xa-d-m: remove superfluous protos

Merge branch 'api35'

compat_xtables: more 2.6.35 support

compat_xtables: move to 2.6.35 xt_action_param (3/3)

Since the last merge of the "api35" branch, further changes were
included into nf-next. This set of three commits updates the
xtables-addons API to match that.

compat_xtables: move to 2.6.35 xt_action_param (2/3)

compat_xtables: move to 2.6.35 xt_action_param (1/3)

compat_xtables: move 2.6.28+ xtnu_target_run code

compat_xtables: remove unused list member from xtnu_{match,target}

compat_xtables: annotate struct xtnu_{match,target}->name

compat_xtables: improve memory usage in struct xtnu_{match,target}

xt_quota2: reduce printf complexity

Xtables-addons 1.26

compat_xtables: fix 2.6.34 compile error due to a typo

Xtables-addons 1.25

Merge branch 'tee'

xt_TEE: move skb cleanup outwards

xt_TEE: remove debug printks

xt_TEE: use nf_conntrack_untracked

No reason having to use our own nf_conntrack bucket.

Merge branch 'condition'

xt_condition: use non-interruptible check routine

Patrick McHardy let's it be known: "No need for interruptible locking,
the section is very short and usually there's only a single iptables
process running at a time."

xt_condition: remove unnecessary RCU protection

The module does not use the RCU mechanism, so calling
list_add_rcu/list_del_rcu does not make much sense either.

Merge branch 'api35'

compat_xtables: correct compile errors

xt_TEE: use less expensive pskb_copy

build: do not print enter/exit during banner

Merge branch 'tee'

Merge branch 'api35'

compat_xtables: move to 2.6.35 API for targets

xt_TEE: new loop detection logic

xt_TEE: remove old loop detection

The loop detection does not work if the kernel is built without
conntrack. In fact, since cloned packets are sent directly and do not
pass through Xtables, there are no loops happening.

xt_TEE: do not retain iif and mark on cloned packet

Patrick McHardy explains in [1] that locally-generated packets (such
as the clones xt_TEE will create) usually start with no iif and no
mark value, and even if cloned packets are a little more special than
locally-generated ones, let's do it that way.

[1] http://marc.info/?l=netfilter-devel&m=127012289008156&w=2

xt_TEE: do not limit use to mangle table

xt_TEE: free skb when route lookup failed

xt_TEE: set dont-fragment on cloned packets

xt_TEE: avoid making original packet writable

There is not any real need to make the original packet writable, as it
is not going to be modified anyway.

xt_TEE: decrease TTL on cloned packet

xt_TEE: do rechecksumming in PREROUTING too

xt_TEE: use ip_send_check instead of open-coded logic

xt_SYSRQ: do not print error messages on ENOMEM

Memory allocation failures are usually already reported by SLAB and
the ENOMEM error code itself.

compat_xtables: move to 2.6.35 API for matches

build: add a version banner on make modules

Because the build error logs of module-assistant are totally useless,
as the tarball filename has been stripped of the version, and
configure is not run either.

doc: put --with-xtlibdir in the spotlight

Too many people forget to specify the proper location...

Xtables-addons 1.24

xt_SYSRQ: drop unprocessed packets

Revert "xt_TEE: cosmetic replace a version check"

This reverts commit ab13e58f96e759be0f54837a8d5e87ab6bd1b8e9.

Whoops. There is no mark at all before 2.6.19.

modules: replace AF/PF with NFPROTO

extensions: replace AF/PF with NFPROTO

Needs one update of netfilter.h to something recent, too.

build: fix build of userspace modules against old headers from linux-glibc-devel

modules: replace AF/PF with NFPROTO

modules: strip unneeded XT_ALIGN from matchsize/targetsize

The x_tables kernel part already does calculate it.

modules: remove XT_ALIGN(0) lines

xt_condition: remove some blank lines

xt_condition: switch semaphore to a mutex

xt_SYSRQ: allow processing of UDP-Lite

xt_SYSRQ: fix wrong define for crypto inclusion

xt_TEE: cosmetic replace a version check

SYSRQ: let module load when crypto is unavailable

ipp2p: bittorrent commands

After testing I decide to write my patch to bittorrent GET commands
from xt_ipp2p.c because old procedure is useless for modified and/or
private trackers.

BTW: info_hash may be 3rd argument, passkey (private trackers) may be
1st argument (or not) etc. so we need to search.

compat_xtables: add a memmem function

This will be needed by xt_ipp2p right away.

Xtables-addons 1.23

build: support for Linux 2.6.34

doc: changelog update

SYSRQ: make IPv6 optional

In case the kernel is built without IPv6 support the compilation of
this module fails as it assumes IPv6. This patch makes kernel support
conditional on kernel .config.

RAWNAT: make IPv6 optional

In case the kernel is built without IPv6 support the compilation of
this module fails as it assumes IPv6. This patch makes kernel support
conditional on kernel .config.

RAWNAT: do not build ip6table_rawpost if IPv6 is not enabled

length2: guard off IPv6-only functions

doc: a few extra words to pkgconfig overriding

doc: improve documentation for using non-standard location of libxtables

How to use PKG_CONFIG_PATH. Get rid of remaining references to
recently removed --with-xtables flag.

doc: remove unnecessasry --with-xtables option

build: remove unnecessasry --with-xtables option

Jonas Berlin notes that --with-xtables only emitted a -I parameter
and -L was absent.

On second look, we would also be missing -Wl,-rpath, and that would
all be system-dependent. The --with-xtables option is actually not
needed; one can easily specify extra include directories and linker
flags by means of overriding libxtables_CFLAGS and libxtables_LIBS
(even when there are no installed pkgconfig files for libxtables).

build: remove unused kinclude_CFLAGS

build: remove unused --with-ksource option

ECHO: update to use skb_dst

ipset: update to 4.2

Xtables-addons 1.22

build: fix installation when only modules in subdirs are enabled

In case only modules that are built in subdirectories of extensions
are enabled (and thus nothing is build in extensions directory itself)
installation fails with the error (only build_ACCOUNT=y in mconfig):

install -pm0755
"/vt/portage/tmp/portage/net-firewall/xtables-addons-1.21/image/
//usr/local/libexec/xtables";
install: missing destination file operand after
"/vt/portage/tmp/portage/net-firewall/xtables-addons-1.21/image/
//usr/local/libexec/xtables"
Try `install --help' for more information.
make[3]: *** [install] Error 1

doc: update changelog

geoip: use /usr/share/xt_geoip instead of /var/geoip

quota2: add a no-change mode

This commit adds an option to xt_quota2 called "no-change". The
effect of this option, when used, is that it will skip incrementing
or decrementing the quota counter, effectively providing a quota test
only.

The reason for implementing this is so that I could have a rule check
if quota is available for a rule in the PREROUTING tables, without
actually decrementing the amount of available quota. I only wanted to
decrement the amount of available quota in the FORWARD rule.
Otherwise, the first packet of every connection would be counted
twice.

ipset: build ip_set_setlist.ko module

Not sure if this was overlooked, or if it is not in a suitable state
for general use, but lets give it a shot and see how it works.

Signed-off-by: Kevin Locke <kevin@kevinlocke.name>
[j.eng: it was overlooked]

Rename skb->iif to skb->skb_iif for 2.6.32+

The rename occurred in v2.6.32-rc7-1555-g8964be4, which will hit
mainline in 2.6.33.

Signed-off-by: Kevin Locke <kevin@kevinlocke.name>

Xtables-addons 1.21

ACCOUNT: avoid collision with arp_tables setsockopt numbers

doc: add example usage to libxt_TEE.man

doc: fix option mismatch --gw/--gateway (2)

doc: fix option mismatch --gw/--gateway in libxt_TEE.man

Xtables-addons 1.20

pknock: avoid compiler warnings for !PK_CRYPTO case

xt_pknock.c: In function "update_peer":
xt_pknock.c:890:3: warning: implicit declaration of function "pass_security"
xt_pknock.c: In function "pknock_mt":
xt_pknock.c:1030:5: warning: implicit declaration of function "is_close_knock"

pknock: reverse control flow for next patch

ipset: fast forward to v4.1

ipset/doc: clarify terms "ip" and "cidrsize"

IP refers to Internet Protocol; adding "address" is therefore beneficial.
The CIDR size is better known as "prefix length".

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

ipset/doc: escape dashes in manpage

(Hyphens remain unescaped.)

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

ipset/doc: make emphasis markup consistent

Consistently apply markup so that only replaceable items are italic,
and only items to be typed verbatim are bold. Also apply the command
syntax "BNF" (where and when to use [], {}) that is used in the
iptables manpages to ipset.8.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

ipset/doc: fix an unbalanced tag

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

ipset: fast forward to v4.0

ipset: do install manpage

iptaccount: fix a compile warning

iptaccount.c: In function 'addr_to_dotted':
iptaccount.c:42: warning: implicit declaration of function 'htonl'

build: link to libxtables_LIBS

This should make AutoReqProv (or equivalent) do the dependencies
instead of manually having to specify it.

build: consolidate xtables_CFLAGS and libxtables_CFLAGS

There was one variable too much around.

build: offer LDLIBS placeholder