Moves libipt_multiport.c to libxt_multiport.c

Splits ipt_multport into family dependent parts and others

Use unified API in multiport match

Add IPv6 support to NOTRACK

Renames libipt_NOTRACK.c to libxt_NOTRACK.c

Use unified API in NOTRACK target.

Moves all declarations in iptables_common.h to xtables.h.

Installs libxt_*.so to DEST_IPT_LIBIDR and link libip[6]t_*.so to it.

Introduces DEST_IPT_LIBDIR to simplify $(DESTDIR)$(LIBDIR)/iptables

Fixes warning on compilation, part 2

This changes the type of arguments as follows in multiport, DNAT, SNAT,
MASQUERADE, and REDIRECT

- ip[6]t_ip[6] * -> void *
- ip[6]t_entry * -> void *

and adds lines to cast these pointer with intended type.

Fixes warning on compilation of ip6tables matches/targets

This changes the type of arguments as follows
- ip6t_ip6 * -> void *
- ip6t_entry * -> void *

Fixes warning on compilation of iptables matches/targets

This changes the type of arguments as follows
- ipt_ip * -> void *
- ipt_entry * -> void *

This patch doesn't change multiport, DNAT, SNAT, MASQUERADE, REDIRECT
because these need more changes (casting void * variable with intended type)

Replaces ip6t_entry_* with xt_entry_* in matches/targets

Replaces ipt_entry_* with xt_entry_* in matches/targets

Moves IPPROTO_* and IP[6]T_LIB_DIR definitions to xtables.h

Moves some duplicated functions in ip[6]tables.c to xtables.c

string_to_number_ll, string_to_number_l, string_to_number,
service_to_port, parse_port, parse_interface, are moved.

Introduces xtables match/target registration

- moves lib_dir to xtables.c
- introduces struct pfinfo which has protocol family dependent infomations.
- unifies load_ip[6]tables_ko() and moves them as load_xtables_ko()
- introduces xt_{match,match_rule,target,tryload} and replaces
  ip[6]t_* with them
- unifies following functions and move them to xtables.c
        - find_{match,find_target}
        - compatible_revision, compatible_{match,target}_revision
- introduces xtables_register_{match,target} and make
  register_{match,target}[6] call them. xtables_register_* register ONLY
  matches/targets matched protocol family

Some concepts:
- source compatibility for libip[6]t_xxx.c with warning on compilation
  not binary compatibility.
- binary compatibility between 2.4/2.6 kernel and iptables/ip6tables,
  of cause.
- xtables is enough to support only one address family at runtime.
  Then xtables keeps infomations of only the focused address famiy
  in struct afinfo.

Moves ip[6]tables_insmod() to xtables.c as xtables_insmod()

Moves common fw_malloc() and fw_calloc() to xtables.c

Adds xtables.[ch] and change Makefile to compile it

iptables-xml

Attached are:
1. A man page for iptables-xml

2. A fix for iptables.xslt allowing for an arbitrary depth of arguments
or modifiers.

Although iptables-xml cannot generate more than two levels deep, xml
generated by other systems may prefer to generate

<action>
  <restore-mark>
    <mask>0xff00</mask>
  </restore-mark>
</action>

than

<action>
  <restore-mark/>
   <mask>0xff00</mask>
</action>

(which is what iptables-xml generates)
even though the same iptables is re-generated on conversion.

3. A fix for iptables-xml.c so that combining of consecutive targets of
rules with the same match into one XML rule, will not combine over a
terminating action; i.e. there is no point in converting

-A table -p tcp -j DROP
-A table -p tcp -j MARK --set-mark 25
-A table -p tcp -j RETURN

into one XML rule with multiple actions as they are probably not
logically combined in the mind of the author.

Signed-off by: Sam Liddicott <azez@ufomechanic.net>

Ignore generated files

Adds missing explanations about FIN in mask part of '--syn' in libip[6]_tcp.c
and libip6t_tcp.man.

Adds missing FIN to mask part generated by '--syn' of libip6t_tcp

Change default KERNEL_DIR location and add KBUILD_OUTPUT (Sven Wegener <sven.wegener@stealer.net>)

Fixes compile error of connlimit where NO_SHARED_LIBS=1 is specified

PATCH: Add connlimit to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

libipt_statistic: add a few missing validity checks

Signed-off-by: Nicolas Bouliane

Removes KERNEL_64_USERSPACE_32

The recent kernel has compat layer for iptables. It doesn't have
compat layer for libipq and ip6tables, but ip6tables with
KERNEL_64_USERSPACE_32 is still broken. We should fix kernel instead of
fixing them if and when we want use their 32bit binary with 64bit kernel.

Removes some KERNEL_64_USERSPACE_32 because linux 2.6 has compat layer

Fix "iptables getsockopt failed strangely" when querying revisions for non-existant matches and targets

Reported by Joseph Jezak <josejx@gentoo.org>.

Add Jozsef's TRACE target.

Changed to be built unconditionally by myself since it doesn't need any
headerfiles anyways.

bump version

Fixes build error of conntrack match because of missing ip_conntrack_tuple.h
in linux 2.6.22. It is not needed because nf_conntrack headers can be used
instead.

A white space fix in ip6tables.c

'-p all' and '-p 0' should be allowed. And actually ip6tables in kernel
allows '! -p xxx' where xxx is extension header. It matches all valid IPv6
packets.

libipt_hashlimit doc update

Add srcip,srcport to hashlimit manpage.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Add --random option to DNAT and REDIRECT targets and fix the manpage mess this option left behind.

Use posix conform directory existance check (Roy Marples <uberlord@gentoo.org>)

Makefile uses [ -a /dir ] which is invalid on non bash shells

Bugzilla #569

Fix missing newlines in iptables-save/restore output (Pavol Rusnak <prusnak@suse.cz>)

Bugzilla #568

update quota manpage for SMP (Phil Oester)

The quota match works fine on SMP, so update the manpage to reflect
this.  Closes bugzilla #564.

In fixing bug #446 [1], the output for unspecified proto was changed from "all" to "0".  This reverts to the original behaviour, and closes bugzilla #543. (Phil Oester)

Fix iptables-save with --random option

Remove unnecessary IP_NAT_RANGE_PROTO_RANDOM ifdefs.

Remove libnsl from LDLIBS

Bugzilla 557

fix problem with iptables-restore and quotes (close bugzilla id 505)

Use nf_conntrack headers instead of ip_conntrack ones and add sanitized versions.

Remove unnecessary ip_conntrack/ip_nat includes

revert some slipped through patches

prepare conntrack and conntrackd merge: rename conntrack to conntrack-tools

Fix iptables --modprobe parameter (Maurice van der Pot <griffon26@kfk4ever.com>)

Supply modprobe parameter to iptables_insmod function.

Bugzilla #556

ip6tables-restore should output error of modprobe if failed to load
ip6tables.ko after failed to initialize handle.

Fixes typos in the argument of ip[6]tables_insmod: quit -> quiet

Supress error message from modprobe on checking revision.

Fix cut and paste error breaking use of groups != 0

iptables: add random option to SNAT (Eric Leblond)

Reverted r6754. libipt_icmp has the option 'any', so it's unnecessary
to check no option of ICMP type.

Update coreteam members in manpages

Fix missing space in error message (Bugzilla 544)

Remove and readd with executable bit set. SVN doesn't seem to have a proper way of doing this.

Fixes man page for tcp, udp, icmp{,6}. They are not loaded when only '-p' is
specified, but loaded when extra options are specified, too.

Forgot to add TCPMSS target to PF6_EXT_SLIB

Error if no ICMP type is specified even though user intended
to use icmp match.

Add ip6tables mh extension (Masahide NAKAMURA <nakam@linux-ipv6.org>)

Kernel part will go in 2.6.21

Update coreteam members in manpages.

Bugzilla #535

In the tcpmss section of the iptables manpage, there is an extraneous trailing
quote for the --mss option.

Bugzilla #534:

Please remove --mss from libipt_tcp.man.  The tcp match doesn't handle that
option, while the tcpmss match does.

Add ip6tables TCPMSS extension (Arnaud Ebalard <arno@natisbad.org>)

Kernel part will go in 2.6.21.

Add UDPLITE multiport support

Fix missing space in ruleset listing

Remove extensions for unmaintained/obsolete patchlets

Fix greedy debug grep

From Bugzilla #527:

if you have a kernel with say a '-g' in it, then KERNEL_DIR will include the
'-g' in it, CFLAGS will include the '-g' in it, and then the grep will think you
have -g in your CFLAGS

for example, if you use the grsec or gentoo patchset:
$ uname -r
2.6.19.1-grsec
$ uname -r
2.6.19-gentoo-r2

then your CFLAGS will look like:
-O2 -Wall -Wunused -I"/lib/modules/2.6.19.1-grsec/build"/include -Iinclude/
-DIPTABLES_VERSION=\"1.3.7\"

and the greedy check grep will incorrectly flag this:
egrep -e '-g|-pg|IPTC_DEBUG'

fix typo in manpage (thomas@aktaia.intevation.org)

Move extensions for pom patches to individual patchlets.

fix compile/install error for iptables-xml with DO_MULTI=1 (Lutz Jaenicke)

Bump version to 1.3.7

Add target extensions for new NFLOG target

Fix iptables-save not printing -s !0/0 and -d !0/0 as well as ip6tables
unnecessarily printing the address. Base on patch by Daniel De Graaf.

Fix /etc/network usage (Pablo Neira)

http://bugs.debian.org/398082

iptables 1.3.5 and 1.3.6 appear to read /etc/networks, but the
information is lost somewhere with 1.3.6.

 # cat /etc/networks
 foonet 10.0.0.0

 # strace -s 255 -o /tmp/foo iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.5 [1]
 ACCEPT  all opt -- in * out *  10.0.0.0/8  -> 0.0.0.0/0

 # strace -s 255 -o /tmp/bar iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.6 [2]
 iptables v1.3.6: host/network `foonet.0.0.0' not found
 Try `iptables -h' or 'iptables --help' for more information.

1. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.5.txt
2. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.6.txt

Fix -E (rename) in iptables/ip6tables

Remove ununsed CHECK entry in commands_v_options.

It makes -E (rename) working again - generic_opt_check
expects options for RENAME not for CHECK at that table index.

Signed-off-by: Krzysztof Piotr Oledzki <ole@ans.pl>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Use /lib/modules/$(uname -r)/build instead of /usr/src/linux as KERNEL_DIR default

Add ip6tables support for hashlimit match

Add iptables-xml tool (Amin Azez <azez@ufomechanic.net>)

Add ip6tables support for sctp match

load ip_[6]tables.ko just before checking revision support in kernel.

changes IP6T_SO_GET_REVISION_{MATCH,TARGET} to 68,69
66 and 67 is conflicted with IPv6 Advanced API in kernel <= 2.6.18.

- Add revision support to ip6tables.
- Add support port range match to libip6t_multiport
(R?mi Denis-Courmont <rdenis@simphalempin.com>)

Fix spelling error

iptables segfaults when given "" to --log-prefix (Mike Frysinger <vapier@gentoo.org>)

Bugzilla #516

Add endian annotation types to fix compilation for kernels > 2.6.18

Version number was not bumped in Makefile in svn

Use correct types at error reporting (patch sent by H. Nakano)

Use negative-list for "weird character in interface" warning instead of warning for basically every non-alphanumeric character.

Named realm (Simon Lodal <simon@parknet.dk>)

Optionally read realm values from /etc/iproute2/rt_realms

Add statistic match extension

iptables: fix ipt_MARK documentation (Eric Leblond)

This patch documents --or-mask and --and-mask options of the MARK
target. Description is directly taken from the source code.

iptables -Z clears the per-rule counters, but not the chain policy counters (Andy Gay <andy@andynet.net>)

https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=502

update quota match for xtables + fix -D bug (Phil Oester <kernel@linuxace.com>)

Revert "proto_to_name duplication" patch, as noticed by Yasuyuki it can cause
invalid arguments to get accepted.

proto_to_name duplication (Phil Oester <kernel@linuxace.com>)

Update multiport match to use the iptables version of proto_to_name
instead of reinventing the wheel.