nft: Do not omit full ranges if inverted

author Phil Sutter <phil@nwl.cc>

Fri, 2 Feb 2024 12:14:29 +0000 (13:14 +0100)

committer Phil Sutter <phil@nwl.cc>

Fri, 2 Feb 2024 17:26:14 +0000 (18:26 +0100)
author Phil Sutter <phil@nwl.cc>
Fri, 2 Feb 2024 12:14:29 +0000 (13:14 +0100)
committer Phil Sutter <phil@nwl.cc>
Fri, 2 Feb 2024 17:26:14 +0000 (18:26 +0100)
diff --git a/extensions/libxt_tcp.t b/extensions/libxt_tcp.t

index baa41615b11a6e71ee3cb3b7c6df8ff131c9ed4e..911c51113cf2ae9737ff2d48f6a545fa6612d5eb 100644 (file)
--- a/extensions/libxt_tcp.t
+++ b/extensions/libxt_tcp.t
@@ -7,13 +7,13 @@
  -p tcp -m tcp --sport 1024:65535;=;OK
  -p tcp -m tcp --sport 1024:;-p tcp -m tcp --sport 1024:65535;OK
  -p tcp -m tcp --sport :;-p tcp -m tcp;OK
--p tcp -m tcp ! --sport :;-p tcp -m tcp;OK;LEGACY;-p tcp
+-p tcp -m tcp ! --sport :;-p tcp -m tcp;OK
  -p tcp -m tcp --sport :4;-p tcp -m tcp --sport 0:4;OK
  -p tcp -m tcp --sport 4:;-p tcp -m tcp --sport 4:65535;OK
  -p tcp -m tcp --sport 4:4;-p tcp -m tcp --sport 4;OK
  -p tcp -m tcp --sport 4:3;;FAIL
  -p tcp -m tcp --dport :;-p tcp -m tcp;OK
--p tcp -m tcp ! --dport :;-p tcp -m tcp;OK;LEGACY;-p tcp
+-p tcp -m tcp ! --dport :;-p tcp -m tcp;OK
  -p tcp -m tcp --dport :4;-p tcp -m tcp --dport 0:4;OK
  -p tcp -m tcp --dport 4:;-p tcp -m tcp --dport 4:65535;OK
  -p tcp -m tcp --dport 4:4;-p tcp -m tcp --dport 4;OK
diff --git a/extensions/libxt_udp.t b/extensions/libxt_udp.t

index 09dff363fc21a05d885682c132938d3c0a91f9c2..3c85b09f871da5c1b86d2e1e8517fb66a6c068d6 100644 (file)
--- a/extensions/libxt_udp.t
+++ b/extensions/libxt_udp.t
@@ -7,13 +7,13 @@
  -p udp -m udp --sport 1024:65535;=;OK
  -p udp -m udp --sport 1024:;-p udp -m udp --sport 1024:65535;OK
  -p udp -m udp --sport :;-p udp -m udp;OK
--p udp -m udp ! --sport :;-p udp -m udp;OK;LEGACY;-p udp
+-p udp -m udp ! --sport :;-p udp -m udp;OK
  -p udp -m udp --sport :4;-p udp -m udp --sport 0:4;OK
  -p udp -m udp --sport 4:;-p udp -m udp --sport 4:65535;OK
  -p udp -m udp --sport 4:4;-p udp -m udp --sport 4;OK
  -p udp -m udp --sport 4:3;;FAIL
  -p udp -m udp --dport :;-p udp -m udp;OK
--p udp -m udp ! --dport :;-p udp -m udp;OK;LEGACY;-p udp
+-p udp -m udp ! --dport :;-p udp -m udp;OK
  -p udp -m udp --dport :4;-p udp -m udp --dport 0:4;OK
  -p udp -m udp --dport 4:;-p udp -m udp --dport 4:65535;OK
  -p udp -m udp --dport 4:4;-p udp -m udp --dport 4;OK
diff --git a/iptables/nft.c b/iptables/nft.c

index c2cbc9d72ef0c860465219befa6c1de386d2d357..dae6698d3234a202f1902366cc055823f9a0790f 100644 (file)
--- a/iptables/nft.c
+++ b/iptables/nft.c
@@ -1324,7 +1324,7 @@ static int add_nft_tcpudp(struct nft_handle *h,struct nftnl_rule *r,
                 return 0;
         }
  
-       if (src[0] || src[1] < 0xffff) {
+       if (src[0] || src[1] < UINT16_MAX || invert_src) {
                 expr = gen_payload(h, NFT_PAYLOAD_TRANSPORT_HEADER, 0, 2, &reg);
                 if (!expr)
                         return -ENOMEM;
@@ -1335,7 +1335,7 @@ static int add_nft_tcpudp(struct nft_handle *h,struct nftnl_rule *r,
                         return ret;
         }
  
-       if (dst[0] || dst[1] < 0xffff) {
+       if (dst[0] || dst[1] < UINT16_MAX || invert_dst) {
                 expr = gen_payload(h, NFT_PAYLOAD_TRANSPORT_HEADER, 2, 2, &reg);
                 if (!expr)
                         return -ENOMEM;
author	Phil Sutter <phil@nwl.cc>
	Fri, 2 Feb 2024 12:14:29 +0000 (13:14 +0100)
committer	Phil Sutter <phil@nwl.cc>
	Fri, 2 Feb 2024 17:26:14 +0000 (18:26 +0100)
extensions/libxt_tcp.t		patch \| blob \| blame \| history
extensions/libxt_udp.t		patch \| blob \| blame \| history
iptables/nft.c		patch \| blob \| blame \| history