Merge branch 'SYSRQ'

xt_SYSRQ: src: prefix variables

xt_SYSRQ: make new code compile for kernel <= 2.6.23

xt_SYSRQ: improve security

I want to be able to use SYSRQ to reboot, crash or partially diagnose
machines that become unresponsive for one reason or another. These
machines, typically, are blades or rack mounted machines that do not
have a PS/2 connection for a keyboard and the old method of wheeling
round a "crash trolley" that has a monitor and a keyboard on it no
longer works: USB keyboards rarely, if ever, work because by the time
the machine is responding only to a ping, udev is incapable of
setting up a new keyboard.

This patch extends the xt_SYSRQ module to avoid both disclosing the
sysrq password and preventing replay. This is done by changing the
request packet from the simple "<key><password>" to a slightly more
complex "<key>,<seqno>,<salt>,<hash>". The hash is the sha1 checksum
of "<key>,<seqno>,<salt>,<password>". A request can be constructed in
a small shell script (see manpage).

Verification of the hash in xt_SYSRQ follows much the same process.
The sequence number, seqno, is initialised to the current time (in
seconds) when the xt_SYSRQ module is loaded and is updated each time
a valid request is received. A request with a sequence number less
than the current sequence number or a wrong hash is silently ignored.
(Using the time for the sequence number assumes (requires) that time
doesn't go backwards on a reboot and that the requester and victim
have reasonably synchronized clocks.)

The random salt is there to prevent pre-computed dictionary attacks
difficult: dictionary attacks are still feasible if you capture a
packet because the hash is computed quickly -- taking perhaps several
milliseconds to compute a more complex hash in xt_SYSRQ when the
machine is unresponsive is probably not the best thing you could do.
However, cracking, say, a random 32 character password would take
some time and is probably beyond what the people in the target
untrustworthy environment are prepared to do or have the resources
for. It almost goes without saying that no two victim machines should
use the same password.

Finally, the module allocates all the resources it need at module
initialisation time on the assumption that if things are going badly
resource allocation is going to be troublesome.

doc: add manpages for xt_ECHO and xt_TEE

ipset: enable building of new modules

Whoops, modules need to be listed in GNUmakefile.in!
(Needed for out-of-srcdir builds.)

build: use new vars from automake-tranquility-3

build: do not unconditionally install ipset

build_ipset=n was not completely respected and the ipset userspace
parts were still installed. This is now fixed.

src: avoid use of _init

Xtables-addons's extensions will always be built as modules, so it is
safe to use __attribute__((constructor)).

xt_ECHO: compile fix

Xtables-addons 1.6

Update for Linux 2.6.28

ipset: upgrade to ipset 2.4.5

src: use NFPROTO_ constants

src: add NULL to sentinel struct option

ipset: upgrade to ipset 2.4.4

ipset: upgrade to ipset 2.4.3

build: use readlink -f

Coreutils 5.x does not know `readlink -e`; we can also use
`readlink -f` instead which is supported by 5.x.

ipp2p: parenthesize unaligned-access macros

Support for Linux 2.6.17

Resolve compiler warnings in xt_ECHO

Reported-by: Jiri Moravec <jim.lkml@gmail.com>

src: compile fixes for 2.6.18 and 2.6.19

I did not test f30793f591debd2644b60b9449acd334f1f8f757 on all
supported kernel versions and noticed too late.

Xtables-addons 1.5.7

xt_SYSRQ: add missing aliases

xt_portscan: IPv6 support

src: remove redundant return statements

build: remove dependency on netinet/in6.h

DHCP address match and mangler

src: move to a pskb-based API

It occurred that skb reallocation does happen on older kernels, and
those kernels should really be supported, since the patch is really
minimal.

xt_condition: ues glue-provided init_net__proc_net

Merge reworked fuzzy extension

fuzzy: IPv6 support

fuzzy: misc cleanup

fuzzy: remove unneeded spinlock

fuzzy: import 20050627 code base

Automatically run `depmod -a`

ipset: adjust semaphore.h include for kernel >= 2.6.27

As of Linux kernel commit 2351ec533ed0dd56052ab96988d2161d5ecc8ed9,
semaphore.h was moved from asm/ to linux/, which breaks building of
ipset. Add compat glue to ip_set.c to fix building on 2.6.27 an
onwards.

xt_SYSRQ: fix compilation for Linux kernel version <= 2.6.19

Clear hotdrop before use

Must make sure that hotdrop is properly initialized. GCC
unfortunately did not warn.

libxt_geoip: reorder option parsing code

build: prepare make tarball for git 1.6.0

Xtables-addons 1.5.5

cleanup [KM]build layout

SYSRQ target

Update license texts

compat: properly clamp return value from skb_make_writable()

src: compile fixes after libiptc dependency throwout

Remove dependency on CONFIG_NETWORK_SECMARK

Merge branch 'ipset'

Merge branch 'quota2'

xt_quota2: minor fixes, merge into main config files

ipset: fixup compile errors with 2.6.18.x and 2.6.20 warnings

ipset: fixup compile warnings

And add a few const here and there.

xt_quota2: support packet counting; add manpage

build: properly recognize external Kbuild/Mbuild files

xt_quota2: allow for multiple rules to share one counter

Add xt_quota2

Support for inversion, upcounting, and changing the quota/counter
through sysfs.

ipp2p: bump version to indicate this is newer than 0.8.2

src: update netfilter.h to unifdef'ed variant

From Linux kernel, c8942f1f0a7e2160ebf2e51ba89e50ee5895a1e7.

Import ipset-2.3.2a (userspace components)

Import ipset-2.3.2 (kernel components)

Import ipset-2.3.1a-20080617

Update README, .gitignore

Update manpages of CHAOS, IPMARK

Xtables-addons 1.5.4.1

Fix compilation error for 2.6.18-stable

The prototype of ip_route_me_harder changed in 2.6.18.5, so I think
Xtables-addons should account for it. This renders compilation on
anything below it impossible. (2.6.17 is not supported in general.)

Update .gitignore

configure.ac: AC_SUBST must be separate

condition: use PF_UNSPEC in vtable

Xtables-addons 1.5.4

manpages: generate manpages

manpages: remove diff markers from CHAOS,TARIPT

compat: resolve missing tcp_hdr and udp_hdr for xt_ipp2p

TEE: make skb writable before attempting checksum update

This also adds the compat function xtnu_skb_make_writable().

condition: resolve typesize compiler warning

Fix warning: field precision should have type "int", but argument 2
has type "long unsigned int".

Merge reworked "IPMARK" target

IPMARK: redo ipmark_tg_parse()

- check for illegal inversion on flags
- use param_act() and strtonum() instead of open-coded checks

IPMARK: style cleanup

IPMARK: IPv6 support

IPMARK: print --addr flag the usual way

IPMARK: omit printing unset mask

IPMARK: remove incorrect --and/--or check

It is perfectly valid for no --and-mask and also no --or-mask to
appear, in which case the IP(v4) address is taken as mark without
modification.

IPMARK: misc cleanups

- order #include lists
- const annotations, removal of casts
- add ipt_IPMARK alias
- make symbol names distinct

IPMARK: rebuild parameter structure (fixed-size types)

Rebuild the parameter structure to have fixed-size members only.

IPMARK: import 20080304 code base

With truly minimal changes to make it compile.

Merge reworked "ipp2p" match

ipp2p: add missing MODULE_ALIAS(ipt_ipp2p)

ipp2p: use c99 initializers in getopt structure

ipp2p: use param_act() for parameter validation

ipp2p: use OR in flag settings in libxt_ipp2p

ipp2p: enable experimental data stream analyzers

(get rid of "function unused" warnings)

ipp2p: internally simplify selecting protocol searches

ipp2p: guard against potential unaligned access

get_u16() and get_u32() may get passed unaligned pointers;
let's play it safe.

ipp2p: use auxiliary skb functions

ipp2p: static and const annotations, type usage

ipp2p: fix match function signature

ipp2p: adhere to codingstyle

ipp2p: remove compat and obsolete code

ipp2p: import 20080304 code base

Merge reworked "condition" match