help: fix of the -I option in help display

Trivial patch which fixes typo.

Signed-off-by: Romain Bignon <romain@peerfuse.org>
Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: reject incompletely parsed integers in integer_type_parse()

Signed-off-by: Patrick McHardy <kaber@trash.net>

don't use internal_location for files specified on command line

Fixes strange error messages like:

In file included from internal:0:0-0:
files/examples/sets_and_maps:55:2-2: Error: syntax error, unexpected newline, expecting string

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: add debugging for missing objects

Signed-off-by: Patrick McHardy <kaber@trash.net>

nat: validate protocol context when performing transport protocol mappings

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix nat stmt linearization/parsing

Fix invalid register use when parsing NAT statements and handle range expressions
during postprocessing. When linearizing, allocate all registers for both proto and
address expressions at once to avoid double use.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: fix crash with uncombinable protocols

The dependency of non-combinable protocols (f.i. arp + tcp) results in
a relational dependency expression without a datatype, causing a segfault
later on.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix creation of base chains with hooknum and priority 0

Base chains with both a hook number and priority of zero are created
as regular chains. Fix by adding a BASECHAIN flag indicating that the
chain should be created as a base chain.

Signed-off-by: Patrick McHardy <kaber@trash.net>

utils: fix invalid assertion in xrealloc()

The pointer is allowed to have the value NULL.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix byteorder of RHS of relational meta expression

The RHS needs to be postprocessed before updating the payload context
for byteorder conversion. Fixes iiftype match reconstruction.

Signed-off-by: Patrick McHardy <kaber@trash.net>

debug: properly parse debug levels

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: fix endless recursion with SUBDIRS=...

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: add 'archive' target

make archive creates a tar.bz2 from the HEAD version.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: support bison >= 2.4

Work around stange behaviour in bison >= 2.4 (see large comment in parser.y for
details) and remove the skeleton file since it does not work with 2.4 anymore.
Its only purpose was to increase the amount of possible tokens reported in error
messages anyways.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: fix two datatypes

Fix typo in URG-flag and missing end-of-list marker for the arpop constants.

Signed-off-by: Patrick McHardy <kaber@trash.net>

payload: add DCCP packet type definitions

# nft describe dccp type
payload expression, datatype dccp_pkttype (DCCP packet type) (basetype integer), 4 bits

pre-defined symbolic constants:
request                        0x0
response                       0x1
data                           0x2
ack                            0x3
dataack                        0x4
closereq                       0x5
close                          0x6
reset                          0x7
sync                           0x8
syncack                        0x9

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix binop RHS byteorder

The byteorder of the RHS of a binop must be set before post-processing it to
make sure it will get byteorder-switched if necessary.

Fixes invalid conntrack expression states when used with bitmasks:

 ct state 33554432,67108864 counter packets 1924 bytes 142960

 =>

 ct state established,related counter packets 2029 bytes 151508

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: dump all chains when listing rules

Currently only the rules are dumped and chains are constructed based
on the rules identities. Dump all chains manually to make sure we also
display empty chains.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: fix bitmask element reconstruction

mpz_scan1() needs to begin scanning at bit 0 and the loop must accept
bit 0 as valid. No more bits were found when ULONG_MAX is returned.

Signed-off-by: Patrick McHardy <kaber@trash.net>

debug: allow runtime control of debugging output

Signed-off-by: Patrick McHardy <kaber@trash.net>

add support for new set API and standalone sets

Signed-off-by: Patrick McHardy <kaber@trash.net>

expressions: kill seperate sym_type datatype for symbols

Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: add/move size and byte order information into data types

Add size and type information to non-basetype types and remove the now
redundant information from the symbol tables.

This will be used to determine size and byteorder of set members without
analyzing the ruleset for incremental update operations.

Signed-off-by: Patrick McHardy <kaber@trash.net>

datatype: maintain table of all datatypes and add registration/lookup function

Add a table containing all available datatypes and registration/lookup functions.
This will be used to associate a stand-alone set in the kernel with the correct
type without parsing the entire ruleset.

Additionally it would now be possible to remove the global declarations for the
core types. Not done yet though.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: move data related functions to netlink.c

Move the data related function to netlink.c as they're going to be needed
outside of rule context for set maintenance.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: use libnl OBJ_CAST macro

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: consistent naming fixes

Rename libnl netlink data to "nld" for consistency.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: add helper function for socket callback modification

Signed-off-by: Patrick McHardy <kaber@trash.net>

ct: resync netlink header and properly add ct l3protocol support

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink_linearize: remove two debugging printfs

Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix some memory leaks

Free nested chain handles and command structures when done.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Release scopes during cleanup

Properly release the user-defined symbols.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix multiple references to the same user defined symbolic expression

The expression needs to be cloned so transformations don't corrupt the original
expression. This could be slightly optimized by only taking a reference and
COW'ing when necessary (which is actually quite rare).

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: add support for cloning expressions

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add more notes to INSTALL

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add support for user-defined symbolic constants

User-defined constants can be used like this:

 define allowed_hosts = { 192.168.0.0/24, 10.0.0.20-10.0.0.30 }
 define udp_services = domain
 define tcp_services = { ssh, domain }

 ip saddr $allowed_hosts udp dport $udp_services counter accept
 ip saddr $allowed_hosts tcp dport $tcp_services counter accept

Recursive definitions are possible, but currently not fully handled.
Anything requiring transformations (sets using ranges) can not be
used more than once currently since the expressions need to be COW'ed
previously.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add support for scoping and symbol binding

As a first step towards stand-alone sets, add support for scoping and
binding symbols. This will be used for user-defined constants, as well
as declarations of modifiable (stand-alone) sets once the kernel side
is ready.

Scopes are currently limited to three nesting levels: the global scope,
table block scopes and chain block scopes.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: consistently use $@ for location of entire grouping

Replace use of specific location references for single-element rules.

Signed-off-by: Patrick McHardy <kaber@trash.net>

parser: fix common_block usage in chain and table blocks

Signed-off-by: Patrick McHardy <kaber@trash.net>

Add installation instructions

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: fix installation when docs are not built

Don't try to install non-existant files.

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: remove double subdir in build output

Signed-off-by: Patrick McHardy <kaber@trash.net>

Allow newlines in regular maps

The previous patch only handled sets and verdict maps.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Allow newlines in sets and maps

Signed-off-by: Patrick McHardy <kaber@trash.net>

kill obsolete TODO item

Signed-off-by: Patrick McHardy <kaber@trash.net>

Fix use of reserved names in header sandwich

Signed-off-by: Patrick McHardy <kaber@trash.net>

lexer: fix some whitespace errors

Signed-off-by: Patrick McHardy <kaber@trash.net>

netlink: wrap libnl object dumping in #ifdef DEBUG

Signed-off-by: Patrick McHardy <kaber@trash.net>

templates: add IPv6 raw table template

Signed-off-by: Patrick McHardy <kaber@trash.net>

build: work around docbook2x-man inability to specify output file

Signed-off-by: Patrick McHardy <kaber@trash.net>

Initial commit