iptables: turn deprecation warning into enforcing mode

The deprecation warning was added 7 months ago in v1.4.2-rc1-13-g1eada72
with a warning "next release". Next release is coming up, so enforce it.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

extensions: add missing limits.h include

Thanks to Stephen Hemminger for noticing.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

include: resynchronize headers with 2.6.29-rc5

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxt_policy: use bounded strtoui

reqid and SPI can only have a value in the range 0..UINT32_MAX, not
the entire range of the "long" type. Also throw an error if the
incoming string does not look like a pure number.

"Replaces" commit 6db2ded2f22a7e78743c86af523b8430876582e9.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

extensions: remove unwanted/add needed includes for IPv4 exts

Most touched files do not use anything from ip_tables.h, so
remove that #include. multiport instead, does need it (ipt_entry).

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

extensions: remove unwanted/add needed includes for IPv6 exts

Most touched files do not use anything from ip6_tables.h, so
remove that #include. multiport instead, does need it (ip6t_entry).

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix exit_error to xtables_error

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: inline and remove unused OPTION_OFFSET macro

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

doc: resynchronize manpage with in-code help

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxt_policy: cannot set spi/reqid numbers higher than 0x7fffffff

http://bugzilla.netfilter.org/show_bug.cgi?id=577

When using the -m policy match, the option argument for --spi is converted
using strtol(), which returns a signed 32 bit value, so the highest
positive value is 0x7fffffff. Instead strtoul() should be used.
The same applies for the --reqid option argument.

Signed-off-by: Patrick McHardy <kaber@trash.net>

doc: do not put IPv4 doc into ip6tables.8

Reference: http://bugs.debian.org/515752
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: trigger reconfigure when extensions/GNUmakefile.in changes

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libiptc: make library available as a shared library

Tested-by: Jesper Dangaard Brouer <hawk@comx.dk>
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: general follow-up cleanup

Kill program_name, program_version and xtables_program_name.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

libxtables: consolidate init calls into one function

Introduce xtables_init_all() which hides three calls xtables_init(),
xtables_set_nfproto(), and xtables_set_params(). Make
ip[6]tables-restore, ip[6]tables-save and ip[6]tables-standalone use
it.

I moved xtables_set_params around for readability reasons.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

libxtables: consolidate merge_options into xtables_merge_options

Introduce xtables_merge_options() for re-use reasons. Apps can use it
instead of each defining their own merge_options(). Made iptables and
ip6tables use the new shared interface.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

build: remove unneeded -ldl from iptables_xml_LDADD

Addendum to commit 5c3e0767764bb7fa1db61ac326e8359161380e21.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: make iptables and ip6tables use xtables_free_opts

The patch modifies xtables_globals to introduce orig_opts and
xtables_free_opts() to emulate what free_opts used to do. We also get
rid of the copies of free_opts() that iptables and ip6tables keep.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

libxtables: add xtables_set_revision

Introduce xtables_set_revision() and make iptables and ip6tables use it.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

libxtables: set names of programs

Set proper name of application.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>

libipq: fix compile error

libipq.c: In function `ipq_create_handle':
libipq.c:220: error: `NFPROTO_IPV4' undeclared (first use in this function)
libipq.c:220: error: (Each undeclared identifier is reported only once
libipq.c:220: error: for each function it appears in.)
libipq.c:222: error: `NFPROTO_IPV6' undeclared (first use in this function)

Add the required includes.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: restructure Makefile for include/ directory

This patch will support adding libiptc to the headers list in future.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

doc: fix one layout issue in iptables-restore.8

Reference: http://bugs.debian.org/512281
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

doc: fix option typo in libxt_multiport

Reference: http://bugs.debian.org/511891
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libipq: add missing doc for NF_ values

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: flush before fork

Reference: http://bugs.debian.org/514869
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxt_string: fix undefined behavior/incorrect patlen calculation

strlen ran over the end of the string. Use strnlen to bound it.

Reference: http://bugs.debian.org/513516
Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: use const for vars holding literals

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Merge branch 'master' of git://dev.medozas.de/iptables

libxtables: simple aliasing macro for exit_error

Rename xtables_globals exit_error cb to exit_err and introduce
a very simple aliasing macro to point to it.
convert iptables, ip6tables and iptables_xml to use it.
Note iptables_xml does not have to define its own exit_error()
since it can use the basic one provided.

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxtables: Replace direct exit_error() calls inside libxtables

Replace direct exit_error() calls inside libxtables with
xt_params->exit_error().

With this change; i can now compile the useless app:
-----
 #include <xtables.h>
 int main(int argc, char **argv) {

        return 0;
 }
----

with "gcc useless.c -lxtables -ldl"

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxtables: Make ip6tables, iptables and iptables-xml use xtables_globals

convert ip6tables, iptables and iptables-xml to use
xtables_globals/xtables_set_params()

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxtables: Add exit_error cb to xtables_globals

Introduce exit_error() as part of xtables_globals structure.
When an application registers its xtables_globals definition
and does not specify its exit_error() it gets assigned a
basic version

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxtables: define xtables_free_opts()

Introduce xtables_free_opts() an xtables variant of
free_opts() which uses xtables_globals already set
by xtables_set_params(). The end goal is to have all internal
references in xtables.c use xtables_free_opts() instead of
depending on external defined free_opts()

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxtables: Introduce global params structuring

introduce a new struct,xtables_globals, so as to
localize the globals used and help in symbol renames.
The applications must invoke xtables_set_params() before starting
to use any iptables APIs.
xtables_set_params() is intended to free xtables from depending
(as it does right now) on existence of such externally definitions
(from iptables/iptables6 etc). At the moment, xtables wont even
compile without presence of at least one of {iptables/iptables6 etc}

Signed-off-by: Jamal Hadi Salim <hadi@cyberus.ca>
Signed-off-by: Patrick McHardy <kaber@trash.net>

src: consolidate duplicate code in iptables/internal.h

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: move compat defines to xtables.c

Addendum to commit v1.4.3-rc1-41-g77f48c2 where the macro users
got moved.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

src: remove unused ipt_tryload macro

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

src: remove iptables_rule_match indirection macro

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: decouple non-xtables parts from header

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: remove unused XT_LIB_DIR macro

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: move -ldl to proper LDADD

libxtables uses dlopen, so *it* has to use -ldl, not the main program.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: recognize IP6TABLES_LIB_DIR old-style environment variable

Commit v1.4.3-rc1-47-g300e290 tried to consolidate the environment
variable presence checking code into xtables.c, but missed
adding IP6TABLES_LIB_DIR to libxtables.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Merge branch 'master' of git://dev.medozas.de/iptables

xt_NFLOG: Set default NFLOG qthreshold to 0

By setting default NFLOG qthreshold to 0, userspace does not overwrite
the per-instance value.

Signed-off-by: Patrick McHardy <kaber@trash.net>

Merge branch 'origin/master'

(throw away remote three commits as they had been redone
in this local branch)

libxtables: move afinfo around

libxtables should not rely on the program executable providing the
magic constants for using [gs]etsockopt.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix names and order #3

This change affects:
find_{match,target} -> xtables_find_{match,target}
enum xt_tryload -> enum xtables_tryload
loose flags like DONT_LOAD -> XTF_DONT_LOAD

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libxtables: prefix names and order it #2

This change affects:
load_xtables_ko -> xtables_load_ko
modprobe_program -> xtables_modprobe_program
Now uses bool for the "quiet" flag.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libbxtables: prefix names and order it #1

It is good practice to prefix names in a library some way so that
it does not clash with external programs' variable names right
on the first try.

This change: rename fw_[cm]alloc to xtables_[cm]alloc and
move the definition from internal.h to xtables.h to avoid
potential compiler warnings.

These functions are intended to fix Jamal's dependency problem in
his tc's ipt action.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libxtables: prefix/order - move parse_protocol to xtables.c

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - move check_inverse to xtables.c

This also adds a warning that intrapositional negation support
is deprecated.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix - parse and escaped output func

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix - misc functions

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - ascii to ipaddr/ipmask input

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - ipaddr/ipmask to ascii output

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - param_act

Changes:
exittype -> xtables_exittype
P_* -> XTF_* flags

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - program_name

Split XTABLES_VERSION into xtables and iptables, and encode the
xtables soversion into the extensions instead. This makes it possible
to upgrade iptables without having to recompile 3rd-party extensions
(if the libxtables version matches, of course).

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - strtoui

This commit also throws out the redundant string_to_number_*.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - libdir

Consolidate the libdir variable initialization code into xtables.c.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - match/target loading

This change affects:
find_{match,target} -> xtables_find_{match,target}
enum xt_tryload -> enum xtables_tryload
loose flags like DONT_LOAD -> XTF_DONT_LOAD

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - modprobe and xtables.ko loading

This change affects:
load_xtables_ko -> xtables_load_ko
modprobe_program -> xtables_modprobe_program
Now uses bool for the "quiet" flag.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxtables: prefix/order - fw_xalloc

It is good practice to prefix names in a library some way so that
it does not clash with external programs' variable names right
on the first try.

This change: rename fw_[cm]alloc to xtables_[cm]alloc and
move the definition from internal.h to xtables.h to avoid
potential compiler warnings.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

extensions: use UINT_MAX constants over open-coded numbers (2/2)

Use the handy constants for ranges.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

extensions: use UINT_MAX constants over open-coded bits (1/2)

~0 depends on the sizeof(int), so it is better to use UINT32_MAX.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

libxt_owner: use correct UID/GID boundaries

-1 is a reserved number (chown uses it to denote "do not change"),
so the maximum libxt_owner should permit is up to UINT32_MAX-1.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

src: remove redundant casts

All of them are implicitly convertable without any wanted side effects.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

src: remove redundant returns at end of void-returning functions

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

man: fix physdev manpage

A sentence of the physdev module's help entry was truncated by the man
program because the line starts with a single quote.

Signed-off-by: Bart De Schuymer <bdschuym@pandora.be>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxt_owner: add more spaces to output

Commit bb9284d1 ("libxt_owner: add spaces to output") moved the printing
of spaces away from the owner_mt_print() function family, but forgot to
add spaces in all of the print_item() functions that are called.

This is likely to be at least the partial cause of
https://bugs.gentoo.org/show_bug.cgi?id=254435

Signed-off-by: Daniel Drake <dsd@gentoo.org>
Approves-of-this-patch: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

doc: augment ICMP manpage by type/code syntax

The ICMP match module also allows numeric type/code as in
"--icmp-type type/code". Document it.

Based upon a patch by Victor Stinner <vstinner@inl.fr>.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

doc: escape minus sign in manpage (2)

Addendum to previous patch.

build: remove non-portable rule

> Makefile.am:97: `%'-style pattern rules are a GNU make extension

(iptables still requires GNU make for extensions/, because it is
so much easier to write.)

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

build: use regular = assignments in Makefile

Resolves warnings:
Makefile.am:7: `:='-style assignments are not portable
Makefile.am:71: `:='-style assignments are not portable
etc.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

doc: escape minus sign in manpages

groff formats '-' as a hyphen, and '\-' is needed for a minus.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

doc: resynchronize markup in iptables,ip6tables.8.in

Change .br to .PP in the intro section and use consistent
paragraphing in later ones.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

doc: put iptables version into manpage

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: resolve autotools suggestions

libtool2 wants to put files into m4, so let it have it.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

env: augment deprecation notice

Tell the user what to use instead of IP*TABLES_LIBDIR.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rateest: guard against segfault

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables-save: output ! in position according to manpage

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

src: remove unused include files

No .c files include any of these - in fact they seem to be remnants
missed during commit b1f568309a09e61f892dee3c23279cecff0b0ff4 -
so remove them.

Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: guard chain index allocation for different malloc implementations

Some libc implementations such as µClibc return NULL on malloc(0).
They are free to do that per C standard.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signeed-off-by: Patrick McHardy <kaber@trash.net>

doc: fix a typo in libip6t_REJECT.man

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

src: remove inclusion of iptables.h

iptables.h and ip6tables.h only include declarations internal to
iptables (specifically iptables.c and ip6tables.c), as most of the
public API has been moved to xtables.h a few months ago.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

iptables: refer to dmesg when we hit error

This does not make any better, but at least refer to
dmesg which is the common source of information to diagnose
kernel-side problems. This is helpful for newbie users.

# iptables -I INPUT -j CLUSTERIP
iptables: Invalid argument. Run `dmesg' for more information.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

state: report spaces in the state list parsing

This patch adds better error reporting when the user inserts a space
between two states with the --state option.

iptables -I INPUT -m state ESTABLISHED, RELATED
                                       ^
  mind the space

results in:

iptables v1.4.2-rc1: Bad state `'
Try `iptables -h' or 'iptables --help' for more information.

Now this returns:

iptables v1.4.2-rc1: `--state' requires a list of states with no
spaces, e.g. ESTABLISHED,RELATED

This patch also applies to libxt_conntrack which has a copy of the
function.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: fix error reporting with wrong/missing arguments

This patch fixes wrong error reporting when arguments are missing:

# iptables -I INPUT -m state --state
iptables v1.4.2-rc1: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.

or wrong:

# iptables -I INPUT -m state --xyz
iptables v1.4.2-rc1: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: use NFPROTO_ constants

Resync netfilter.h from the latest kernel and make use of the new
NFPROTO_ constants that have been introduced.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

src: reuse the global modprobe_program variable

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Bump version to 1.4.3-rc1

libxt_conntrack: dump ctdir

Sent in as part of a larger private mail by Gáspár Lajos
<swifty@freemail.hu>; I cherry-picked the ctdir part.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: make sockfd a per-handle thing

Get away from this singleton.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libxt_conntrack: respect -n option during ruledump

Reference: http://bugs.debian.org/502548

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: use hex output for hookmask

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: remove unused iptc_get_raw_socket and iptc_check_packet

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: remove indirections

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

libiptc: remove typedef indirection

Don't you hate it when iptc_handle_t *x actually is a double-indirection
struct iptc_handle **? This also shows the broken constness model, since
"const iptc_handle_t x" = "iptc_handle_t const x" =
"struct iptc_handle *const x", which is like no const at all.
Lots of things to do then.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Add SCTP/DCCP support to NAT targets

Signed-off-by: Patrick McHardy <kaber@trash.net>

manpage: explain what rule-specification is

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>
Signed-off-by: Patrick McHardy <kaber@trash.net>