Merge branch 'ipv4options'

libxt_ipv4options: add manpage

Add a reworked IPv4 options match - xt_ipv4options

This revision 1 of ipv4options makes it possible to match the
presence or absence of any of the 32 possible IP options, either all
or any of the options the user specified.

Xtables-addons 1.12

build: fix compile issues with <= 2.6.19

Resolve compile breakage from commits
36f80be2f7d496469690045d7dc754cfd0e02cb0 and
7b9ca945d4be0d6a12511a434ab329f3ad2b218d.

ipset: fast forward to 2.5.0

xt_TEE: enable routing by iif, nfmark and flowlabel

Patrick McHardy suggests in
http://marc.info/?l=netfilter-devel&m=123564267330117&w=2 that
routing should handle the clone more like its original.

xt_LOGMARK: print incoming interface index

build: silence warning about ignored variable

The warning was:

config.status: WARNING: 'extensions/ipset/GNUmakefile.in'
seems to ignore the --datarootdir setting

xt_TEE: resolve unknown symbol error with CONFIG_IPV6=n

WARNING: xt_TEE.ko needs unknown symbol ip6_route_output

Signed-off-by: Florian Westphal <fwestphal@astaro.com>

revert "TEE: do not use TOS for routing"

Revert commit f77a8e2eda03d6a33d71987a17bdee55128476f2.

Patrick McHardy suggests in
http://marc.info/?l=netfilter-devel&m=123564267330117&w=2 that
routing should handle the clone more like its original.

xt_lscan: rename from xt_portscan

doc: ipset: replace RW_LOCK_UNLOCKED

ipset uses RW_LOCK_UNLOCKED directly, but this is not quite right,
and causes compilation errors with 2.6.29-rt.

ipset: replace RW_LOCK_UNLOCKED

ipset uses RW_LOCK_UNLOCKED directly, but this is not quite right,
and causes compilation errors with 2.6.29-rt.

doc: remove old path examples

doc: add changelog

build: make kbuild call obey V

build: trigger configure when GNUmakefile.in changed

Xtables-addons 1.10

doc: add precise version information to INSTALL document

ipset: upgrade to ipset 2.4.9

Update .gitignore

compat: compile fixes for 2.6.29

2.6.29 removes at least NIP6, and NIPQUAD is scheduled to follow.

Xtables-addons 1.9

ipset: bump version to 2.4.7

Moving from ipset 2.4.5 to 2.4.7. Upstream changed, but
the Xtables-addons copy did not (issues were not present):

>2.4.7
>  - Typo which broke compilation with kernels < 2.6.28
>    fixed (reported by Richard Lucassen, Danny Rawlins)
>
>2.4.6
>   - Compatibility fix for kernels >= 2.6.28

TEE: remove calls to check_inverse

ipp2p: version bump

For cosmetics, or so. The recent bugfix warrants this I'd say.

Add xt_length2

xt_length2 provides exact layer-4,-5 and -7 length matching
besides the preexisting layer-3 length match.

Xtables-addons 1.8

Merge branch 'TEE6'

Merge branch 'TEE'

Merge branch 'ipp2p'

TEE: collapse tee_tg_send{4,6}

TEE: IPv6 support for iptables module

Merge branch 'TEE' into TEE6

TEE: iptables -nL and -L produced conversely output

TEE: limit iptables module to NFPROTO_IPV4

The code here is only usable with IPv4.

ipp2p: partial revert of 3c8131b9

Revert part of 3c8131b976d2fb61c8e54437658bc632b46fd77f.

The transport header offset is not (yet) set by the time Netfilter
is invoked so using tcp_hdr/udp_hdr has undefined behavior.

ipp2p: add boundary check in search_all_kazaa

To avoid underflow on "end - 18", we must check for plen >= 18.

portscan: update manpage about --grscan caveats

ipp2p: remove log flooding

Syslog was flooded by lots of messages due to if (plen >= 5) firing
on any packet, when it should have been plen < 5. Incidentally, this
turned up that plen also takes on huge nonsense values, assuming
underflow - yet to be investigated.

ipp2p: update help text

More suggestions from Stanley Pinchak.

ipp2p: update manpage

(With suggestions from Stanley Pinchak.)

Xtables-addons 1.7

Merge branch 'ipp2p'

ipp2p: ensure better array bounds checking

Merge branch 'SYSRQ'

xt_SYSRQ: src: prefix variables

xt_SYSRQ: make new code compile for kernel <= 2.6.23

xt_SYSRQ: improve security

I want to be able to use SYSRQ to reboot, crash or partially diagnose
machines that become unresponsive for one reason or another. These
machines, typically, are blades or rack mounted machines that do not
have a PS/2 connection for a keyboard and the old method of wheeling
round a "crash trolley" that has a monitor and a keyboard on it no
longer works: USB keyboards rarely, if ever, work because by the time
the machine is responding only to a ping, udev is incapable of
setting up a new keyboard.

This patch extends the xt_SYSRQ module to avoid both disclosing the
sysrq password and preventing replay. This is done by changing the
request packet from the simple "<key><password>" to a slightly more
complex "<key>,<seqno>,<salt>,<hash>". The hash is the sha1 checksum
of "<key>,<seqno>,<salt>,<password>". A request can be constructed in
a small shell script (see manpage).

Verification of the hash in xt_SYSRQ follows much the same process.
The sequence number, seqno, is initialised to the current time (in
seconds) when the xt_SYSRQ module is loaded and is updated each time
a valid request is received. A request with a sequence number less
than the current sequence number or a wrong hash is silently ignored.
(Using the time for the sequence number assumes (requires) that time
doesn't go backwards on a reboot and that the requester and victim
have reasonably synchronized clocks.)

The random salt is there to prevent pre-computed dictionary attacks
difficult: dictionary attacks are still feasible if you capture a
packet because the hash is computed quickly -- taking perhaps several
milliseconds to compute a more complex hash in xt_SYSRQ when the
machine is unresponsive is probably not the best thing you could do.
However, cracking, say, a random 32 character password would take
some time and is probably beyond what the people in the target
untrustworthy environment are prepared to do or have the resources
for. It almost goes without saying that no two victim machines should
use the same password.

Finally, the module allocates all the resources it need at module
initialisation time on the assumption that if things are going badly
resource allocation is going to be troublesome.

ipp2p: fix newline inspection in kazaa

LFCR looks suspect, it should most likely be CRLF.

ipp2p: kazaa code cleanup

doc: add manpages for xt_ECHO and xt_TEE

TEE: IPv6 support

TEE: various cleanups, add comments

Normalize function names in light of upcoming IPv6 support.
Reformat other lines.
Add comment note about tee_send4.

TEE: do not use TOS for routing

Otherwise the cloned packet may be subject to more policy routing
rules than expected.

ipset: enable building of new modules

Whoops, modules need to be listed in GNUmakefile.in!
(Needed for out-of-srcdir builds.)

build: use new vars from automake-tranquility-3

build: do not unconditionally install ipset

build_ipset=n was not completely respected and the ipset userspace
parts were still installed. This is now fixed.

src: avoid use of _init

Xtables-addons's extensions will always be built as modules, so it is
safe to use __attribute__((constructor)).

xt_ECHO: compile fix

Xtables-addons 1.6

Update for Linux 2.6.28

ipset: upgrade to ipset 2.4.5

src: use NFPROTO_ constants

src: add NULL to sentinel struct option

ipset: upgrade to ipset 2.4.4

ipset: upgrade to ipset 2.4.3

build: use readlink -f

Coreutils 5.x does not know `readlink -e`; we can also use
`readlink -f` instead which is supported by 5.x.

ipp2p: parenthesize unaligned-access macros

Support for Linux 2.6.17

Resolve compiler warnings in xt_ECHO

Reported-by: Jiri Moravec <jim.lkml@gmail.com>

src: compile fixes for 2.6.18 and 2.6.19

I did not test f30793f591debd2644b60b9449acd334f1f8f757 on all
supported kernel versions and noticed too late.

Xtables-addons 1.5.7

xt_SYSRQ: add missing aliases

xt_portscan: IPv6 support

src: remove redundant return statements

build: remove dependency on netinet/in6.h

DHCP address match and mangler

src: move to a pskb-based API

It occurred that skb reallocation does happen on older kernels, and
those kernels should really be supported, since the patch is really
minimal.

xt_condition: ues glue-provided init_net__proc_net

Merge reworked fuzzy extension

fuzzy: IPv6 support

fuzzy: misc cleanup

fuzzy: remove unneeded spinlock

fuzzy: import 20050627 code base

Automatically run `depmod -a`

ipset: adjust semaphore.h include for kernel >= 2.6.27

As of Linux kernel commit 2351ec533ed0dd56052ab96988d2161d5ecc8ed9,
semaphore.h was moved from asm/ to linux/, which breaks building of
ipset. Add compat glue to ip_set.c to fix building on 2.6.27 an
onwards.

xt_SYSRQ: fix compilation for Linux kernel version <= 2.6.19

Clear hotdrop before use

Must make sure that hotdrop is properly initialized. GCC
unfortunately did not warn.

libxt_geoip: reorder option parsing code

build: prepare make tarball for git 1.6.0

Xtables-addons 1.5.5

cleanup [KM]build layout

SYSRQ target

Update license texts

compat: properly clamp return value from skb_make_writable()

src: compile fixes after libiptc dependency throwout

Remove dependency on CONFIG_NETWORK_SECMARK

Merge branch 'ipset'