libxt_owner: add spaces to output

It could happen that --<arg><value> was printed on iptables-save with
owner rules (owner_mt_save() function) without the obligatory space
inbetween. Also transfer printing of the space character into
owner_mt_print_item().

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

addrtype match: added revision 1

In revision 1 address type checking can be limited to either the
incoming or outgoing interface depending on the current chain. In
the FORWARD chain only one of them is allowed at the same time.

Signed-off-by: Laszlo Attila Toth <panther@balabit.hu>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix iptables-save output of libxt_owner match

The _save functions need to use the same syntax that is used for parsing
the input instead of "user readable" output.

Bump version

build: check for missing feature files

linux/dccp.h is unlikely to be installed before 2.6.18 (which was
when headers_install was introduced), and does not exist at all
before 2.6.14. Add a compile-time check to skip compilation of
libxt_dccp in case this was detected.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Update .gitignore

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Resync header files with kernel

Resync headers and add types.h file for endian annotated types, which
are not available with old headers.

Use s6_addr32 to access bits in int6_addr instead of incompatible name

Spotted by Khem Raj <raj.khem@gmail.com>

Signed-off-by: Yasuyuki Kozakai <yasuyuki.kozakai@toshiba.co.jp>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Add xtables version defines.

Attached is a patch to add the new defines. The macro XTABLES_VERSION
is already in use, so I named it XTABLES_VERSION_CHECK. I've also tested
that an empty XTABLES_VERSION_EXTRA in configure.ac works.

Now we can write code like this:

    #warning You are obselete and will be assimilated.

Signed-off-by: Thomas Jarosch <thomas.jarosch@intra2net.com>
Signed-off-by: Patrick McHardy <kaber@trash.net>

manpages: consistent syntax

In the manpages, bold is used to denote characters the user has to
enter verbatim, italic denotes placeholders and non-highlighted
pieces are used as a structure: "[]" specifying an optional part,
"{}" a mandatory part, with "|" used for alternations. The "!" for
negation is better supported before the option than after it, too.
The patch makes a few files consistent with this style already used
in manpages.

iptables 1.4.1-rc2

REDIRECT: Allow symbolic port in REDIRECT --to-port

Fixes Bugzilla 482.

Signed-off-by: Kristof Provost <kristof@sigsegv.be>

Merge branch 'master' of vishnu.netfilter.org:/data/git/iptables

Don't assume /bin/sh is bash

The new iptables git version assumes /bin/sh is always GNU bash,
that's not the case (Ubuntu 8.04 uses dash), see attachment
for a fix.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Bump version to 1.4.1-rc1

Actually its not a bump but a decrease, the autoconf patches
apparently sneaked it a version bump to 1.4.1 already.

fix ip6tables dest address printing

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=464244

ip6tables improperly displays the destination address when the address
is longer than 18 characters.  Here is example output:
...
DROP       tcp      2001:db8::/32        2001:db8:3:4:5:6:7:8/128tcp spt:25
...

Proper formatting should have a space between '2001:db8:3:4:5:6:7:8/128'
and 'tcp'.

Signed-off-by: Jamie Strandboge <jamie@ubuntu.com>
Signed-off-by: Lawrence J. Lane <ljlane@debian.org>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Make --set-counters (-c) accept comma separated counters

Here is the --set-counters syntax patch requested earlier today making
--set-counters (-c) accept comma separated counts.

-c packets,bytes

I have not updated the manpage to reflect this alternate syntax for the
--set-counters (-c) option.

Henrik Nordstrom <henrik@henriknordstrom.net>

iptables --list chain rulenum

Excent --list (and --list-rules) to allow selection of a single rule
number

iptables --list INPUT 4
iptables --list-rules INPUT 4

list rule number 4 in INPUT.

Henrik Nordstrom <henrik@henriknordstrom.net>

iptables --list-rules command

Adds iptables --list-rules (-S) command, acting as a combination of
iptables --list and iptables-save.

The primary motivation behind this patch is to get iptables-save like
output capabilities in iptables-restore, allowing "iptables-restore -n"
to be used as a consistent API to iptables for all kind of operations,
not only blind updates..

As a bonus iptables also gets the capability of printing the rules
as-is.

This completely replaces the earlier patch which added the --rules
option.

Henrik Nordstrom <henrik@henriknordstrom.net>

Add support for --set-counters to iptables -P

Adds support for setting the policy counters

iptables -P INPUT -J DROP -c 10 20

Henrik Nordstrom <henrik@henriknordstrom.net>

Make iptables-restore usable over a pipe

The attached patch flushes stdout between commands to make output
operations (-L etc) in iptables-restore usable over a pipe. stdio by
defaut buffers output if not connected to a terminal.

Henrik Nordstrom <henrik@henriknordstrom.net>

iptables out-of-tree build directory

Reported by: Henrik Nordstrom

When xtables.h is not already found in /usr/include, compilation
would fail when ${top_srcdir} != ${top_builddir}.

[PATCH 1] Makefile.am: use PACKAGE_TARNAME

iptables-save:remove unnecessary code.

The following code is never be used. It should be removed.

Signed-off-by: Shan Wei <shanwei@cn.fujitsu.com>

Properly initialize revision for ip6tables targets

Also resync error handling with iptables.

Remove old functions, constants

[PATCH 11] configure.ac: remove already-defined variables

Dynamically create xtables.h.in with version

configure.ac: AC_SUBST must be separate

Update documentation about building the package

Resolve libipt_set warnings

Remove support for compilation of conditional extensions

Wrap dlopen code into NO_SHARED_LIBS

Resolve warnings on 64-bit compile

Combine ipt and ip6t manpages

Combine ipt and ip6t manpages

Implement AF_UNSPEC as a wildcard for extensions

RATEEST: add manpage

iptables: use C99 lists for struct options

Install libiptc header files because xtables.h depends on it

Add all necessary header files - compilation fix for various cases

Allow iptables to compile without a kernel source tree. This
implies fixing build for older kernels, such as 2.6.17 which
lack xt_SECMARK.h.

Import iptables-apply

configure: split --enable-libipq from --enable-devel

manpages: update to reflect fine-grained control

manpages: grammar and spelling

manpages: fix broken markup (missing close tags)

Combine IP{,6}T_LIB_DIR into XTABLES_LIBDIR

Add support for xt_hashlimit match revision 1

xtables.h: move non-exported parts to internal.h

Fix all remaining warnings (missing declarations, missing prototypes)

Update the libxt_owner manpage with the UID/GID-range feature

Fix -Wshadow warnings and clean up xt_sctp.h

Note: xt_sctp.h is still not merged upstream in the kernel as of
this commit. But a refactoring was really needed.

Drop -W from CFLAGS and some tiny code cleanups

- change "unsigned" to explicit "unsigned int"
- remove some casts

Makefile: add a "tarball" target

Correct the family member value of libxt_mark revision 1

libxt_mark rev1 used AF_INET6 in the class structure where it should
have used AF_INET.

Fix compilation of iptables-static build

Adjust the _INIT macro and thus fix the build/linking procedure of
the monolithic do-it-all binary (iptables-static).

Also fix the Makefile since unfortunately, lib%.o does not seem to
have a higher precedence than %.o

Retry ruleset dump when kernel returns EAGAIN.

Bugzilla #104

[IPTABLES]: libxt_iprange: Fix IP validation logic

IP address validation logic was inverted, causing valid addresses to
be rejected.

Signed-off-by: James King <t.james.king@gmail.com>

removes useless white spaces from iptables-xml manpages.
Signed-off-by: Filippo Zangheri <filippo.zangheri@yahoo.it>

bump iptables version to prepare 1.4.1 release

Fix define value of SCTP chunk type.

There are wrong chunk_type values in sctp table.
The chunk_type of ASCONF and ASCNF_ACK must be 193 and 128, respectively.

Naohiro Ooiwa <nooiwa@miraclelinux.com>

Remove compiler.h inclusions.

Add netfilter.h

fix gcc warnings

Max Kellermann <max@duempel.org>

allow empty strings in argument parser

Max Kellermann <max@duempel.org>

unescape parameters

Max Kellermann <max@duempel.org>

escape strings

Max Kellermann <max@duempel.org>

use size_t

Max Kellermann <max@duempel.org>

whitespace cleanup

Max Kellermann <max@duempel.org>

Fix REDIRECT manpage

Max Kellermann <max@duempel.org>

[IPTABLES]: libxt_owner: UID/GID range support

UID/GID range support for libxt_owner

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

[IPTABLES]: libxt_conntrack revision 1

Add support for xt_conntrack match revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_CONNMARK revision 1

Add support for xt_CONNMARK target revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Build adjustments

A few build system changes.
* ip6tables needs IP6T_LIB_DIR
* correctly trigger rebuild of master manpages when
  submanpages have been touched

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de.

Give preference to iptables header files

Have the header files in the iptables source tree take precedence
over those from the kernel source. Otherwise, building the current
iptables from subversion just fails with kernels < 2.6.25.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Remove obsolete file

libxt_TCPOPTSTRIP

Import libxt_TCPOPTSTRIP into iptables.

Signed-off-by: Sven Schnelle <svens@bitebene.org>
Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_iprange r1

Add support for xt_iprange revision 1

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_iprange r0

Move libipt_iprange to libxt_iprange.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_mark r1

Introduce libxt_mark match revision 1 support.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_hashlimit checks

Add checks for libxt_hashlimit so that options cannot be passed twice

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

rename overlapping function names

Rename overlapping function names.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

bunch o' renames

Move a few functions from iptables.c/ip6tables.c to xtables.c
so they are available for combined (both AF_INET and AF_INET6)
libxt modules. Rename overlapping function names.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_conntrack r0

Move libipt_conntrack to libxt_conntrack.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

print warning when dlopen fails

If the file exists but could not be loaded, print the dlerror().
Often it is a missing symbol.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_connmark r1

Add support for xt_connmark match revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_MARK r2

Add support for xt_MARK target revision 2.
Also consolidate libip6t_MARK.man and libipt_MARK.man.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_TOS

Move libipt_TOS revision 0 to libxt_TOS revision 0 and add support
for xt_TOS target revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_tos

Move libipt_tos revision 0 to libxt_tos revision 0 and add support
for xt_tos match revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

libxt_owner

libxt_owner merges libipt_owner and libip6t_owner, and adds support
for the xt_owner match revision 1.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

common error messages

Error messages vary wildly among modules, and there is a lot of
reundance in it too. Introduce a helper function that does all of
the parameter checking boilerplate and gives unique messages.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Introduce strtonum(), which works like string_to_number(), but passes
back the 'end' pointer. It is useful where you want to do boundary
checking yet work with strings that are not entirely slurped by
strtoul(), e.g.:

s = "1/2"; /* one half */
if (!strtonum(s, &end, &value, 0, 5))
error("Zero-length string, or value out of bounds");
if (*end != '/')
error("Malformed string");
info->param1 = value;
if (!strtonum(end + 1, &end, &value, 2, 4))
error("..");
if (*end != '\0')
error("Malformed string");
info->param2 = value;

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Converts the iptables build infrastructure to autotools.

- Can build both static and dynamic at the same time

- iptables-static will be a multi-binary, semi-static
(link against libc but w/o dynamic plugins)

- Always build IPv6 modules

- consider INSTALL

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

- cleanup several code wraparounds
- check for malloc() return value in merge_opts()
- check for merge_opts() return value

Add rateest match extension

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add RATEEST target extension

Signed-off-by: Patrick McHardy <kaber@trash.net>

Solving scalability issue: for chain list "name" searching.

Solving scalability issue: for chain list "name" searching.
Functions: iptcc_find_label(), iptc_is_chain().

Testing if a chain exist, requires a linearly walk of linked list with
chain-names (doing a strcmp(3) in each step). Giving a worst-case
runtime of O(n) where n is the number of chains.

Why is this important to fix?! If only called once, this should not be
a big concern, even-though the string compares are expensive.

The performance issue arise with many chains for example; when using
"iptables-restore", or when listing all "iptables -nL" rules, or when
using CPAN IPTables::libiptc.

Having 50k chains, the rule listing, with the command:
 "./iptables -nL > /dev/null",
Without patch it takes approximately 5 minutes,
With the patch it takes 0.5 seconds.

Listing without patch:
 real    4m49.426s
 user    4m37.993s
 sys     0m0.280s

Listing with patch:
 real    0m0.558s
 user    0m0.484s
 sys     0m0.064s

How is it solved?!

The issue is solved introducing a new data structure, that allow us to
do binary search of chain names. Thus, reducing the worst-case runtime
to O(log n).

Being more specific:

 The new data structure is called "chain index", which is an array with
 pointers into the chain list, with CHAIN_INDEX_BUCKET_LEN spacing.
 This facilitates the ability to speedup chain list searching, by find
 a more optimal starting points when searching the linked list.

 The runtime complexity is actually also affected by this "bucket" size
 concept. Thus, O(log(n/k) + k) where k is CHAIN_INDEX_BUCKET_LEN.

 A nice property of the chain index, is that the "bucket" list
 length is max CHAIN_INDEX_BUCKET_LEN (when just build, inserts will
 change this). Oppose to hashing, where the "bucket" list length can
 vary a lot.

Signed-off-by: Jesper Dangaard Brouer <hawk@comx.dk>

Introduce a counter for number of user defined chains.

Introduce a counter for number of user defined chains.

Signed-off-by: Jesper Dangaard Brouer <hawk@comx.dk>

Inline functions iptcc_is_builtin() and set_changed().

The two functions are obvious candidates for inlining.
Using gprof(1) shows that they actually affects performance.

Signed-off-by: Jesper Dangaard Brouer <hawk@comx.dk>

Fix CONNMARK mask initialisation

This patch fixes the problem that the CONNMARK mask value
has been set to 0 whenever the CONNMARK target options were
not the last options to be processed.
It initalizes the mask value rather than setting it for
each parse.

Signed-off-by: Peter Warasin <peter@endian.com>

bump version from 1.4.0rc1 to 1.4.0 final