Fixes warning on compilation of iptables matches/targets

This changes the type of arguments as follows
- ipt_ip * -> void *
- ipt_entry * -> void *

This patch doesn't change multiport, DNAT, SNAT, MASQUERADE, REDIRECT
because these need more changes (casting void * variable with intended type)

Replaces ip6t_entry_* with xt_entry_* in matches/targets

Replaces ipt_entry_* with xt_entry_* in matches/targets

Moves IPPROTO_* and IP[6]T_LIB_DIR definitions to xtables.h

Moves some duplicated functions in ip[6]tables.c to xtables.c

string_to_number_ll, string_to_number_l, string_to_number,
service_to_port, parse_port, parse_interface, are moved.

Introduces xtables match/target registration

- moves lib_dir to xtables.c
- introduces struct pfinfo which has protocol family dependent infomations.
- unifies load_ip[6]tables_ko() and moves them as load_xtables_ko()
- introduces xt_{match,match_rule,target,tryload} and replaces
  ip[6]t_* with them
- unifies following functions and move them to xtables.c
        - find_{match,find_target}
        - compatible_revision, compatible_{match,target}_revision
- introduces xtables_register_{match,target} and make
  register_{match,target}[6] call them. xtables_register_* register ONLY
  matches/targets matched protocol family

Some concepts:
- source compatibility for libip[6]t_xxx.c with warning on compilation
  not binary compatibility.
- binary compatibility between 2.4/2.6 kernel and iptables/ip6tables,
  of cause.
- xtables is enough to support only one address family at runtime.
  Then xtables keeps infomations of only the focused address famiy
  in struct afinfo.

Moves ip[6]tables_insmod() to xtables.c as xtables_insmod()

Moves common fw_malloc() and fw_calloc() to xtables.c

Adds xtables.[ch] and change Makefile to compile it

iptables-xml

Attached are:
1. A man page for iptables-xml

2. A fix for iptables.xslt allowing for an arbitrary depth of arguments
or modifiers.

Although iptables-xml cannot generate more than two levels deep, xml
generated by other systems may prefer to generate

<action>
  <restore-mark>
    <mask>0xff00</mask>
  </restore-mark>
</action>

than

<action>
  <restore-mark/>
   <mask>0xff00</mask>
</action>

(which is what iptables-xml generates)
even though the same iptables is re-generated on conversion.

3. A fix for iptables-xml.c so that combining of consecutive targets of
rules with the same match into one XML rule, will not combine over a
terminating action; i.e. there is no point in converting

-A table -p tcp -j DROP
-A table -p tcp -j MARK --set-mark 25
-A table -p tcp -j RETURN

into one XML rule with multiple actions as they are probably not
logically combined in the mind of the author.

Signed-off by: Sam Liddicott <azez@ufomechanic.net>

Ignore generated files

Adds missing explanations about FIN in mask part of '--syn' in libip[6]_tcp.c
and libip6t_tcp.man.

Adds missing FIN to mask part generated by '--syn' of libip6t_tcp

Change default KERNEL_DIR location and add KBUILD_OUTPUT (Sven Wegener <sven.wegener@stealer.net>)

Fixes compile error of connlimit where NO_SHARED_LIBS=1 is specified

PATCH: Add connlimit to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

libipt_statistic: add a few missing validity checks

Signed-off-by: Nicolas Bouliane

Removes KERNEL_64_USERSPACE_32

The recent kernel has compat layer for iptables. It doesn't have
compat layer for libipq and ip6tables, but ip6tables with
KERNEL_64_USERSPACE_32 is still broken. We should fix kernel instead of
fixing them if and when we want use their 32bit binary with 64bit kernel.

Removes some KERNEL_64_USERSPACE_32 because linux 2.6 has compat layer

Fix "iptables getsockopt failed strangely" when querying revisions for non-existant matches and targets

Reported by Joseph Jezak <josejx@gentoo.org>.

Add Jozsef's TRACE target.

Changed to be built unconditionally by myself since it doesn't need any
headerfiles anyways.

bump version

Fixes build error of conntrack match because of missing ip_conntrack_tuple.h
in linux 2.6.22. It is not needed because nf_conntrack headers can be used
instead.

A white space fix in ip6tables.c

'-p all' and '-p 0' should be allowed. And actually ip6tables in kernel
allows '! -p xxx' where xxx is extension header. It matches all valid IPv6
packets.

libipt_hashlimit doc update

Add srcip,srcport to hashlimit manpage.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Add --random option to DNAT and REDIRECT targets and fix the manpage mess this option left behind.

Use posix conform directory existance check (Roy Marples <uberlord@gentoo.org>)

Makefile uses [ -a /dir ] which is invalid on non bash shells

Bugzilla #569

Fix missing newlines in iptables-save/restore output (Pavol Rusnak <prusnak@suse.cz>)

Bugzilla #568

update quota manpage for SMP (Phil Oester)

The quota match works fine on SMP, so update the manpage to reflect
this.  Closes bugzilla #564.

In fixing bug #446 [1], the output for unspecified proto was changed from "all" to "0".  This reverts to the original behaviour, and closes bugzilla #543. (Phil Oester)

Fix iptables-save with --random option

Remove unnecessary IP_NAT_RANGE_PROTO_RANDOM ifdefs.

Remove libnsl from LDLIBS

Bugzilla 557

fix problem with iptables-restore and quotes (close bugzilla id 505)

Use nf_conntrack headers instead of ip_conntrack ones and add sanitized versions.

Remove unnecessary ip_conntrack/ip_nat includes

revert some slipped through patches

prepare conntrack and conntrackd merge: rename conntrack to conntrack-tools

Fix iptables --modprobe parameter (Maurice van der Pot <griffon26@kfk4ever.com>)

Supply modprobe parameter to iptables_insmod function.

Bugzilla #556

ip6tables-restore should output error of modprobe if failed to load
ip6tables.ko after failed to initialize handle.

Fixes typos in the argument of ip[6]tables_insmod: quit -> quiet

Supress error message from modprobe on checking revision.

Fix cut and paste error breaking use of groups != 0

iptables: add random option to SNAT (Eric Leblond)

Reverted r6754. libipt_icmp has the option 'any', so it's unnecessary
to check no option of ICMP type.

Update coreteam members in manpages

Fix missing space in error message (Bugzilla 544)

Remove and readd with executable bit set. SVN doesn't seem to have a proper way of doing this.

Fixes man page for tcp, udp, icmp{,6}. They are not loaded when only '-p' is
specified, but loaded when extra options are specified, too.

Forgot to add TCPMSS target to PF6_EXT_SLIB

Error if no ICMP type is specified even though user intended
to use icmp match.

Add ip6tables mh extension (Masahide NAKAMURA <nakam@linux-ipv6.org>)

Kernel part will go in 2.6.21

Update coreteam members in manpages.

Bugzilla #535

In the tcpmss section of the iptables manpage, there is an extraneous trailing
quote for the --mss option.

Bugzilla #534:

Please remove --mss from libipt_tcp.man.  The tcp match doesn't handle that
option, while the tcpmss match does.

Add ip6tables TCPMSS extension (Arnaud Ebalard <arno@natisbad.org>)

Kernel part will go in 2.6.21.

Add UDPLITE multiport support

Fix missing space in ruleset listing

Remove extensions for unmaintained/obsolete patchlets

Fix greedy debug grep

From Bugzilla #527:

if you have a kernel with say a '-g' in it, then KERNEL_DIR will include the
'-g' in it, CFLAGS will include the '-g' in it, and then the grep will think you
have -g in your CFLAGS

for example, if you use the grsec or gentoo patchset:
$ uname -r
2.6.19.1-grsec
$ uname -r
2.6.19-gentoo-r2

then your CFLAGS will look like:
-O2 -Wall -Wunused -I"/lib/modules/2.6.19.1-grsec/build"/include -Iinclude/
-DIPTABLES_VERSION=\"1.3.7\"

and the greedy check grep will incorrectly flag this:
egrep -e '-g|-pg|IPTC_DEBUG'

fix typo in manpage (thomas@aktaia.intevation.org)

Move extensions for pom patches to individual patchlets.

fix compile/install error for iptables-xml with DO_MULTI=1 (Lutz Jaenicke)

Bump version to 1.3.7

Add target extensions for new NFLOG target

Fix iptables-save not printing -s !0/0 and -d !0/0 as well as ip6tables
unnecessarily printing the address. Base on patch by Daniel De Graaf.

Fix /etc/network usage (Pablo Neira)

http://bugs.debian.org/398082

iptables 1.3.5 and 1.3.6 appear to read /etc/networks, but the
information is lost somewhere with 1.3.6.

 # cat /etc/networks
 foonet 10.0.0.0

 # strace -s 255 -o /tmp/foo iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.5 [1]
 ACCEPT  all opt -- in * out *  10.0.0.0/8  -> 0.0.0.0/0

 # strace -s 255 -o /tmp/bar iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.6 [2]
 iptables v1.3.6: host/network `foonet.0.0.0' not found
 Try `iptables -h' or 'iptables --help' for more information.

1. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.5.txt
2. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.6.txt

Fix -E (rename) in iptables/ip6tables

Remove ununsed CHECK entry in commands_v_options.

It makes -E (rename) working again - generic_opt_check
expects options for RENAME not for CHECK at that table index.

Signed-off-by: Krzysztof Piotr Oledzki <ole@ans.pl>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Use /lib/modules/$(uname -r)/build instead of /usr/src/linux as KERNEL_DIR default

Add ip6tables support for hashlimit match

Add iptables-xml tool (Amin Azez <azez@ufomechanic.net>)

Add ip6tables support for sctp match

load ip_[6]tables.ko just before checking revision support in kernel.

changes IP6T_SO_GET_REVISION_{MATCH,TARGET} to 68,69
66 and 67 is conflicted with IPv6 Advanced API in kernel <= 2.6.18.

- Add revision support to ip6tables.
- Add support port range match to libip6t_multiport
(R?mi Denis-Courmont <rdenis@simphalempin.com>)

Fix spelling error

iptables segfaults when given "" to --log-prefix (Mike Frysinger <vapier@gentoo.org>)

Bugzilla #516

Add endian annotation types to fix compilation for kernels > 2.6.18

Version number was not bumped in Makefile in svn

Use correct types at error reporting (patch sent by H. Nakano)

Use negative-list for "weird character in interface" warning instead of warning for basically every non-alphanumeric character.

Named realm (Simon Lodal <simon@parknet.dk>)

Optionally read realm values from /etc/iproute2/rt_realms

Add statistic match extension

iptables: fix ipt_MARK documentation (Eric Leblond)

This patch documents --or-mask and --and-mask options of the MARK
target. Description is directly taken from the source code.

iptables -Z clears the per-rule counters, but not the chain policy counters (Andy Gay <andy@andynet.net>)

https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=502

update quota match for xtables + fix -D bug (Phil Oester <kernel@linuxace.com>)

Revert "proto_to_name duplication" patch, as noticed by Yasuyuki it can cause
invalid arguments to get accepted.

proto_to_name duplication (Phil Oester <kernel@linuxace.com>)

Update multiport match to use the iptables version of proto_to_name
instead of reinventing the wheel.

BUG: libiptc chain references bug (Jesper Brouer <hawk@diku.dk>)

Correcting a chain references increment bug in libiptc.

The bug lies in function iptc_delete_entry() / TC_DELETE_ENTRY.  The
problem is the construction of "r" the rule entry, that is used for
comparison. The problem is that the function iptcc_map_target()
increase the target chains references count.

reduce parse_*_port duplication (Phil Oester <kernel@linuxace.com>)

The below patch (dependent upon my 'reduce service_to_port duplication' patch)
centralizes the parse_*_port functions into parse_port.

reduce service_to_port duplication (Phil Oester <kernel@linuxace.com>)

The service_to_port function is used in a number of places, and could
benefit from some centralization instead of being duplicated everywhere.

Use gcc to build shared objects (Phil Oester <kernel@linuxace.com>)

As suggested by Dmitry Levin and included in Fedora Core releases,
use gcc instead of ld to link shared objects.  Fedora rpm notes
refer to this fixing a plugin problem, but does not offer specifics.
But in any event, 'gcc -dumpspecs' does show gcc will pass a number
of parameters which in theory it thinks are better.

Compile tested both with and without NO_SHARED_LIBS.

Closes bug #454.

iptables: handle cidr notation more sanely (Phil Oester <kernel@linuxace.com>)

At present, a command such as

iptables -A foo -s 10.10/16

will interpret 10.10/16 as 10.0.0.10/16, and after applying the mask end
up with 10.0.0.0/16, which likely isn't what the user intended.  Yet
some people do expect 10.10 (without the cidr notation) to end up as
10.0.0.10.

The below patch should satisfy all parties.  It zero pads the missing
octets only in the cidr case, leaving the IP untouched otherwise.

This resolves bug #422

please kill santa-claus (Pierre-Yves Ritschard <pierre-yves@spootnik.org>)

Remove "hoho" message :)

libiptc symbols clash (Phil Oester <kernel@linuxace.com>)

As reported by Dmitry Levin, the TC_NUM_RULES and TC_GET_RULE exports
clash.  His patch below, resolving bug #456

- force user to specify --icmpv6-type if icmpv6 match is required to load
- Don't allow multiple --icmp-type/icmpv6-type

(Closes: #461)

ip6tables multiport does not support x:y (Phil Oester <kernel@linuxace.com>)

Update the manpage for ip6tables multiport match to reflect
reality -- it does not (yet) support x:y syntax.  I looked at
adding it, but adding revision support to ip6tables seems a
waste at this point, since once xtables support is added to
iptables, this problem will resolve itself.

Closes bug #451.

iptables trivial compile warning cleanup (Phil Oester <kernel@linuxace.com>)

Cleanup a few compile warnings in latest snapshot:

extensions/libipt_dscp_helper.c:69: warning: 'dscp_to_name' defined but not used
extensions/libipt_sctp.c: In function 'print_chunks':
extensions/libipt_sctp.c:465: warning: value computed is not used
extensions/libipt_sctp.c:477: warning: value computed is not used

Resolves bug #457.

size_t changed to socklen_t in getsockopt call