geoip: use real atomic_t and remove casts from uint32_t

geoip: use struct list_head instead of self-cooked list

geoip: use local-portable aligned_u64 pointer values

A 64-bit kernel will interpret the pointer with 64 bits width, while
a 32-bit userspace filled in only 32 of it, leaving the other 32
undefined. This must be avoided.

geoip: split user/kernel-visible parts of struct geoip_info

geoip: use vmalloc due to potential list size

The subnet list may become really large (United States: ~15000
entries), which means a use of roughly 120 KB, and kmalloc may fail
to find a contiguous block in physical memory. Virtual contiguity is
enough, so use vmalloc/vfree.

vfree may not be called within a spin_lock_bh area, so release the
lock first, it is safe to do so.

geoip: use a binary search to replace the current linear one

Certain countries have lots (around 10000) of IP address ranges
(US,GB,DE,...). The current linear search is really bad:

No firewall:
3000 packets transmitted, 3000 received, 0% packet loss, time 1992ms

Testing against the countries with top 50 IP ranges:
3000 packets transmitted, 3000 received, 0% packet loss, time 8998ms

With binary search:
3000 packets transmitted, 3000 received, 0% packet loss, time 2358ms

geoip: address comparison is inclusive

subnet is somewhat a wrong term, geoip actually uses ipranges. Either
way, the comparison needs to be >= and <= instead of > <.

geoip: lock timing correctness

find_node: The reference count needs to be increased while the lock
is held. Otherwise, the node may disappear right after the lock was
released and increase was attempted, leading to an oops.

remove_node: The reference count needs to be checked while the lock
is held. Otherwise, the node may be used in the match function or
returned from find_node while it has a zero refcount.

geoip: add missing kfree in error path

geoip: sort #include list

geoip: use tabs not spaces and indent

geoip: remove redundant casts

geoip: remove unused code and unneeded per-info refcount

- freeing userspace memory is not the kernel's job, really.
- checkentry is called exactly once, as is destroy.

geoip: import 20080214 code base

compat update: allow building from 2.6.18 onwards

Update .gitignore

Makefile: add missing xtables_CFLAGS variable

If xtables.h is to be found in a directory other than included in the
default preprocessor search path, compilation failed because the path
specified with --with-xtables= was not passed to gcc.

Xtables-addons 1.5.2

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Makefile: add "tarball" target

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Remove XTABLES_VERSION define, it is now provided by xtables.h

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Move defines in compat_xtables.h down to avoid redeclaration errors

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Use system's readlink program to make things work with GNU make < 3.81

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Xtables-addons 1.5.1

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Use AF_UNSPEC registration in libxt_LOGMARK

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Change IPTABLES_VERSION to XTABLES_VERSION

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Import Chaostables extensions

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Remove compat code for kernels below 2.6.22

Some code already uses ip_hdr() functions which did not exist in
2.6.21 and I do not feel like adding more compat code.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Update compat code for new 2.6.25 code

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

xt_LOGMARK: dump CLASSIFY mark, ctstate and ctstatus

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add support for external tarballs

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Allow external projects to be downloaded into the tree and used

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Allow user to select what extensions to compile and install

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Only include ksource header directory when explicitly specified

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Fixup compilation for kernels before 2.6.25

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Update package name and documentation

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add xt_LOGMARK (nfmark, ctmark, secmark logger)

xt_LOGMARK dumps the nfmark (packet mark), ctmark (connection mark)
and/or secmark to syslog.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add plural target (un)registration to compat glue

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add a compat wrapper to make modules work with older Linux.

The extension modules use the API of a fairly recent kernel, if not
even the networking git tree. To make it work with older Linux
kernels, an API wrapper is added. Should compile against
running-kernels Linux 2.6.19..current (tested: 2.6.22..current).

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Initial commit.

Populate the iptables-addons repository with two modules, xt_TARPIT
and xt_TEE, as a starting point.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>