manpages: generate manpages

manpages: remove diff markers from CHAOS,TARIPT

compat: resolve missing tcp_hdr and udp_hdr for xt_ipp2p

TEE: make skb writable before attempting checksum update

This also adds the compat function xtnu_skb_make_writable().

condition: resolve typesize compiler warning

Fix warning: field precision should have type "int", but argument 2
has type "long unsigned int".

Merge reworked "IPMARK" target

IPMARK: redo ipmark_tg_parse()

- check for illegal inversion on flags
- use param_act() and strtonum() instead of open-coded checks

IPMARK: style cleanup

IPMARK: IPv6 support

IPMARK: print --addr flag the usual way

IPMARK: omit printing unset mask

IPMARK: remove incorrect --and/--or check

It is perfectly valid for no --and-mask and also no --or-mask to
appear, in which case the IP(v4) address is taken as mark without
modification.

IPMARK: misc cleanups

- order #include lists
- const annotations, removal of casts
- add ipt_IPMARK alias
- make symbol names distinct

IPMARK: rebuild parameter structure (fixed-size types)

Rebuild the parameter structure to have fixed-size members only.

IPMARK: import 20080304 code base

With truly minimal changes to make it compile.

Merge reworked "ipp2p" match

ipp2p: add missing MODULE_ALIAS(ipt_ipp2p)

ipp2p: use c99 initializers in getopt structure

ipp2p: use param_act() for parameter validation

ipp2p: use OR in flag settings in libxt_ipp2p

ipp2p: enable experimental data stream analyzers

(get rid of "function unused" warnings)

ipp2p: internally simplify selecting protocol searches

ipp2p: guard against potential unaligned access

get_u16() and get_u32() may get passed unaligned pointers;
let's play it safe.

ipp2p: use auxiliary skb functions

ipp2p: static and const annotations, type usage

ipp2p: fix match function signature

ipp2p: adhere to codingstyle

ipp2p: remove compat and obsolete code

ipp2p: import 20080304 code base

Merge reworked "condition" match

condition: greatly improve processing speed

Replace the loop over all possible condvars by a simple deref. This
changes the runtime from O(n) to O(1) at the expense of only 8 bytes
for rule.

condition: squash variables

condition: remove support for nonstandard inversion

condition: reenable IPv6 support in userspace extension

condition: style cleanup

condition: rework condvar name check

Use memchr() instead of a for loop to detect '/' in the condvar name.
Also unconditionally disallow names starting with a dot.

condition: use appropriate types and return values

condition: use unique symbol names and rewrite init function

Use an array of xt_match for the match vtable.

condition: use new structure type

Use __u8 for the invert flag instead of int. Reduce CONDITION_NAME_LEN
from 32 to 31 so that the entire structure can fit into a cacheline.

condition: remove casts, add const qualifiers

condition: remove version #ifs and compat selectors

condition: import 20080125 code base

LOGMARK: fix comma output in ctstatus= list

LOGMARK: add hook= and ctdir= fields

compat: add ipv6_hdr

TEE: reenable header_ops check

compat: add check for pskb relocation

The Xtables-addons compat layer does not support pskb relocation
(result of possible memory allocation in kernels before 2.6.24) and
we just assume it does not happen. Add a check to warn if relocation
did happen and packet loss is to be expected.

ECHO: Catch skb_linearize out-of-memory condition

Makefile: support building multiple files with one config option

TEE: fix address copying bug

Add Kconfig descriptions for Chaostables, ECHO, geoip

Xtables-addons 1.5.3

Merge reworked geoip extension

Add xt_ECHO sample target

geoip: minor cleanups in help, opts and logic

geoip: use simpler, preprocessed integer vector lists and fix endian issue

The old database format was in unknown byteorder -- if you run the
converter program yourself, you got a host order file, but if you
downloaded the preprocessed DB file (geoipdb.bin), you got a
little-endian file.

Use a new database format. Instead of having an index and a DB file,
do away with the index and let the filesystem do the indexing, using
one file per country. Also access the database files with a known
endianess type. The converter script now produces two distinct
variants (especially needed for IA-64).

All of this reduces the touched code by half.

geoip: use appropriate and normal types

For the header file, we need __u32 and so on because they are exported
to userspace and rather constitute a kernel header.

Use normal types instead of uintXX_t in the main code.

geoip: use rcu to reduce time spinlocks are held

spin_lock_bh does not look safe (only disables preempt on current
CPU?). Change to spin_lock, that also avoids the management overhead
of spin_lock_bh. to spin_lock to avoid management overhead.

Use rcu in match and destroy function.

geoip: use real atomic_t and remove casts from uint32_t

geoip: use struct list_head instead of self-cooked list

geoip: use local-portable aligned_u64 pointer values

A 64-bit kernel will interpret the pointer with 64 bits width, while
a 32-bit userspace filled in only 32 of it, leaving the other 32
undefined. This must be avoided.

geoip: split user/kernel-visible parts of struct geoip_info

geoip: use vmalloc due to potential list size

The subnet list may become really large (United States: ~15000
entries), which means a use of roughly 120 KB, and kmalloc may fail
to find a contiguous block in physical memory. Virtual contiguity is
enough, so use vmalloc/vfree.

vfree may not be called within a spin_lock_bh area, so release the
lock first, it is safe to do so.

geoip: use a binary search to replace the current linear one

Certain countries have lots (around 10000) of IP address ranges
(US,GB,DE,...). The current linear search is really bad:

No firewall:
3000 packets transmitted, 3000 received, 0% packet loss, time 1992ms

Testing against the countries with top 50 IP ranges:
3000 packets transmitted, 3000 received, 0% packet loss, time 8998ms

With binary search:
3000 packets transmitted, 3000 received, 0% packet loss, time 2358ms

geoip: address comparison is inclusive

subnet is somewhat a wrong term, geoip actually uses ipranges. Either
way, the comparison needs to be >= and <= instead of > <.

geoip: lock timing correctness

find_node: The reference count needs to be increased while the lock
is held. Otherwise, the node may disappear right after the lock was
released and increase was attempted, leading to an oops.

remove_node: The reference count needs to be checked while the lock
is held. Otherwise, the node may be used in the match function or
returned from find_node while it has a zero refcount.

geoip: add missing kfree in error path

geoip: sort #include list

geoip: use tabs not spaces and indent

geoip: remove redundant casts

geoip: remove unused code and unneeded per-info refcount

- freeing userspace memory is not the kernel's job, really.
- checkentry is called exactly once, as is destroy.

geoip: import 20080214 code base

compat update: allow building from 2.6.18 onwards

Update .gitignore

Makefile: add missing xtables_CFLAGS variable

If xtables.h is to be found in a directory other than included in the
default preprocessor search path, compilation failed because the path
specified with --with-xtables= was not passed to gcc.

Xtables-addons 1.5.2

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Makefile: add "tarball" target

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Remove XTABLES_VERSION define, it is now provided by xtables.h

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Move defines in compat_xtables.h down to avoid redeclaration errors

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Use system's readlink program to make things work with GNU make < 3.81

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Xtables-addons 1.5.1

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Use AF_UNSPEC registration in libxt_LOGMARK

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Change IPTABLES_VERSION to XTABLES_VERSION

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Import Chaostables extensions

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Remove compat code for kernels below 2.6.22

Some code already uses ip_hdr() functions which did not exist in
2.6.21 and I do not feel like adding more compat code.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Update compat code for new 2.6.25 code

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

xt_LOGMARK: dump CLASSIFY mark, ctstate and ctstatus

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add support for external tarballs

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Allow external projects to be downloaded into the tree and used

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Allow user to select what extensions to compile and install

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Only include ksource header directory when explicitly specified

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Fixup compilation for kernels before 2.6.25

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Update package name and documentation

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add xt_LOGMARK (nfmark, ctmark, secmark logger)

xt_LOGMARK dumps the nfmark (packet mark), ctmark (connection mark)
and/or secmark to syslog.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add plural target (un)registration to compat glue

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Add a compat wrapper to make modules work with older Linux.

The extension modules use the API of a fairly recent kernel, if not
even the networking git tree. To make it work with older Linux
kernels, an API wrapper is added. Should compile against
running-kernels Linux 2.6.19..current (tested: 2.6.22..current).

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Initial commit.

Populate the iptables-addons repository with two modules, xt_TARPIT
and xt_TEE, as a starting point.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>