Fixes missing '6' and 'X' in definitions of selinux related extension lists.

Remove libip6t_state.c. libxt_state.c supports IPv6.

Unifies libip[6]t_udp.man to libxt_udp.man

Removes libip6t_u32.man

libxt_u32.man already exists.

Unifies libip[6]t_physdev.man to libxt_physdev.man

Unifies libip[6]t_mark.man to libxt_mark.man

Unifies libip[6]t_mac.man to libxt_mac.man

Unifies libip[6]t_limit.man to libxt_limit.man

Unifies libip[6]t_esp.man to libxt_esp.man

Unifies libip[6]t_NFQUEUE.man to libxt_NFQUEUE.man

Move libipt_tcpmss.man to libxt_tcpmss.man for ip6tables.8

Move libipt_string.man to libxt_string.man for ip6tables.8

Move libipt_state.man to libxt_state.man for ip6tables.8

Move libipt_sctp.man to libxt_sctp.man for ip6tables.8

Move libipt_quota.man to libxt_quota.man for ip6tables.8

Move libipt_pkttype.man to libxt_pkttype.man for ip6tables.8

Move libipt_helper.man to libxt_helper.man for ip6tables.8

Move libipt_hashlimit.man to libxt_hashlimit.man for ip6tables.8

Move libipt_dscp.man to libxt_dscp.man for ip6tables.8

Move libipt_dccp.man to libxt_dccp.man for ip6tables.8

Move libipt_connmark.man to libxt_connmark.man for ip6tables.8

Move libipt_connbytes.man to libxt_connbytes.man for ip6tables.8

Move libipt_comment.man to libxt_comment.man for ip6tables.8

Move libipt_NOTRACK.man to libxt_NOTRACK.man for ip6tables.8

Move libipt_DSCP.man to libxt_DSCP.man for ip6tables.8

Moves libipt_CONNMARK.man to libxt_CONNMARK.man for ip6tables.8

Moves libipt_CLASSYFY.man to libxt_CLASSYFY.man for ip6tables.8

Fix connlimit output for inverted --connlimit-above: ! > is <=, not <

iptables/libiptc perf issue: Sorting chain during pull-out

Performance optimize scalability issue:
  Sorting chain during pull-out give worst-case runtime O(Chains2).

When pulling out the blob, every chain name is inserted alphabetically
into a linked list (by function iptc_insert_chain()).  The problem
with this approach is that the chain names delivered in the blob is
already sorted (as we push it back to the kernel sorted).

This cause chain parsing to always process every element in the chain
list and finish with a tail add.  Causing worst-case runtime O(C2/2)
for alphabetically sorting of chains.

The patch solves this by only calling iptc_insert_chain() when
creating new chains.

Signed-off-by: Jesper Dangaard Brouer <hawk@comx.dk>

Add NFLOG manpage

iptables: always print mask in iptables-save

iptables prints the mask as a prefix length if it is valid;
This patch makes iptables-save do the same.

Also, iptables-save will always print "/32" in the "-s addr/32"
case now. This reduces the amount of code external parsing scripts
need to provide to properly parse iptables-save output.

ip6tables-save already does the right thing, so no change there.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

iptables: move manpage

Rename libipt_{time,u32}.man to libxt_{time,u32}.man to go
in line with the C files.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

iptables: fix check_inverse() call

Fix a typo in call to check_inverse().

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Fix make/compile error for iptables-1.4.0rc1

Fixing a make/compile issue with iptables, release candidate 1.4.0rc1,
which has existed since SVN changeset 6920.  This patch adds ip_tables.h
and ip6_tables.h, and updates x_tables.h, taken from Linus'es git tree.

Changeset 6920 added the include file x_tables.h from kernel source, but
didn't add ip_tables.h and ip6_tables.h.

At some point (Tue Nov 14 19:48:48 2006, by Yasuyuki Kozakai) these
kernel headers where changed, which actually removes certain
depencencies from ip_tables.h and ip6_tables.h to x_tables.h.

If compiling will fail, with old kernel headers (ip_tables.h and
ip6_tables.h) available in systems include path, because they depend on
certaine defines in x_tables.h with is missing in the version in SVN.

Jesper Brouer <jdb@comx.dk>

PATCH - Fix for --random option in DNAT and REDIRECT

The --random option produces "Unknown arg `--random'" errors with both the
DNAT and REDIRECT targets. Corrected by the attached patch.

Tom Eastep <teastep@shorewall.net>

Document xt_statistic (Stefano Sabatini <stefano.sabatini-lala@poste.it>)

iptables-edit: iptables-edit: adds --table to iptables-restore

adds --table to iptables-restore which allows to restore only the supplied table

Signed-off-by: Peter Warasin <peter@endian.com>

let DO_MULTI=1 work for ip6tables* binaries part 2

Sorry forgot to mention that the "ip6tables-multi.c" (in the patch) which is
not in the repository has to be manually added.

Hann-huei Chiou <koala@ascenvision.com>

Introducing libxt_*.man files. Sorted matches and modules

The iptables.8 and ip6tables.8 man pages are now generated from libxt_*.man
files too. For xtables modules one man page is enough with libxt_ prefix.

The match and target lists are sorted alphabetically.

The make command doesn't print anything when creates man pages.

Signed-off-by: Laszlo Attila Toth <panther@balabit.hu>

let DO_MULTI=1 work for ip6tables* binaries

When defining DO_MULTI=1 in Makefile, only iptables is built as
a single multipurpose binary. This patch makes ip6tables also be
built in the same manner.

Hann-huei Chiou <koala@ascenvision.com>

Transfer all my copyright over to our company.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Don't silenty exit on failure to open /proc/net/{ip,ip6}_tables_names

Victor Stinner <victor.stinner@inl.fr>

Fix the compile warning fix

According to Jan:

While the fields of struct xt_time are uints, the defined
time_t span is by definition 0..231-1, i.e. it should be
INT_MAX, not UINT_MAX.

Fix compiler warning on 64 bit: date_stop is an u_int32_t, so use UINT_MAX instead of LONG_MAX

extension/sctp: fix - mistake to pass a pointer where array is required

Macros like SCTP_CHUNKMAP_XXX(chukmap) require chukmap to be an array,
but print_chunks() passes a pointer to these macros.

Li Zefan <lizf@cn.fujitsu.com>

[PATCH iptables] print warnings to stderr

iptables prints some of its error messages and warnings to stdout.
This patch applies to svn r7075 and will make iptables print
diagnostic messages to stderr instead.

Signed-off-by: Max Kellermann <max@duempel.org>

Install ip6tables-{save,restore} manpages

Fix sscanf type errors

Add ip6tables-{save,restore} to non-experimental target, fix strict aliasing warnings

bump version to 1.4.0rc1

make print-extensions doesn't show libxt_* extensions

In extensions/Makefile the variable PFX_EXT_SLIB_OPTS is not appended to
OPTIONALS, therefor 'make print-extensions' doesn't show any optional
libxt_* extension.

Sebastian Claßen <sebastian.classen@freenet.ag>

Unique symbols and no '&' characters

Removing '&' from .._match and ..._target variables.
Give all symbols unique names.

Signed-off-by: Laszlo Attila Toth

Remove redundant dst/hbh lines

Remove hbh stuff from libip6t_dst,
remove dst stuff from libip6t_hbh.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique symbols 6/6

Give symbols of libxt targets unique names (3/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 5/6

Give symbols of libxt matches unique names (3/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 4/6

Give symbols of libxt targets unique names (2/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 3/6

Give symbols of libxt matches unique names (2/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 2/6

Give symbols of libxt targets unique names (1/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique symbols 1/6

Give symbols of libxt matches unique names (1/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

No ipt in xt

Cease using ipt_entry_match (replaced by xt_entry_match).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Constify data structures

Constify more data structures. Make functions static.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->print() and ->save() functions

Deletes empty ->print() and ->save() functions.
ip[6]tables prints the trivial thing automatically.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->final_check() functions

Deletes empty ->final_check() functions, and makes ip[6]tables
checks for NULL on these.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->init() functions

Deletes empty ->init() functions. ip[6]tables already
checks for .init being NULL or not.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Remove stray NULLs

Mixing member accessors (non-named vs named) is not good.
Remove stray NULL.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Addrtype match: renaming functions

The function names in libipt_addrtype.c makes debugging hard, also I renamed them
prefixed by 'addrtype_'.

Laszlo attila toth <panther@balabit.hu>

Couldn't load/find match `u32'

iptables (up to 0927 snapshot) keeps complaining of "Couldn't
load (or find, if NO_SHARED_LIBS=1) match `u32'. After comparing
with other libxt_*.c, I found that there's no member ".family"
in the "u32_reg" structure, while ".family = AF_INET6" exists
in "u32_reg6"

Hann-Huei Chiou <koala@ascenvision.com>

Add the libxt_time iptables match

This is libipt_time from POM-ng enhanced by the following:

 * day-of-month support (for example "match on the 15th of each month")
 * inversion support for --weekdays and --monthdays
 * match against UTC or local timezone
 * a manpage

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Fix u32 warnings

warning: format '%ld' expects type 'long int', but argument 3 has type 'int'.

With %u alone, you would get "but arg-start is long" warnings on x64.
With %lu, you would get "but arg-start is int" on x86.
Fix it up by explicitly deciding for one (%u and cast to unsigned int)
and using that.

Jan Engelhardt <jengelh@computergmbh.de>

Adds u32 to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Fix unused function warning

Fix more sparse warnings: non-C99 array declaration, incorrect function prototypes

Fix sparse warnings: non-ANSI function declarations, 0 used as pointer

Makefile for man pages of xtables extensions (Laszlo Attila Toth <panther@balabit.hu>)

 * no extra target/match by default  :)
 * man page of fix modules (PF_EXT_SLIB etc.) plus optional
  (...SLIB_OPTS)  modules generated, but not all.
 * because of the previous one I had to rename PF_EXT_SE_SLIB to
   PF_EXT_SELINUX_SLIB etc. as a non-optional variable, original
   PF_EXT_SE_SLIB gets the value of PF_EXT_SELINUX_SLIB if DO_SELINUX is
   set to 1.

Remove unsupported connrate extension

Build manpages for xtables extensions (Laszlo Attila Toth <panther@balabit.hu>)

Fix aligned_u64 type on 64 bit: its an unsigned long, not an unsigned long long.
Fixes compiler warning in quota match.

Fix strict aliasing warnings

Build IPv6 hbh/dst matches unconditionally

Build IPv6 rt match unconditionally

Build ipv6header match unconditionally

Build IPv6 mh match unconditionally

Resync header files and build IPv6 frag match unconditionally

Resync header file and build IPv6 ah match unconditionally

Build IPv6 REJECT target unconditionally

Resync header file and build CLUSTERIP target unconditionally

Build recent match unconditionally

Build dccp match unconditionally

Build string match unconditionally

Build statistic match unconditionally

Build connbytes match unconditionally

Build quota match unconditionally

Build NFLOG target unconditionally

Remove last vestiges of NFC (Peter Riley <Peter.Riley@hotpop.com>)

Fix dscp match manpage (zhangxiliang <zhangxiliang@cn.fujitsu.com>)

The description for the value in option "-m dscp -dscp" should be
modified to 0~63.

The option can match 6 bit DSCP field within the TOS field in the IP
header. So the range for the option should be 0~(26-1) that is 0~63.

Resync ip6t_REJECT.h with kernel - seems the entire time we had an imcompatible
header :(

Noticed by Peter Riley <Peter.Riley@hotpop.com>

In <xsl:param name="$node"/>, "$node" is not a valid QName.

See http://www.w3.org/TR/xslt#variables

Dan Nicholson <dbn.lists@gmail.com>

Add IPv6 support to statistic match

Add IPv6 support to helper match

Add IPv6 support to connbytes match