pknock: use build flags in pknock Makefile

ipset: update to 5.4.1

ipset: update to 5.3

build: use AM_CPPFLAGS in ipset-5/

build: fix objdir builds for ipset-5 (xt-a specific)

build: restore functionality of configure's --without-kbuild option

xt_LOGMARK: fix detection of untracked connection for Linux >= 2.6.36

doc: deprecate --with-xtlibdir configure option

build: mark Linux 2.6.37 as supported

Xtables-addons 1.32

build: relax libmnl checks and document ipset requirements

Merge branch 'ipset'

ipset: import ipset 5.2+GENL

This requires Linux 2.6.35 or newer to build, so it is deactivated by
default in the "mconfig" file.

ipset: move ipset to ipset-4

build: use AM_CPPFLAGS

build: workaround fixdep permission error

make -C ../../../linux-2.6.36-rc8-32
O=/usr/src/linux-2.6.36-rc8-32-obj/x86_64/desktop/. kernelrelease
  HOSTCC  scripts/basic/fixdep
/usr/src/linux-2.6.36-rc8-32/scripts/basic/fixdep.c:398:1:
fatal error: opening dependency file scripts/basic/.fixdep.d:
Permission denied

build: restore compilation of ipset, add missing CFLAGS

ipset_iphash.c: In function "iphash_create_init":
ipset_iphash.c:42: error: "IP_NF_SET_HASHSIZE" undeclared (first use
in this function)

build: pass down AM_CFLAGS to sub-makes

Honor ipset/Makefile.am's AM_CFLAGS when compiling extensions.

build: stop on error in subcommand

make only evaluates $? of an entire shell invocation. As such, if any
command in the chain can fail, $? needs to be thrown, and early so.

gradm: fix compile error - add missing include

Hooray for 2.6.34 ALIGN bug still biting.

libxt_gradm.c:84: warning: implicit declaration of function 'ALIGN'
libxt_gradm.c:84: error: initializer element is not constant
libxt_gradm.c:84: error: (near initialization for 'gradm_mt_reg.size')

doc: cleanup changelog (and use ISO-8601 format)

ipset: update to 4.5

build: remove unused -DXTABLES_LIBDIR from CFLAGS

build: improve kernel version detection again

Apparently people don't just begin the EXTRAVERSION with a dash.
So rewrite it all and throw out /anything/ non-numeric.

xt_geoip: update manpage with instructions for db build

Xtables-addons 1.31

Merge branch 'gradm'

Merge remote branch 'origin/iface'

build: properly detect versions like "2.6.36+"

xt_iface: allow matching against incoming/outgoing interface

build: autodetect value for --with-xtlibdir

libxt_gradm: match packets based on status of grsecurity RBAC

This patch adds a module which is useful to users of grsecurity's RBAC
system. It matches packets based on whether RBAC is enabled or
disabled.

See: http://grsecurity.net/

Signed-off-by: Anthony G. Basile <basile@opensource.dyc.edu>
Jan Engelhardt> Also, I do not see a xt_gradm.c in this patch.

This [xt_gradm.c] is part of the grsecurity patch which not only adds
the Xtables code, but also the RBAC code. Without the entire RBAC
stuff, xt_gradm does not make sense and so it is included with the
grsecurity patch to the kernel, and not this patch to Xtables-addons.

>Can you elaborate a bit on how this is useful in conjunction with
>rulesets? I could imagine it be used with LSM selctx'es for example,
>or another extension that tests for other RBAC attributes.

The idea here is that when the RBAC rulesets are not being enforced,
the system is more vulnerable and the user wants stricter firewall
rules. When RBAC is being enforced, one can relax the firewall and
access to services which are now better protected. In practice this
usually means allowing only access to some trusted IP(s) on boot
before RBAC is turned on.

doc: update changelog

xt_iface: reorder code for upcoming address checking

From now on, info->flags lists the flags to test, not just the flags
to test positively for.

xt_iface: reduce indent by early return

xt_iface: move XT_IFACE_IFACE out of the public header

This flag is only used by the userspace component, so remove it from
the kernel header. Also change the value to 1<<16 for the same reason.

build: respect LDFLAGS on make

Without setting these variables, ./configure LDFLAGS=-m32
would have no effect.

build: improve detection of kernel version and error handling

Thanks to Arkadiusz Miskiewicz from PLD for reporting.

make: *** kernelrelease: No such file or directory. Stop.
Found kernel version "...0" in
ERROR: That kernel version is not supported. Please see
INSTALL for minimum configuration.

ACCOUNT: remove uses of obsolete IPT_CONTINUE

And replace by XT_CONTINUE, to avoid compilation errors in 2.6.37.

LOGMARK: print remaining ct lifetime

Xtables-addons 1.30

mconfig: deactivate building of xt_TEE and xt_CHECKSUM

ipset: update to 4.4

Xtables-addons 1.29

build: add workaround for beoken linux-glibc-devel (2)

build: add workaround for broken linux-glibc-devel 2.6.34 userspace headers

build: support for Linux 2.6.36

TEE: resolve compile error with Linux 2.6.36-rc

xt_TEE.c:54:19: error: request for member "dst" in something not a
structure or union
xt_TEE.c:55:20: error: "struct rtable" has no member named "u"

Linux kernel commit v2.6.36-rc1~571^2~616 changed this.

SYSRQ: resolve compile error with Linux 2.6.36-rc

xt_SYSRQ.c:156:3: error: too many arguments to function 'handle_sysrq'

Linux kernel commit v2.6.36-rc3~19^2~5 changed it and finally removed
the last unused argument.

ipset: update to 4.3+git3

ipset: bump version number

Basically Xtables-addons's copy of ipset is already functionally equal
to ipset 4.3 thanks to our compat_xtables layer (and our modifications
in ipset/ to use it).

ipset: enable building of ip_set_ipport{ip,net}hash.ko

compat_xtables: return bool for match_check and target_check (doc)

compat_xtables: return bool for match_check and target_check in 2.6.23..34

Reported-by: Tomasz Pala <gotar@polanet.pl>

doc: add API helper files

These files should be a very quick reference to the Xtables APIs of
previous Linux kernel versions and Xtables-addons. Their contents have
been reformatted so as to be usable with diff -u.

configure: pkglibexecdir requires automake >= 1.10.2

Xtables-addons 1.28

geoip: add -D option to geoip_build_dir.pl

This option allows to specify a particular output directory. This help
Makefiles in that they do not need to use cd.

geoip: add .gitignore

geoip: rename original script to build_db

geoip: import scripts for building the xt_geoip database

xt_length2: IPv6 jumbogram support

doc: keep manpage ordered

`find` could return entries out of order.

xt_CHECKSUM: use xtables_param_act

xt_CHECKSUM: only use __u* in public header files

xt_CHECKSUM: remove unnecessary header inclusions

doc: update geoip db url

My hopto.org zone disappeared after I left it unattended...

xt_CHECKSUM: remove pointless $

xt_CHECKSUM: initial import

This adds a "CHECKSUM" target, which can be used in the iptables mangle
table.

You can use this target to compute and fill in the checksum in a packet
that lacks a checksum. This is particularly useful, if you need to work
around old applications such as dhcp clients, that do not work well with
checksum offloads, but don't want to disable checksum offload in your
device.

The problem happens in the field with virtualized applications. For
reference, see Red Hat bz 605555, as well as
http://www.spinics.net/lists/kvm/msg37660.html

Signed-off-by: Michael S. Tsirkin <mst@redhat.com>

xt_SYSRQ: fix a couple of problems

The first problem is that the error response from crypto_alloc_hash()
should be extracted from the pointer before setting the pointer to NULL.

The second error is that only the first half of the password hash is
checked which slightly weakens the password checking.

Signed-off-by: John Haxby <john.haxby@oracle.com>

xt_geoip: fix possible out-of-bounds access

It is possible for geoip_bsearch() to pick mid == sizeof(subnets).

Consider a set with a single entry and a "address to test"
higher than the range:

1st call: lo = 0, hi = 1 -> mid will be 0
2nd call: lo = 1, hi = 1 -> mid will be 1

On the 2nd call, we'll examine random data.

Reported-by: Florian Westphal <fw@strlen.de>

RAWNAT: IPv6 variants erroneously rejected masks /33-/128

build: make configure CFLAGS=-ggdb3 have effect on .so files

RAWNAT: fix incorrect mask in rawnat_ipv6_mask

I really think it is a typo mistake. :)

Signed-off-by: Changli Gao <xiaosuo@gmail.com>

Merge remote branch 'sf/master'

build: update tarball target

Xtables-addons 1.27

xa-d-m: remove superfluous protos

Merge branch 'api35'

compat_xtables: more 2.6.35 support

compat_xtables: move to 2.6.35 xt_action_param (3/3)

Since the last merge of the "api35" branch, further changes were
included into nf-next. This set of three commits updates the
xtables-addons API to match that.

compat_xtables: move to 2.6.35 xt_action_param (2/3)

compat_xtables: move to 2.6.35 xt_action_param (1/3)

compat_xtables: move 2.6.28+ xtnu_target_run code

compat_xtables: remove unused list member from xtnu_{match,target}

compat_xtables: annotate struct xtnu_{match,target}->name

compat_xtables: improve memory usage in struct xtnu_{match,target}

xt_quota2: reduce printf complexity

Xtables-addons 1.26

compat_xtables: fix 2.6.34 compile error due to a typo

Xtables-addons 1.25

Merge branch 'tee'

xt_TEE: move skb cleanup outwards

xt_TEE: remove debug printks

xt_TEE: use nf_conntrack_untracked

No reason having to use our own nf_conntrack bucket.

Merge branch 'condition'

xt_condition: use non-interruptible check routine

Patrick McHardy let's it be known: "No need for interruptible locking,
the section is very short and usually there's only a single iptables
process running at a time."

xt_condition: remove unnecessary RCU protection

The module does not use the RCU mechanism, so calling
list_add_rcu/list_del_rcu does not make much sense either.

Merge branch 'api35'

compat_xtables: correct compile errors