Xtables-addons 1.33

xt_geoip: keep compiling for <= 2.6.23

build: do not forget including path for compat_user.h

build: preliminary support for iptables 1.4.11

build: support for Linux up to 2.6.38

No API changes that needed to be taken care of, so just bump the
version check in configure.ac.

xt_DNETMAP: disable by default for now

I wanted xt_DNETMAP to be included in the release already, though
because it only compiled with Linux >= 2.6.34 currently (some work
will be needed), deactive it by default.

Merge branch 'dnetmap'

build: fix missing inclusion of dependency rules

libxt_geoip: update manual page with new tool syntax

Merge branch 'geoip'

xt_geoip: IPv6 support

xt_geoip: v4/v6 name preparations

xt_geoip: cleanups, preparations for IPv6 geoip

xt_DNETMAP: style considerations

Clean up the files a bit. For one, break dangerously right-indented
function headers, and correct some spaces that should be tab.

geoipdb builder: get rid of some global variables

geoipdb builder: separate into functions

geoipdb tools: IPv6 support

Merge remote branch 'origin/master'

xt_DNETMAP: use compat_xtables layer to run on older kernels

doc: Add version information to README

Merge branch 'account'

ACCOUNT: update to 1.16

There are no changes to integrate from ipt_ACCOUNT because xt_ACCOUT
already, by way of the compat_xtables layer, supports multiple kernel
versions.

Merge branch 'pknock'

pknock: resolve warnings about unused variables

pknock: use build flags in pknock Makefile

xt_DNETMAP: order mconfig

xt_DNETMAP: use more appropriate format specifiers

Substitute %i -> %d. Use %u for prefix length.

xt_DNETMAP: use permission mnemonic constants

Merge branch 'ipset-5'

ipset: update to 5.4.1

Merge branch 'ipset-5'

ipset: update to 5.3

build: use AM_CPPFLAGS in ipset-5/

build: fix objdir builds for ipset-5 (xt-a specific)

libxt_length: fix name of manpage file

build: restore functionality of configure's --without-kbuild option

xt_LOGMARK: fix detection of untracked connection for Linux >= 2.6.36

Import of xt_DNETMAP

doc: deprecate --with-xtlibdir configure option

build: mark Linux 2.6.37 as supported

Xtables-addons 1.32

build: relax libmnl checks and document ipset requirements

Merge branch 'ipset'

ipset: import ipset 5.2+GENL

This requires Linux 2.6.35 or newer to build, so it is deactivated by
default in the "mconfig" file.

ipset: move ipset to ipset-4

build: use AM_CPPFLAGS

build: workaround fixdep permission error

make -C ../../../linux-2.6.36-rc8-32
O=/usr/src/linux-2.6.36-rc8-32-obj/x86_64/desktop/. kernelrelease
  HOSTCC  scripts/basic/fixdep
/usr/src/linux-2.6.36-rc8-32/scripts/basic/fixdep.c:398:1:
fatal error: opening dependency file scripts/basic/.fixdep.d:
Permission denied

geoip: put IPv4 geoip data into its own map

geoip: remove -b option, always build both endianesses

geoip: remove %names map

geoip: add manpages to utility programs

geoip: prefix tools with xt_

This is preferable to have when manpages go into system locations.

build: restore compilation of ipset, add missing CFLAGS

ipset_iphash.c: In function "iphash_create_init":
ipset_iphash.c:42: error: "IP_NF_SET_HASHSIZE" undeclared (first use
in this function)

build: pass down AM_CFLAGS to sub-makes

Honor ipset/Makefile.am's AM_CFLAGS when compiling extensions.

build: stop on error in subcommand

make only evaluates $? of an entire shell invocation. As such, if any
command in the chain can fail, $? needs to be thrown, and early so.

gradm: fix compile error - add missing include

Hooray for 2.6.34 ALIGN bug still biting.

libxt_gradm.c:84: warning: implicit declaration of function 'ALIGN'
libxt_gradm.c:84: error: initializer element is not constant
libxt_gradm.c:84: error: (near initialization for 'gradm_mt_reg.size')

doc: cleanup changelog (and use ISO-8601 format)

ipset: update to 4.5

build: remove unused -DXTABLES_LIBDIR from CFLAGS

build: improve kernel version detection again

Apparently people don't just begin the EXTRAVERSION with a dash.
So rewrite it all and throw out /anything/ non-numeric.

xt_geoip: update manpage with instructions for db build

Xtables-addons 1.31

Merge branch 'gradm'

Merge remote branch 'origin/iface'

build: properly detect versions like "2.6.36+"

xt_iface: allow matching against incoming/outgoing interface

build: autodetect value for --with-xtlibdir

libxt_gradm: match packets based on status of grsecurity RBAC

This patch adds a module which is useful to users of grsecurity's RBAC
system. It matches packets based on whether RBAC is enabled or
disabled.

See: http://grsecurity.net/

Signed-off-by: Anthony G. Basile <basile@opensource.dyc.edu>
Jan Engelhardt> Also, I do not see a xt_gradm.c in this patch.

This [xt_gradm.c] is part of the grsecurity patch which not only adds
the Xtables code, but also the RBAC code. Without the entire RBAC
stuff, xt_gradm does not make sense and so it is included with the
grsecurity patch to the kernel, and not this patch to Xtables-addons.

>Can you elaborate a bit on how this is useful in conjunction with
>rulesets? I could imagine it be used with LSM selctx'es for example,
>or another extension that tests for other RBAC attributes.

The idea here is that when the RBAC rulesets are not being enforced,
the system is more vulnerable and the user wants stricter firewall
rules. When RBAC is being enforced, one can relax the firewall and
access to services which are now better protected. In practice this
usually means allowing only access to some trusted IP(s) on boot
before RBAC is turned on.

doc: update changelog

xt_iface: reorder code for upcoming address checking

From now on, info->flags lists the flags to test, not just the flags
to test positively for.

xt_iface: reduce indent by early return

xt_iface: move XT_IFACE_IFACE out of the public header

This flag is only used by the userspace component, so remove it from
the kernel header. Also change the value to 1<<16 for the same reason.

build: respect LDFLAGS on make

Without setting these variables, ./configure LDFLAGS=-m32
would have no effect.

build: improve detection of kernel version and error handling

Thanks to Arkadiusz Miskiewicz from PLD for reporting.

make: *** kernelrelease: No such file or directory. Stop.
Found kernel version "...0" in
ERROR: That kernel version is not supported. Please see
INSTALL for minimum configuration.

ACCOUNT: remove uses of obsolete IPT_CONTINUE

And replace by XT_CONTINUE, to avoid compilation errors in 2.6.37.

LOGMARK: print remaining ct lifetime

Xtables-addons 1.30

mconfig: deactivate building of xt_TEE and xt_CHECKSUM

ipset: update to 4.4

Xtables-addons 1.29

build: add workaround for beoken linux-glibc-devel (2)

build: add workaround for broken linux-glibc-devel 2.6.34 userspace headers

build: support for Linux 2.6.36

TEE: resolve compile error with Linux 2.6.36-rc

xt_TEE.c:54:19: error: request for member "dst" in something not a
structure or union
xt_TEE.c:55:20: error: "struct rtable" has no member named "u"

Linux kernel commit v2.6.36-rc1~571^2~616 changed this.

SYSRQ: resolve compile error with Linux 2.6.36-rc

xt_SYSRQ.c:156:3: error: too many arguments to function 'handle_sysrq'

Linux kernel commit v2.6.36-rc3~19^2~5 changed it and finally removed
the last unused argument.

ipset: update to 4.3+git3

ipset: bump version number

Basically Xtables-addons's copy of ipset is already functionally equal
to ipset 4.3 thanks to our compat_xtables layer (and our modifications
in ipset/ to use it).

ipset: enable building of ip_set_ipport{ip,net}hash.ko

compat_xtables: return bool for match_check and target_check (doc)

compat_xtables: return bool for match_check and target_check in 2.6.23..34

Reported-by: Tomasz Pala <gotar@polanet.pl>

doc: add API helper files

These files should be a very quick reference to the Xtables APIs of
previous Linux kernel versions and Xtables-addons. Their contents have
been reformatted so as to be usable with diff -u.

configure: pkglibexecdir requires automake >= 1.10.2

Xtables-addons 1.28

geoip: add -D option to geoip_build_dir.pl

This option allows to specify a particular output directory. This help
Makefiles in that they do not need to use cd.

geoip: add .gitignore

geoip: rename original script to build_db

geoip: import scripts for building the xt_geoip database

xt_length2: IPv6 jumbogram support

doc: keep manpage ordered

`find` could return entries out of order.

xt_CHECKSUM: use xtables_param_act