xt_condition: remove `wmb` when adding new variable

Originally, some accesses to `conditions_list` were protected by RCU and
the memory-barrier was needed to ensure that the new variable was fully
initialized before being added to the list.  These days, however, all
accesses are protected by the `proc_lock` mutex, so the barrier is no
longer required.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_condition: make mutex per-net

The mutex protects per-net resources, so make it per-net too.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_condition: use `xt_check_proc_name` to validate /proc file name

4.16 introduced a standard function to do the job, so let's use it.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_condition: use sizeof_field macro to size variable name

4.16 introduced a macro for getting the size of a struct member, so
let's use it.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: bump minimum supported kernel version from 4.15 to 4.16

The next two commits make use of a function and macro that were
introduced in 4.16.

Add DWARF object files to .gitignore.

If we build against a kernel with `CONFIG_DEBUG_INFO_SPLIT` enabled, the
kernel compiler flags will include `-gsplit-dwarf`, and the linker will
emit .dwo files.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

Merge branch 'master' of ssh://git.code.sf.net/u/jeffcarlson72/xtables-addons

pknock:  added UDP options to help and made whitespace consistent

libxt_ACCOUNT_cl: correct LDFLAGS variable name

The LT library name is libxt_ACCOUNT_cl.la, so the variable should be
`libxt_ACCOUNT_cl_la_LDFLAGS`.

Fixes: 81ab0b9586e6 ("libxt_ACCOUNT_cl: drop padding holes from struct ipt_ACCOUNT_context")
Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

doc: add incompatibility notice with transmogrified kernels

extensions: remove unused code from compat_xtnu.h

xt_ipp2p: use fixed-size integers for struct ipt_p2p_info

extensions: syntactically compact struct definitions

libxt_ACCOUNT_cl: drop padding holes from struct ipt_ACCOUNT_context

extensions: use simpler header guards

Xtables-addons 3.18

xt_pknock: fix build failure under platforms like ARM 32-bit

./arch/arm/include/asm/div64.h:24:45: note: expected "uint64_t *"
{aka "long long unsigned int *"} but argument is of type
"long unsigned int *"
   24 | static inline uint32_t __div64_32(uint64_t *n, uint32_t base)

Xtables-addons 3.17

xt_pknock: reduce indent in the two most-recently touched functions

xt_pknock: cure NULL dereference

The original patch for long division on x86 didn't take into account
the use of short circuit logic for checking if peer is NULL before
testing it. Here is a revised patch to v3.16.

Xtables-addons 3.16

xt_quota2: silence a compiler warning

libxt_quota2.c:73:3: warning: ‘strncpy’ specified bound 15 equals destination size [-Wstringop-truncation]
   73 |   strncpy(info->name, optarg, sizeof(info->name));

xt_pknock: use do_div for long division

Xtables-addons 3.15

xt_pknock: replace obsolete function get_seconds

get_seconds is removed in 5.11; its replacement ktime_get_real_seconds
is available since 3.19. The timestamps should not be affected by clock
resets, so will be switched to ktime_get_seconds.

xt_lscan: add --mirai option

xt_lscan: extend info struct to support more flags (without size change)

xt_ECHO: support new function signature of security_skb_classify_flow

Xtables-addons 3.14

geoip: use correct download URL for MaxMind DBs

The download URL for the GeoLite2 DBs has changed and includes a
licence key. Update the download script to read the key from file or
stdin and use the correct URL.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

extensions: reduce number of arguments to send_reset functions

extensions: call send_reset with xtables state socket

Reported-by: Minqiang Chen <ptpt52@gmail.com>

build: cure overall build failure when CONFIG_NF_NAT=n

geoip: rename xt_geoip_fetch to xt_geoip_query

"fetch" sounds a bit like "download", but that is not what this
utility does. Calling it "query" seems more appropriate.

geoip: add man pages for MaxMind scripts

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

doc: fix man page typos

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

geoip: remove superfluous xt_geoip_fetch_maxmind script

xt_geoip_fetch and xt_geoip_fetch_maxmind are identical. Remove the
latter.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

Xtables-addons 3.13

compat_xtables: employ route_me_harder define for 4.19 and 5.4 too

The API change found its way into some more Linux stable series.

Xtables-addons 3.12

compat_xtables: fix a spello near route_me_harder

xt_DNETMAP: compaction of variable declarations

geoip: re-add Maxmind scripts

extensions: abolish NIPQUAD/NIP6

Support for Linux 2.6.28 is long gone.

build: adjust for changed signature of ip_route_me_harder

(Cf. commit 46d6c5ae953cc0be38efd0e469284df7c4328cf8 in Linux.)

pknlusr: mention the group ID command-line paramater in the man page

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknock: trim some blank lines

extensions: split assignments and if-exprs

xt_pknock: remove DEBUG definition and disable debug output

The DEBUG definition in xt_pknock.h causes a compiler warning if one
adds a DEBUG define to xt_pknock.c to enable pr_debug. Since it only
controls some debugging output in libxt_pknock.c, it would make sense to
move the definition there, but let's just disable the debugging instead.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_pknock: use `pr_err`

Replace some instances of `printk(KERN_ERR PKNOCK ...)`. We define
`pr_fmt`, so `pr_err` is equivalent.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_pknock: use kzalloc

Replace some instances of kmalloc + memset.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_pknock: use IS_ENABLED

It is more succinct than checking whether CONFIG_BLAH or
CONFIG_BLAH_MODULE are defined.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: fix hard-coded netlink multicast group ID

The group ID used by xt_pknock is configurable, but pknlusr hard-codes
it. Modify pknlusr to accept an optional ID from the command line.
Group IDs range from 1 to 32 and each ID appears in the group bitmask
at position `group_id - 1`.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: always close socket

On some error paths, the socket was not being closed before exit.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: do not treat recv return value of zero as an error

A return-value of zero is not an error, so there is no point calling
perror, but since we have not requested and do not expect a zero-length
datagram, we treat it as EOF and exit.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: use macro to define inet_ntop buffer size

POSIX provides a macro to define the minimum length required, so let's
use it.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: use NLMSG macros and proper types, rather than arithmetic on char pointers

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: tidy up initialization of local address

Use struct initialization and drop memset. We do not need to set the port
ID, since the kernel will do it for us.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknock: pknlusr: tighten up variable scopes

Make global variables local, and move variables local to while-loop into
the loop.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknock: pknlusr: remove dest_addr and rename src_addr

We only need to specify the address at our end, and given that we are
receiving messages, not sending them, calling it `src_addr` is
misleading.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknock: pknlusr: ensure man-page is included by `make dist`

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

pknlusr: add man page

Since pknlusr is now being installed, let's give it a man page.

pknlusr: fix formatting of a line

Xtables-addons 3.11

build: bump supported kernel version to 5.9

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

xt_ACCOUNT: update prototype of nf_sockopt_ops::set callback

In 5.9, the `void __user` parameter has been replaced by a `sockptr`.
Update `ipt_acc_set_ctl` appropriately.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: do not hard-code pkg-config

Use $PKG_CONFIG in configure.ac in order to allow it to be overridden.
Fixes cross-compilation.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: clean some extra build artifacts.

Makefile.mans creates .manpages.lst, but does not remove it. Add
it to the `clean` target.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: do build & install userspace programs for xt_ACCOUNT and xt_pknock

Xtables-addons 3.10

doc: fix quoted string in libxt_DNETMAP manpage

In roff, lines beginning with a single quote are control lines.  In the
libxt_DNETMAP man-page there is a single-quoted string at the beginning
of a line, which troff tries and fails to interpret as a macro:

troff: <standard input>:49: warning: macro 'S'' not defined

This means that the line is not output.

Replace the single quotes with the appropriate escape-sequences.

Fixes: v2.3~9 ("doc: spelling and grammar corrections to DNETMAP")
Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

geoip: add quiet flag to xt_geoip_build

Conceivably someone might want to run a refresh of the geoip database
from within a script, particularly an unattended script such as a cron
job. Do not generate output in that case.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: add -s option to xt_geoip_build

geoip: replace xt_geoip_build's -S option by new option -i

The Maxmind DB came with potentially multiple files, but DBIP is
currently just one. Drop the -S argument and instead introduce -i.

geoip: set +x again on xt_geoip_build

build: do install xt_geoip_fetch.1

geoip: install and document xt_geoip_fetch

Add a man page for xt_geoip_fetch.1 and include it as part of
the installed scripts.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: pipe wget right into gzip

Skip over creating temporary files.

geoip: simplify unpacking start/end tuples from database

Use unpack() to separate start/end instead of substr().

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: update download script for DBIP database

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

Xtables-addons 3.9

build: avoid configure warning for Linux 4.15

Commit 4603d3e0f477dcb795a69196071cda66211819c0 and others
erroneously changed the acceptance range from >=4.15 to >=4.17.
Return to previous state.

Support for Linux 5.6 procfs API

Xtables-addons 3.8

geoip: adjust builder script for DBIP service

Maxmind databases are no longer libre.

Xtables-addons 3.7

xt_geoip: fix in6_addr little-endian byte swapping

The Perl script that builds the GeoIP DBs uses inet_pton(3) to convert
the addresses to network byte order. This converts

  "1234:5678::90ab:cdef"

to:

  0x12 0x34 0x56 0x78 .. 0xcd 0xef, interpreted by an LE machine
  accessing this in uint32_t-sized chunks as
  8765:4321::fedc:ba09

The kernel module compares the addresses in packets with the ranges from
the DB in host byte order using binary search. It uses 32-bit swaps
when converting the addresses.

libxt_geoip, however, which the module uses to load the ranges from the
DB and convert them from NBO to HBO, uses 16-bit swaps to do so, and
this means that:

  1234:5678::90ab:cdef

becomes:

  4321:8765::ba09:fedc

Obviously, this is inconsistent with the kernel module and DB build
script and breaks the binary search.

Fixes: b91dbd03c717 ("geoip: store database in network byte order")
Reported-by: "Thomas B. Clark" <kernel@clark.bz>
Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: update max. supported kernel version

The maximum supported version is reported as 5.3. Bump to 5.4.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

Xtables-addons 3.6

build: add support for Linux 5.4

Xtables-addons 3.5

Merge MR-14

Xtables-addons 3.4

xt_pknock, xt_SYSRQ: do not set shash_desc::flags.

shash_desc::flags was removed from the kernel in 5.1.

That assignment was actually superfluous anyway, because crypto.desc
is zero-initialized when crypto is initialized (xt_pknock.c, ll.
110ff.).

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

treewide: replace skb_make_writable

skb_make_writable was removed in v5.3-rc1~140^2~370^2~1 .
Replace it with skb_ensure_writable that was introduced in
v3.19-rc1~118^2~153^2~2 .

xt_PROTO: style fixes

Merge MR-11

xt_DHCPMAC: replace skb_make_writable with skb_ensure_writable

skb_make_writable was removed from the kernel in
v5.3-rc1~140^2~370^2~1 , and its callers were converted to use
skb_ensure_writable. Updated dhcpmac_tg() accordingly.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

add support for Linux 5.0 for DELUDE and TARPIT

Add man page items for xt_PROTO

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>