rule: list elements in set in any case

"nft list table" command was not displaying the elements of named
set. This was thus not possible to restore a ruleset by using the
listing output. This patch modifies the code to display the elements
of set in all cases.

doc: fix inversion of operator and object.

rule: add flag to display rule handle as comment

Knowing the rule handle is necessary to be able to delete a single
rule. It was not displayed till now in the output and it was thus
impossible to remove a single rule.
This patch modify the listing output to add a comment containing
the handle when the -a/--handle flag is provided.

Signed-off-by: Eric Leblond <eric@regit.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

cli: complete basic functionality of the interactive mode

This patch adds missing code to get basic interactive mode
operative via `nft -i', including parsing, evaluation,
command execution via netlink and error reporting.

Autocomplete is not yet implemented.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

parser: fix size of internet protocol expressions matching keywords

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: include leading '.' in concat subexpression location

Make error messages point to the entire subexpression.

Before:

filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh . ssh . ssh}
                                                 ~~~~~~~~~~~~~~~~~~~~~~~~~~^^^

After:

filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh . ssh . ssh}
                                                 ~~~~~~~~~~~~~~~~~~~~~~~~^^^^^

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: catch missing and excess elements in concatenations

# nft -nn filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh }
<cmdline>:1:50-66: Error: datatype mismatch, expected concatenation of (IPv4 address, internet network service, internet network service), expression has type concatenation of (IPv4 address, internet network service)
filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh }
                                                 ^^^^^^^^^^^^^^^^^

# nft -nn filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh . ssh . ssh}
<cmdline>:1:76-78: Error: unexpected concat component, expecting concatenation of (IPv4 address, internet network service, internet network service)
filter output ip daddr . tcp dport . tcp dport { 192.168.0.1 . ssh . ssh . ssh}
                                                 ~~~~~~~~~~~~~~~~~~~~~~~~~~^^^

Signed-off-by: Patrick McHardy <kaber@trash.net>

tests: obj-table: update examples to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: set: update examples to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: dictionary: update examples to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: obj-chain: update examples to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: expr-meta: update examples to use the current syntax

Also enable nftrace, now that nftables kernel-space supports this.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

meta: accept uid/gid in numerical

You can use the user/group name or alternatively the uid/gid.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: feat-adjancent-load-merging: remove ip protocol from rule

No need to include this, it is now added as a dependency.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: family-bridge: update to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

payload: accept ethertype in hexadecimal

You can use the symbols ip, ip6, arp and vlan, or alternatively
the ethertype protocol number.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: family-ipv6: update to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: fix crash if nft -f wrong_file is passed

Now it displays:

nft -f wrong_file
internal:0:0-0: Error: Could not open file "wrong_file": No such file or directory

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: expr-ct: update examples to use the current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

mark: fix numeric mark value parsing

Signed-off-by: Patrick McHardy <kaber@trash.net>

cmd/netlink: make sure we always have a location in netlink operations

Improve error reporting by always using a location in netlink operations.

Signed-off-by: Patrick McHardy<kaber@trash.net>

tests: family-ipv4: update test to use current syntax

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

main: fix error checking in nft_parse

The bison parser returns 0 in case of success and it returns 1 in
case of error.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

netlink: return error if chain not found

Before this patch:

nft list chain filter xxx
table filter {
}

After this patch:

nft list chain filter xxx
internal:0:0-0: Error: Could not find chain `xxx' in table `filter: Object not found

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: fix nft list chain

Use netlink_list_chains instead of netlink_list_chain (note the final `s')

After "nft list table filter" shows:

table filter {
        chain input {
        }
}

"nft list chain filter input" shows:

table filter {
}

rule: allow to list of existing tables

You can now specify: nft list tables ip

to obtain the list of all existing tables.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: fix concat expression type propagation

Dynamically instantiate a data type to represent all types of a concatenation
and use that for type propagation.

types: add ethernet address type

Add a new type for ethernet addresses. This is needed since for concatenations
we need fixed sized data types, the generic link layer address doesn't have
a fixed length.

Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: parse/print in all basetypes subsequently

Go down the chain of basetypes until we find a ->parse()/->print() callback
or symbol table. Needed to invoke the generic link layer address parsing
function for the etheraddr_type.

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: kill EXPR_F_PRIMARY

Not used anymore, kill it.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink_delinearize: don't reset source register after read

Range expression use a single load and two comparisons. Don't reset the
source register in netlink_delinearize when reading it.

Fixes: "Relational expression has no left hand side" for range (x-y)
expressions.

Signed-off-by: Patrick McHardy <kaber@trash.net>

chains: add rename testcases

Signed-off-by: Patrick McHardy <kaber@trash.net>

rule: add rule insertion (prepend) support

Signed-off-by: Patrick McHardy <kaber@trash.net>

chains: add chain rename support

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix query requests

The callback needs to be set before sending the query since nl_wait_for_ack()
already does message reception.

Signed-off-by: Patrick McHardy <kaber@trash.net>

tests: add loop detection tests

Signed-off-by: Patrick McHardy <kaber@trash.net>

cmd: fix handle use after free for implicit set declarations

The implicit set declaration passes the set's handle to cmd_alloc(), which copies
the pointers to the allocated strings. Later on both the set's handle and the
commands handle are freed, resulting in a use after free.

Signed-off-by: Patrick McHardy <kaber@trash.net>

rule: reenable adjacent payload merging

Signed-off-by: Patrick McHardy <kaber@trash.net>

sets: fix sets using intervals

When using intervals, the initializers set_flags are set to SET_F_INTERVAL,
however that is not propagated back to the set, so the segtree construction
is not performed.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix endless loop on 64 bit when parsing binops

mpz_scan1() returns ULONG_MAX when no more bits are found. Due to assignment
to an unsigned int, this value was truncated on 64 bit and the loop never
terminated.

Signed-off-by: Patrick McHardy <kaber@trash.net>

rules: change rule handle to 64 bit

Recent kernel versions are using 64 bit for the rule handle.

Signed-off-by: Patrick McHardy <kaber@trash.net>

expression: fix constant expression splicing

Fix reversed order during constant splicing.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: kill redundant payload protocol expressions during netlink postprocessing

Kill payload protocol expressions like "ip protocol tcp" if a higher layer
payload expression already implies this, like "tcp dport 22".

Signed-off-by: Patrick McHardy <kaber@trash.net>

seqtree: update mapping data when keeping the base

When a prefix expression is followed by another prefix expression using the
same base but a wider prefix, we need to update the mapping data to that of
the second expression.

Signed-off-by: Patrick McHardy <kaber@trash.net>

tests: add verdict map test

Signed-off-by: Patrick McHardy <kaber@ŧrash.net>

segtree: fix segtree to properly support mappings

Requires to use proper types for keys and data and using the key values for reverse
transformation.

Signed-off-by: Patrick McHardy <kaber@trash.net>

debug: include verbose message in all BUG statements

Signed-off-by: Patrick McHardy <kaber@trash.net>

evaluate: reintroduce type chekcs for relational expressions

Since the parser can now generate constant expressions of a specific type
not determinaed by the LHS, we need to check that relational expressions
are actually using the correct types to avoid accepting stupid things
like "tcp dport tcp".

parser: fix parsing protocol names for protocols which are also keywords

"ip protocol tcp" will currently produce a syntax error since tcp is also a keyword
which is expected ot be followed by a tcp header field. Allow to use protocol names
that are also keywords and allocate a constant expression for them.

tests: fix test, commands now comes before the family and table name

Most tests still don't work though. They still need another fix.

Reported-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expression: Differentiate expr among anonymous structures in struct expr

This fixes compilation with gcc-4.7

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

erec: Handle returned value properly in erec_print

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

evaluate: Remove useless variable in expr_evaluate_bitwise()

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

netlink: Use the right datatype for verdict

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

add bridge filter table definitions

Signed-off-by: Patrick McHardy <kaber@trash.net>

help: fix of the -I option in help display

Trivial patch which fixes typo.

Signed-off-by: Romain Bignon <romain@peerfuse.org>
Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: reject incompletely parsed integers in integer_type_parse()

Signed-off-by: Patrick McHardy <kaber@trash.net>

don't use internal_location for files specified on command line

Fixes strange error messages like:

In file included from internal:0:0-0:
files/examples/sets_and_maps:55:2-2: Error: syntax error, unexpected newline, expecting string

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: add debugging for missing objects

Signed-off-by: Patrick McHardy <kaber@trash.net>

nat: validate protocol context when performing transport protocol mappings

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix nat stmt linearization/parsing

Fix invalid register use when parsing NAT statements and handle range expressions
during postprocessing. When linearizing, allocate all registers for both proto and
address expressions at once to avoid double use.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: fix crash with uncombinable protocols

The dependency of non-combinable protocols (f.i. arp + tcp) results in
a relational dependency expression without a datatype, causing a segfault
later on.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix creation of base chains with hooknum and priority 0

Base chains with both a hook number and priority of zero are created
as regular chains. Fix by adding a BASECHAIN flag indicating that the
chain should be created as a base chain.

Signed-off-by: Patrick McHardy <kaber@trash.net>

utils: fix invalid assertion in xrealloc()

The pointer is allowed to have the value NULL.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix byteorder of RHS of relational meta expression

The RHS needs to be postprocessed before updating the payload context
for byteorder conversion. Fixes iiftype match reconstruction.

Signed-off-by: Patrick McHardy <kaber@trash.net>

debug: properly parse debug levels

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: fix endless recursion with SUBDIRS=...

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: add 'archive' target

make archive creates a tar.bz2 from the HEAD version.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: support bison >= 2.4

Work around stange behaviour in bison >= 2.4 (see large comment in parser.y for
details) and remove the skeleton file since it does not work with 2.4 anymore.
Its only purpose was to increase the amount of possible tokens reported in error
messages anyways.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: fix two datatypes

Fix typo in URG-flag and missing end-of-list marker for the arpop constants.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: add DCCP packet type definitions

# nft describe dccp type
payload expression, datatype dccp_pkttype (DCCP packet type) (basetype integer), 4 bits

pre-defined symbolic constants:
request                        0x0
response                       0x1
data                           0x2
ack                            0x3
dataack                        0x4
closereq                       0x5
close                          0x6
reset                          0x7
sync                           0x8
syncack                        0x9

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix binop RHS byteorder

The byteorder of the RHS of a binop must be set before post-processing it to
make sure it will get byteorder-switched if necessary.

Fixes invalid conntrack expression states when used with bitmasks:

 ct state 33554432,67108864 counter packets 1924 bytes 142960

 =>

 ct state established,related counter packets 2029 bytes 151508

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: dump all chains when listing rules

Currently only the rules are dumped and chains are constructed based
on the rules identities. Dump all chains manually to make sure we also
display empty chains.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix bitmask element reconstruction

mpz_scan1() needs to begin scanning at bit 0 and the loop must accept
bit 0 as valid. No more bits were found when ULONG_MAX is returned.

Signed-off-by: Patrick McHardy <kaber@trash.net>

debug: allow runtime control of debugging output

Signed-off-by: Patrick McHardy <kaber@trash.net>

add support for new set API and standalone sets

Signed-off-by: Patrick McHardy <kaber@trash.net>

expressions: kill seperate sym_type datatype for symbols

Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: add/move size and byte order information into data types

Add size and type information to non-basetype types and remove the now
redundant information from the symbol tables.

This will be used to determine size and byteorder of set members without
analyzing the ruleset for incremental update operations.

Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: maintain table of all datatypes and add registration/lookup function

Add a table containing all available datatypes and registration/lookup functions.
This will be used to associate a stand-alone set in the kernel with the correct
type without parsing the entire ruleset.

Additionally it would now be possible to remove the global declarations for the
core types. Not done yet though.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: move data related functions to netlink.c

Move the data related function to netlink.c as they're going to be needed
outside of rule context for set maintenance.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: use libnl OBJ_CAST macro

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: consistent naming fixes

Rename libnl netlink data to "nld" for consistency.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: add helper function for socket callback modification

Signed-off-by: Patrick McHardy <kaber@trash.net>

ct: resync netlink header and properly add ct l3protocol support

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink_linearize: remove two debugging printfs

Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix some memory leaks

Free nested chain handles and command structures when done.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Release scopes during cleanup

Properly release the user-defined symbols.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix multiple references to the same user defined symbolic expression

The expression needs to be cloned so transformations don't corrupt the original
expression. This could be slightly optimized by only taking a reference and
COW'ing when necessary (which is actually quite rare).

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: add support for cloning expressions

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add more notes to INSTALL

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add support for user-defined symbolic constants

User-defined constants can be used like this:

 define allowed_hosts = { 192.168.0.0/24, 10.0.0.20-10.0.0.30 }
 define udp_services = domain
 define tcp_services = { ssh, domain }

 ip saddr $allowed_hosts udp dport $udp_services counter accept
 ip saddr $allowed_hosts tcp dport $tcp_services counter accept

Recursive definitions are possible, but currently not fully handled.
Anything requiring transformations (sets using ranges) can not be
used more than once currently since the expressions need to be COW'ed
previously.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add support for scoping and symbol binding

As a first step towards stand-alone sets, add support for scoping and
binding symbols. This will be used for user-defined constants, as well
as declarations of modifiable (stand-alone) sets once the kernel side
is ready.

Scopes are currently limited to three nesting levels: the global scope,
table block scopes and chain block scopes.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: consistently use $@ for location of entire grouping

Replace use of specific location references for single-element rules.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: fix common_block usage in chain and table blocks

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add installation instructions

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: fix installation when docs are not built

Don't try to install non-existant files.

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: remove double subdir in build output

Signed-off-by: Patrick McHardy <kaber@trash.net>

Allow newlines in regular maps

The previous patch only handled sets and verdict maps.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Allow newlines in sets and maps

Signed-off-by: Patrick McHardy <kaber@trash.net>

kill obsolete TODO item

Signed-off-by: Patrick McHardy <kaber@trash.net>