xt_psd: move parts of main match function to helpers

The match function is way too large, start to split this into smaller
chunks.

xt_psd: consider protocol when searching port list

If we saw a TCP packet on port X, and we receive a UDP packet from the
same host to port X, we counted this as "port X", and did not see this
as a new packet.

Change compare to also consider protocol number and move it to a helper
to de-bloat the overlay large match function.

This change makes psd more aggressive with mixed TCP/UDP traffic.

Xtables-addons 1.46

doc: update xt_SYSRQ.man to reflect that the full IPv6 address is needed

xt_SYSRQ uses NIP6_FMT, so requires the expanded form for the digest.

Reported-by: Jan Krcmar <honza801@gmail.com>

build: remove extraneous closing bracket in configure.ac

Now autogen.sh will work without complaints.

TARPIT: fix memory leak when tarpit_generic() fails

Currently tarpit_generic() just returns on failure, but this does not
free nskb.

Signed-off-by: Josh Hunt <johunt@akamai.com>

extensions: fix ipv6_find_hdr upstream change fallout

Upstream commit v3.5-rc1~109^2~138^2~4 ("netfilter: ip6_tables: add
flags parameter to ipv6_find_hdr()") changed the offset parameter of
ipv6_find_hdr() to be an input-output value. Moreover, if it is
non-zero, it MUST point to a valid IPv6 header embedded in the
packet.

Xtables-addons 1.45

build: avoid use of unexported functions

Fixes: "WARNING 'ipv6_find_hdr' [xt_TARPIT.ko] not found" in
<= linux-2.6.37.

fix: "WARNING 'xtnu_ipv6_find_hdr' [.ko] not found"

Xtables-addons 1.44

build: do not attempt to build IPv6 parts if CONFIG_IP6_NF_IPTABLES=n

Checking for IPV6 is not sufficient, use IP6_NF_IPTABLES instead.

build: do not attempt to build IPv6 parts if CONFIG_IPV6=n

geoip: remove outdated instructions in xt_geoip_build

The manpage contains the authoritative description of options
currently supported.

SYSRQ: fix double target initialization at module load

Merge branch 'tarpit6'

doc: changelog entry for IPv6 TARPIT

compat_xtables: avoid compile abort on <= 2.6.37

TARPIT: enable IPv6 userspace support

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: resolve build errors with newer kernels

Adds fragment offset arg to ipv6_skip_exthdr() and also removes usage
of ipv6_addr_copy() in favor or direct assignment.

Signed-off-by: Josh Hunt <johunt@akamai.com>

compat_xtables: add xtnu_ipv6_skip_exthdr

TARPIT: add IPv6 support

This adds IPv6 support for the tarpit target. It performs the same
functionality as the v4 version, but with IPv6 connections.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: make tarpit code generic

Creates a generic function to perform the tcp header manipulation in.
Done in preparation for IPv6 support. This allows us to share code
between v4 and v6 processing.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_RESET to its own function

Moves XTTARPIT_RESET into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_HONEYPOT mode into its own function

Moves XTTARPIT_HONEYPOT into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_TARPIT mode processing to its own function

Moves the XTTARPIT_TARPIT mode processing to its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: mark oldtcphdr const

build: include <net/ip6_checksum.h> for csum_ipv6_magic

xt_ECHO fails to build on PPC because csum_ipv6_magic is declared in
<net/ip6_checksum.h>, which is not implicitly included from other
headers on PPC causing build failures due to this function being
undefined. So, include this header explicitly.

Note:  Same cause as <http://bugzilla.netfilter.org/show_bug.cgi?id=307>.

Xtables-addons 1.43

build: support for Linux 3.5

build: do not fail if AM_PROG_AR is not known

build: remove empty warning message

build: add missing include for xt_DNETMAP

xt_DNETMAP.c: In function 'dnetmap_tg_proc_write':
xt_DNETMAP.c:703:3: error: implicit declaration of function 'in4_pton'
[-Werror=implicit-function-declaration]

build: automake 1.12 wants me to use AM_PROG_AR

Merge branch 'psd_cleanups' of git://git.breakpoint.cc/fw/xtables-addons

psd: move defines to user/kernelspace part where possible

Some of these defines have no meaning in userspace, so there
is no need to make those available.

psd: reduce size of struct host

We can use u16, saving 8 bytes total (weight cannot exceed
PSD_MAX_RATE, 10000). Also re-format comments & struct initializers.

No functional changes.

psd: re-format comments

psd: add basic validation of userspace matchinfo data

psd multiplies weight_thresh by HZ, so it could overflow.

Userspace libxt_psd refuses values exceeding PSD_MAX_RATE, so check
that on kernel side, too.

Also, setting 0 weight for both privileged and highports will cause
psd to never match at all.

Reject 0 weight threshold, too because it makes no sense (triggers
match for every initial packet).

psd: rip out scanlogd leftovers

scanlogd remembers tcp flags and uses the *_CHANGING values in its
logger function to determine the best log format to use (e.g. TTL is
not logged if HF_TTL_CHANGING was set, as TTL values were different).

As psd does not log at all, we do not need track this.

Also get rid of bogus/misleading comments.

all: remove trailing squatspaces

DNETMAP version 2

- new type: static binding
- new persistent flag option for prefix
- add extra information in /proc/net/xt_DNETMAP/prefix_stat that
  includes the count of static bindings and persistent flag
- add proc interface write support (add/del/flush binding)
- updated manual

build: update installation requirements

Versions prior to 2.6.32 are not tested anymore due to make 3.82 being
troubled with an old ambiguous Makefile syntax.

build: limit xt_ECHO to kernel 3.x

(Would also work on 2.6.39, but eh.)

xt_psd: avoid crash due to curr->next corruption

curr->ports[] is of size SCAN_MAX_COUNT - 1, so under certain
conditions we wrote past end of array, corrupting ->next pointer
of the adjacent host entry.

Reported-and-tested-by: Serge Leschinsky <serge.leschinsky@gmail.com>

Xtables-addons 1.42

src: remove ipset6-genl

As scheduled, perform the removal of ipset from the tree.

build: support for Linux 3.4

build: enable xt_ECHO by default

build: support for Linux 3.3

Remove unused Kconfig files

xt_SYSRQ: fix compile error when crypto is turned off

compat_xtables: fixed mistranslation of checkentry return values

Xtables-addons 1.41

build: stash away build tools and update .gitignore

build: additional compilation fixes for Linux 3.2/3.3

doc: document --without-kbuild

References: http://comments.gmane.org/gmane.comp.security.firewalls.netfilter.general/42337

doc: update README/INSTALL with recent changes

build: deactivate build of ipset-genl by default

build: support for Linux 3.2

Xtables-addons 1.40

xt_quota2: license clarification

GPL3 did not exist back when Sam's xt_quota was written, therefore it
should be assumed that MODULE_LICENSE("GPL") intended to mean just
GPL2.

ipset: update to 6.10-genl

build: notify of unsupported Linux kernel versions

make 3.82 does not like mixing normal rules with implicit rules,
which rejects Makefiles of Linux kernels before 2.6.32 series.

xt_ipv4options: fix an infinite loop

Merge remote branch 'origin/master'

src: use xtables_register_targets throughout

build: iptables >= 1.4.5 is in fact required

xt_ECHO: IPv6 support

xt_ECHO: calculate UDP checksum

xt_ECHO: fix kernel warning about RTAX_HOPLIMIT being used

xt_ECHO: misc backports from ipt_REJECT and cosmetics

Xtables-addons 1.39

ipset: update to 6.9.1-genl

build: add missing linux/version.h includes where needed

Reported-by: Sergei Zhirikov <sfzhi@yahoo.com>
References: http://marc.info/?l=netfilter-devel&m=131404939007827&w=2

doc: update changelog

ipset: move ipset_errcode from src to library to avoid undefined reference

Unresolved symbols found in: /home/users/arekm/tmp/
xtables-addons-1.38-root-arekm/usr/lib64/libipset.so.1.0.0
        ipset_errcode

References: http://marc.info/?l=netfilter-devel&m=131435791514602&w=2

build: fix compilation after missing libxtables_CFLAGS in submodules

ipset-4: remove unsupported version from the VCS

Xtables-addons 1.38

ipset-6: unambiguouize reported name

build: disable ipset-4 by default

This is no longer supported by upstream.

ipset: fix compile error due to changed function signature with Linux 3.1

xt_ipp2p: support UDPLITE

xt_SYSRQ: fix UDPLITE header lookup in IPv6

xt_pknock: support UDPLITE

xt_CHECKSUM: abort build when the feature is already provided by mainline

Merge branch 'ipset'

Conflicts:
doc/changelog.txt

Merge branch 'psd'

xt_psd: resolve compiler warning

xt_psd.c: In function "xt_psd_match":
xt_psd.c:253:27: warning: "tcph" may be used uninitialized in this
function [-Wuninitialized]

xt_psd: compact temporary skb buffers

xt_psd: support UDPLITE

xt_psd: move early bail-out code above skb_header_pointer

xt_psd: cleanup and reduce number of condition checks

xt_psd: restore skb_header_pointer functionality for UDP

ipset: update to 6.8-genl

xt_TEE: abort build when the feature is already provided by mainline

xt_TARPIT: fix kernel warning about RTAX_HOPLIMIT being used

xt_LOGMARK: put ct dumping into its own function

extensions: more precise description