build: support for Linux 3.9

Xtables-addons 2.1

build: support for Linux 3.8

xt_DNETMAP: fix compile error with Linux 3.7

Xtables-addons 2.0

I have been thinking quite a while when to drop support for old
versions. The changes in Linux kernel 3.7 in nf_nat prompted me to
make the cut here, to throw out most of the backwards-compatibility
code and start mostly blank. As future kernels will be released and
supported, no doubt will new code to work with those releases be
added.

If you run with an older kernel, continue to use the Xtables-addons
1.x series.

Merge branch 'maint' into newage

Update my email address

To ... none! Whatever is recent is in the git log.

build: remove support for Linux 3.6 / switch xt_DNETMAP to nf_nat

build: remove support for Linux 3.5

build: remove support for Linux 3.4

build: remove support for Linux 3.3

build: remove support for Linux 3.2

build: remove support for Linux 3.1

build: remove support for Linux 3.0

build: remove support for Linux 2.6.39

build: remove support for Linux 2.6.38

build: remove support for Linux 2.6.37

build: remove support for Linux 2.6.36

xt_CHECKSUM: remove the module

This is available in upstream Linux 2.6.36+.

build: remove support for Linux 2.6.35

xt_TEE: remove the module

This is available in upstream Linux 2.6.35+.

build: remove support for Linux 2.6.34

build: remove support for Linux 2.6.33

build: remove support for Linux 2.6.32

build: remove support for Linux 2.6.31

build: remove support for Linux 2.6.30

build: remove support for Linux 2.6.29

build: remove support for Linux 2.6.28

build: remove support for Linux 2.6.27

build: remove support for Linux 2.6.26

build: remove support for Linux 2.6.25

build: remove support for Linux 2.6.24

build: remove support for Linux 2.6.23

build: remove support for Linux 2.6.22

build: remove support for Linux 2.6.21

build: remove support for Linux 2.6.20

build: remove support for Linux 2.6.19

build: remove support for Linux 2.6.18

build: remove support for Linux 2.6.17

Xtables-addons 1.47.1

build: resolve compiler error

extensions/xt_psd.c:141:2: error: implicit declaration of function
'vmalloc' [-Werror=implicit-function-declaration]

Xtables-addons 1.47

xt_psd: replace vzalloc by vmalloc+memset

The lower support boundary is currently 2.6.32, but vzalloc is only
available since 2.6.37.

Merge branch 'psd'

xt_psd: add IPv6 support

Because most users will probably only use IPv4 psd, allocate most of the
state6 storage when the first IPv6 psd rule is added, and not at module
load time via .bss.

xt_psd: move IPv4 state locking responsibility to caller

The former psd_match function is now < 72 lines.

xt_psd: move L4 header fetching into helper

Also start splitting psd_match into two functions, one to do initial
sanity checking and header retrieval, one to do the actual work.

xt_psd: use tcph->dest directly

This allows us to move more code away from the main match function.

xt_psd: move table cleanup into helper

xt_psd: split struct host into generic and AF-dependent structure

xt_psd: remove unneeded variables, make hash unsigned

- dest port and dest address were only written, never read
- struct inaddr isn't needed either, just look at iph->saddr

xt_psd: move match functionality to helpers

Reduce line count and to allow code reuse when IPv6 support will be
introduced.

xt_psd: avoid if (c=h) do {..} while (c = c->next)

It is aquivalent to c=h; while (c) { ..; c = c->next; }
which is a bit easier to read.

xt_psd: move parts of main match function to helpers

The match function is way too large, start to split this into smaller
chunks.

xt_psd: consider protocol when searching port list

If we saw a TCP packet on port X, and we receive a UDP packet from the
same host to port X, we counted this as "port X", and did not see this
as a new packet.

Change compare to also consider protocol number and move it to a helper
to de-bloat the overlay large match function.

This change makes psd more aggressive with mixed TCP/UDP traffic.

Xtables-addons 1.46

doc: update xt_SYSRQ.man to reflect that the full IPv6 address is needed

xt_SYSRQ uses NIP6_FMT, so requires the expanded form for the digest.

Reported-by: Jan Krcmar <honza801@gmail.com>

build: remove extraneous closing bracket in configure.ac

Now autogen.sh will work without complaints.

TARPIT: fix memory leak when tarpit_generic() fails

Currently tarpit_generic() just returns on failure, but this does not
free nskb.

Signed-off-by: Josh Hunt <johunt@akamai.com>

extensions: fix ipv6_find_hdr upstream change fallout

Upstream commit v3.5-rc1~109^2~138^2~4 ("netfilter: ip6_tables: add
flags parameter to ipv6_find_hdr()") changed the offset parameter of
ipv6_find_hdr() to be an input-output value. Moreover, if it is
non-zero, it MUST point to a valid IPv6 header embedded in the
packet.

Xtables-addons 1.45

build: avoid use of unexported functions

Fixes: "WARNING 'ipv6_find_hdr' [xt_TARPIT.ko] not found" in
<= linux-2.6.37.

fix: "WARNING 'xtnu_ipv6_find_hdr' [.ko] not found"

Xtables-addons 1.44

build: do not attempt to build IPv6 parts if CONFIG_IP6_NF_IPTABLES=n

Checking for IPV6 is not sufficient, use IP6_NF_IPTABLES instead.

build: do not attempt to build IPv6 parts if CONFIG_IPV6=n

geoip: remove outdated instructions in xt_geoip_build

The manpage contains the authoritative description of options
currently supported.

SYSRQ: fix double target initialization at module load

Merge branch 'tarpit6'

doc: changelog entry for IPv6 TARPIT

compat_xtables: avoid compile abort on <= 2.6.37

TARPIT: enable IPv6 userspace support

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: resolve build errors with newer kernels

Adds fragment offset arg to ipv6_skip_exthdr() and also removes usage
of ipv6_addr_copy() in favor or direct assignment.

Signed-off-by: Josh Hunt <johunt@akamai.com>

compat_xtables: add xtnu_ipv6_skip_exthdr

TARPIT: add IPv6 support

This adds IPv6 support for the tarpit target. It performs the same
functionality as the v4 version, but with IPv6 connections.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: make tarpit code generic

Creates a generic function to perform the tcp header manipulation in.
Done in preparation for IPv6 support. This allows us to share code
between v4 and v6 processing.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_RESET to its own function

Moves XTTARPIT_RESET into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_HONEYPOT mode into its own function

Moves XTTARPIT_HONEYPOT into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_TARPIT mode processing to its own function

Moves the XTTARPIT_TARPIT mode processing to its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: mark oldtcphdr const

build: include <net/ip6_checksum.h> for csum_ipv6_magic

xt_ECHO fails to build on PPC because csum_ipv6_magic is declared in
<net/ip6_checksum.h>, which is not implicitly included from other
headers on PPC causing build failures due to this function being
undefined. So, include this header explicitly.

Note:  Same cause as <http://bugzilla.netfilter.org/show_bug.cgi?id=307>.

Xtables-addons 1.43

build: support for Linux 3.5

build: do not fail if AM_PROG_AR is not known

build: remove empty warning message

build: add missing include for xt_DNETMAP

xt_DNETMAP.c: In function 'dnetmap_tg_proc_write':
xt_DNETMAP.c:703:3: error: implicit declaration of function 'in4_pton'
[-Werror=implicit-function-declaration]

build: automake 1.12 wants me to use AM_PROG_AR

Merge branch 'psd_cleanups' of git://git.breakpoint.cc/fw/xtables-addons

psd: move defines to user/kernelspace part where possible

Some of these defines have no meaning in userspace, so there
is no need to make those available.

psd: reduce size of struct host

We can use u16, saving 8 bytes total (weight cannot exceed
PSD_MAX_RATE, 10000). Also re-format comments & struct initializers.

No functional changes.

psd: re-format comments

psd: add basic validation of userspace matchinfo data

psd multiplies weight_thresh by HZ, so it could overflow.

Userspace libxt_psd refuses values exceeding PSD_MAX_RATE, so check
that on kernel side, too.

Also, setting 0 weight for both privileged and highports will cause
psd to never match at all.

Reject 0 weight threshold, too because it makes no sense (triggers
match for every initial packet).

psd: rip out scanlogd leftovers

scanlogd remembers tcp flags and uses the *_CHANGING values in its
logger function to determine the best log format to use (e.g. TTL is
not logged if HF_TTL_CHANGING was set, as TTL values were different).

As psd does not log at all, we do not need track this.

Also get rid of bogus/misleading comments.

all: remove trailing squatspaces

DNETMAP version 2

- new type: static binding
- new persistent flag option for prefix
- add extra information in /proc/net/xt_DNETMAP/prefix_stat that
  includes the count of static bindings and persistent flag
- add proc interface write support (add/del/flush binding)
- updated manual

build: update installation requirements

Versions prior to 2.6.32 are not tested anymore due to make 3.82 being
troubled with an old ambiguous Makefile syntax.

build: limit xt_ECHO to kernel 3.x

(Would also work on 2.6.39, but eh.)

xt_psd: avoid crash due to curr->next corruption

curr->ports[] is of size SCAN_MAX_COUNT - 1, so under certain
conditions we wrote past end of array, corrupting ->next pointer
of the adjacent host entry.

Reported-and-tested-by: Serge Leschinsky <serge.leschinsky@gmail.com>

Xtables-addons 1.42

src: remove ipset6-genl

As scheduled, perform the removal of ipset from the tree.