);
 +      while( (algo=*sigalg++) != 0) {
 +              log_assert(dnskey_algo_id_is_supported((int)algo));
 +              log_assert(n->needs[algo] == 0);
 +              n->needs[algo] = 1;
 +              total++;
 +      }
 +      n->num = total;
 +}
 +
 +void algo_needs_init_ds(struct algo_needs* n, struct ub_packed_rrset_key* ds,
 +      int fav_ds_algo, uint8_t* sigalg)
 +{
 +      uint8_t algo;
 +      size_t i, total = 0;
 +      size_t num = rrset_get_count(ds);
 +
 +      memset(n->needs, 0, sizeof(uint8_t)*ALGO_NEEDS_MAX);
 +      for(i=0; i<num; i++) {
 +              if(ds_get_digest_algo(ds, i) != fav_ds_algo)
 +                      continue;
 +              algo = (uint8_t)ds_get_key_algo(ds, i);
 +              if(!dnskey_algo_id_is_supported((int)algo))
 +                      continue;
 +              log_assert(algo != 0); /* we do not support 0 and is EOS */
 +              if(n->needs[algo] == 0) {
 +                      n->needs[algo] = 1;
 +                      sigalg[total] = algo;           
 +                      total++;
 +              }
 +      }
 +      sigalg[total] = 0;
 +      n->num = total;
 +}
 +
 +int algo_needs_set_secure(struct algo_needs* n, uint8_t algo)
 +{
 +      if(n->needs[algo]) {
 +              n->needs[algo] = 0;
 +              n->num --;
 +              if(n->num == 0) /* done! */
 +                      return 1;
 +      }
 +      return 0;
 +}
 +
 +void algo_needs_set_bogus(struct algo_needs* n, uint8_t algo)
 +{
 +      if(n->needs[algo]) n->needs[algo] = 2; /* need it, but bogus */
 +}
 +
 +size_t algo_needs_num_missing(struct algo_needs* n)
 +{
 +      return n->num;
 +}
 +
 +int algo_needs_missing(struct algo_needs* n)
 +{
 +      int i;
 +      /* first check if a needed algo was bogus - report that */
 +      for(i=0; i<ALGO_NEEDS_MAX; i++)
 +              if(n->needs[i] == 2)
 +                      return 0;
 +      /* now check which algo is missing */
 +      for(i=0; i<ALGO_NEEDS_MAX; i++)
 +              if(n->needs[i] == 1)
 +                      return i;
 +      return 0;
 +}
 +
 +enum sec_status 
 +dnskeyset_verify_rrset(struct module_env* env, struct val_env* ve,
 +      struct ub_packed_rrset_key* rrset, struct ub_packed_rrset_key* dnskey,
 +      uint8_t* sigalg, char** reason)
 +{
 +      enum sec_status sec;
 +      size_t i, num;
 +      rbtree_t* sortree = NULL;
 +      /* make sure that for all DNSKEY algorithms there are valid sigs */
 +      struct algo_needs needs;
 +      int alg;
 +
 +      num = rrset_get_sigcount(rrset);
 +      if(num == 0) {
 +              verbose(VERB_QUERY, "rrset failed to verify due to a lack of "
 +                      "signatures");
 +              *reason = "no signatures";
 +              return sec_status_bogus;
 +      }
 +
 +      if(sigalg) {
 +              algo_needs_init_list(&needs, sigalg);
 +              if(algo_needs_num_missing(&needs) == 0) {
 +                      verbose(VERB_QUERY, "zone has no known algorithms");
 +                      *reason = "zone has no known algorithms";
 +                      return sec_status_insecure;
 +              }
 +      }
 +      for(i=0; i<num; i++) {
 +              sec = dnskeyset_verify_rrset_sig(env, ve, *env->now, rrset, 
 +                      dnskey, i, &sortree, reason);
 +              /* see which algorithm has been fixed up */
 +              if(sec == sec_status_secure) {
 +                      if(!sigalg)
 +                              return sec; /* done! */
 +                      else if(algo_needs_set_secure(&needs,
 +                              (uint8_t)rrset_get_sig_algo(rrset, i)))
 +                              return sec; /* done! */
 +              } else if(sigalg && sec == sec_status_bogus) {
 +                      algo_needs_set_bogus(&needs,
 +                              (uint8_t)rrset_get_sig_algo(rrset, i));
 +              }
 +      }
 +      if(sigalg && (alg=algo_needs_missing(&needs)) != 0) {
 +              verbose(VERB_ALGO, "rrset failed to verify: "
 +                      "no valid signatures for %d algorithms",
 +                      (int)algo_needs_num_missing(&needs));
 +              algo_needs_reason(env, alg, reason, "no signatures");
 +      } else {
 +              verbose(VERB_ALGO, "rrset failed to verify: "
 +                      "no valid signatures");
 +      }
 +      return sec_status_bogus;
 +}
 +
 +void algo_needs_reason(struct module_env* env, int alg, char** reason, char* s)
 +{
 +      char buf[256];
 +      sldns_lookup_table *t = sldns_lookup_by_id(sldns_algorithms, alg);
 +      if(t&&t->name)
 +              snprintf(buf, sizeof(buf), "%s with algorithm %s", s, t->name);
 +      else    snprintf(buf, sizeof(buf), "%s with algorithm ALG%u", s,
 +                      (unsigned)alg);
 +      *reason = regional_strdup(env->scratch, buf);
 +      if(!*reason)
 +              *reason = s;
 +}
 +
 +enum sec_status 
 +dnskey_verify_rrset(struct module_env* env, struct val_env* ve,
 +        struct ub_packed_rrset_key* rrset, struct ub_packed_rrset_key* dnskey,
 +      size_t dnskey_idx, char** reason)
 +{
 +      enum sec_status sec;
 +      size_t i, num, numchecked = 0;
 +      rbtree_t* sortree = NULL;
 +      int buf_canon = 0;
 +      uint16_t tag = dnskey_calc_keytag(dnskey, dnskey_idx);
 +      int algo = dnskey_get_algo(dnskey, dnskey_idx);
 +
 +      num = rrset_get_sigcount(rrset);
 +      if(num == 0) {
 +              verbose(VERB_QUERY, "rrset failed to verify due to a lack of "
 +                      "signatures");
 +              *reason = "no signatures";
 +              return sec_status_bogus;
 +      }
 +      for(i=0; i<num; i++) {
 +              /* see if sig matches keytag and algo */
 +              if(algo != rrset_get_sig_algo(rrset, i) ||
 +                      tag != rrset_get_sig_keytag(rrset, i))
 +                      continue;
 +              buf_canon = 0;
 +              sec = dnskey_verify_rrset_sig(env->scratch, 
 +                      env->scratch_buffer, ve, *env->now, rrset, 
 +                      dnskey, dnskey_idx, i, &sortree, &buf_canon, reason);
 +              if(sec == sec_status_secure)
 +                      return sec;
 +              numchecked ++;
 +      }
 +      verbose(VERB_ALGO, "rrset failed to verify: all signatures are bogus");
 +      if(!numchecked) *reason = "signature missing";
 +      return sec_status_bogus;
 +}
 +
 +enum sec_status 
 +dnskeyset_verify_rrset_sig(struct module_env* env, struct val_env* ve, 
 +      time_t now, struct ub_packed_rrset_key* rrset, 
 +      struct ub_packed_rrset_key* dnskey, size_t sig_idx, 
 +      struct rbtree_t** sortree, char** reason)
 +{
 +      /* find matching keys and check them */
 +      enum sec_status sec = sec_status_bogus;
 +      uint16_t tag = rrset_get_sig_keytag(rrset, sig_idx);
 +      int algo = rrset_get_sig_algo(rrset, sig_idx);
 +      size_t i, num = rrset_get_count(dnskey);
 +      size_t numchecked = 0;
 +      int buf_canon = 0;
 +      verbose(VERB_ALGO, "verify sig %d %d", (int)tag, algo);
 +      if(!dnskey_algo_id_is_supported(algo)) {
 +              verbose(VERB_QUERY, "verify sig: unknown algorithm");
 +              return sec_status_insecure;
 +      }
 +      
 +      for(i=0; i<num; i++) {
 +              /* see if key matches keytag and algo */
 +              if(algo != dnskey_get_algo(dnskey, i) ||
 +                      tag != dnskey_calc_keytag(dnskey, i))
 +                      continue;
 +              numchecked ++;
 +
 +              /* see if key verifies */
 +              sec = dnskey_verify_rrset_sig(env->scratch, 
 +                      env->scratch_buffer, ve, now, rrset, dnskey, i, 
 +                      sig_idx, sortree, &buf_canon, reason);
 +              if(sec == sec_status_secure)
 +                      return sec;
 +      }
 +      if(numchecked == 0) {
 +              *reason = "signatures from unknown keys";
 +              verbose(VERB_QUERY, "verify: could not find appropriate key");
 +              return sec_status_bogus;
 +      }
 +      return sec_status_bogus;
 +}
 +
 +/**
 + * RR entries in a canonical sorted tree of RRs
 + */
 +struct canon_rr {
 +      /** rbtree node, key is this structure */
 +      rbnode_t node;
 +      /** rrset the RR is in */
 +      struct ub_packed_rrset_key* rrset;
 +      /** which RR in the rrset */
 +      size_t rr_idx;
 +};
 +
 +/**
 + * Compare two RR for canonical order, in a field-style sweep.
 + * @param d: rrset data
 + * @param desc: ldns wireformat descriptor.
 + * @param i: first RR to compare
 + * @param j: first RR to compare
 + * @return comparison code.
 + */
 +static int
 +canonical_compare_byfield(struct packed_rrset_data* d, 
 +      const sldns_rr_descriptor* desc, size_t i, size_t j)
 +{
 +      /* sweep across rdata, keep track of some state:
 +       *      which rr field, and bytes left in field.
 +       *      current position in rdata, length left.
 +       *      are we in a dname, length left in a label.
 +       */
 +      int wfi = -1;   /* current wireformat rdata field (rdf) */
 +      int wfj = -1;
 +      uint8_t* di = d->rr_data[i]+2; /* ptr to current rdata byte */
 +      uint8_t* dj = d->rr_data[j]+2;
 +      size_t ilen = d->rr_len[i]-2; /* length left in rdata */
 +      size_t jlen = d->rr_len[j]-2;
 +      int dname_i = 0;  /* true if these bytes are part of a name */
 +      int dname_j = 0;
 +      size_t lablen_i = 0; /* 0 for label length byte,for first byte of rdf*/
 +      size_t lablen_j = 0; /* otherwise remaining length of rdf or label */
 +      int dname_num_i = (int)desc->_dname_count; /* decreased at root label */
 +      int dname_num_j = (int)desc->_dname_count;
 +
 +      /* loop while there are rdata bytes available for both rrs,
 +       * and still some lowercasing needs to be done; either the dnames
 +       * have not been reached yet, or they are currently being processed */
 +      while(ilen > 0 && jlen > 0 && (dname_num_i > 0 || dname_num_j > 0)) {
 +              /* compare these two bytes */
 +              /* lowercase if in a dname and not a label length byte */
 +              if( ((dname_i && lablen_i)?(uint8_t)tolower((int)*di):*di)
 +               != ((dname_j && lablen_j)?(uint8_t)tolower((int)*dj):*dj)
 +               ) {
 +                if(((dname_i && lablen_i)?(uint8_t)tolower((int)*di):*di)
 +                < ((dname_j && lablen_j)?(uint8_t)tolower((int)*dj):*dj))
 +                      return -1;
 +                  return 1;
 +              }
 +              ilen--;
 +              jlen--;
 +              /* bytes are equal */
 +
 +              /* advance field i */
 +              /* lablen 0 means that this byte is the first byte of the
 +               * next rdata field; inspect this rdata field and setup
 +               * to process the rest of this rdata field.
 +               * The reason to first read the byte, then setup the rdf,
 +               * is that we are then sure the byte is available and short
 +               * rdata is handled gracefully (even if it is a formerr). */
 +              if(lablen_i == 0) { 
 +                      if(dname_i) {
 +                              /* scan this dname label */
 +                              /* capture length to lowercase */
 +                              lablen_i = (size_t)*di;
 +                              if(lablen_i == 0) {
 +                                      /* end root label */
 +                                      dname_i = 0;
 +                                      dname_num_i--;
 +                                      /* if dname num is 0, then the
 +                                       * remainder is binary only */
 +                                      if(dname_num_i == 0)
 +                                              lablen_i = ilen;
 +                              }
 +                      } else {
 +                              /* scan this rdata field */
 +                              wfi++;
 +                              if(desc->_wireformat[wfi] 
 +                                      == LDNS_RDF_TYPE_DNAME) {
 +                                      dname_i = 1; 
 +                                      lablen_i = (size_t)*di;
 +                                      if(lablen_i == 0) {
 +                                              dname_i = 0;
 +                                              dname_num_i--;
 +                                              if(dname_num_i == 0)
 +                                                      lablen_i = ilen;
 +                                      }
 +                              } else if(desc->_wireformat[wfi] 
 +                                      == LDNS_RDF_TYPE_STR)
 +                                      lablen_i = (size_t)*di;
 +                              else    lablen_i = get_rdf_size(
 +                                      desc->_wireformat[wfi]) - 1;
 +                      }
 +              } else  lablen_i--;
 +
 +              /* advance field j; same as for i */
 +              if(lablen_j == 0) { 
 +                      if(dname_j) {
 +                              lablen_j = (size_t)*dj;
 +                              if(lablen_j == 0) {
 +                                      dname_j = 0;
 +                                      dname_num_j--;
 +                                      if(dname_num_j == 0)
 +                                              lablen_j = jlen;
 +                              }
 +                      } else {
 +                              wfj++;
 +                              if(desc->_wireformat[wfj] 
 +                                      == LDNS_RDF_TYPE_DNAME) {
 +                                      dname_j = 1; 
 +                                      lablen_j = (size_t)*dj;
 +                                      if(lablen_j == 0) {
 +                                              dname_j = 0;
 +                                              dname_num_j--;
 +                                              if(dname_num_j == 0)
 +                                                      lablen_j = jlen;
 +                                      }
 +                              } else if(desc->_wireformat[wfj] 
 +                                      == LDNS_RDF_TYPE_STR)
 +                                      lablen_j = (size_t)*dj;
 +                              else    lablen_j = get_rdf_size(
 +                                      desc->_wireformat[wfj]) - 1;
 +                      }
 +              } else  lablen_j--;
 +              di++;
 +              dj++;
 +      }
 +      /* end of the loop; because we advanced byte by byte; now we have
 +       * that the rdata has ended, or that there is a binary remainder */
 +      /* shortest first */
 +      if(ilen == 0 && jlen == 0)
 +              return 0;
 +      if(ilen == 0)
 +              return -1;
 +      if(jlen == 0)
 +              return 1;
 +      /* binary remainder, capture comparison in wfi variable */
 +      if((wfi = memcmp(di, dj, (ilen<jlen)?ilen:jlen)) != 0)
 +              return wfi;
 +      if(ilen < jlen)
 +              return -1;
 +      if(jlen < ilen)
 +              return 1;
 +      return 0;
 +}
 +
 +/**
 + * Compare two RRs in the same RRset and determine their relative
 + * canonical order.
 + * @param rrset: the rrset in which to perform compares.
 + * @param i: first RR to compare
 + * @param j: first RR to compare
 + * @return 0 if RR i== RR j, -1 if <, +1 if >.
 + */
 +static int
 +canonical_compare(struct ub_packed_rrset_key* rrset, size_t i, size_t j)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)
 +              rrset->entry.data;
 +      const sldns_rr_descriptor* desc;
 +      uint16_t type = ntohs(rrset->rk.type);
 +      size_t minlen;
 +      int c;
 +
 +      if(i==j)
 +              return 0;
 +      /* in case rdata-len is to be compared for canonical order
 +      c = memcmp(d->rr_data[i], d->rr_data[j], 2);
 +      if(c != 0)
 +              return c; */
 +
 +      switch(type) {
 +              /* These RR types have only a name as RDATA. 
 +               * This name has to be canonicalized.*/
 +              case LDNS_RR_TYPE_NS:
 +              case LDNS_RR_TYPE_MD:
 +              case LDNS_RR_TYPE_MF:
 +              case LDNS_RR_TYPE_CNAME:
 +              case LDNS_RR_TYPE_MB:
 +              case LDNS_RR_TYPE_MG:
 +              case LDNS_RR_TYPE_MR:
 +              case LDNS_RR_TYPE_PTR:
 +              case LDNS_RR_TYPE_DNAME:
 +                      /* the wireread function has already checked these
 +                       * dname's for correctness, and this double checks */
 +                      if(!dname_valid(d->rr_data[i]+2, d->rr_len[i]-2) ||
 +                              !dname_valid(d->rr_data[j]+2, d->rr_len[j]-2))
 +                              return 0;
 +                      return query_dname_compare(d->rr_data[i]+2,
 +                              d->rr_data[j]+2);
 +
 +              /* These RR types have STR and fixed size rdata fields
 +               * before one or more name fields that need canonicalizing,
 +               * and after that a byte-for byte remainder can be compared.
 +               */
 +              /* type starts with the name; remainder is binary compared */
 +              case LDNS_RR_TYPE_NXT: 
 +              /* use rdata field formats */
 +              case LDNS_RR_TYPE_MINFO:
 +              case LDNS_RR_TYPE_RP:
 +              case LDNS_RR_TYPE_SOA:
 +              case LDNS_RR_TYPE_RT:
 +              case LDNS_RR_TYPE_AFSDB:
 +              case LDNS_RR_TYPE_KX:
 +              case LDNS_RR_TYPE_MX:
 +              case LDNS_RR_TYPE_SIG:
 +              /* RRSIG signer name has to be downcased */
 +              case LDNS_RR_TYPE_RRSIG:
 +              case LDNS_RR_TYPE_PX:
 +              case LDNS_RR_TYPE_NAPTR:
 +              case LDNS_RR_TYPE_SRV:
 +                      desc = sldns_rr_descript(type);
 +                      log_assert(desc);
 +                      /* this holds for the types that need canonicalizing */
 +                      log_assert(desc->_minimum == desc->_maximum);
 +                      return canonical_compare_byfield(d, desc, i, j);
 +
 +              case LDNS_RR_TYPE_HINFO: /* no longer downcased */
 +              case LDNS_RR_TYPE_NSEC: 
 +      default:
 +              /* For unknown RR types, or types not listed above,
 +               * no canonicalization is needed, do binary compare */
 +              /* byte for byte compare, equal means shortest first*/
 +              minlen = d->rr_len[i]-2;
 +              if(minlen > d->rr_len[j]-2)
 +                      minlen = d->rr_len[j]-2;
 +              c = memcmp(d->rr_data[i]+2, d->rr_data[j]+2, minlen);
 +              if(c!=0)
 +                      return c;
 +              /* rdata equal, shortest is first */
 +              if(d->rr_len[i] < d->rr_len[j])
 +                      return -1;
 +              if(d->rr_len[i] > d->rr_len[j])
 +                      return 1;
 +              /* rdata equal, length equal */
 +              break;
 +      }
 +      return 0;
 +}
 +
 +int
 +canonical_tree_compare(const void* k1, const void* k2)
 +{
 +      struct canon_rr* r1 = (struct canon_rr*)k1;
 +      struct canon_rr* r2 = (struct canon_rr*)k2;
 +      log_assert(r1->rrset == r2->rrset);
 +      return canonical_compare(r1->rrset, r1->rr_idx, r2->rr_idx);
 +}
 +
 +/**
 + * Sort RRs for rrset in canonical order.
 + * Does not actually canonicalize the RR rdatas.
 + * Does not touch rrsigs.
 + * @param rrset: to sort.
 + * @param d: rrset data.
 + * @param sortree: tree to sort into.
 + * @param rrs: rr storage.
 + */
 +static void
 +canonical_sort(struct ub_packed_rrset_key* rrset, struct packed_rrset_data* d,
 +      rbtree_t* sortree, struct canon_rr* rrs)
 +{
 +      size_t i;
 +      /* insert into rbtree to sort and detect duplicates */
 +      for(i=0; i<d->count; i++) {
 +              rrs[i].node.key = &rrs[i];
 +              rrs[i].rrset = rrset;
 +              rrs[i].rr_idx = i;
 +              if(!rbtree_insert(sortree, &rrs[i].node)) {
 +                      /* this was a duplicate */
 +              }
 +      }
 +}
 +
 +/**
 + * Inser canonical owner name into buffer.
 + * @param buf: buffer to insert into at current position.
 + * @param k: rrset with its owner name.
 + * @param sig: signature with signer name and label count.
 + *    must be length checked, at least 18 bytes long.
 + * @param can_owner: position in buffer returned for future use.
 + * @param can_owner_len: length of canonical owner name.
 + */
 +static void
 +insert_can_owner(sldns_buffer* buf, struct ub_packed_rrset_key* k,
 +      uint8_t* sig, uint8_t** can_owner, size_t* can_owner_len)
 +{
 +      int rrsig_labels = (int)sig[3];
 +      int fqdn_labels = dname_signame_label_count(k->rk.dname);
 +      *can_owner = sldns_buffer_current(buf);
 +      if(rrsig_labels == fqdn_labels) {
 +              /* no change */
 +              sldns_buffer_write(buf, k->rk.dname, k->rk.dname_len);
 +              query_dname_tolower(*can_owner);
 +              *can_owner_len = k->rk.dname_len;
 +              return;
 +      }
 +      log_assert(rrsig_labels < fqdn_labels);
 +      /* *. | fqdn(rightmost rrsig_labels) */
 +      if(rrsig_labels < fqdn_labels) {
 +              int i;
 +              uint8_t* nm = k->rk.dname;
 +              size_t len = k->rk.dname_len;
 +              /* so skip fqdn_labels-rrsig_labels */
 +              for(i=0; i<fqdn_labels-rrsig_labels; i++) {
 +                      dname_remove_label(&nm, &len);  
 +              }
 +              *can_owner_len = len+2;
 +              sldns_buffer_write(buf, (uint8_t*)"\001*", 2);
 +              sldns_buffer_write(buf, nm, len);
 +              query_dname_tolower(*can_owner);
 +      }
 +}
 +
 +/**
 + * Canonicalize Rdata in buffer.
 + * @param buf: buffer at position just after the rdata.
 + * @param rrset: rrset with type.
 + * @param len: length of the rdata (including rdatalen uint16).
 + */
 +static void
 +canonicalize_rdata(sldns_buffer* buf, struct ub_packed_rrset_key* rrset,
 +      size_t len)
 +{
 +      uint8_t* datstart = sldns_buffer_current(buf)-len+2;
 +      switch(ntohs(rrset->rk.type)) {
 +              case LDNS_RR_TYPE_NXT: 
 +              case LDNS_RR_TYPE_NS:
 +              case LDNS_RR_TYPE_MD:
 +              case LDNS_RR_TYPE_MF:
 +              case LDNS_RR_TYPE_CNAME:
 +              case LDNS_RR_TYPE_MB:
 +              case LDNS_RR_TYPE_MG:
 +              case LDNS_RR_TYPE_MR:
 +              case LDNS_RR_TYPE_PTR:
 +              case LDNS_RR_TYPE_DNAME:
 +                      /* type only has a single argument, the name */
 +                      query_dname_tolower(datstart);
 +                      return;
 +              case LDNS_RR_TYPE_MINFO:
 +              case LDNS_RR_TYPE_RP:
 +              case LDNS_RR_TYPE_SOA:
 +                      /* two names after another */
 +                      query_dname_tolower(datstart);
 +                      query_dname_tolower(datstart + 
 +                              dname_valid(datstart, len-2));
 +                      return;
 +              case LDNS_RR_TYPE_RT:
 +              case LDNS_RR_TYPE_AFSDB:
 +              case LDNS_RR_TYPE_KX:
 +              case LDNS_RR_TYPE_MX:
 +                      /* skip fixed part */
 +                      if(len < 2+2+1) /* rdlen, skiplen, 1byteroot */
 +                              return;
 +                      datstart += 2;
 +                      query_dname_tolower(datstart);
 +                      return;
 +              case LDNS_RR_TYPE_SIG:
 +              /* downcase the RRSIG, compat with BIND (kept it from SIG) */
 +              case LDNS_RR_TYPE_RRSIG:
 +                      /* skip fixed part */
 +                      if(len < 2+18+1)
 +                              return;
 +                      datstart += 18;
 +                      query_dname_tolower(datstart);
 +                      return;
 +              case LDNS_RR_TYPE_PX:
 +                      /* skip, then two names after another */
 +                      if(len < 2+2+1) 
 +                              return;
 +                      datstart += 2;
 +                      query_dname_tolower(datstart);
 +                      query_dname_tolower(datstart + 
 +                              dname_valid(datstart, len-2-2));
 +                      return;
 +              case LDNS_RR_TYPE_NAPTR:
 +                      if(len < 2+4)
 +                              return;
 +                      len -= 2+4;
 +                      datstart += 4;
 +                      if(len < (size_t)datstart[0]+1) /* skip text field */
 +                              return;
 +                      len -= (size_t)datstart[0]+1;
 +                      datstart += (size_t)datstart[0]+1;
 +                      if(len < (size_t)datstart[0]+1) /* skip text field */
 +                              return;
 +                      len -= (size_t)datstart[0]+1;
 +                      datstart += (size_t)datstart[0]+1;
 +                      if(len < (size_t)datstart[0]+1) /* skip text field */
 +                              return;
 +                      len -= (size_t)datstart[0]+1;
 +                      datstart += (size_t)datstart[0]+1;
 +                      if(len < 1)     /* check name is at least 1 byte*/
 +                              return;
 +                      query_dname_tolower(datstart);
 +                      return;
 +              case LDNS_RR_TYPE_SRV:
 +                      /* skip fixed part */
 +                      if(len < 2+6+1)
 +                              return;
 +                      datstart += 6;
 +                      query_dname_tolower(datstart);
 +                      return;
 +
 +              /* do not canonicalize NSEC rdata name, compat with 
 +               * from bind 9.4 signer, where it does not do so */
 +              case LDNS_RR_TYPE_NSEC: /* type starts with the name */
 +              case LDNS_RR_TYPE_HINFO: /* not downcased */
 +              /* A6 not supported */
 +              default:        
 +                      /* nothing to do for unknown types */
 +                      return;
 +      }
 +}
 +
 +int rrset_canonical_equal(struct regional* region,
 +      struct ub_packed_rrset_key* k1, struct ub_packed_rrset_key* k2)
 +{
 +      struct rbtree_t sortree1, sortree2;
 +      struct canon_rr *rrs1, *rrs2, *p1, *p2;
 +      struct packed_rrset_data* d1=(struct packed_rrset_data*)k1->entry.data;
 +      struct packed_rrset_data* d2=(struct packed_rrset_data*)k2->entry.data;
 +      struct ub_packed_rrset_key fk;
 +      struct packed_rrset_data fd;
 +      size_t flen[2];
 +      uint8_t* fdata[2];
 +
 +      /* basic compare */
 +      if(k1->rk.dname_len != k2->rk.dname_len ||
 +              k1->rk.flags != k2->rk.flags ||
 +              k1->rk.type != k2->rk.type ||
 +              k1->rk.rrset_class != k2->rk.rrset_class ||
 +              query_dname_compare(k1->rk.dname, k2->rk.dname) != 0)
 +              return 0;
 +      if(d1->ttl != d2->ttl ||
 +              d1->count != d2->count ||
 +              d1->rrsig_count != d2->rrsig_count ||
 +              d1->trust != d2->trust ||
 +              d1->security != d2->security)
 +              return 0;
 +
 +      /* init */
 +      memset(&fk, 0, sizeof(fk));
 +      memset(&fd, 0, sizeof(fd));
 +      fk.entry.data = &fd;
 +      fd.count = 2;
 +      fd.rr_len = flen;
 +      fd.rr_data = fdata;
 +      rbtree_init(&sortree1, &canonical_tree_compare);
 +      rbtree_init(&sortree2, &canonical_tree_compare);
++      if(d1->count > RR_COUNT_MAX || d2->count > RR_COUNT_MAX)
++              return 1; /* protection against integer overflow */
 +      rrs1 = regional_alloc(region, sizeof(struct canon_rr)*d1->count);
 +      rrs2 = regional_alloc(region, sizeof(struct canon_rr)*d2->count);
 +      if(!rrs1 || !rrs2) return 1; /* alloc failure */
 +
 +      /* sort */
 +      canonical_sort(k1, d1, &sortree1, rrs1);
 +      canonical_sort(k2, d2, &sortree2, rrs2);
 +
 +      /* compare canonical-sorted RRs for canonical-equality */
 +      if(sortree1.count != sortree2.count)
 +              return 0;
 +      p1 = (struct canon_rr*)rbtree_first(&sortree1);
 +      p2 = (struct canon_rr*)rbtree_first(&sortree2);
 +      while(p1 != (struct canon_rr*)RBTREE_NULL &&
 +              p2 != (struct canon_rr*)RBTREE_NULL) {
 +              flen[0] = d1->rr_len[p1->rr_idx];
 +              flen[1] = d2->rr_len[p2->rr_idx];
 +              fdata[0] = d1->rr_data[p1->rr_idx];
 +              fdata[1] = d2->rr_data[p2->rr_idx];
 +
 +              if(canonical_compare(&fk, 0, 1) != 0)
 +                      return 0;
 +              p1 = (struct canon_rr*)rbtree_next(&p1->node);
 +              p2 = (struct canon_rr*)rbtree_next(&p2->node);
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Create canonical form of rrset in the scratch buffer.
 + * @param region: temporary region.
 + * @param buf: the buffer to use.
 + * @param k: the rrset to insert.
 + * @param sig: RRSIG rdata to include.
 + * @param siglen: RRSIG rdata len excluding signature field, but inclusive
 + *    signer name length.
 + * @param sortree: if NULL is passed a new sorted rrset tree is built.
 + *    Otherwise it is reused.
 + * @return false on alloc error.
 + */
 +static int
 +rrset_canonical(struct regional* region, sldns_buffer* buf, 
 +      struct ub_packed_rrset_key* k, uint8_t* sig, size_t siglen,
 +      struct rbtree_t** sortree)
 +{
 +      struct packed_rrset_data* d = (struct packed_rrset_data*)k->entry.data;
 +      uint8_t* can_owner = NULL;
 +      size_t can_owner_len = 0;
 +      struct canon_rr* walk;
 +      struct canon_rr* rrs;
 +
 +      if(!*sortree) {
 +              *sortree = (struct rbtree_t*)regional_alloc(region, 
 +                      sizeof(rbtree_t));
 +              if(!*sortree)
 +                      return 0;
++              if(d->count > RR_COUNT_MAX)
++                      return 0; /* integer overflow protection */
 +              rrs = regional_alloc(region, sizeof(struct canon_rr)*d->count);
 +              if(!rrs) {
 +                      *sortree = NULL;
 +                      return 0;
 +              }
 +              rbtree_init(*sortree, &canonical_tree_compare);
 +              canonical_sort(k, d, *sortree, rrs);
 +      }
 +
 +      sldns_buffer_clear(buf);
 +      sldns_buffer_write(buf, sig, siglen);
 +      /* canonicalize signer name */
 +      query_dname_tolower(sldns_buffer_begin(buf)+18); 
 +      RBTREE_FOR(walk, struct canon_rr*, (*sortree)) {
 +              /* see if there is enough space left in the buffer */
 +              if(sldns_buffer_remaining(buf) < can_owner_len + 2 + 2 + 4
 +                      + d->rr_len[walk->rr_idx]) {
 +                      log_err("verify: failed to canonicalize, "
 +                              "rrset too big");
 +                      return 0;
 +              }
 +              /* determine canonical owner name */
 +              if(can_owner)
 +                      sldns_buffer_write(buf, can_owner, can_owner_len);
 +              else    insert_can_owner(buf, k, sig, &can_owner, 
 +                              &can_owner_len);
 +              sldns_buffer_write(buf, &k->rk.type, 2);
 +              sldns_buffer_write(buf, &k->rk.rrset_class, 2);
 +              sldns_buffer_write(buf, sig+4, 4);
 +              sldns_buffer_write(buf, d->rr_data[walk->rr_idx], 
 +                      d->rr_len[walk->rr_idx]);
 +              canonicalize_rdata(buf, k, d->rr_len[walk->rr_idx]);
 +      }
 +      sldns_buffer_flip(buf);
 +      return 1;
 +}
 +
 +/** pretty print rrsig error with dates */
 +static void
 +sigdate_error(const char* str, int32_t expi, int32_t incep, int32_t now)
 +{
 +      struct tm tm;
 +      char expi_buf[16];
 +      char incep_buf[16];
 +      char now_buf[16];
 +      time_t te, ti, tn;
 +
 +      if(verbosity < VERB_QUERY)
 +              return;
 +      te = (time_t)expi;
 +      ti = (time_t)incep;
 +      tn = (time_t)now;
 +      memset(&tm, 0, sizeof(tm));
 +      if(gmtime_r(&te, &tm) && strftime(expi_buf, 15, "%Y%m%d%H%M%S", &tm)
 +       &&gmtime_r(&ti, &tm) && strftime(incep_buf, 15, "%Y%m%d%H%M%S", &tm)
 +       &&gmtime_r(&tn, &tm) && strftime(now_buf, 15, "%Y%m%d%H%M%S", &tm)) {
 +              log_info("%s expi=%s incep=%s now=%s", str, expi_buf, 
 +                      incep_buf, now_buf);
 +      } else
 +              log_info("%s expi=%u incep=%u now=%u", str, (unsigned)expi, 
 +                      (unsigned)incep, (unsigned)now);
 +}
 +
 +/** check rrsig dates */
 +static int
 +check_dates(struct val_env* ve, uint32_t unow,
 +      uint8_t* expi_p, uint8_t* incep_p, char** reason)
 +{
 +      /* read out the dates */
 +      int32_t expi, incep, now;
 +      memmove(&expi, expi_p, sizeof(expi));
 +      memmove(&incep, incep_p, sizeof(incep));
 +      expi = ntohl(expi);
 +      incep = ntohl(incep);
 +
 +      /* get current date */
 +      if(ve->date_override) {
 +              if(ve->date_override == -1) {
 +                      verbose(VERB_ALGO, "date override: ignore date"); 
 +                      return 1;
 +              }
 +              now = ve->date_override;
 +              verbose(VERB_ALGO, "date override option %d", (int)now); 
 +      } else  now = (int32_t)unow;
 +
 +      /* check them */
 +      if(incep - expi > 0) {
 +              sigdate_error("verify: inception after expiration, "
 +                      "signature bad", expi, incep, now);
 +              *reason = "signature inception after expiration";
 +              return 0;
 +      }
 +      if(incep - now > 0) {
 +              /* within skew ? (calc here to avoid calculation normally) */
 +              int32_t skew = (expi-incep)/10;
 +              if(skew < ve->skew_min) skew = ve->skew_min;
 +              if(skew > ve->skew_max) skew = ve->skew_max;
 +              if(incep - now > skew) {
 +                      sigdate_error("verify: signature bad, current time is"
 +                              " before inception date", expi, incep, now);
 +                      *reason = "signature before inception date";
 +                      return 0;
 +              }
 +              sigdate_error("verify warning suspicious signature inception "
 +                      " or bad local clock", expi, incep, now);
 +      }
 +      if(now - expi > 0) {
 +              int32_t skew = (expi-incep)/10;
 +              if(skew < ve->skew_min) skew = ve->skew_min;
 +              if(skew > ve->skew_max) skew = ve->skew_max;
 +              if(now - expi > skew) {
 +                      sigdate_error("verify: signature expired", expi, 
 +                              incep, now);
 +                      *reason = "signature expired";
 +                      return 0;
 +              }
 +              sigdate_error("verify warning suspicious signature expiration "
 +                      " or bad local clock", expi, incep, now);
 +      }
 +      return 1;
 +}
 +
 +/** adjust rrset TTL for verified rrset, compare to original TTL and expi */
 +static void
 +adjust_ttl(struct val_env* ve, uint32_t unow, 
 +      struct ub_packed_rrset_key* rrset, uint8_t* orig_p, 
 +      uint8_t* expi_p, uint8_t* incep_p)
 +{
 +      struct packed_rrset_data* d = 
 +              (struct packed_rrset_data*)rrset->entry.data;
 +      /* read out the dates */
 +      int32_t origttl, expittl, expi, incep, now;
 +      memmove(&origttl, orig_p, sizeof(origttl));
 +      memmove(&expi, expi_p, sizeof(expi));
 +      memmove(&incep, incep_p, sizeof(incep));
 +      expi = ntohl(expi);
 +      incep = ntohl(incep);
 +      origttl = ntohl(origttl);
 +
 +      /* get current date */
 +      if(ve->date_override) {
 +              now = ve->date_override;
 +      } else  now = (int32_t)unow;
 +      expittl = expi - now;
 +
 +      /* so now:
 +       * d->ttl: rrset ttl read from message or cache. May be reduced
 +       * origttl: original TTL from signature, authoritative TTL max.
 +       * expittl: TTL until the signature expires.
 +       *
 +       * Use the smallest of these.
 +       */
 +      if(d->ttl > (time_t)origttl) {
 +              verbose(VERB_QUERY, "rrset TTL larger than original TTL,"
 +                      " adjusting TTL downwards");
 +              d->ttl = origttl;
 +      }
 +      if(expittl > 0 && d->ttl > (time_t)expittl) {
 +              verbose(VERB_ALGO, "rrset TTL larger than sig expiration ttl,"
 +                      " adjusting TTL downwards");
 +              d->ttl = expittl;
 +      }
 +}
 +
 +enum sec_status 
 +dnskey_verify_rrset_sig(struct regional* region, sldns_buffer* buf, 
 +      struct val_env* ve, time_t now,
 +        struct ub_packed_rrset_key* rrset, struct ub_packed_rrset_key* dnskey,
 +        size_t dnskey_idx, size_t sig_idx,
 +      struct rbtree_t** sortree, int* buf_canon, char** reason)
 +{
 +      enum sec_status sec;
 +      uint8_t* sig;           /* RRSIG rdata */
 +      size_t siglen;
 +      size_t rrnum = rrset_get_count(rrset);
 +      uint8_t* signer;        /* rrsig signer name */
 +      size_t signer_len;
 +      unsigned char* sigblock; /* signature rdata field */
 +      unsigned int sigblock_len;
 +      uint16_t ktag;          /* DNSKEY key tag */
 +      unsigned char* key;     /* public key rdata field */
 +      unsigned int keylen;
 +      rrset_get_rdata(rrset, rrnum + sig_idx, &sig, &siglen);
 +      /* min length of rdatalen, fixed rrsig, root signer, 1 byte sig */
 +      if(siglen < 2+20) {
 +              verbose(VERB_QUERY, "verify: signature too short");
 +              *reason = "signature too short";
 +              return sec_status_bogus;
 +      }
 +
 +      if(!(dnskey_get_flags(dnskey, dnskey_idx) & DNSKEY_BIT_ZSK)) {
 +              verbose(VERB_QUERY, "verify: dnskey without ZSK flag");
 +              *reason = "dnskey without ZSK flag";
 +              return sec_status_bogus; 
 +      }
 +
 +      if(dnskey_get_protocol(dnskey, dnskey_idx) != LDNS_DNSSEC_KEYPROTO) { 
 +              /* RFC 4034 says DNSKEY PROTOCOL MUST be 3 */
 +              verbose(VERB_QUERY, "verify: dnskey has wrong key protocol");
 +              *reason = "dnskey has wrong protocolnumber";
 +              return sec_status_bogus;
 +      }
 +
 +      /* verify as many fields in rrsig as possible */
 +      signer = sig+2+18;
 +      signer_len = dname_valid(signer, siglen-2-18);
 +      if(!signer_len) {
 +              verbose(VERB_QUERY, "verify: malformed signer name");
 +              *reason = "signer name malformed";
 +              return sec_status_bogus; /* signer name invalid */
 +      }
 +      if(!dname_subdomain_c(rrset->rk.dname, signer)) {
 +              verbose(VERB_QUERY, "verify: signer name is off-tree");
 +              *reason = "signer name off-tree";
 +              return sec_status_bogus; /* signer name offtree */
 +      }
 +      sigblock = (unsigned char*)signer+signer_len;
 +      if(siglen < 2+18+signer_len+1) {
 +              verbose(VERB_QUERY, "verify: too short, no signature data");
 +              *reason = "signature too short, no signature data";
 +              return sec_status_bogus; /* sig rdf is < 1 byte */
 +      }
 +      sigblock_len = (unsigned int)(siglen - 2 - 18 - signer_len);
 +
 +      /* verify key dname == sig signer name */
 +      if(query_dname_compare(signer, dnskey->rk.dname) != 0) {
 +              verbose(VERB_QUERY, "verify: wrong key for rrsig");
 +              log_nametypeclass(VERB_QUERY, "RRSIG signername is", 
 +                      signer, 0, 0);
 +              log_nametypeclass(VERB_QUERY, "the key name is", 
 +                      dnskey->rk.dname, 0, 0);
 +              *reason = "signer name mismatches key name";
 +              return sec_status_bogus;
 +      }
 +
 +      /* verify covered type */
 +      /* memcmp works because type is in network format for rrset */
 +      if(memcmp(sig+2, &rrset->rk.type, 2) != 0) {
 +              verbose(VERB_QUERY, "verify: wrong type covered");
 +              *reason = "signature covers wrong type";
 +              return sec_status_bogus;
 +      }
 +      /* verify keytag and sig algo (possibly again) */
 +      if((int)sig[2+2] != dnskey_get_algo(dnskey, dnskey_idx)) {
 +              verbose(VERB_QUERY, "verify: wrong algorithm");
 +              *reason = "signature has wrong algorithm";
 +              return sec_status_bogus;
 +      }
 +      ktag = htons(dnskey_calc_keytag(dnskey, dnskey_idx));
 +      if(memcmp(sig+2+16, &ktag, 2) != 0) {
 +              verbose(VERB_QUERY, "verify: wrong keytag");
 +              *reason = "signature has wrong keytag";
 +              return sec_status_bogus;
 +      }
 +
 +      /* verify labels is in a valid range */
 +      if((int)sig[2+3] > dname_signame_label_count(rrset->rk.dname)) {
 +              verbose(VERB_QUERY, "verify: labelcount out of range");
 +              *reason = "signature labelcount out of range";
 +              return sec_status_bogus;
 +      }
 +
 +      /* original ttl, always ok */
 +
 +      if(!*buf_canon) {
 +              /* create rrset canonical format in buffer, ready for 
 +               * signature */
 +              if(!rrset_canonical(region, buf, rrset, sig+2, 
 +                      18 + signer_len, sortree)) {
 +                      log_err("verify: failed due to alloc error");
 +                      return sec_status_unchecked;
 +              }
 +              *buf_canon = 1;
 +      }
 +
 +      /* check that dnskey is available */
 +      dnskey_get_pubkey(dnskey, dnskey_idx, &key, &keylen);
 +      if(!key) {
 +              verbose(VERB_QUERY, "verify: short DNSKEY RR");
 +              return sec_status_unchecked;
 +      }
 +
 +      /* verify */
 +      sec = verify_canonrrset(buf, (int)sig[2+2],
 +              sigblock, sigblock_len, key, keylen, reason);
 +      
 +      if(sec == sec_status_secure) {
 +              /* check if TTL is too high - reduce if so */
 +              adjust_ttl(ve, now, rrset, sig+2+4, sig+2+8, sig+2+12);
 +
 +              /* verify inception, expiration dates 
 +               * Do this last so that if you ignore expired-sigs the
 +               * rest is sure to be OK. */
 +              if(!check_dates(ve, now, sig+2+8, sig+2+12, reason)) {
 +                      return sec_status_bogus;
 +              }
 +      }
 +
 +      return sec;
 +}
diff --cc contrib/unbound/validator/validator.c
index cc07cc2b15255f59b099d58f52404bdc089af722,0000000000000000000000000000000000000000..74068659f010f93fd6d7946e6bc4a8b1e0c5b9b0
mode 100644,000000..100644
--- 1/contrib/unbound/validator/validator.c
--- /dev/null
+++ b/contrib/unbound/validator/validator.c
@@@ -1,3063 -1,0 +1,3067 @@@
- #include "ldns/rrdef.h"
- #include "ldns/wire2str.h"
 +/*
 + * validator/validator.c - secure validator DNS query response module
 + *
 + * Copyright (c) 2007, NLnet Labs. All rights reserved.
 + *
 + * This software is open source.
 + * 
 + * Redistribution and use in source and binary forms, with or without
 + * modification, are permitted provided that the following conditions
 + * are met:
 + * 
 + * Redistributions of source code must retain the above copyright notice,
 + * this list of conditions and the following disclaimer.
 + * 
 + * Redistributions in binary form must reproduce the above copyright notice,
 + * this list of conditions and the following disclaimer in the documentation
 + * and/or other materials provided with the distribution.
 + * 
 + * Neither the name of the NLNET LABS nor the names of its contributors may
 + * be used to endorse or promote products derived from this software without
 + * specific prior written permission.
 + * 
 + * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
 + * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
 + * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR
 + * A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT
 + * HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
 + * SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED
 + * TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 + * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 + * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 + * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 + * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 + */
 +
 +/**
 + * \file
 + *
 + * This file contains a module that performs validation of DNS queries.
 + * According to RFC 4034.
 + */
 +#include "config.h"
 +#include "validator/validator.h"
 +#include "validator/val_anchor.h"
 +#include "validator/val_kcache.h"
 +#include "validator/val_kentry.h"
 +#include "validator/val_utils.h"
 +#include "validator/val_nsec.h"
 +#include "validator/val_nsec3.h"
 +#include "validator/val_neg.h"
 +#include "validator/val_sigcrypt.h"
 +#include "validator/autotrust.h"
 +#include "services/cache/dns.h"
 +#include "util/data/dname.h"
 +#include "util/module.h"
 +#include "util/log.h"
 +#include "util/net_help.h"
 +#include "util/regional.h"
 +#include "util/config_file.h"
 +#include "util/fptr_wlist.h"
-                       errinf_rrset(qstate, s);
++#include "sldns/rrdef.h"
++#include "sldns/wire2str.h"
 +
 +/* forward decl for cache response and normal super inform calls of a DS */
 +static void process_ds_response(struct module_qstate* qstate, 
 +      struct val_qstate* vq, int id, int rcode, struct dns_msg* msg, 
 +      struct query_info* qinfo, struct sock_list* origin);
 +
 +/** fill up nsec3 key iterations config entry */
 +static int
 +fill_nsec3_iter(struct val_env* ve, char* s, int c)
 +{
 +      char* e;
 +      int i;
 +      free(ve->nsec3_keysize);
 +      free(ve->nsec3_maxiter);
 +      ve->nsec3_keysize = (size_t*)calloc(sizeof(size_t), (size_t)c);
 +      ve->nsec3_maxiter = (size_t*)calloc(sizeof(size_t), (size_t)c);
 +      if(!ve->nsec3_keysize || !ve->nsec3_maxiter) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      for(i=0; i<c; i++) {
 +              ve->nsec3_keysize[i] = (size_t)strtol(s, &e, 10);
 +              if(s == e) {
 +                      log_err("cannot parse: %s", s);
 +                      return 0;
 +              }
 +              s = e;
 +              ve->nsec3_maxiter[i] = (size_t)strtol(s, &e, 10);
 +              if(s == e) {
 +                      log_err("cannot parse: %s", s);
 +                      return 0;
 +              }
 +              s = e;
 +              if(i>0 && ve->nsec3_keysize[i-1] >= ve->nsec3_keysize[i]) {
 +                      log_err("nsec3 key iterations not ascending: %d %d",
 +                              (int)ve->nsec3_keysize[i-1], 
 +                              (int)ve->nsec3_keysize[i]);
 +                      return 0;
 +              }
 +              verbose(VERB_ALGO, "validator nsec3cfg keysz %d mxiter %d",
 +                      (int)ve->nsec3_keysize[i], (int)ve->nsec3_maxiter[i]);
 +      }
 +      return 1;
 +}
 +
 +/** apply config settings to validator */
 +static int
 +val_apply_cfg(struct module_env* env, struct val_env* val_env, 
 +      struct config_file* cfg)
 +{
 +      int c;
 +      val_env->bogus_ttl = (uint32_t)cfg->bogus_ttl;
 +      val_env->clean_additional = cfg->val_clean_additional;
 +      val_env->permissive_mode = cfg->val_permissive_mode;
 +      if(!env->anchors)
 +              env->anchors = anchors_create();
 +      if(!env->anchors) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      if(!val_env->kcache)
 +              val_env->kcache = key_cache_create(cfg);
 +      if(!val_env->kcache) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      env->key_cache = val_env->kcache;
 +      if(!anchors_apply_cfg(env->anchors, cfg)) {
 +              log_err("validator: error in trustanchors config");
 +              return 0;
 +      }
 +      val_env->date_override = cfg->val_date_override;
 +      val_env->skew_min = cfg->val_sig_skew_min;
 +      val_env->skew_max = cfg->val_sig_skew_max;
 +      c = cfg_count_numbers(cfg->val_nsec3_key_iterations);
 +      if(c < 1 || (c&1)) {
 +              log_err("validator: unparseable or odd nsec3 key "
 +                      "iterations: %s", cfg->val_nsec3_key_iterations);
 +              return 0;
 +      }
 +      val_env->nsec3_keyiter_count = c/2;
 +      if(!fill_nsec3_iter(val_env, cfg->val_nsec3_key_iterations, c/2)) {
 +              log_err("validator: cannot apply nsec3 key iterations");
 +              return 0;
 +      }
 +      if(!val_env->neg_cache)
 +              val_env->neg_cache = val_neg_create(cfg,
 +                      val_env->nsec3_maxiter[val_env->nsec3_keyiter_count-1]);
 +      if(!val_env->neg_cache) {
 +              log_err("out of memory");
 +              return 0;
 +      }
 +      env->neg_cache = val_env->neg_cache;
 +      return 1;
 +}
 +
 +int
 +val_init(struct module_env* env, int id)
 +{
 +      struct val_env* val_env = (struct val_env*)calloc(1,
 +              sizeof(struct val_env));
 +      if(!val_env) {
 +              log_err("malloc failure");
 +              return 0;
 +      }
 +      env->modinfo[id] = (void*)val_env;
 +      env->need_to_validate = 1;
 +      val_env->permissive_mode = 0;
 +      lock_basic_init(&val_env->bogus_lock);
 +      lock_protect(&val_env->bogus_lock, &val_env->num_rrset_bogus,
 +              sizeof(val_env->num_rrset_bogus));
 +      if(!val_apply_cfg(env, val_env, env->cfg)) {
 +              log_err("validator: could not apply configuration settings.");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +void
 +val_deinit(struct module_env* env, int id)
 +{
 +      struct val_env* val_env;
 +      if(!env || !env->modinfo[id])
 +              return;
 +      val_env = (struct val_env*)env->modinfo[id];
 +      lock_basic_destroy(&val_env->bogus_lock);
 +      anchors_delete(env->anchors);
 +      env->anchors = NULL;
 +      key_cache_delete(val_env->kcache);
 +      neg_cache_delete(val_env->neg_cache);
 +      free(val_env->nsec3_keysize);
 +      free(val_env->nsec3_maxiter);
 +      free(val_env);
 +      env->modinfo[id] = NULL;
 +}
 +
 +/** fill in message structure */
 +static struct val_qstate*
 +val_new_getmsg(struct module_qstate* qstate, struct val_qstate* vq)
 +{
 +      if(!qstate->return_msg || qstate->return_rcode != LDNS_RCODE_NOERROR) {
 +              /* create a message to verify */
 +              verbose(VERB_ALGO, "constructing reply for validation");
 +              vq->orig_msg = (struct dns_msg*)regional_alloc(qstate->region,
 +                      sizeof(struct dns_msg));
 +              if(!vq->orig_msg)
 +                      return NULL;
 +              vq->orig_msg->qinfo = qstate->qinfo;
 +              vq->orig_msg->rep = (struct reply_info*)regional_alloc(
 +                      qstate->region, sizeof(struct reply_info));
 +              if(!vq->orig_msg->rep)
 +                      return NULL;
 +              memset(vq->orig_msg->rep, 0, sizeof(struct reply_info));
 +              vq->orig_msg->rep->flags = (uint16_t)(qstate->return_rcode&0xf)
 +                      |BIT_QR|BIT_RA|(qstate->query_flags|(BIT_CD|BIT_RD));
 +              vq->orig_msg->rep->qdcount = 1;
 +      } else {
 +              vq->orig_msg = qstate->return_msg;
 +      }
 +      vq->qchase = qstate->qinfo;
 +      /* chase reply will be an edited (sub)set of the orig msg rrset ptrs */
 +      vq->chase_reply = regional_alloc_init(qstate->region, 
 +              vq->orig_msg->rep, 
 +              sizeof(struct reply_info) - sizeof(struct rrset_ref));
 +      if(!vq->chase_reply)
 +              return NULL;
++      if(vq->orig_msg->rep->rrset_count > RR_COUNT_MAX)
++              return NULL; /* protect against integer overflow */
 +      vq->chase_reply->rrsets = regional_alloc_init(qstate->region,
 +              vq->orig_msg->rep->rrsets, sizeof(struct ub_packed_rrset_key*)
 +                      * vq->orig_msg->rep->rrset_count);
 +      if(!vq->chase_reply->rrsets)
 +              return NULL;
 +      vq->rrset_skip = 0;
 +      return vq;
 +}
 +
 +/** allocate new validator query state */
 +static struct val_qstate*
 +val_new(struct module_qstate* qstate, int id)
 +{
 +      struct val_qstate* vq = (struct val_qstate*)regional_alloc(
 +              qstate->region, sizeof(*vq));
 +      log_assert(!qstate->minfo[id]);
 +      if(!vq)
 +              return NULL;
 +      memset(vq, 0, sizeof(*vq));
 +      qstate->minfo[id] = vq;
 +      vq->state = VAL_INIT_STATE;
 +      return val_new_getmsg(qstate, vq);
 +}
 +
 +/**
 + * Exit validation with an error status
 + * 
 + * @param qstate: query state
 + * @param id: validator id.
 + * @return false, for use by caller to return to stop processing.
 + */
 +static int
 +val_error(struct module_qstate* qstate, int id)
 +{
 +      qstate->ext_state[id] = module_error;
 +      qstate->return_rcode = LDNS_RCODE_SERVFAIL;
 +      return 0;
 +}
 +
 +/** 
 + * Check to see if a given response needs to go through the validation
 + * process. Typical reasons for this routine to return false are: CD bit was
 + * on in the original request, or the response is a kind of message that 
 + * is unvalidatable (i.e., SERVFAIL, REFUSED, etc.)
 + *
 + * @param qstate: query state.
 + * @param ret_rc: rcode for this message (if noerror - examine ret_msg).
 + * @param ret_msg: return msg, can be NULL; look at rcode instead.
 + * @return true if the response could use validation (although this does not
 + *         mean we can actually validate this response).
 + */
 +static int
 +needs_validation(struct module_qstate* qstate, int ret_rc, 
 +      struct dns_msg* ret_msg)
 +{
 +      int rcode;
 +
 +      /* If the CD bit is on in the original request, then you could think
 +       * that we don't bother to validate anything.
 +       * But this is signalled internally with the valrec flag.
 +       * User queries are validated with BIT_CD to make our cache clean
 +       * so that bogus messages get retried by the upstream also for
 +       * downstream validators that set BIT_CD.
 +       * For DNS64 bit_cd signals no dns64 processing, but we want to
 +       * provide validation there too */
 +      /*
 +      if(qstate->query_flags & BIT_CD) {
 +              verbose(VERB_ALGO, "not validating response due to CD bit");
 +              return 0;
 +      }
 +      */
 +      if(qstate->is_valrec) {
 +              verbose(VERB_ALGO, "not validating response, is valrec"
 +                      "(validation recursion lookup)");
 +              return 0;
 +      }
 +
 +      if(ret_rc != LDNS_RCODE_NOERROR || !ret_msg)
 +              rcode = ret_rc;
 +      else    rcode = (int)FLAGS_GET_RCODE(ret_msg->rep->flags);
 +
 +      if(rcode != LDNS_RCODE_NOERROR && rcode != LDNS_RCODE_NXDOMAIN) {
 +              if(verbosity >= VERB_ALGO) {
 +                      char rc[16];
 +                      rc[0]=0;
 +                      (void)sldns_wire2str_rcode_buf(rcode, rc, sizeof(rc));
 +                      verbose(VERB_ALGO, "cannot validate non-answer, rcode %s", rc);
 +              }
 +              return 0;
 +      }
 +
 +      /* cannot validate positive RRSIG response. (negatives can) */
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_RRSIG &&
 +              rcode == LDNS_RCODE_NOERROR && ret_msg &&
 +              ret_msg->rep->an_numrrsets > 0) {
 +              verbose(VERB_ALGO, "cannot validate RRSIG, no sigs on sigs.");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Check to see if the response has already been validated.
 + * @param ret_msg: return msg, can be NULL
 + * @return true if the response has already been validated
 + */
 +static int
 +already_validated(struct dns_msg* ret_msg)
 +{
 +      /* validate unchecked, and re-validate bogus messages */
 +      if (ret_msg && ret_msg->rep->security > sec_status_bogus)
 +      {
 +              verbose(VERB_ALGO, "response has already been validated: %s",
 +                      sec_status_to_string(ret_msg->rep->security));
 +              return 1;
 +      }
 +      return 0;
 +}
 +
 +/**
 + * Generate a request for DNS data.
 + *
 + * @param qstate: query state that is the parent.
 + * @param id: module id.
 + * @param name: what name to query for.
 + * @param namelen: length of name.
 + * @param qtype: query type.
 + * @param qclass: query class.
 + * @param flags: additional flags, such as the CD bit (BIT_CD), or 0.
 + * @return false on alloc failure.
 + */
 +static int
 +generate_request(struct module_qstate* qstate, int id, uint8_t* name, 
 +      size_t namelen, uint16_t qtype, uint16_t qclass, uint16_t flags)
 +{
 +      struct val_qstate* vq = (struct val_qstate*)qstate->minfo[id];
 +      struct module_qstate* newq;
 +      struct query_info ask;
 +      int valrec;
 +      ask.qname = name;
 +      ask.qname_len = namelen;
 +      ask.qtype = qtype;
 +      ask.qclass = qclass;
 +      log_query_info(VERB_ALGO, "generate request", &ask);
 +      fptr_ok(fptr_whitelist_modenv_attach_sub(qstate->env->attach_sub));
 +      /* enable valrec flag to avoid recursion to the same validation
 +       * routine, this lookup is simply a lookup. DLVs need validation */
 +      if(qtype == LDNS_RR_TYPE_DLV)
 +              valrec = 0;
 +      else valrec = 1;
 +      if(!(*qstate->env->attach_sub)(qstate, &ask, 
 +              (uint16_t)(BIT_RD|flags), 0, valrec, &newq)){
 +              log_err("Could not generate request: out of memory");
 +              return 0;
 +      }
 +      /* newq; validator does not need state created for that
 +       * query, and its a 'normal' for iterator as well */
 +      if(newq) {
 +              /* add our blacklist to the query blacklist */
 +              sock_list_merge(&newq->blacklist, newq->region,
 +                      vq->chain_blacklist);
 +      }
 +      qstate->ext_state[id] = module_wait_subquery;
 +      return 1;
 +}
 +
 +/**
 + * Prime trust anchor for use.
 + * Generate and dispatch a priming query for the given trust anchor.
 + * The trust anchor can be DNSKEY or DS and does not have to be signed.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param id: module id.
 + * @param toprime: what to prime.
 + * @return false on a processing error.
 + */
 +static int
 +prime_trust_anchor(struct module_qstate* qstate, struct val_qstate* vq,
 +      int id, struct trust_anchor* toprime)
 +{
 +      int ret = generate_request(qstate, id, toprime->name, toprime->namelen,
 +              LDNS_RR_TYPE_DNSKEY, toprime->dclass, BIT_CD);
 +      if(!ret) {
 +              log_err("Could not prime trust anchor: out of memory");
 +              return 0;
 +      }
 +      /* ignore newq; validator does not need state created for that
 +       * query, and its a 'normal' for iterator as well */
 +      vq->wait_prime_ta = 1; /* to elicit PRIME_RESP_STATE processing 
 +              from the validator inform_super() routine */
 +      /* store trust anchor name for later lookup when prime returns */
 +      vq->trust_anchor_name = regional_alloc_init(qstate->region,
 +              toprime->name, toprime->namelen);
 +      vq->trust_anchor_len = toprime->namelen;
 +      vq->trust_anchor_labs = toprime->namelabs;
 +      if(!vq->trust_anchor_name) {
 +              log_err("Could not prime trust anchor: out of memory");
 +              return 0;
 +      }
 +      return 1;
 +}
 +
 +/**
 + * Validate if the ANSWER and AUTHORITY sections contain valid rrsets.
 + * They must be validly signed with the given key.
 + * Tries to validate ADDITIONAL rrsets as well, but only to check them.
 + * Allows unsigned CNAME after a DNAME that expands the DNAME.
 + * 
 + * Note that by the time this method is called, the process of finding the
 + * trusted DNSKEY rrset that signs this response must already have been
 + * completed.
 + * 
 + * @param qstate: query state.
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to validate.
 + * @param key_entry: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + * @return false if any of the rrsets in the an or ns sections of the message 
 + *    fail to verify. The message is then set to bogus.
 + */
 +static int
 +validate_msg_signatures(struct module_qstate* qstate, struct module_env* env,
 +      struct val_env* ve, struct query_info* qchase,
 +      struct reply_info* chase_reply, struct key_entry_key* key_entry)
 +{
 +      uint8_t* sname;
 +      size_t i, slen;
 +      struct ub_packed_rrset_key* s;
 +      enum sec_status sec;
 +      int dname_seen = 0;
 +      char* reason = NULL;
 +
 +      /* validate the ANSWER section */
 +      for(i=0; i<chase_reply->an_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +              /* Skip the CNAME following a (validated) DNAME.
 +               * Because of the normalization routines in the iterator, 
 +               * there will always be an unsigned CNAME following a DNAME 
 +               * (unless qtype=DNAME). */
 +              if(dname_seen && ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME) {
 +                      dname_seen = 0;
 +                      /* CNAME was synthesized by our own iterator */
 +                      /* since the DNAME verified, mark the CNAME as secure */
 +                      ((struct packed_rrset_data*)s->entry.data)->security =
 +                              sec_status_secure;
 +                      ((struct packed_rrset_data*)s->entry.data)->trust =
 +                              rrset_trust_validated;
 +                      continue;
 +              }
 +
 +              /* Verify the answer rrset */
 +              sec = val_verify_rrset_entry(env, ve, s, key_entry, &reason);
 +              /* If the (answer) rrset failed to validate, then this 
 +               * message is BAD. */
 +              if(sec != sec_status_secure) {
 +                      log_nametypeclass(VERB_QUERY, "validator: response "
 +                              "has failed ANSWER rrset:", s->rk.dname,
 +                              ntohs(s->rk.type), ntohs(s->rk.rrset_class));
 +                      errinf(qstate, reason);
 +                      if(ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME)
 +                              errinf(qstate, "for CNAME");
 +                      else if(ntohs(s->rk.type) == LDNS_RR_TYPE_DNAME)
 +                              errinf(qstate, "for DNAME");
 +                      errinf_origin(qstate, qstate->reply_origin);
 +                      chase_reply->security = sec_status_bogus;
 +                      return 0;
 +              }
 +
 +              /* Notice a DNAME that should be followed by an unsigned 
 +               * CNAME. */
 +              if(qchase->qtype != LDNS_RR_TYPE_DNAME && 
 +                      ntohs(s->rk.type) == LDNS_RR_TYPE_DNAME) {
 +                      dname_seen = 1;
 +              }
 +      }
 +
 +      /* validate the AUTHORITY section */
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +              sec = val_verify_rrset_entry(env, ve, s, key_entry, &reason);
 +              /* If anything in the authority section fails to be secure, 
 +               * we have a bad message. */
 +              if(sec != sec_status_secure) {
 +                      log_nametypeclass(VERB_QUERY, "validator: response "
 +                              "has failed AUTHORITY rrset:", s->rk.dname,
 +                              ntohs(s->rk.type), ntohs(s->rk.rrset_class));
 +                      errinf(qstate, reason);
-       int downprot = 1;
 +                      errinf_origin(qstate, qstate->reply_origin);
++                      errinf_rrset(qstate, s);
 +                      chase_reply->security = sec_status_bogus;
 +                      return 0;
 +              }
 +      }
 +
 +      /* attempt to validate the ADDITIONAL section rrsets */
 +      if(!ve->clean_additional)
 +              return 1;
 +      for(i=chase_reply->an_numrrsets+chase_reply->ns_numrrsets; 
 +              i<chase_reply->rrset_count; i++) {
 +              s = chase_reply->rrsets[i];
 +              /* only validate rrs that have signatures with the key */
 +              /* leave others unchecked, those get removed later on too */
 +              val_find_rrset_signer(s, &sname, &slen);
 +              if(sname && query_dname_compare(sname, key_entry->name)==0)
 +                      (void)val_verify_rrset_entry(env, ve, s, key_entry,
 +                              &reason);
 +              /* the additional section can fail to be secure, 
 +               * it is optional, check signature in case we need
 +               * to clean the additional section later. */
 +      }
 +
 +      return 1;
 +}
 +
 +/**
 + * Detect wrong truncated response (say from BIND 9.6.1 that is forwarding
 + * and saw the NS record without signatures from a referral).
 + * The positive response has a mangled authority section.
 + * Remove that authority section and the additional section.
 + * @param rep: reply
 + * @return true if a wrongly truncated response.
 + */
 +static int
 +detect_wrongly_truncated(struct reply_info* rep)
 +{
 +      size_t i;
 +      /* only NS in authority, and it is bogus */
 +      if(rep->ns_numrrsets != 1 || rep->an_numrrsets == 0)
 +              return 0;
 +      if(ntohs(rep->rrsets[ rep->an_numrrsets ]->rk.type) != LDNS_RR_TYPE_NS)
 +              return 0;
 +      if(((struct packed_rrset_data*)rep->rrsets[ rep->an_numrrsets ]
 +              ->entry.data)->security == sec_status_secure)
 +              return 0;
 +      /* answer section is present and secure */
 +      for(i=0; i<rep->an_numrrsets; i++) {
 +              if(((struct packed_rrset_data*)rep->rrsets[ i ]
 +                      ->entry.data)->security != sec_status_secure)
 +                      return 0;
 +      }
 +      verbose(VERB_ALGO, "truncating to minimal response");
 +      return 1;
 +}
 +
 +/**
 + * For messages that are not referrals, if the chase reply contains an
 + * unsigned NS record in the authority section it could have been
 + * inserted by a (BIND) forwarder that thinks the zone is insecure, and
 + * that has an NS record without signatures in cache.  Remove the NS
 + * record since the reply does not hinge on that record (in the authority
 + * section), but do not remove it if it removes the last record from the
 + * answer+authority sections.
 + * @param chase_reply: the chased reply, we have a key for this contents,
 + *    so we should have signatures for these rrsets and not having
 + *    signatures means it will be bogus.
 + * @param orig_reply: original reply, remove NS from there as well because
 + *    we cannot mark the NS record as DNSSEC valid because it is not
 + *    validated by signatures.
 + */
 +static void
 +remove_spurious_authority(struct reply_info* chase_reply,
 +      struct reply_info* orig_reply)
 +{
 +      size_t i, found = 0;
 +      int remove = 0;
 +      /* if no answer and only 1 auth RRset, do not remove that one */
 +      if(chase_reply->an_numrrsets == 0 && chase_reply->ns_numrrsets == 1)
 +              return;
 +      /* search authority section for unsigned NS records */
 +      for(i = chase_reply->an_numrrsets;
 +              i < chase_reply->an_numrrsets+chase_reply->ns_numrrsets; i++) {
 +              struct packed_rrset_data* d = (struct packed_rrset_data*)
 +                      chase_reply->rrsets[i]->entry.data;
 +              if(ntohs(chase_reply->rrsets[i]->rk.type) == LDNS_RR_TYPE_NS
 +                      && d->rrsig_count == 0) {
 +                      found = i;
 +                      remove = 1;
 +                      break;
 +              }
 +      }
 +      /* see if we found the entry */
 +      if(!remove) return;
 +      log_rrset_key(VERB_ALGO, "Removing spurious unsigned NS record "
 +              "(likely inserted by forwarder)", chase_reply->rrsets[found]);
 +
 +      /* find rrset in orig_reply */
 +      for(i = orig_reply->an_numrrsets;
 +              i < orig_reply->an_numrrsets+orig_reply->ns_numrrsets; i++) {
 +              if(ntohs(orig_reply->rrsets[i]->rk.type) == LDNS_RR_TYPE_NS
 +                      && query_dname_compare(orig_reply->rrsets[i]->rk.dname,
 +                              chase_reply->rrsets[found]->rk.dname) == 0) {
 +                      /* remove from orig_msg */
 +                      val_reply_remove_auth(orig_reply, i);
 +                      break;
 +              }
 +      }
 +      /* remove rrset from chase_reply */
 +      val_reply_remove_auth(chase_reply, found);
 +}
 +
 +/**
 + * Given a "positive" response -- a response that contains an answer to the
 + * question, and no CNAME chain, validate this response. 
 + *
 + * The answer and authority RRsets must already be verified as secure.
 + * 
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + */
 +static void
 +validate_positive_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey)
 +{
 +      uint8_t* wc = NULL;
 +      int wc_NSEC_ok = 0;
 +      int nsec3s_seen = 0;
 +      size_t i;
 +      struct ub_packed_rrset_key* s;
 +
 +      /* validate the ANSWER section - this will be the answer itself */
 +      for(i=0; i<chase_reply->an_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* Check to see if the rrset is the result of a wildcard 
 +               * expansion. If so, an additional check will need to be 
 +               * made in the authority section. */
 +              if(!val_rrset_wildcard(s, &wc)) {
 +                      log_nametypeclass(VERB_QUERY, "Positive response has "
 +                              "inconsistent wildcard sigs:", s->rk.dname,
 +                              ntohs(s->rk.type), ntohs(s->rk.rrset_class));
 +                      chase_reply->security = sec_status_bogus;
 +                      return;
 +              }
 +      }
 +
 +      /* validate the AUTHORITY section as well - this will generally be 
 +       * the NS rrset (which could be missing, no problem) */
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* If this is a positive wildcard response, and we have a 
 +               * (just verified) NSEC record, try to use it to 1) prove 
 +               * that qname doesn't exist and 2) that the correct wildcard 
 +               * was used. */
 +              if(wc != NULL && ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(val_nsec_proves_positive_wildcard(s, qchase, wc)) {
 +                              wc_NSEC_ok = 1;
 +                      }
 +                      /* if not, continue looking for proof */
 +              }
 +
 +              /* Otherwise, if this is a positive wildcard response and 
 +               * we have NSEC3 records */
 +              if(wc != NULL && ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      nsec3s_seen = 1;
 +              }
 +      }
 +
 +      /* If this was a positive wildcard response that we haven't already
 +       * proven, and we have NSEC3 records, try to prove it using the NSEC3
 +       * records. */
 +      if(wc != NULL && !wc_NSEC_ok && nsec3s_seen) {
 +              enum sec_status sec = nsec3_prove_wildcard(env, ve, 
 +                      chase_reply->rrsets+chase_reply->an_numrrsets,
 +                      chase_reply->ns_numrrsets, qchase, kkey, wc);
 +              if(sec == sec_status_insecure) {
 +                      verbose(VERB_ALGO, "Positive wildcard response is "
 +                              "insecure");
 +                      chase_reply->security = sec_status_insecure;
 +                      return;
 +              } else if(sec == sec_status_secure)
 +                      wc_NSEC_ok = 1;
 +      }
 +
 +      /* If after all this, we still haven't proven the positive wildcard
 +       * response, fail. */
 +      if(wc != NULL && !wc_NSEC_ok) {
 +              verbose(VERB_QUERY, "positive response was wildcard "
 +                      "expansion and did not prove original data "
 +                      "did not exist");
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      verbose(VERB_ALGO, "Successfully validated positive response");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/** 
 + * Validate a NOERROR/NODATA signed response -- a response that has a
 + * NOERROR Rcode but no ANSWER section RRsets. This consists of making 
 + * certain that the authority section NSEC/NSEC3s proves that the qname 
 + * does exist and the qtype doesn't.
 + *
 + * The answer and authority RRsets must already be verified as secure.
 + *
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + */
 +static void
 +validate_nodata_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey)
 +{
 +      /* Since we are here, there must be nothing in the ANSWER section to
 +       * validate. */
 +      /* (Note: CNAME/DNAME responses will not directly get here --
 +       * instead, they are chased down into indiviual CNAME validations,
 +       * and at the end of the cname chain a POSITIVE, or CNAME_NOANSWER 
 +       * validation.) */
 +      
 +      /* validate the AUTHORITY section */
 +      int has_valid_nsec = 0; /* If true, then the NODATA has been proven.*/
 +      uint8_t* ce = NULL; /* for wildcard nodata responses. This is the 
 +                              proven closest encloser. */
 +      uint8_t* wc = NULL; /* for wildcard nodata responses. wildcard nsec */
 +      int nsec3s_seen = 0; /* nsec3s seen */
 +      struct ub_packed_rrset_key* s; 
 +      size_t i;
 +
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +              /* If we encounter an NSEC record, try to use it to prove 
 +               * NODATA.
 +               * This needs to handle the ENT NODATA case. */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(nsec_proves_nodata(s, qchase, &wc)) {
 +                              has_valid_nsec = 1;
 +                              /* sets wc-encloser if wildcard applicable */
 +                      } 
 +                      if(val_nsec_proves_name_error(s, qchase->qname)) {
 +                              ce = nsec_closest_encloser(qchase->qname, s);
 +                      }
 +                      if(val_nsec_proves_insecuredelegation(s, qchase)) {
 +                              verbose(VERB_ALGO, "delegation is insecure");
 +                              chase_reply->security = sec_status_insecure;
 +                              return;
 +                      }
 +              } else if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      nsec3s_seen = 1;
 +              }
 +      }
 +
 +      /* check to see if we have a wildcard NODATA proof. */
 +
 +      /* The wildcard NODATA is 1 NSEC proving that qname does not exist 
 +       * (and also proving what the closest encloser is), and 1 NSEC 
 +       * showing the matching wildcard, which must be *.closest_encloser. */
 +      if(wc && !ce)
 +              has_valid_nsec = 0;
 +      else if(wc && ce) {
 +              if(query_dname_compare(wc, ce) != 0) {
 +                      has_valid_nsec = 0;
 +              }
 +      }
 +      
 +      if(!has_valid_nsec && nsec3s_seen) {
 +              enum sec_status sec = nsec3_prove_nodata(env, ve, 
 +                      chase_reply->rrsets+chase_reply->an_numrrsets,
 +                      chase_reply->ns_numrrsets, qchase, kkey);
 +              if(sec == sec_status_insecure) {
 +                      verbose(VERB_ALGO, "NODATA response is insecure");
 +                      chase_reply->security = sec_status_insecure;
 +                      return;
 +              } else if(sec == sec_status_secure)
 +                      has_valid_nsec = 1;
 +      }
 +
 +      if(!has_valid_nsec) {
 +              verbose(VERB_QUERY, "NODATA response failed to prove NODATA "
 +                      "status with NSEC/NSEC3");
 +              if(verbosity >= VERB_ALGO)
 +                      log_dns_msg("Failed NODATA", qchase, chase_reply);
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      verbose(VERB_ALGO, "successfully validated NODATA response.");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/** 
 + * Validate a NAMEERROR signed response -- a response that has a NXDOMAIN
 + * Rcode. 
 + * This consists of making certain that the authority section NSEC proves 
 + * that the qname doesn't exist and the covering wildcard also doesn't exist..
 + * 
 + * The answer and authority RRsets must have already been verified as secure.
 + *
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + * @param rcode: adjusted RCODE, in case of RCODE/proof mismatch leniency.
 + */
 +static void
 +validate_nameerror_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey, int* rcode)
 +{
 +      int has_valid_nsec = 0;
 +      int has_valid_wnsec = 0;
 +      int nsec3s_seen = 0;
 +      struct ub_packed_rrset_key* s; 
 +      size_t i;
 +
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(val_nsec_proves_name_error(s, qchase->qname))
 +                              has_valid_nsec = 1;
 +                      if(val_nsec_proves_no_wc(s, qchase->qname, 
 +                              qchase->qname_len))
 +                              has_valid_wnsec = 1;
 +                      if(val_nsec_proves_insecuredelegation(s, qchase)) {
 +                              verbose(VERB_ALGO, "delegation is insecure");
 +                              chase_reply->security = sec_status_insecure;
 +                              return;
 +                      }
 +              } else if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3)
 +                      nsec3s_seen = 1;
 +      }
 +
 +      if((!has_valid_nsec || !has_valid_wnsec) && nsec3s_seen) {
 +              /* use NSEC3 proof, both answer and auth rrsets, in case
 +               * NSEC3s end up in the answer (due to qtype=NSEC3 or so) */
 +              chase_reply->security = nsec3_prove_nameerror(env, ve,
 +                      chase_reply->rrsets, chase_reply->an_numrrsets+
 +                      chase_reply->ns_numrrsets, qchase, kkey);
 +              if(chase_reply->security != sec_status_secure) {
 +                      verbose(VERB_QUERY, "NameError response failed nsec, "
 +                              "nsec3 proof was %s", sec_status_to_string(
 +                              chase_reply->security));
 +                      return;
 +              }
 +              has_valid_nsec = 1;
 +              has_valid_wnsec = 1;
 +      }
 +
 +      /* If the message fails to prove either condition, it is bogus. */
 +      if(!has_valid_nsec) {
 +              verbose(VERB_QUERY, "NameError response has failed to prove: "
 +                        "qname does not exist");
 +              chase_reply->security = sec_status_bogus;
 +              /* Be lenient with RCODE in NSEC NameError responses */
 +              validate_nodata_response(env, ve, qchase, chase_reply, kkey);
 +              if (chase_reply->security == sec_status_secure)
 +                      *rcode = LDNS_RCODE_NOERROR;
 +              return;
 +      }
 +
 +      if(!has_valid_wnsec) {
 +              verbose(VERB_QUERY, "NameError response has failed to prove: "
 +                        "covering wildcard does not exist");
 +              chase_reply->security = sec_status_bogus;
 +              /* Be lenient with RCODE in NSEC NameError responses */
 +              validate_nodata_response(env, ve, qchase, chase_reply, kkey);
 +              if (chase_reply->security == sec_status_secure)
 +                      *rcode = LDNS_RCODE_NOERROR;
 +              return;
 +      }
 +
 +      /* Otherwise, we consider the message secure. */
 +      verbose(VERB_ALGO, "successfully validated NAME ERROR response.");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/** 
 + * Given a referral response, validate rrsets and take least trusted rrset
 + * as the current validation status.
 + * 
 + * Note that by the time this method is called, the process of finding the
 + * trusted DNSKEY rrset that signs this response must already have been
 + * completed.
 + * 
 + * @param chase_reply: answer to validate.
 + */
 +static void
 +validate_referral_response(struct reply_info* chase_reply)
 +{
 +      size_t i;
 +      enum sec_status s;
 +      /* message security equals lowest rrset security */
 +      chase_reply->security = sec_status_secure;
 +      for(i=0; i<chase_reply->rrset_count; i++) {
 +              s = ((struct packed_rrset_data*)chase_reply->rrsets[i]
 +                      ->entry.data)->security;
 +              if(s < chase_reply->security)
 +                      chase_reply->security = s;
 +      }
 +      verbose(VERB_ALGO, "validated part of referral response as %s",
 +              sec_status_to_string(chase_reply->security));
 +}
 +
 +/** 
 + * Given an "ANY" response -- a response that contains an answer to a
 + * qtype==ANY question, with answers. This does no checking that all 
 + * types are present.
 + * 
 + * NOTE: it may be possible to get parent-side delegation point records
 + * here, which won't all be signed. Right now, this routine relies on the
 + * upstream iterative resolver to not return these responses -- instead
 + * treating them as referrals.
 + * 
 + * NOTE: RFC 4035 is silent on this issue, so this may change upon
 + * clarification. Clarification draft -05 says to not check all types are
 + * present.
 + * 
 + * Note that by the time this method is called, the process of finding the
 + * trusted DNSKEY rrset that signs this response must already have been
 + * completed.
 + * 
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + */
 +static void
 +validate_any_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey)
 +{
 +      /* all answer and auth rrsets already verified */
 +      /* but check if a wildcard response is given, then check NSEC/NSEC3
 +       * for qname denial to see if wildcard is applicable */
 +      uint8_t* wc = NULL;
 +      int wc_NSEC_ok = 0;
 +      int nsec3s_seen = 0;
 +      size_t i;
 +      struct ub_packed_rrset_key* s;
 +
 +      if(qchase->qtype != LDNS_RR_TYPE_ANY) {
 +              log_err("internal error: ANY validation called for non-ANY");
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      /* validate the ANSWER section - this will be the answer itself */
 +      for(i=0; i<chase_reply->an_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* Check to see if the rrset is the result of a wildcard 
 +               * expansion. If so, an additional check will need to be 
 +               * made in the authority section. */
 +              if(!val_rrset_wildcard(s, &wc)) {
 +                      log_nametypeclass(VERB_QUERY, "Positive ANY response"
 +                              " has inconsistent wildcard sigs:", 
 +                              s->rk.dname, ntohs(s->rk.type), 
 +                              ntohs(s->rk.rrset_class));
 +                      chase_reply->security = sec_status_bogus;
 +                      return;
 +              }
 +      }
 +
 +      /* if it was a wildcard, check for NSEC/NSEC3s in both answer
 +       * and authority sections (NSEC may be moved to the ANSWER section) */
 +      if(wc != NULL)
 +        for(i=0; i<chase_reply->an_numrrsets+chase_reply->ns_numrrsets; 
 +              i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* If this is a positive wildcard response, and we have a 
 +               * (just verified) NSEC record, try to use it to 1) prove 
 +               * that qname doesn't exist and 2) that the correct wildcard 
 +               * was used. */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(val_nsec_proves_positive_wildcard(s, qchase, wc)) {
 +                              wc_NSEC_ok = 1;
 +                      }
 +                      /* if not, continue looking for proof */
 +              }
 +
 +              /* Otherwise, if this is a positive wildcard response and 
 +               * we have NSEC3 records */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      nsec3s_seen = 1;
 +              }
 +      }
 +
 +      /* If this was a positive wildcard response that we haven't already
 +       * proven, and we have NSEC3 records, try to prove it using the NSEC3
 +       * records. */
 +      if(wc != NULL && !wc_NSEC_ok && nsec3s_seen) {
 +              /* look both in answer and auth section for NSEC3s */
 +              enum sec_status sec = nsec3_prove_wildcard(env, ve, 
 +                      chase_reply->rrsets,
 +                      chase_reply->an_numrrsets+chase_reply->ns_numrrsets, 
 +                      qchase, kkey, wc);
 +              if(sec == sec_status_insecure) {
 +                      verbose(VERB_ALGO, "Positive ANY wildcard response is "
 +                              "insecure");
 +                      chase_reply->security = sec_status_insecure;
 +                      return;
 +              } else if(sec == sec_status_secure)
 +                      wc_NSEC_ok = 1;
 +      }
 +
 +      /* If after all this, we still haven't proven the positive wildcard
 +       * response, fail. */
 +      if(wc != NULL && !wc_NSEC_ok) {
 +              verbose(VERB_QUERY, "positive ANY response was wildcard "
 +                      "expansion and did not prove original data "
 +                      "did not exist");
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      verbose(VERB_ALGO, "Successfully validated positive ANY response");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/**
 + * Validate CNAME response, or DNAME+CNAME.
 + * This is just like a positive proof, except that this is about a 
 + * DNAME+CNAME. Possible wildcard proof.
 + * Difference with positive proof is that this routine refuses 
 + * wildcarded DNAMEs.
 + * 
 + * The answer and authority rrsets must already be verified as secure.
 + * 
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + */
 +static void
 +validate_cname_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey)
 +{
 +      uint8_t* wc = NULL;
 +      int wc_NSEC_ok = 0;
 +      int nsec3s_seen = 0;
 +      size_t i;
 +      struct ub_packed_rrset_key* s;
 +
 +      /* validate the ANSWER section - this will be the CNAME (+DNAME) */
 +      for(i=0; i<chase_reply->an_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* Check to see if the rrset is the result of a wildcard 
 +               * expansion. If so, an additional check will need to be 
 +               * made in the authority section. */
 +              if(!val_rrset_wildcard(s, &wc)) {
 +                      log_nametypeclass(VERB_QUERY, "Cname response has "
 +                              "inconsistent wildcard sigs:", s->rk.dname,
 +                              ntohs(s->rk.type), ntohs(s->rk.rrset_class));
 +                      chase_reply->security = sec_status_bogus;
 +                      return;
 +              }
 +              
 +              /* Refuse wildcarded DNAMEs rfc 4597. 
 +               * Do not follow a wildcarded DNAME because 
 +               * its synthesized CNAME expansion is underdefined */
 +              if(qchase->qtype != LDNS_RR_TYPE_DNAME && 
 +                      ntohs(s->rk.type) == LDNS_RR_TYPE_DNAME && wc) {
 +                      log_nametypeclass(VERB_QUERY, "cannot validate a "
 +                              "wildcarded DNAME:", s->rk.dname, 
 +                              ntohs(s->rk.type), ntohs(s->rk.rrset_class));
 +                      chase_reply->security = sec_status_bogus;
 +                      return;
 +              }
 +
 +              /* If we have found a CNAME, stop looking for one.
 +               * The iterator has placed the CNAME chain in correct
 +               * order. */
 +              if (ntohs(s->rk.type) == LDNS_RR_TYPE_CNAME) {
 +                      break;
 +              }
 +      }
 +
 +      /* AUTHORITY section */
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* If this is a positive wildcard response, and we have a 
 +               * (just verified) NSEC record, try to use it to 1) prove 
 +               * that qname doesn't exist and 2) that the correct wildcard 
 +               * was used. */
 +              if(wc != NULL && ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(val_nsec_proves_positive_wildcard(s, qchase, wc)) {
 +                              wc_NSEC_ok = 1;
 +                      }
 +                      /* if not, continue looking for proof */
 +              }
 +
 +              /* Otherwise, if this is a positive wildcard response and 
 +               * we have NSEC3 records */
 +              if(wc != NULL && ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      nsec3s_seen = 1;
 +              }
 +      }
 +
 +      /* If this was a positive wildcard response that we haven't already
 +       * proven, and we have NSEC3 records, try to prove it using the NSEC3
 +       * records. */
 +      if(wc != NULL && !wc_NSEC_ok && nsec3s_seen) {
 +              enum sec_status sec = nsec3_prove_wildcard(env, ve, 
 +                      chase_reply->rrsets+chase_reply->an_numrrsets,
 +                      chase_reply->ns_numrrsets, qchase, kkey, wc);
 +              if(sec == sec_status_insecure) {
 +                      verbose(VERB_ALGO, "wildcard CNAME response is "
 +                              "insecure");
 +                      chase_reply->security = sec_status_insecure;
 +                      return;
 +              } else if(sec == sec_status_secure)
 +                      wc_NSEC_ok = 1;
 +      }
 +
 +      /* If after all this, we still haven't proven the positive wildcard
 +       * response, fail. */
 +      if(wc != NULL && !wc_NSEC_ok) {
 +              verbose(VERB_QUERY, "CNAME response was wildcard "
 +                      "expansion and did not prove original data "
 +                      "did not exist");
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      verbose(VERB_ALGO, "Successfully validated CNAME response");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/**
 + * Validate CNAME NOANSWER response, no more data after a CNAME chain.
 + * This can be a NODATA or a NAME ERROR case, but not both at the same time.
 + * We don't know because the rcode has been set to NOERROR by the CNAME.
 + * 
 + * The answer and authority rrsets must already be verified as secure.
 + * 
 + * @param env: module env for verify.
 + * @param ve: validator env for verify.
 + * @param qchase: query that was made.
 + * @param chase_reply: answer to that query to validate.
 + * @param kkey: the key entry, which is trusted, and which matches
 + *    the signer of the answer. The key entry isgood().
 + */
 +static void
 +validate_cname_noanswer_response(struct module_env* env, struct val_env* ve,
 +      struct query_info* qchase, struct reply_info* chase_reply,
 +      struct key_entry_key* kkey)
 +{
 +      int nodata_valid_nsec = 0; /* If true, then NODATA has been proven.*/
 +      uint8_t* ce = NULL; /* for wildcard nodata responses. This is the 
 +                              proven closest encloser. */
 +      uint8_t* wc = NULL; /* for wildcard nodata responses. wildcard nsec */
 +      int nxdomain_valid_nsec = 0; /* if true, namerror has been proven */
 +      int nxdomain_valid_wnsec = 0;
 +      int nsec3s_seen = 0; /* nsec3s seen */
 +      struct ub_packed_rrset_key* s; 
 +      size_t i;
 +
 +      /* the AUTHORITY section */
 +      for(i=chase_reply->an_numrrsets; i<chase_reply->an_numrrsets+
 +              chase_reply->ns_numrrsets; i++) {
 +              s = chase_reply->rrsets[i];
 +
 +              /* If we encounter an NSEC record, try to use it to prove 
 +               * NODATA. This needs to handle the ENT NODATA case. 
 +               * Also try to prove NAMEERROR, and absence of a wildcard */
 +              if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC) {
 +                      if(nsec_proves_nodata(s, qchase, &wc)) {
 +                              nodata_valid_nsec = 1;
 +                              /* set wc encloser if wildcard applicable */
 +                      } 
 +                      if(val_nsec_proves_name_error(s, qchase->qname)) {
 +                              ce = nsec_closest_encloser(qchase->qname, s);
 +                              nxdomain_valid_nsec = 1;
 +                      }
 +                      if(val_nsec_proves_no_wc(s, qchase->qname, 
 +                              qchase->qname_len))
 +                              nxdomain_valid_wnsec = 1;
 +                      if(val_nsec_proves_insecuredelegation(s, qchase)) {
 +                              verbose(VERB_ALGO, "delegation is insecure");
 +                              chase_reply->security = sec_status_insecure;
 +                              return;
 +                      }
 +              } else if(ntohs(s->rk.type) == LDNS_RR_TYPE_NSEC3) {
 +                      nsec3s_seen = 1;
 +              }
 +      }
 +
 +      /* check to see if we have a wildcard NODATA proof. */
 +
 +      /* The wildcard NODATA is 1 NSEC proving that qname does not exists 
 +       * (and also proving what the closest encloser is), and 1 NSEC 
 +       * showing the matching wildcard, which must be *.closest_encloser. */
 +      if(wc && !ce)
 +              nodata_valid_nsec = 0;
 +      else if(wc && ce) {
 +              if(query_dname_compare(wc, ce) != 0) {
 +                      nodata_valid_nsec = 0;
 +              }
 +      }
 +      if(nxdomain_valid_nsec && !nxdomain_valid_wnsec) {
 +              /* name error is missing wildcard denial proof */
 +              nxdomain_valid_nsec = 0;
 +      }
 +      
 +      if(nodata_valid_nsec && nxdomain_valid_nsec) {
 +              verbose(VERB_QUERY, "CNAMEchain to noanswer proves that name "
 +                      "exists and not exists, bogus");
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +      if(!nodata_valid_nsec && !nxdomain_valid_nsec && nsec3s_seen) {
 +              int nodata;
 +              enum sec_status sec = nsec3_prove_nxornodata(env, ve, 
 +                      chase_reply->rrsets+chase_reply->an_numrrsets,
 +                      chase_reply->ns_numrrsets, qchase, kkey, &nodata);
 +              if(sec == sec_status_insecure) {
 +                      verbose(VERB_ALGO, "CNAMEchain to noanswer response "
 +                              "is insecure");
 +                      chase_reply->security = sec_status_insecure;
 +                      return;
 +              } else if(sec == sec_status_secure) {
 +                      if(nodata)
 +                              nodata_valid_nsec = 1;
 +                      else    nxdomain_valid_nsec = 1;
 +              }
 +      }
 +
 +      if(!nodata_valid_nsec && !nxdomain_valid_nsec) {
 +              verbose(VERB_QUERY, "CNAMEchain to noanswer response failed "
 +                      "to prove status with NSEC/NSEC3");
 +              if(verbosity >= VERB_ALGO)
 +                      log_dns_msg("Failed CNAMEnoanswer", qchase, chase_reply);
 +              chase_reply->security = sec_status_bogus;
 +              return;
 +      }
 +
 +      if(nodata_valid_nsec)
 +              verbose(VERB_ALGO, "successfully validated CNAME chain to a "
 +                      "NODATA response.");
 +      else    verbose(VERB_ALGO, "successfully validated CNAME chain to a "
 +                      "NAMEERROR response.");
 +      chase_reply->security = sec_status_secure;
 +}
 +
 +/** 
 + * Process init state for validator.
 + * Process the INIT state. First tier responses start in the INIT state.
 + * This is where they are vetted for validation suitability, and the initial
 + * key search is done.
 + * 
 + * Currently, events the come through this routine will be either promoted
 + * to FINISHED/CNAME_RESP (no validation needed), FINDKEY (next step to
 + * validation), or will be (temporarily) retired and a new priming request
 + * event will be generated.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + * @return true if the event should be processed further on return, false if
 + *         not.
 + */
 +static int
 +processInit(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      uint8_t* lookup_name;
 +      size_t lookup_len;
 +      struct trust_anchor* anchor;
 +      enum val_classification subtype = val_classify_response(
 +              qstate->query_flags, &qstate->qinfo, &vq->qchase, 
 +              vq->orig_msg->rep, vq->rrset_skip);
 +      if(vq->restart_count > VAL_MAX_RESTART_COUNT) {
 +              verbose(VERB_ALGO, "restart count exceeded");
 +              return val_error(qstate, id);
 +      }
 +      verbose(VERB_ALGO, "validator classification %s", 
 +              val_classification_to_string(subtype));
 +      if(subtype == VAL_CLASS_REFERRAL && 
 +              vq->rrset_skip < vq->orig_msg->rep->rrset_count) {
 +              /* referral uses the rrset name as qchase, to find keys for
 +               * that rrset */
 +              vq->qchase.qname = vq->orig_msg->rep->
 +                      rrsets[vq->rrset_skip]->rk.dname;
 +              vq->qchase.qname_len = vq->orig_msg->rep->
 +                      rrsets[vq->rrset_skip]->rk.dname_len;
 +              vq->qchase.qtype = ntohs(vq->orig_msg->rep->
 +                      rrsets[vq->rrset_skip]->rk.type);
 +              vq->qchase.qclass = ntohs(vq->orig_msg->rep->
 +                      rrsets[vq->rrset_skip]->rk.rrset_class);
 +      }
 +      lookup_name = vq->qchase.qname;
 +      lookup_len = vq->qchase.qname_len;
 +      /* for type DS look at the parent side for keys/trustanchor */
 +      /* also for NSEC not at apex */
 +      if(vq->qchase.qtype == LDNS_RR_TYPE_DS ||
 +              (vq->qchase.qtype == LDNS_RR_TYPE_NSEC && 
 +               vq->orig_msg->rep->rrset_count > vq->rrset_skip &&
 +               ntohs(vq->orig_msg->rep->rrsets[vq->rrset_skip]->rk.type) ==
 +               LDNS_RR_TYPE_NSEC &&
 +               !(vq->orig_msg->rep->rrsets[vq->rrset_skip]->
 +               rk.flags&PACKED_RRSET_NSEC_AT_APEX))) {
 +              dname_remove_label(&lookup_name, &lookup_len);
 +      }
 +
 +      val_mark_indeterminate(vq->chase_reply, qstate->env->anchors, 
 +              qstate->env->rrset_cache, qstate->env);
 +      vq->key_entry = NULL;
 +      vq->empty_DS_name = NULL;
 +      vq->ds_rrset = 0;
 +      anchor = anchors_lookup(qstate->env->anchors, 
 +              lookup_name, lookup_len, vq->qchase.qclass);
 +
 +      /* Determine the signer/lookup name */
 +      val_find_signer(subtype, &vq->qchase, vq->orig_msg->rep, 
 +              vq->rrset_skip, &vq->signer_name, &vq->signer_len);
 +      if(vq->signer_name != NULL &&
 +              !dname_subdomain_c(lookup_name, vq->signer_name)) {
 +              log_nametypeclass(VERB_ALGO, "this signer name is not a parent "
 +                      "of lookupname, omitted", vq->signer_name, 0, 0);
 +              vq->signer_name = NULL;
 +      }
 +      if(vq->signer_name == NULL) {
 +              log_nametypeclass(VERB_ALGO, "no signer, using", lookup_name,
 +                      0, 0);
 +      } else {
 +              lookup_name = vq->signer_name;
 +              lookup_len = vq->signer_len;
 +              log_nametypeclass(VERB_ALGO, "signer is", lookup_name, 0, 0);
 +      }
 +
 +      /* for NXDOMAIN it could be signed by a parent of the trust anchor */
 +      if(subtype == VAL_CLASS_NAMEERROR && vq->signer_name &&
 +              anchor && dname_strict_subdomain_c(anchor->name, lookup_name)){
 +              lock_basic_unlock(&anchor->lock);
 +              anchor = anchors_lookup(qstate->env->anchors, 
 +                      lookup_name, lookup_len, vq->qchase.qclass);
 +              if(!anchor) { /* unsigned parent denies anchor*/
 +                      verbose(VERB_QUERY, "unsigned parent zone denies"
 +                              " trust anchor, indeterminate");
 +                      vq->chase_reply->security = sec_status_indeterminate;
 +                      vq->state = VAL_FINISHED_STATE;
 +                      return 1;
 +              }
 +              verbose(VERB_ALGO, "trust anchor NXDOMAIN by signed parent");
 +      } else if(subtype == VAL_CLASS_POSITIVE &&
 +              qstate->qinfo.qtype == LDNS_RR_TYPE_DNSKEY &&
 +              query_dname_compare(lookup_name, qstate->qinfo.qname) == 0) {
 +              /* is a DNSKEY so lookup a bit higher since we want to
 +               * get it from a parent or from trustanchor */
 +              dname_remove_label(&lookup_name, &lookup_len);
 +      }
 +
 +      if(vq->rrset_skip > 0 || subtype == VAL_CLASS_CNAME ||
 +              subtype == VAL_CLASS_REFERRAL) {
 +              /* extract this part of orig_msg into chase_reply for
 +               * the eventual VALIDATE stage */
 +              val_fill_reply(vq->chase_reply, vq->orig_msg->rep, 
 +                      vq->rrset_skip, lookup_name, lookup_len, 
 +                      vq->signer_name);
 +              if(verbosity >= VERB_ALGO)
 +                      log_dns_msg("chased extract", &vq->qchase, 
 +                              vq->chase_reply);
 +      }
 +
 +      vq->key_entry = key_cache_obtain(ve->kcache, lookup_name, lookup_len,
 +              vq->qchase.qclass, qstate->region, *qstate->env->now);
 +
 +      /* there is no key(from DLV) and no trust anchor */
 +      if(vq->key_entry == NULL && anchor == NULL) {
 +              /*response isn't under a trust anchor, so we cannot validate.*/
 +              vq->chase_reply->security = sec_status_indeterminate;
 +              /* go to finished state to cache this result */
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      }
 +      /* if not key, or if keyentry is *above* the trustanchor, i.e.
 +       * the keyentry is based on another (higher) trustanchor */
 +      else if(vq->key_entry == NULL || (anchor &&
 +              dname_strict_subdomain_c(anchor->name, vq->key_entry->name))) {
 +              /* trust anchor is an 'unsigned' trust anchor */
 +              if(anchor && anchor->numDS == 0 && anchor->numDNSKEY == 0) {
 +                      vq->chase_reply->security = sec_status_insecure;
 +                      val_mark_insecure(vq->chase_reply, anchor->name, 
 +                              qstate->env->rrset_cache, qstate->env);
 +                      lock_basic_unlock(&anchor->lock);
 +                      vq->dlv_checked=1; /* skip DLV check */
 +                      /* go to finished state to cache this result */
 +                      vq->state = VAL_FINISHED_STATE;
 +                      return 1;
 +              }
 +              /* fire off a trust anchor priming query. */
 +              verbose(VERB_DETAIL, "prime trust anchor");
 +              if(!prime_trust_anchor(qstate, vq, id, anchor)) {
 +                      lock_basic_unlock(&anchor->lock);
 +                      return val_error(qstate, id);
 +              }
 +              lock_basic_unlock(&anchor->lock);
 +              /* and otherwise, don't continue processing this event.
 +               * (it will be reactivated when the priming query returns). */
 +              vq->state = VAL_FINDKEY_STATE;
 +              return 0;
 +      }
 +      if(anchor) {
 +              lock_basic_unlock(&anchor->lock);
 +      }
 +
 +      if(key_entry_isnull(vq->key_entry)) {
 +              /* response is under a null key, so we cannot validate
 +               * However, we do set the status to INSECURE, since it is 
 +               * essentially proven insecure. */
 +              vq->chase_reply->security = sec_status_insecure;
 +              val_mark_insecure(vq->chase_reply, vq->key_entry->name, 
 +                      qstate->env->rrset_cache, qstate->env);
 +              /* go to finished state to cache this result */
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      } else if(key_entry_isbad(vq->key_entry)) {
 +              /* key is bad, chain is bad, reply is bogus */
 +              errinf_dname(qstate, "key for validation", vq->key_entry->name);
 +              errinf(qstate, "is marked as invalid");
 +              if(key_entry_get_reason(vq->key_entry)) {
 +                      errinf(qstate, "because of a previous");
 +                      errinf(qstate, key_entry_get_reason(vq->key_entry));
 +              }
 +              /* no retries, stop bothering the authority until timeout */
 +              vq->restart_count = VAL_MAX_RESTART_COUNT;
 +              vq->chase_reply->security = sec_status_bogus;
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      }
 +
 +      /* otherwise, we have our "closest" cached key -- continue 
 +       * processing in the next state. */
 +      vq->state = VAL_FINDKEY_STATE;
 +      return 1;
 +}
 +
 +/**
 + * Process the FINDKEY state. Generally this just calculates the next name
 + * to query and either issues a DS or a DNSKEY query. It will check to see
 + * if the correct key has already been reached, in which case it will
 + * advance the event to the next state.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param id: module id.
 + * @return true if the event should be processed further on return, false if
 + *         not.
 + */
 +static int
 +processFindKey(struct module_qstate* qstate, struct val_qstate* vq, int id)
 +{
 +      uint8_t* target_key_name, *current_key_name;
 +      size_t target_key_len;
 +      int strip_lab;
 +
 +      log_query_info(VERB_ALGO, "validator: FindKey", &vq->qchase);
 +      /* We know that state.key_entry is not 0 or bad key -- if it were,
 +       * then previous processing should have directed this event to 
 +       * a different state. 
 +       * It could be an isnull key, which signals that a DLV was just
 +       * done and the DNSKEY after the DLV failed with dnssec-retry state
 +       * and the DNSKEY has to be performed again. */
 +      log_assert(vq->key_entry && !key_entry_isbad(vq->key_entry));
 +      if(key_entry_isnull(vq->key_entry)) {
 +              if(!generate_request(qstate, id, vq->ds_rrset->rk.dname, 
 +                      vq->ds_rrset->rk.dname_len, LDNS_RR_TYPE_DNSKEY, 
 +                      vq->qchase.qclass, BIT_CD)) {
 +                      log_err("mem error generating DNSKEY request");
 +                      return val_error(qstate, id);
 +              }
 +              return 0;
 +      }
 +
 +      target_key_name = vq->signer_name;
 +      target_key_len = vq->signer_len;
 +      if(!target_key_name) {
 +              target_key_name = vq->qchase.qname;
 +              target_key_len = vq->qchase.qname_len;
 +      }
 +
 +      current_key_name = vq->key_entry->name;
 +
 +      /* If our current key entry matches our target, then we are done. */
 +      if(query_dname_compare(target_key_name, current_key_name) == 0) {
 +              vq->state = VAL_VALIDATE_STATE;
 +              return 1;
 +      }
 +
 +      if(vq->empty_DS_name) {
 +              /* if the last empty nonterminal/emptyDS name we detected is
 +               * below the current key, use that name to make progress
 +               * along the chain of trust */
 +              if(query_dname_compare(target_key_name, 
 +                      vq->empty_DS_name) == 0) {
 +                      /* do not query for empty_DS_name again */
 +                      verbose(VERB_ALGO, "Cannot retrieve DS for signature");
 +                      errinf(qstate, "no signatures");
 +                      errinf_origin(qstate, qstate->reply_origin);
 +                      vq->chase_reply->security = sec_status_bogus;
 +                      vq->state = VAL_FINISHED_STATE;
 +                      return 1;
 +              }
 +              current_key_name = vq->empty_DS_name;
 +      }
 +
 +      log_nametypeclass(VERB_ALGO, "current keyname", current_key_name,
 +              LDNS_RR_TYPE_DNSKEY, LDNS_RR_CLASS_IN);
 +      log_nametypeclass(VERB_ALGO, "target keyname", target_key_name,
 +              LDNS_RR_TYPE_DNSKEY, LDNS_RR_CLASS_IN);
 +      /* assert we are walking down the DNS tree */
 +      if(!dname_subdomain_c(target_key_name, current_key_name)) {
 +              verbose(VERB_ALGO, "bad signer name");
 +              vq->chase_reply->security = sec_status_bogus;
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      }
 +      /* so this value is >= -1 */
 +      strip_lab = dname_count_labels(target_key_name) - 
 +              dname_count_labels(current_key_name) - 1;
 +      log_assert(strip_lab >= -1);
 +      verbose(VERB_ALGO, "striplab %d", strip_lab);
 +      if(strip_lab > 0) {
 +              dname_remove_labels(&target_key_name, &target_key_len, 
 +                      strip_lab);
 +      }
 +      log_nametypeclass(VERB_ALGO, "next keyname", target_key_name,
 +              LDNS_RR_TYPE_DNSKEY, LDNS_RR_CLASS_IN);
 +
 +      /* The next step is either to query for the next DS, or to query 
 +       * for the next DNSKEY. */
 +      if(vq->ds_rrset)
 +              log_nametypeclass(VERB_ALGO, "DS RRset", vq->ds_rrset->rk.dname, LDNS_RR_TYPE_DS, LDNS_RR_CLASS_IN);
 +      else verbose(VERB_ALGO, "No DS RRset");
 +
 +      if(vq->ds_rrset && query_dname_compare(vq->ds_rrset->rk.dname,
 +              vq->key_entry->name) != 0) {
 +              if(!generate_request(qstate, id, vq->ds_rrset->rk.dname, 
 +                      vq->ds_rrset->rk.dname_len, LDNS_RR_TYPE_DNSKEY, 
 +                      vq->qchase.qclass, BIT_CD)) {
 +                      log_err("mem error generating DNSKEY request");
 +                      return val_error(qstate, id);
 +              }
 +              return 0;
 +      }
 +
 +      if(!vq->ds_rrset || query_dname_compare(vq->ds_rrset->rk.dname,
 +              target_key_name) != 0) {
 +              /* check if there is a cache entry : pick up an NSEC if
 +               * there is no DS, check if that NSEC has DS-bit unset, and
 +               * thus can disprove the secure delagation we seek.
 +               * We can then use that NSEC even in the absence of a SOA
 +               * record that would be required by the iterator to supply
 +               * a completely protocol-correct response. 
 +               * Uses negative cache for NSEC3 lookup of DS responses. */
 +              /* only if cache not blacklisted, of course */
 +              struct dns_msg* msg;
 +              if(!qstate->blacklist && !vq->chain_blacklist &&
 +                      (msg=val_find_DS(qstate->env, target_key_name, 
 +                      target_key_len, vq->qchase.qclass, qstate->region,
 +                      vq->key_entry->name)) ) {
 +                      verbose(VERB_ALGO, "Process cached DS response");
 +                      process_ds_response(qstate, vq, id, LDNS_RCODE_NOERROR,
 +                              msg, &msg->qinfo, NULL);
 +                      return 1; /* continue processing ds-response results */
 +              }
 +              if(!generate_request(qstate, id, target_key_name, 
 +                      target_key_len, LDNS_RR_TYPE_DS, vq->qchase.qclass,
 +                      BIT_CD)) {
 +                      log_err("mem error generating DS request");
 +                      return val_error(qstate, id);
 +              }
 +              return 0;
 +      }
 +
 +      /* Otherwise, it is time to query for the DNSKEY */
 +      if(!generate_request(qstate, id, vq->ds_rrset->rk.dname, 
 +              vq->ds_rrset->rk.dname_len, LDNS_RR_TYPE_DNSKEY, 
 +              vq->qchase.qclass, BIT_CD)) {
 +              log_err("mem error generating DNSKEY request");
 +              return val_error(qstate, id);
 +      }
 +
 +      return 0;
 +}
 +
 +/**
 + * Process the VALIDATE stage, the init and findkey stages are finished,
 + * and the right keys are available to validate the response.
 + * Or, there are no keys available, in order to invalidate the response.
 + *
 + * After validation, the status is recorded in the message and rrsets,
 + * and finished state is started.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + * @return true if the event should be processed further on return, false if
 + *         not.
 + */
 +static int
 +processValidate(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      enum val_classification subtype;
 +      int rcode;
 +
 +      if(!vq->key_entry) {
 +              verbose(VERB_ALGO, "validate: no key entry, failed");
 +              return val_error(qstate, id);
 +      }
 +
 +      /* This is the default next state. */
 +      vq->state = VAL_FINISHED_STATE;
 +
 +      /* Unsigned responses must be underneath a "null" key entry.*/
 +      if(key_entry_isnull(vq->key_entry)) {
 +              verbose(VERB_DETAIL, "Verified that %sresponse is INSECURE",
 +                      vq->signer_name?"":"unsigned ");
 +              vq->chase_reply->security = sec_status_insecure;
 +              val_mark_insecure(vq->chase_reply, vq->key_entry->name, 
 +                      qstate->env->rrset_cache, qstate->env);
 +              key_cache_insert(ve->kcache, vq->key_entry, qstate);
 +              return 1;
 +      }
 +
 +      if(key_entry_isbad(vq->key_entry)) {
 +              log_nametypeclass(VERB_DETAIL, "Could not establish a chain "
 +                      "of trust to keys for", vq->key_entry->name,
 +                      LDNS_RR_TYPE_DNSKEY, vq->key_entry->key_class);
 +              vq->chase_reply->security = sec_status_bogus;
 +              errinf(qstate, "while building chain of trust");
 +              if(vq->restart_count >= VAL_MAX_RESTART_COUNT)
 +                      key_cache_insert(ve->kcache, vq->key_entry, qstate);
 +              return 1;
 +      }
 +
 +      /* signerName being null is the indicator that this response was 
 +       * unsigned */
 +      if(vq->signer_name == NULL) {
 +              log_query_info(VERB_ALGO, "processValidate: state has no "
 +                      "signer name", &vq->qchase);
 +              verbose(VERB_DETAIL, "Could not establish validation of "
 +                        "INSECURE status of unsigned response.");
 +              errinf(qstate, "no signatures");
 +              errinf_origin(qstate, qstate->reply_origin);
 +              vq->chase_reply->security = sec_status_bogus;
 +              return 1;
 +      }
 +      subtype = val_classify_response(qstate->query_flags, &qstate->qinfo,
 +              &vq->qchase, vq->orig_msg->rep, vq->rrset_skip);
 +      if(subtype != VAL_CLASS_REFERRAL)
 +              remove_spurious_authority(vq->chase_reply, vq->orig_msg->rep);
 +
 +      /* check signatures in the message; 
 +       * answer and authority must be valid, additional is only checked. */
 +      if(!validate_msg_signatures(qstate, qstate->env, ve, &vq->qchase, 
 +              vq->chase_reply, vq->key_entry)) {
 +              /* workaround bad recursor out there that truncates (even
 +               * with EDNS4k) to 512 by removing RRSIG from auth section
 +               * for positive replies*/
 +              if((subtype == VAL_CLASS_POSITIVE || subtype == VAL_CLASS_ANY
 +                      || subtype == VAL_CLASS_CNAME) &&
 +                      detect_wrongly_truncated(vq->orig_msg->rep)) {
 +                      /* truncate the message some more */
 +                      vq->orig_msg->rep->ns_numrrsets = 0;
 +                      vq->orig_msg->rep->ar_numrrsets = 0;
 +                      vq->orig_msg->rep->rrset_count = 
 +                              vq->orig_msg->rep->an_numrrsets;
 +                      vq->chase_reply->ns_numrrsets = 0;
 +                      vq->chase_reply->ar_numrrsets = 0;
 +                      vq->chase_reply->rrset_count = 
 +                              vq->chase_reply->an_numrrsets;
 +                      qstate->errinf = NULL;
 +              }
 +              else {
 +                      verbose(VERB_DETAIL, "Validate: message contains "
 +                              "bad rrsets");
 +                      return 1;
 +              }
 +      }
 +
 +      switch(subtype) {
 +              case VAL_CLASS_POSITIVE:
 +                      verbose(VERB_ALGO, "Validating a positive response");
 +                      validate_positive_response(qstate->env, ve,
 +                              &vq->qchase, vq->chase_reply, vq->key_entry);
 +                      verbose(VERB_DETAIL, "validate(positive): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              case VAL_CLASS_NODATA:
 +                      verbose(VERB_ALGO, "Validating a nodata response");
 +                      validate_nodata_response(qstate->env, ve,
 +                              &vq->qchase, vq->chase_reply, vq->key_entry);
 +                      verbose(VERB_DETAIL, "validate(nodata): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              case VAL_CLASS_NAMEERROR:
 +                      rcode = (int)FLAGS_GET_RCODE(vq->orig_msg->rep->flags);
 +                      verbose(VERB_ALGO, "Validating a nxdomain response");
 +                      validate_nameerror_response(qstate->env, ve, 
 +                              &vq->qchase, vq->chase_reply, vq->key_entry, &rcode);
 +                      verbose(VERB_DETAIL, "validate(nxdomain): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      FLAGS_SET_RCODE(vq->orig_msg->rep->flags, rcode);
 +                      FLAGS_SET_RCODE(vq->chase_reply->flags, rcode);
 +                      break;
 +
 +              case VAL_CLASS_CNAME:
 +                      verbose(VERB_ALGO, "Validating a cname response");
 +                      validate_cname_response(qstate->env, ve,
 +                              &vq->qchase, vq->chase_reply, vq->key_entry);
 +                      verbose(VERB_DETAIL, "validate(cname): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              case VAL_CLASS_CNAMENOANSWER:
 +                      verbose(VERB_ALGO, "Validating a cname noanswer "
 +                              "response");
 +                      validate_cname_noanswer_response(qstate->env, ve,
 +                              &vq->qchase, vq->chase_reply, vq->key_entry);
 +                      verbose(VERB_DETAIL, "validate(cname_noanswer): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              case VAL_CLASS_REFERRAL:
 +                      verbose(VERB_ALGO, "Validating a referral response");
 +                      validate_referral_response(vq->chase_reply);
 +                      verbose(VERB_DETAIL, "validate(referral): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              case VAL_CLASS_ANY:
 +                      verbose(VERB_ALGO, "Validating a positive ANY "
 +                              "response");
 +                      validate_any_response(qstate->env, ve, &vq->qchase, 
 +                              vq->chase_reply, vq->key_entry);
 +                      verbose(VERB_DETAIL, "validate(positive_any): %s",
 +                              sec_status_to_string(
 +                              vq->chase_reply->security));
 +                      break;
 +
 +              default:
 +                      log_err("validate: unhandled response subtype: %d",
 +                              subtype);
 +      }
 +      if(vq->chase_reply->security == sec_status_bogus) {
 +              if(subtype == VAL_CLASS_POSITIVE)
 +                      errinf(qstate, "wildcard");
 +              else errinf(qstate, val_classification_to_string(subtype));
 +              errinf(qstate, "proof failed");
 +              errinf_origin(qstate, qstate->reply_origin);
 +      }
 +
 +      return 1;
 +}
 +
 +/**
 + * Init DLV check.
++ * DLV is going to be decommissioned, but the code is still here for some time.
++ *
 + * Called when a query is determined by other trust anchors to be insecure
 + * (or indeterminate).  Then we look if there is a key in the DLV.
 + * Performs aggressive negative cache check to see if there is no key.
 + * Otherwise, spawns a DLV query, and changes to the DLV wait state.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + * @return  true if there is no DLV.
 + *    false: processing is finished for the validator operate().
 + *    This function may exit in three ways:
 + *         o  no DLV (agressive cache), so insecure. (true)
 + *         o  error - stop processing (false)
 + *         o  DLV lookup was started, stop processing (false)
 + */
 +static int
 +val_dlv_init(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      uint8_t* nm;
 +      size_t nm_len;
 +      /* there must be a DLV configured */
 +      log_assert(qstate->env->anchors->dlv_anchor);
 +      /* this bool is true to avoid looping in the DLV checks */
 +      log_assert(vq->dlv_checked);
 +
 +      /* init the DLV lookup variables */
 +      vq->dlv_lookup_name = NULL;
 +      vq->dlv_lookup_name_len = 0;
 +      vq->dlv_insecure_at = NULL;
 +      vq->dlv_insecure_at_len = 0;
 +
 +      /* Determine the name for which we want to lookup DLV.
 +       * This name is for the current message, or 
 +       * for the current RRset for CNAME, referral subtypes.
 +       * If there is a signer, use that, otherwise the domain name */
 +      if(vq->signer_name) {
 +              nm = vq->signer_name;
 +              nm_len = vq->signer_len;
 +      } else {
 +              /* use qchase */
 +              nm = vq->qchase.qname;
 +              nm_len = vq->qchase.qname_len;
 +              if(vq->qchase.qtype == LDNS_RR_TYPE_DS)
 +                      dname_remove_label(&nm, &nm_len);
 +      }
 +      log_nametypeclass(VERB_ALGO, "DLV init look", nm, LDNS_RR_TYPE_DS,
 +              vq->qchase.qclass);
 +      log_assert(nm && nm_len);
 +      /* sanity check: no DLV lookups below the DLV anchor itself.
 +       * Like, an securely insecure delegation there makes no sense. */
 +      if(dname_subdomain_c(nm, qstate->env->anchors->dlv_anchor->name)) {
 +              verbose(VERB_ALGO, "DLV lookup within DLV repository denied");
 +              return 1;
 +      }
 +      /* concat name (minus root label) + dlv name */
 +      vq->dlv_lookup_name_len = nm_len - 1 + 
 +              qstate->env->anchors->dlv_anchor->namelen;
 +      vq->dlv_lookup_name = regional_alloc(qstate->region, 
 +              vq->dlv_lookup_name_len);
 +      if(!vq->dlv_lookup_name) {
 +              log_err("Out of memory preparing DLV lookup");
 +              return val_error(qstate, id);
 +      }
 +      memmove(vq->dlv_lookup_name, nm, nm_len-1);
 +      memmove(vq->dlv_lookup_name+nm_len-1, 
 +              qstate->env->anchors->dlv_anchor->name, 
 +              qstate->env->anchors->dlv_anchor->namelen);
 +      log_nametypeclass(VERB_ALGO, "DLV name", vq->dlv_lookup_name, 
 +              LDNS_RR_TYPE_DLV, vq->qchase.qclass);
 +
 +      /* determine where the insecure point was determined, the DLV must 
 +       * be equal or below that to continue building the trust chain 
 +       * down. May be NULL if no trust chain was built yet */
 +      nm = NULL;
 +      if(vq->key_entry && key_entry_isnull(vq->key_entry)) {
 +              nm = vq->key_entry->name;
 +              nm_len = vq->key_entry->namelen;
 +      }
 +      if(nm) {
 +              vq->dlv_insecure_at_len = nm_len - 1 +
 +                      qstate->env->anchors->dlv_anchor->namelen;
 +              vq->dlv_insecure_at = regional_alloc(qstate->region,
 +                      vq->dlv_insecure_at_len);
 +              if(!vq->dlv_insecure_at) {
 +                      log_err("Out of memory preparing DLV lookup");
 +                      return val_error(qstate, id);
 +              }
 +              memmove(vq->dlv_insecure_at, nm, nm_len-1);
 +              memmove(vq->dlv_insecure_at+nm_len-1, 
 +                      qstate->env->anchors->dlv_anchor->name, 
 +                      qstate->env->anchors->dlv_anchor->namelen);
 +              log_nametypeclass(VERB_ALGO, "insecure_at", 
 +                      vq->dlv_insecure_at, 0, vq->qchase.qclass);
 +      }
 +
 +      /* If we can find the name in the aggressive negative cache,
 +       * give up; insecure is the answer */
 +      while(val_neg_dlvlookup(ve->neg_cache, vq->dlv_lookup_name,
 +              vq->dlv_lookup_name_len, vq->qchase.qclass,
 +              qstate->env->rrset_cache, *qstate->env->now)) {
 +              /* go up */
 +              dname_remove_label(&vq->dlv_lookup_name, 
 +                      &vq->dlv_lookup_name_len);
 +              /* too high? */
 +              if(!dname_subdomain_c(vq->dlv_lookup_name,
 +                      qstate->env->anchors->dlv_anchor->name)) {
 +                      verbose(VERB_ALGO, "ask above dlv repo");
 +                      return 1; /* Above the repo is insecure */
 +              }
 +              /* above chain of trust? */
 +              if(vq->dlv_insecure_at && !dname_subdomain_c(
 +                      vq->dlv_lookup_name, vq->dlv_insecure_at)) {
 +                      verbose(VERB_ALGO, "ask above insecure endpoint");
 +                      return 1;
 +              }
 +      }
 +
 +      /* perform a lookup for the DLV; with validation */
 +      vq->state = VAL_DLVLOOKUP_STATE;
 +      if(!generate_request(qstate, id, vq->dlv_lookup_name, 
 +              vq->dlv_lookup_name_len, LDNS_RR_TYPE_DLV,
 +              vq->qchase.qclass, 0)) {
 +              return val_error(qstate, id);
 +      }
 +
 +      /* Find the closest encloser DLV from the repository.
 +       * then that is used to build another chain of trust 
 +       * This may first require a query 'too low' that has NSECs in
 +       * the answer, from which we determine the closest encloser DLV. 
 +       * When determine the closest encloser, skip empty nonterminals,
 +       * since we want a nonempty node in the DLV repository. */
 +
 +      return 0;
 +}
 +
 +/**
 + * The Finished state. The validation status (good or bad) has been determined.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + * @return true if the event should be processed further on return, false if
 + *         not.
 + */
 +static int
 +processFinished(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      enum val_classification subtype = val_classify_response(
 +              qstate->query_flags, &qstate->qinfo, &vq->qchase, 
 +              vq->orig_msg->rep, vq->rrset_skip);
 +
 +      /* if the result is insecure or indeterminate and we have not 
 +       * checked the DLV yet, check the DLV */
 +      if((vq->chase_reply->security == sec_status_insecure ||
 +              vq->chase_reply->security == sec_status_indeterminate) &&
 +              qstate->env->anchors->dlv_anchor && !vq->dlv_checked) {
 +              vq->dlv_checked = 1;
 +              if(!val_dlv_init(qstate, vq, ve, id))
 +                      return 0;
 +      }
 +
 +      /* store overall validation result in orig_msg */
 +      if(vq->rrset_skip == 0)
 +              vq->orig_msg->rep->security = vq->chase_reply->security;
 +      else if(subtype != VAL_CLASS_REFERRAL ||
 +              vq->rrset_skip < vq->orig_msg->rep->an_numrrsets + 
 +              vq->orig_msg->rep->ns_numrrsets) {
 +              /* ignore sec status of additional section if a referral 
 +               * type message skips there and
 +               * use the lowest security status as end result. */
 +              if(vq->chase_reply->security < vq->orig_msg->rep->security)
 +                      vq->orig_msg->rep->security = 
 +                              vq->chase_reply->security;
 +      }
 +
 +      if(subtype == VAL_CLASS_REFERRAL) {
 +              /* for a referral, move to next unchecked rrset and check it*/
 +              vq->rrset_skip = val_next_unchecked(vq->orig_msg->rep, 
 +                      vq->rrset_skip);
 +              if(vq->rrset_skip < vq->orig_msg->rep->rrset_count) {
 +                      /* and restart for this rrset */
 +                      verbose(VERB_ALGO, "validator: go to next rrset");
 +                      vq->chase_reply->security = sec_status_unchecked;
 +                      vq->dlv_checked = 0; /* can do DLV for this RR */
 +                      vq->state = VAL_INIT_STATE;
 +                      return 1;
 +              }
 +              /* referral chase is done */
 +      }
 +      if(vq->chase_reply->security != sec_status_bogus &&
 +              subtype == VAL_CLASS_CNAME) {
 +              /* chase the CNAME; process next part of the message */
 +              if(!val_chase_cname(&vq->qchase, vq->orig_msg->rep, 
 +                      &vq->rrset_skip)) {
 +                      verbose(VERB_ALGO, "validator: failed to chase CNAME");
 +                      vq->orig_msg->rep->security = sec_status_bogus;
 +              } else {
 +                      /* restart process for new qchase at rrset_skip */
 +                      log_query_info(VERB_ALGO, "validator: chased to",
 +                              &vq->qchase);
 +                      vq->chase_reply->security = sec_status_unchecked;
 +                      vq->dlv_checked = 0; /* can do DLV for this RR */
 +                      vq->state = VAL_INIT_STATE;
 +                      return 1;
 +              }
 +      }
 +
 +      if(vq->orig_msg->rep->security == sec_status_secure) {
 +              /* If the message is secure, check that all rrsets are
 +               * secure (i.e. some inserted RRset for CNAME chain with
 +               * a different signer name). And drop additional rrsets
 +               * that are not secure (if clean-additional option is set) */
 +              /* this may cause the msg to be marked bogus */
 +              val_check_nonsecure(ve, vq->orig_msg->rep);
 +              if(vq->orig_msg->rep->security == sec_status_secure) {
 +                      log_query_info(VERB_DETAIL, "validation success", 
 +                              &qstate->qinfo);
 +              }
 +      }
 +
 +      /* if the result is bogus - set message ttl to bogus ttl to avoid
 +       * endless bogus revalidation */
 +      if(vq->orig_msg->rep->security == sec_status_bogus) {
 +              /* see if we can try again to fetch data */
 +              if(vq->restart_count < VAL_MAX_RESTART_COUNT) {
 +                      int restart_count = vq->restart_count+1;
 +                      verbose(VERB_ALGO, "validation failed, "
 +                              "blacklist and retry to fetch data");
 +                      val_blacklist(&qstate->blacklist, qstate->region, 
 +                              qstate->reply_origin, 0);
 +                      qstate->reply_origin = NULL;
 +                      qstate->errinf = NULL;
 +                      memset(vq, 0, sizeof(*vq));
 +                      vq->restart_count = restart_count;
 +                      vq->state = VAL_INIT_STATE;
 +                      verbose(VERB_ALGO, "pass back to next module");
 +                      qstate->ext_state[id] = module_restart_next;
 +                      return 0;
 +              }
 +
 +              vq->orig_msg->rep->ttl = ve->bogus_ttl;
 +              vq->orig_msg->rep->prefetch_ttl = 
 +                      PREFETCH_TTL_CALC(vq->orig_msg->rep->ttl);
 +              if(qstate->env->cfg->val_log_level >= 1 &&
 +                      !qstate->env->cfg->val_log_squelch) {
 +                      if(qstate->env->cfg->val_log_level < 2)
 +                              log_query_info(0, "validation failure",
 +                                      &qstate->qinfo);
 +                      else {
 +                              char* err = errinf_to_str(qstate);
 +                              if(err) log_info("%s", err);
 +                              free(err);
 +                      }
 +              }
 +              /* If we are in permissive mode, bogus gets indeterminate */
 +              if(ve->permissive_mode)
 +                      vq->orig_msg->rep->security = sec_status_indeterminate;
 +      }
 +
 +      /* store results in cache */
 +      if(qstate->query_flags&BIT_RD) {
 +              /* if secure, this will override cache anyway, no need
 +               * to check if from parentNS */
 +              if(!dns_cache_store(qstate->env, &vq->orig_msg->qinfo, 
 +                      vq->orig_msg->rep, 0, qstate->prefetch_leeway, 0, NULL,
 +                      qstate->query_flags)) {
 +                      log_err("out of memory caching validator results");
 +              }
 +      } else {
 +              /* for a referral, store the verified RRsets */
 +              /* and this does not get prefetched, so no leeway */
 +              if(!dns_cache_store(qstate->env, &vq->orig_msg->qinfo, 
 +                      vq->orig_msg->rep, 1, 0, 0, NULL,
 +                      qstate->query_flags)) {
 +                      log_err("out of memory caching validator results");
 +              }
 +      }
 +      qstate->return_rcode = LDNS_RCODE_NOERROR;
 +      qstate->return_msg = vq->orig_msg;
 +      qstate->ext_state[id] = module_finished;
 +      return 0;
 +}
 +
 +/**
 + * The DLVLookup state. Process DLV lookups.
 + *
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + * @return true if the event should be processed further on return, false if
 + *         not.
 + */
 +static int
 +processDLVLookup(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      /* see if this we are ready to continue normal resolution */
 +      /* we may need more DLV lookups */
 +      if(vq->dlv_status==dlv_error)
 +              verbose(VERB_ALGO, "DLV woke up with status dlv_error");
 +      else if(vq->dlv_status==dlv_success)
 +              verbose(VERB_ALGO, "DLV woke up with status dlv_success");
 +      else if(vq->dlv_status==dlv_ask_higher)
 +              verbose(VERB_ALGO, "DLV woke up with status dlv_ask_higher");
 +      else if(vq->dlv_status==dlv_there_is_no_dlv)
 +              verbose(VERB_ALGO, "DLV woke up with status dlv_there_is_no_dlv");
 +      else    verbose(VERB_ALGO, "DLV woke up with status unknown");
 +
 +      if(vq->dlv_status == dlv_error) {
 +              verbose(VERB_QUERY, "failed DLV lookup");
 +              return val_error(qstate, id);
 +      } else if(vq->dlv_status == dlv_success) {
 +              uint8_t* nm;
 +              size_t nmlen;
 +              /* chain continues with DNSKEY, continue in FINDKEY */
 +              vq->state = VAL_FINDKEY_STATE;
 +
 +              /* strip off the DLV suffix from the name; could result in . */
 +              log_assert(dname_subdomain_c(vq->ds_rrset->rk.dname,
 +                      qstate->env->anchors->dlv_anchor->name));
 +              nmlen = vq->ds_rrset->rk.dname_len -
 +                      qstate->env->anchors->dlv_anchor->namelen + 1;
 +              nm = regional_alloc_init(qstate->region, 
 +                      vq->ds_rrset->rk.dname, nmlen);
 +              if(!nm) {
 +                      log_err("Out of memory in DLVLook");
 +                      return val_error(qstate, id);
 +              }
 +              nm[nmlen-1] = 0;
 +
 +              vq->ds_rrset->rk.dname = nm;
 +              vq->ds_rrset->rk.dname_len = nmlen;
 +
 +              /* create a nullentry for the key so the dnskey lookup
 +               * can be retried after a validation failure for it */
 +              vq->key_entry = key_entry_create_null(qstate->region,
 +                      nm, nmlen, vq->qchase.qclass, 0, 0);
 +              if(!vq->key_entry) {
 +                      log_err("Out of memory in DLVLook");
 +                      return val_error(qstate, id);
 +              }
 +
 +              if(!generate_request(qstate, id, vq->ds_rrset->rk.dname, 
 +                      vq->ds_rrset->rk.dname_len, LDNS_RR_TYPE_DNSKEY, 
 +                      vq->qchase.qclass, BIT_CD)) {
 +                      log_err("mem error generating DNSKEY request");
 +                      return val_error(qstate, id);
 +              }
 +              return 0;
 +      } else if(vq->dlv_status == dlv_there_is_no_dlv) {
 +              /* continue with the insecure result we got */
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      } 
 +      log_assert(vq->dlv_status == dlv_ask_higher);
 +
 +      /* ask higher, make sure we stay in DLV repo, below dlv_at */
 +      if(!dname_subdomain_c(vq->dlv_lookup_name,
 +              qstate->env->anchors->dlv_anchor->name)) {
 +              /* just like, there is no DLV */
 +              verbose(VERB_ALGO, "ask above dlv repo");
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      }
 +      if(vq->dlv_insecure_at && !dname_subdomain_c(vq->dlv_lookup_name,
 +              vq->dlv_insecure_at)) {
 +              /* already checked a chain lower than dlv_lookup_name */
 +              verbose(VERB_ALGO, "ask above insecure endpoint");
 +              log_nametypeclass(VERB_ALGO, "enpt", vq->dlv_insecure_at, 0, 0);
 +              vq->state = VAL_FINISHED_STATE;
 +              return 1;
 +      }
 +
 +      /* check negative cache before making new request */
 +      if(val_neg_dlvlookup(ve->neg_cache, vq->dlv_lookup_name,
 +              vq->dlv_lookup_name_len, vq->qchase.qclass,
 +              qstate->env->rrset_cache, *qstate->env->now)) {
 +              /* does not exist, go up one (go higher). */
 +              dname_remove_label(&vq->dlv_lookup_name, 
 +                      &vq->dlv_lookup_name_len);
 +              /* limit number of labels, limited number of recursion */
 +              return processDLVLookup(qstate, vq, ve, id);
 +      }
 +
 +      if(!generate_request(qstate, id, vq->dlv_lookup_name,
 +              vq->dlv_lookup_name_len, LDNS_RR_TYPE_DLV, 
 +              vq->qchase.qclass, 0)) {
 +              return val_error(qstate, id);
 +      }
 +
 +      return 0;
 +}
 +
 +/** 
 + * Handle validator state.
 + * If a method returns true, the next state is started. If false, then
 + * processing will stop.
 + * @param qstate: query state.
 + * @param vq: validator query state.
 + * @param ve: validator shared global environment.
 + * @param id: module id.
 + */
 +static void
 +val_handle(struct module_qstate* qstate, struct val_qstate* vq, 
 +      struct val_env* ve, int id)
 +{
 +      int cont = 1;
 +      while(cont) {
 +              verbose(VERB_ALGO, "val handle processing q with state %s",
 +                      val_state_to_string(vq->state));
 +              switch(vq->state) {
 +                      case VAL_INIT_STATE:
 +                              cont = processInit(qstate, vq, ve, id);
 +                              break;
 +                      case VAL_FINDKEY_STATE: 
 +                              cont = processFindKey(qstate, vq, id);
 +                              break;
 +                      case VAL_VALIDATE_STATE: 
 +                              cont = processValidate(qstate, vq, ve, id);
 +                              break;
 +                      case VAL_FINISHED_STATE: 
 +                              cont = processFinished(qstate, vq, ve, id);
 +                              break;
 +                      case VAL_DLVLOOKUP_STATE: 
 +                              cont = processDLVLookup(qstate, vq, ve, id);
 +                              break;
 +                      default:
 +                              log_warn("validator: invalid state %d",
 +                                      vq->state);
 +                              cont = 0;
 +                              break;
 +              }
 +      }
 +}
 +
 +void
 +val_operate(struct module_qstate* qstate, enum module_ev event, int id,
 +        struct outbound_entry* outbound)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +      struct val_qstate* vq = (struct val_qstate*)qstate->minfo[id];
 +      verbose(VERB_QUERY, "validator[module %d] operate: extstate:%s "
 +              "event:%s", id, strextstate(qstate->ext_state[id]), 
 +              strmodulevent(event));
 +      log_query_info(VERB_QUERY, "validator operate: query",
 +              &qstate->qinfo);
 +      if(vq && qstate->qinfo.qname != vq->qchase.qname) 
 +              log_query_info(VERB_QUERY, "validator operate: chased to",
 +              &vq->qchase);
 +      (void)outbound;
 +      if(event == module_event_new || 
 +              (event == module_event_pass && vq == NULL)) {
 +              /* pass request to next module, to get it */
 +              verbose(VERB_ALGO, "validator: pass to next module");
 +              qstate->ext_state[id] = module_wait_module;
 +              return;
 +      }
 +      if(event == module_event_moddone) {
 +              /* check if validation is needed */
 +              verbose(VERB_ALGO, "validator: nextmodule returned");
 +              if(!needs_validation(qstate, qstate->return_rcode, 
 +                      qstate->return_msg)) {
 +                      /* no need to validate this */
 +                      if(qstate->return_msg)
 +                              qstate->return_msg->rep->security =
 +                                      sec_status_indeterminate;
 +                      qstate->ext_state[id] = module_finished;
 +                      return;
 +              }
 +              if(already_validated(qstate->return_msg)) {
 +                      qstate->ext_state[id] = module_finished;
 +                      return;
 +              }
 +              /* qclass ANY should have validation result from spawned 
 +               * queries. If we get here, it is bogus or an internal error */
 +              if(qstate->qinfo.qclass == LDNS_RR_CLASS_ANY) {
 +                      verbose(VERB_ALGO, "cannot validate classANY: bogus");
 +                      if(qstate->return_msg)
 +                              qstate->return_msg->rep->security =
 +                                      sec_status_bogus;
 +                      qstate->ext_state[id] = module_finished;
 +                      return;
 +              }
 +              /* create state to start validation */
 +              qstate->ext_state[id] = module_error; /* override this */
 +              if(!vq) {
 +                      vq = val_new(qstate, id);
 +                      if(!vq) {
 +                              log_err("validator: malloc failure");
 +                              qstate->ext_state[id] = module_error;
 +                              return;
 +                      }
 +              } else if(!vq->orig_msg) {
 +                      if(!val_new_getmsg(qstate, vq)) {
 +                              log_err("validator: malloc failure");
 +                              qstate->ext_state[id] = module_error;
 +                              return;
 +                      }
 +              }
 +              val_handle(qstate, vq, ve, id);
 +              return;
 +      }
 +      if(event == module_event_pass) {
 +              qstate->ext_state[id] = module_error; /* override this */
 +              /* continue processing, since val_env exists */
 +              val_handle(qstate, vq, ve, id);
 +              return;
 +      }
 +      log_err("validator: bad event %s", strmodulevent(event));
 +      qstate->ext_state[id] = module_error;
 +      return;
 +}
 +
 +/**
 + * Evaluate the response to a priming request.
 + *
 + * @param dnskey_rrset: DNSKEY rrset (can be NULL if none) in prime reply.
 + *    (this rrset is allocated in the wrong region, not the qstate).
 + * @param ta: trust anchor.
 + * @param qstate: qstate that needs key.
 + * @param id: module id.
 + * @return new key entry or NULL on allocation failure.
 + *    The key entry will either contain a validated DNSKEY rrset, or
 + *    represent a Null key (query failed, but validation did not), or a
 + *    Bad key (validation failed).
 + */
 +static struct key_entry_key*
 +primeResponseToKE(struct ub_packed_rrset_key* dnskey_rrset, 
 +      struct trust_anchor* ta, struct module_qstate* qstate, int id)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +      struct key_entry_key* kkey = NULL;
 +      enum sec_status sec = sec_status_unchecked;
 +      char* reason = NULL;
++      int downprot = qstate->env->cfg->harden_algo_downgrade;
 +
 +      if(!dnskey_rrset) {
 +              log_nametypeclass(VERB_OPS, "failed to prime trust anchor -- "
 +                      "could not fetch DNSKEY rrset", 
 +                      ta->name, LDNS_RR_TYPE_DNSKEY, ta->dclass);
 +              if(qstate->env->cfg->harden_dnssec_stripped) {
 +                      errinf(qstate, "no DNSKEY rrset");
 +                      kkey = key_entry_create_bad(qstate->region, ta->name,
 +                              ta->namelen, ta->dclass, BOGUS_KEY_TTL,
 +                              *qstate->env->now);
 +              } else  kkey = key_entry_create_null(qstate->region, ta->name,
 +                              ta->namelen, ta->dclass, NULL_KEY_TTL,
 +                              *qstate->env->now);
 +              if(!kkey) {
 +                      log_err("out of memory: allocate fail prime key");
 +                      return NULL;
 +              }
 +              return kkey;
 +      }
 +      /* attempt to verify with trust anchor DS and DNSKEY */
 +      kkey = val_verify_new_DNSKEYs_with_ta(qstate->region, qstate->env, ve, 
 +              dnskey_rrset, ta->ds_rrset, ta->dnskey_rrset, downprot,
 +              &reason);
 +      if(!kkey) {
 +              log_err("out of memory: verifying prime TA");
 +              return NULL;
 +      }
 +      if(key_entry_isgood(kkey))
 +              sec = sec_status_secure;
 +      else
 +              sec = sec_status_bogus;
 +      verbose(VERB_DETAIL, "validate keys with anchor(DS): %s", 
 +              sec_status_to_string(sec));
 +
 +      if(sec != sec_status_secure) {
 +              log_nametypeclass(VERB_OPS, "failed to prime trust anchor -- "
 +                      "DNSKEY rrset is not secure", 
 +                      ta->name, LDNS_RR_TYPE_DNSKEY, ta->dclass);
 +              /* NOTE: in this case, we should probably reject the trust 
 +               * anchor for longer, perhaps forever. */
 +              if(qstate->env->cfg->harden_dnssec_stripped) {
 +                      errinf(qstate, reason);
 +                      kkey = key_entry_create_bad(qstate->region, ta->name,
 +                              ta->namelen, ta->dclass, BOGUS_KEY_TTL,
 +                              *qstate->env->now);
 +              } else  kkey = key_entry_create_null(qstate->region, ta->name,
 +                              ta->namelen, ta->dclass, NULL_KEY_TTL,
 +                              *qstate->env->now);
 +              if(!kkey) {
 +                      log_err("out of memory: allocate null prime key");
 +                      return NULL;
 +              }
 +              return kkey;
 +      }
 +
 +      log_nametypeclass(VERB_DETAIL, "Successfully primed trust anchor", 
 +              ta->name, LDNS_RR_TYPE_DNSKEY, ta->dclass);
 +      return kkey;
 +}
 +
 +/**
 + * In inform supers, with the resulting message and rcode and the current
 + * keyset in the super state, validate the DS response, returning a KeyEntry.
 + *
 + * @param qstate: query state that is validating and asked for a DS.
 + * @param vq: validator query state
 + * @param id: module id.
 + * @param rcode: rcode result value.
 + * @param msg: result message (if rcode is OK).
 + * @param qinfo: from the sub query state, query info.
 + * @param ke: the key entry to return. It returns
 + *    is_bad if the DS response fails to validate, is_null if the
 + *    DS response indicated an end to secure space, is_good if the DS
 + *    validated. It returns ke=NULL if the DS response indicated that the
 + *    request wasn't a delegation point.
 + * @return 0 on servfail error (malloc failure).
 + */
 +static int
 +ds_response_to_ke(struct module_qstate* qstate, struct val_qstate* vq,
 +        int id, int rcode, struct dns_msg* msg, struct query_info* qinfo,
 +      struct key_entry_key** ke)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +      char* reason = NULL;
 +      enum val_classification subtype;
 +      if(rcode != LDNS_RCODE_NOERROR) {
 +              char rc[16];
 +              rc[0]=0;
 +              (void)sldns_wire2str_rcode_buf(rcode, rc, sizeof(rc));
 +              /* errors here pretty much break validation */
 +              verbose(VERB_DETAIL, "DS response was error, thus bogus");
 +              errinf(qstate, rc);
 +              errinf(qstate, "no DS");
 +              goto return_bogus;
 +      }
 +
 +      subtype = val_classify_response(BIT_RD, qinfo, qinfo, msg->rep, 0);
 +      if(subtype == VAL_CLASS_POSITIVE) {
 +              struct ub_packed_rrset_key* ds;
 +              enum sec_status sec;
 +              ds = reply_find_answer_rrset(qinfo, msg->rep);
 +              /* If there was no DS rrset, then we have mis-classified 
 +               * this message. */
 +              if(!ds) {
 +                      log_warn("internal error: POSITIVE DS response was "
 +                              "missing DS.");
 +                      errinf(qstate, "no DS record");
 +                      goto return_bogus;
 +              }
 +              /* Verify only returns BOGUS or SECURE. If the rrset is 
 +               * bogus, then we are done. */
 +              sec = val_verify_rrset_entry(qstate->env, ve, ds, 
 +                      vq->key_entry, &reason);
 +              if(sec != sec_status_secure) {
 +                      verbose(VERB_DETAIL, "DS rrset in DS response did "
 +                              "not verify");
 +                      errinf(qstate, reason);
 +                      goto return_bogus;
 +              }
 +
 +              /* If the DS rrset validates, we still have to make sure 
 +               * that they are usable. */
 +              if(!val_dsset_isusable(ds)) {
 +                      /* If they aren't usable, then we treat it like 
 +                       * there was no DS. */
 +                      *ke = key_entry_create_null(qstate->region, 
 +                              qinfo->qname, qinfo->qname_len, qinfo->qclass, 
 +                              ub_packed_rrset_ttl(ds), *qstate->env->now);
 +                      return (*ke) != NULL;
 +              }
 +
 +              /* Otherwise, we return the positive response. */
 +              log_query_info(VERB_DETAIL, "validated DS", qinfo);
 +              *ke = key_entry_create_rrset(qstate->region,
 +                      qinfo->qname, qinfo->qname_len, qinfo->qclass, ds,
 +                      NULL, *qstate->env->now);
 +              return (*ke) != NULL;
 +      } else if(subtype == VAL_CLASS_NODATA || 
 +              subtype == VAL_CLASS_NAMEERROR) {
 +              /* NODATA means that the qname exists, but that there was 
 +               * no DS.  This is a pretty normal case. */
 +              time_t proof_ttl = 0;
 +              enum sec_status sec;
 +
 +              /* make sure there are NSECs or NSEC3s with signatures */
 +              if(!val_has_signed_nsecs(msg->rep, &reason)) {
 +                      verbose(VERB_ALGO, "no NSECs: %s", reason);
 +                      errinf(qstate, reason);
 +                      goto return_bogus;
 +              }
 +
 +              /* For subtype Name Error.
 +               * attempt ANS 2.8.1.0 compatibility where it sets rcode
 +               * to nxdomain, but really this is an Nodata/Noerror response.
 +               * Find and prove the empty nonterminal in that case */
 +
 +              /* Try to prove absence of the DS with NSEC */
 +              sec = val_nsec_prove_nodata_dsreply(
 +                      qstate->env, ve, qinfo, msg->rep, vq->key_entry, 
 +                      &proof_ttl, &reason);
 +              switch(sec) {
 +                      case sec_status_secure:
 +                              verbose(VERB_DETAIL, "NSEC RRset for the "
 +                                      "referral proved no DS.");
 +                              *ke = key_entry_create_null(qstate->region, 
 +                                      qinfo->qname, qinfo->qname_len, 
 +                                      qinfo->qclass, proof_ttl,
 +                                      *qstate->env->now);
 +                              return (*ke) != NULL;
 +                      case sec_status_insecure:
 +                              verbose(VERB_DETAIL, "NSEC RRset for the "
 +                                "referral proved not a delegation point");
 +                              *ke = NULL;
 +                              return 1;
 +                      case sec_status_bogus:
 +                              verbose(VERB_DETAIL, "NSEC RRset for the "
 +                                      "referral did not prove no DS.");
 +                              errinf(qstate, reason);
 +                              goto return_bogus;
 +                      case sec_status_unchecked:
 +                      default:
 +                              /* NSEC proof did not work, try next */
 +                              break;
 +              }
 +
 +              sec = nsec3_prove_nods(qstate->env, ve, 
 +                      msg->rep->rrsets + msg->rep->an_numrrsets,
 +                      msg->rep->ns_numrrsets, qinfo, vq->key_entry, &reason);
 +              switch(sec) {
 +                      case sec_status_insecure:
 +                              /* case insecure also continues to unsigned
 +                               * space.  If nsec3-iter-count too high or
 +                               * optout, then treat below as unsigned */
 +                      case sec_status_secure:
 +                              verbose(VERB_DETAIL, "NSEC3s for the "
 +                                      "referral proved no DS.");
 +                              *ke = key_entry_create_null(qstate->region, 
 +                                      qinfo->qname, qinfo->qname_len, 
 +                                      qinfo->qclass, proof_ttl,
 +                                      *qstate->env->now);
 +                              return (*ke) != NULL;
 +                      case sec_status_indeterminate:
 +                              verbose(VERB_DETAIL, "NSEC3s for the "
 +                                "referral proved no delegation");
 +                              *ke = NULL;
 +                              return 1;
 +                      case sec_status_bogus:
 +                              verbose(VERB_DETAIL, "NSEC3s for the "
 +                                      "referral did not prove no DS.");
 +                              errinf(qstate, reason);
 +                              goto return_bogus;
 +                      case sec_status_unchecked:
 +                      default:
 +                              /* NSEC3 proof did not work */
 +                              break;
 +              }
 +
 +              /* Apparently, no available NSEC/NSEC3 proved NODATA, so 
 +               * this is BOGUS. */
 +              verbose(VERB_DETAIL, "DS %s ran out of options, so return "
 +                      "bogus", val_classification_to_string(subtype));
 +              errinf(qstate, "no DS but also no proof of that");
 +              goto return_bogus;
 +      } else if(subtype == VAL_CLASS_CNAME || 
 +              subtype == VAL_CLASS_CNAMENOANSWER) {
 +              /* if the CNAME matches the exact name we want and is signed
 +               * properly, then also, we are sure that no DS exists there,
 +               * much like a NODATA proof */
 +              enum sec_status sec;
 +              struct ub_packed_rrset_key* cname;
 +              cname = reply_find_rrset_section_an(msg->rep, qinfo->qname,
 +                      qinfo->qname_len, LDNS_RR_TYPE_CNAME, qinfo->qclass);
 +              if(!cname) {
 +                      errinf(qstate, "validator classified CNAME but no "
 +                              "CNAME of the queried name for DS");
 +                      goto return_bogus;
 +              }
 +              if(((struct packed_rrset_data*)cname->entry.data)->rrsig_count
 +                      == 0) {
 +                      if(msg->rep->an_numrrsets != 0 && ntohs(msg->rep->
 +                              rrsets[0]->rk.type)==LDNS_RR_TYPE_DNAME) {
 +                              errinf(qstate, "DS got DNAME answer");
 +                      } else {
 +                              errinf(qstate, "DS got unsigned CNAME answer");
 +                      }
 +                      goto return_bogus;
 +              }
 +              sec = val_verify_rrset_entry(qstate->env, ve, cname, 
 +                      vq->key_entry, &reason);
 +              if(sec == sec_status_secure) {
 +                      verbose(VERB_ALGO, "CNAME validated, "
 +                              "proof that DS does not exist");
 +                      /* and that it is not a referral point */
 +                      *ke = NULL;
 +                      return 1;
 +              }
 +              errinf(qstate, "CNAME in DS response was not secure.");
 +              errinf(qstate, reason);
 +              goto return_bogus;
 +      } else {
 +              verbose(VERB_QUERY, "Encountered an unhandled type of "
 +                      "DS response, thus bogus.");
 +              errinf(qstate, "no DS and");
 +              if(FLAGS_GET_RCODE(msg->rep->flags) != LDNS_RCODE_NOERROR) {
 +                      char rc[16];
 +                      rc[0]=0;
 +                      (void)sldns_wire2str_rcode_buf((int)FLAGS_GET_RCODE(
 +                              msg->rep->flags), rc, sizeof(rc));
 +                      errinf(qstate, rc);
 +              } else  errinf(qstate, val_classification_to_string(subtype));
 +              errinf(qstate, "message fails to prove that");
 +              goto return_bogus;
 +      }
 +return_bogus:
 +      *ke = key_entry_create_bad(qstate->region, qinfo->qname,
 +              qinfo->qname_len, qinfo->qclass, 
 +              BOGUS_KEY_TTL, *qstate->env->now);
 +      return (*ke) != NULL;
 +}
 +
 +/**
 + * Process DS response. Called from inform_supers.
 + * Because it is in inform_supers, the mesh itself is busy doing callbacks
 + * for a state that is to be deleted soon; don't touch the mesh; instead
 + * set a state in the super, as the super will be reactivated soon.
 + * Perform processing to determine what state to set in the super.
 + *
 + * @param qstate: query state that is validating and asked for a DS.
 + * @param vq: validator query state
 + * @param id: module id.
 + * @param rcode: rcode result value.
 + * @param msg: result message (if rcode is OK).
 + * @param qinfo: from the sub query state, query info.
 + * @param origin: the origin of msg.
 + */
 +static void
 +process_ds_response(struct module_qstate* qstate, struct val_qstate* vq,
 +      int id, int rcode, struct dns_msg* msg, struct query_info* qinfo,
 +      struct sock_list* origin)
 +{
 +      struct key_entry_key* dske = NULL;
 +      uint8_t* olds = vq->empty_DS_name;
 +      vq->empty_DS_name = NULL;
 +      if(!ds_response_to_ke(qstate, vq, id, rcode, msg, qinfo, &dske)) {
 +                      log_err("malloc failure in process_ds_response");
 +                      vq->key_entry = NULL; /* make it error */
 +                      vq->state = VAL_VALIDATE_STATE;
 +                      return;
 +      }
 +      if(dske == NULL) {
 +              vq->empty_DS_name = regional_alloc_init(qstate->region,
 +                      qinfo->qname, qinfo->qname_len);
 +              if(!vq->empty_DS_name) {
 +                      log_err("malloc failure in empty_DS_name");
 +                      vq->key_entry = NULL; /* make it error */
 +                      vq->state = VAL_VALIDATE_STATE;
 +                      return;
 +              }
 +              vq->empty_DS_len = qinfo->qname_len;
 +              vq->chain_blacklist = NULL;
 +              /* ds response indicated that we aren't on a delegation point.
 +               * Keep the forState.state on FINDKEY. */
 +      } else if(key_entry_isgood(dske)) {
 +              vq->ds_rrset = key_entry_get_rrset(dske, qstate->region);
 +              if(!vq->ds_rrset) {
 +                      log_err("malloc failure in process DS");
 +                      vq->key_entry = NULL; /* make it error */
 +                      vq->state = VAL_VALIDATE_STATE;
 +                      return;
 +              }
 +              vq->chain_blacklist = NULL; /* fresh blacklist for next part*/
 +              /* Keep the forState.state on FINDKEY. */
 +      } else if(key_entry_isbad(dske) 
 +              && vq->restart_count < VAL_MAX_RESTART_COUNT) {
 +              vq->empty_DS_name = olds;
 +              val_blacklist(&vq->chain_blacklist, qstate->region, origin, 1);
 +              qstate->errinf = NULL;
 +              vq->restart_count++;
 +      } else {
 +              if(key_entry_isbad(dske)) {
 +                      errinf_origin(qstate, origin);
 +                      errinf_dname(qstate, "for DS", qinfo->qname);
 +              }
 +              /* NOTE: the reason for the DS to be not good (that is, 
 +               * either bad or null) should have been logged by 
 +               * dsResponseToKE. */
 +              vq->key_entry = dske;
 +              /* The FINDKEY phase has ended, so move on. */
 +              vq->state = VAL_VALIDATE_STATE;
 +      }
 +}
 +
 +/**
 + * Process DNSKEY response. Called from inform_supers.
 + * Sets the key entry in the state.
 + * Because it is in inform_supers, the mesh itself is busy doing callbacks
 + * for a state that is to be deleted soon; don't touch the mesh; instead
 + * set a state in the super, as the super will be reactivated soon.
 + * Perform processing to determine what state to set in the super.
 + *
 + * @param qstate: query state that is validating and asked for a DNSKEY.
 + * @param vq: validator query state
 + * @param id: module id.
 + * @param rcode: rcode result value.
 + * @param msg: result message (if rcode is OK).
 + * @param qinfo: from the sub query state, query info.
 + * @param origin: the origin of msg.
 + */
 +static void
 +process_dnskey_response(struct module_qstate* qstate, struct val_qstate* vq,
 +      int id, int rcode, struct dns_msg* msg, struct query_info* qinfo,
 +      struct sock_list* origin)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +      struct key_entry_key* old = vq->key_entry;
 +      struct ub_packed_rrset_key* dnskey = NULL;
 +      int downprot;
 +      char* reason = NULL;
 +
 +      if(rcode == LDNS_RCODE_NOERROR)
 +              dnskey = reply_find_answer_rrset(qinfo, msg->rep);
 +
 +      if(dnskey == NULL) {
 +              /* bad response */
 +              verbose(VERB_DETAIL, "Missing DNSKEY RRset in response to "
 +                      "DNSKEY query.");
 +              if(vq->restart_count < VAL_MAX_RESTART_COUNT) {
 +                      val_blacklist(&vq->chain_blacklist, qstate->region,
 +                              origin, 1);
 +                      qstate->errinf = NULL;
 +                      vq->restart_count++;
 +                      return;
 +              }
 +              vq->key_entry = key_entry_create_bad(qstate->region, 
 +                      qinfo->qname, qinfo->qname_len, qinfo->qclass,
 +                      BOGUS_KEY_TTL, *qstate->env->now);
 +              if(!vq->key_entry) {
 +                      log_err("alloc failure in missing dnskey response");
 +                      /* key_entry is NULL for failure in Validate */
 +              }
 +              errinf(qstate, "No DNSKEY record");
 +              errinf_origin(qstate, origin);
 +              errinf_dname(qstate, "for key", qinfo->qname);
 +              vq->state = VAL_VALIDATE_STATE;
 +              return;
 +      }
 +      if(!vq->ds_rrset) {
 +              log_err("internal error: no DS rrset for new DNSKEY response");
 +              vq->key_entry = NULL;
 +              vq->state = VAL_VALIDATE_STATE;
 +              return;
 +      }
 +      downprot = 1;
 +      vq->key_entry = val_verify_new_DNSKEYs(qstate->region, qstate->env,
 +              ve, dnskey, vq->ds_rrset, downprot, &reason);
 +
 +      if(!vq->key_entry) {
 +              log_err("out of memory in verify new DNSKEYs");
 +              vq->state = VAL_VALIDATE_STATE;
 +              return;
 +      }
 +      /* If the key entry isBad or isNull, then we can move on to the next
 +       * state. */
 +      if(!key_entry_isgood(vq->key_entry)) {
 +              if(key_entry_isbad(vq->key_entry)) {
 +                      if(vq->restart_count < VAL_MAX_RESTART_COUNT) {
 +                              val_blacklist(&vq->chain_blacklist, 
 +                                      qstate->region, origin, 1);
 +                              qstate->errinf = NULL;
 +                              vq->restart_count++;
 +                              vq->key_entry = old;
 +                              return;
 +                      }
 +                      verbose(VERB_DETAIL, "Did not match a DS to a DNSKEY, "
 +                              "thus bogus.");
 +                      errinf(qstate, reason);
 +                      errinf_origin(qstate, origin);
 +                      errinf_dname(qstate, "for key", qinfo->qname);
 +              }
 +              vq->chain_blacklist = NULL;
 +              vq->state = VAL_VALIDATE_STATE;
 +              return;
 +      }
 +      vq->chain_blacklist = NULL;
 +      qstate->errinf = NULL;
 +
 +      /* The DNSKEY validated, so cache it as a trusted key rrset. */
 +      key_cache_insert(ve->kcache, vq->key_entry, qstate);
 +
 +      /* If good, we stay in the FINDKEY state. */
 +      log_query_info(VERB_DETAIL, "validated DNSKEY", qinfo);
 +}
 +
 +/**
 + * Process prime response
 + * Sets the key entry in the state.
 + *
 + * @param qstate: query state that is validating and primed a trust anchor.
 + * @param vq: validator query state
 + * @param id: module id.
 + * @param rcode: rcode result value.
 + * @param msg: result message (if rcode is OK).
 + * @param origin: the origin of msg.
 + */
 +static void
 +process_prime_response(struct module_qstate* qstate, struct val_qstate* vq,
 +      int id, int rcode, struct dns_msg* msg, struct sock_list* origin)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +      struct ub_packed_rrset_key* dnskey_rrset = NULL;
 +      struct trust_anchor* ta = anchor_find(qstate->env->anchors, 
 +              vq->trust_anchor_name, vq->trust_anchor_labs,
 +              vq->trust_anchor_len, vq->qchase.qclass);
 +      if(!ta) {
 +              /* trust anchor revoked, restart with less anchors */
 +              vq->state = VAL_INIT_STATE;
 +              if(!vq->trust_anchor_name)
 +                      vq->state = VAL_VALIDATE_STATE; /* break a loop */
 +              vq->trust_anchor_name = NULL;
 +              return;
 +      }
 +      /* Fetch and validate the keyEntry that corresponds to the 
 +       * current trust anchor. */
 +      if(rcode == LDNS_RCODE_NOERROR) {
 +              dnskey_rrset = reply_find_rrset_section_an(msg->rep,
 +                      ta->name, ta->namelen, LDNS_RR_TYPE_DNSKEY,
 +                      ta->dclass);
 +      }
 +      if(ta->autr) {
 +              if(!autr_process_prime(qstate->env, ve, ta, dnskey_rrset)) {
 +                      /* trust anchor revoked, restart with less anchors */
 +                      vq->state = VAL_INIT_STATE;
 +                      vq->trust_anchor_name = NULL;
 +                      return;
 +              }
 +      }
 +      vq->key_entry = primeResponseToKE(dnskey_rrset, ta, qstate, id);
 +      lock_basic_unlock(&ta->lock);
 +      if(vq->key_entry) {
 +              if(key_entry_isbad(vq->key_entry) 
 +                      && vq->restart_count < VAL_MAX_RESTART_COUNT) {
 +                      val_blacklist(&vq->chain_blacklist, qstate->region, 
 +                              origin, 1);
 +                      qstate->errinf = NULL;
 +                      vq->restart_count++;
 +                      vq->key_entry = NULL;
 +                      vq->state = VAL_INIT_STATE;
 +                      return;
 +              } 
 +              vq->chain_blacklist = NULL;
 +              errinf_origin(qstate, origin);
 +              errinf_dname(qstate, "for trust anchor", ta->name);
 +              /* store the freshly primed entry in the cache */
 +              key_cache_insert(ve->kcache, vq->key_entry, qstate);
 +      }
 +
 +      /* If the result of the prime is a null key, skip the FINDKEY state.*/
 +      if(!vq->key_entry || key_entry_isnull(vq->key_entry) ||
 +              key_entry_isbad(vq->key_entry)) {
 +              vq->state = VAL_VALIDATE_STATE;
 +      }
 +      /* the qstate will be reactivated after inform_super is done */
 +}
 +
 +/**
 + * Process DLV response. Called from inform_supers.
 + * Because it is in inform_supers, the mesh itself is busy doing callbacks
 + * for a state that is to be deleted soon; don't touch the mesh; instead
 + * set a state in the super, as the super will be reactivated soon.
 + * Perform processing to determine what state to set in the super.
 + *
 + * @param qstate: query state that is validating and asked for a DLV.
 + * @param vq: validator query state
 + * @param id: module id.
 + * @param rcode: rcode result value.
 + * @param msg: result message (if rcode is OK).
 + * @param qinfo: from the sub query state, query info.
 + */
 +static void
 +process_dlv_response(struct module_qstate* qstate, struct val_qstate* vq,
 +      int id, int rcode, struct dns_msg* msg, struct query_info* qinfo)
 +{
 +      struct val_env* ve = (struct val_env*)qstate->env->modinfo[id];
 +
 +      verbose(VERB_ALGO, "process dlv response to super");
 +      if(rcode != LDNS_RCODE_NOERROR) {
 +              /* lookup failed, set in vq to give up */
 +              vq->dlv_status = dlv_error;
 +              verbose(VERB_ALGO, "response is error");
 +              return;
 +      }
 +      if(msg->rep->security != sec_status_secure) {
 +              vq->dlv_status = dlv_error;
 +              verbose(VERB_ALGO, "response is not secure, %s",
 +                      sec_status_to_string(msg->rep->security));
 +              return;
 +      }
 +      /* was the lookup a success? validated DLV? */
 +      if(FLAGS_GET_RCODE(msg->rep->flags) == LDNS_RCODE_NOERROR &&
 +              msg->rep->an_numrrsets == 1 &&
 +              msg->rep->security == sec_status_secure &&
 +              ntohs(msg->rep->rrsets[0]->rk.type) == LDNS_RR_TYPE_DLV &&
 +              ntohs(msg->rep->rrsets[0]->rk.rrset_class) == qinfo->qclass &&
 +              query_dname_compare(msg->rep->rrsets[0]->rk.dname, 
 +                      vq->dlv_lookup_name) == 0) {
 +              /* yay! it is just like a DS */
 +              vq->ds_rrset = (struct ub_packed_rrset_key*)
 +                      regional_alloc_init(qstate->region,
 +                      msg->rep->rrsets[0], sizeof(*vq->ds_rrset));
 +              if(!vq->ds_rrset) {
 +                      log_err("out of memory in process_dlv");
 +                      return;
 +              }
 +              vq->ds_rrset->entry.key = vq->ds_rrset;
 +              vq->ds_rrset->rk.dname = (uint8_t*)regional_alloc_init(
 +                      qstate->region, vq->ds_rrset->rk.dname, 
 +                      vq->ds_rrset->rk.dname_len);
 +              if(!vq->ds_rrset->rk.dname) {
 +                      log_err("out of memory in process_dlv");
 +                      vq->dlv_status = dlv_error;
 +                      return;
 +              }
 +              vq->ds_rrset->entry.data = regional_alloc_init(qstate->region,
 +                      vq->ds_rrset->entry.data, 
 +                      packed_rrset_sizeof(vq->ds_rrset->entry.data));
 +              if(!vq->ds_rrset->entry.data) {
 +                      log_err("out of memory in process_dlv");
 +                      vq->dlv_status = dlv_error;
 +                      return;
 +              }
 +              packed_rrset_ptr_fixup(vq->ds_rrset->entry.data);
 +              /* make vq do a DNSKEY query next up */
 +              vq->dlv_status = dlv_success;
 +              return;
 +      }
 +      /* store NSECs into negative cache */
 +      val_neg_addreply(ve->neg_cache, msg->rep);
 +
 +      /* was the lookup a failure? 
 +       *   if we have to go up into the DLV for a higher DLV anchor
 +       *   then set this in the vq, so it can make queries when activated.
 +       * See if the NSECs indicate that we should look for higher DLV
 +       * or, that there is no DLV securely */
 +      if(!val_nsec_check_dlv(qinfo, msg->rep, &vq->dlv_lookup_name, 
 +              &vq->dlv_lookup_name_len)) {
 +              vq->dlv_status = dlv_error;
 +              verbose(VERB_ALGO, "nsec error");
 +              return;
 +      }
 +      if(!dname_subdomain_c(vq->dlv_lookup_name, 
 +              qstate->env->anchors->dlv_anchor->name)) {
 +              vq->dlv_status = dlv_there_is_no_dlv;
 +              return;
 +      }
 +      vq->dlv_status = dlv_ask_higher;
 +}
 +
 +/* 
 + * inform validator super.
 + * 
 + * @param qstate: query state that finished.
 + * @param id: module id.
 + * @param super: the qstate to inform.
 + */
 +void
 +val_inform_super(struct module_qstate* qstate, int id,
 +      struct module_qstate* super)
 +{
 +      struct val_qstate* vq = (struct val_qstate*)super->minfo[id];
 +      log_query_info(VERB_ALGO, "validator: inform_super, sub is",
 +              &qstate->qinfo);
 +      log_query_info(VERB_ALGO, "super is", &super->qinfo);
 +      if(!vq) {
 +              verbose(VERB_ALGO, "super: has no validator state");
 +              return;
 +      }
 +      if(vq->wait_prime_ta) {
 +              vq->wait_prime_ta = 0;
 +              process_prime_response(super, vq, id, qstate->return_rcode,
 +                      qstate->return_msg, qstate->reply_origin);
 +              return;
 +      }
 +      if(qstate->qinfo.qtype == LDNS_RR_TYPE_DS) {
 +              process_ds_response(super, vq, id, qstate->return_rcode,
 +                      qstate->return_msg, &qstate->qinfo, 
 +                      qstate->reply_origin);
 +              return;
 +      } else if(qstate->qinfo.qtype == LDNS_RR_TYPE_DNSKEY) {
 +              process_dnskey_response(super, vq, id, qstate->return_rcode,
 +                      qstate->return_msg, &qstate->qinfo,
 +                      qstate->reply_origin);
 +              return;
 +      } else if(qstate->qinfo.qtype == LDNS_RR_TYPE_DLV) {
 +              process_dlv_response(super, vq, id, qstate->return_rcode,
 +                      qstate->return_msg, &qstate->qinfo);
 +              return;
 +      }
 +      log_err("internal error in validator: no inform_supers possible");
 +}
 +
 +void
 +val_clear(struct module_qstate* qstate, int id)
 +{
 +      if(!qstate)
 +              return;
 +      /* everything is allocated in the region, so assign NULL */
 +      qstate->minfo[id] = NULL;
 +}
 +
 +size_t 
 +val_get_mem(struct module_env* env, int id)
 +{
 +      struct val_env* ve = (struct val_env*)env->modinfo[id];
 +      if(!ve)
 +              return 0;
 +      return sizeof(*ve) + key_cache_get_mem(ve->kcache) + 
 +              val_neg_get_mem(ve->neg_cache) +
 +              sizeof(size_t)*2*ve->nsec3_keyiter_count;
 +}
 +
 +/**
 + * The validator function block 
 + */
 +static struct module_func_block val_block = {
 +      "validator",
 +      &val_init, &val_deinit, &val_operate, &val_inform_super, &val_clear,
 +      &val_get_mem
 +};
 +
 +struct module_func_block* 
 +val_get_funcblock(void)
 +{
 +      return &val_block;
 +}
 +
 +const char* 
 +val_state_to_string(enum val_state state)
 +{
 +      switch(state) {
 +              case VAL_INIT_STATE: return "VAL_INIT_STATE";
 +              case VAL_FINDKEY_STATE: return "VAL_FINDKEY_STATE";
 +              case VAL_VALIDATE_STATE: return "VAL_VALIDATE_STATE";
 +              case VAL_FINISHED_STATE: return "VAL_FINISHED_STATE";
 +              case VAL_DLVLOOKUP_STATE: return "VAL_DLVLOOKUP_STATE";
 +      }
 +      return "UNKNOWN VALIDATOR STATE";
 +}
 +
diff --cc lib/libunbound/Makefile
index fb593f2c954cbf77450501309e2e3461d4ad8cca,0000000000000000000000000000000000000000..2e75c6863b690d864a28098024b31620259b8e64
mode 100644,000000..100644
--- 1/lib/libunbound/Makefile
--- /dev/null
+++ b/lib/libunbound/Makefile
@@@ -1,42 -1,0 +1,42 @@@
- .PATH: ${UNBOUNDDIR} ${UNBOUNDDIR}/dns64 ${UNBOUNDDIR}/iterator ${UNBOUNDDIR}/ldns ${UNBOUNDDIR}/libunbound ${UNBOUNDDIR}/services ${UNBOUNDDIR}/services/cache ${UNBOUNDDIR}/util ${UNBOUNDDIR}/util/data ${UNBOUNDDIR}/util/storage ${UNBOUNDDIR}/validator 
 +# $FreeBSD$
 +
 +# Vendor sources and generated files
 +LDNSDIR= ${.CURDIR}/../../contrib/ldns
 +UNBOUNDDIR= ${.CURDIR}/../../contrib/unbound
 +
 +# Hold my beer and watch this
++.PATH: ${UNBOUNDDIR} ${UNBOUNDDIR}/dns64 ${UNBOUNDDIR}/iterator ${UNBOUNDDIR}/sldns ${UNBOUNDDIR}/libunbound ${UNBOUNDDIR}/services ${UNBOUNDDIR}/services/cache ${UNBOUNDDIR}/util ${UNBOUNDDIR}/util/data ${UNBOUNDDIR}/util/storage ${UNBOUNDDIR}/validator 
 +
 +LIB=  unbound
 +PRIVATELIB=
 +
 +CFLAGS= -I${UNBOUNDDIR} -I${LDNSDIR} -I${.OBJDIR}
 +
 +SRCS= alloc.c autotrust.c config_file.c configlexer.l configparser.y \
 +      context.c dname.c dns.c dns64.c dnstree.c fptr_wlist.c infra.c \
 +      iter_delegpt.c iter_donotq.c iter_fwd.c iter_hints.c iter_priv.c \
 +      iter_resptype.c iter_scrub.c iter_utils.c iterator.c keyraw.c \
 +      libunbound.c libworker.c listen_dnsport.c localzone.c locks.c log.c \
 +      lookup3.c lruhash.c mesh.c mini_event.c modstack.c module.c \
 +      msgencode.c msgparse.c msgreply.c net_help.c netevent.c \
 +      outbound_list.c outside_network.c packed_rrset.c parse.c \
 +      parseutil.c random.c rbtree.c regional.c rrdef.c rrset.c rtt.c \
 +      sbuffer.c slabhash.c str2wire.c timehist.c tube.c val_anchor.c \
 +      val_kcache.c val_kentry.c val_neg.c val_nsec.c val_nsec3.c \
 +      val_secalgo.c val_sigcrypt.c val_utils.c validator.c \
 +      winsock_event.c wire2str.c
 +
 +WARNS?=       3
 +
 +LIBADD=       ssl crypto pthread
 +
 +# Misnamed file in upstream source
 +configlexer.l: configlexer.lex
 +      ${CP} ${.ALLSRC} ${.TARGET}
 +CLEANFILES+= configlexer.l
 +
 +# Symbol prefix for lex and yacc
 +LFLAGS= -Pub_c_
 +YFLAGS= -pub_c_ -d
 +
 +.include <bsd.lib.mk>
FreeBSD development repo for Xen ARM