nft: remove license for header file

No tradition in the project to include the header file in .h file.
This one is also internal - not exported.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-save: add -4 and -6 support

Now you can specify:

 xtables-save -6 > my-ip6tables-ruleset

to dump the IPv6 rule-set.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-restore: add -4 and -6 support

Now you can specify:

 xtables-restore -6 < my-ip6tables-ruleset

to restore the IPv6 rule-set.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

nft: Split nft core to become family independant

This makes nft core code independant from the family. Each family needs
to implement and provide a struct nft_family_ops {}.

This split will ease the future support of bridge and arp rules manipulations.

[ updated header files and rebased upon the current tree --pablo ]

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

add xtables-events

Add new program to listen to rule updates:

shell$ xtables-events
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-D INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-D INPUT -m state --state ESTABLISHED -j ACCEPT

You can use `-c' option to display counters.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: ipv6: fix -D with -p

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: ipv6: add missing break in nft_parse_payload_ipv6

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: ipv6: fix wrong error if -p is used

shell$ xtables -6 -I INPUT -p tcp --dport 22 -j ACCEPT
xtables v1.4.15: -f is not valid on IPv6
Try `xtables -h' or 'xtables --help' for more information.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

nft: fix crash if TRACE is used

And any other match and target with no save function defined.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-restore: support test option `-t'

You can now test if a rule-set is correct.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: nft: add protocol and flags for xtables over nf_tables

Add protocol and flags for the compatibility layer.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-restore: support atomic commit

Use new services in nf_tables to support atomic commit.

Commit per table, although we support global commit at once,
call commit for each table to emulate iptables-restore
behaviour by now.

Keep table dormant/wake up code in iptables/nft.c as it can
be used in the future.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: purge out user-define chains from the kernel

xtables-restore has to purge out user-defined chains that are
not defined in the configuration file.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: fix compilation warning

xtables-standalone.c: In function ‘xtables_main’:
xtables-standalone.c:64:2: warning: implicit declaration of function ‘do_commandx’ [-Wimplicit-function-declaration]

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-restore: fix custom user chain restoration

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: add IPv6 support

Summary of changes to add IPv6 support to the xtables utility:

* modify all commands (add, delete, replace, check and listing) to
  support IPv6 addresses.

And for the internal nft library:

* add family to struct nft_handle and modify all caller to use this
  family instead of the hardcoded AF_INET.
* move code that we can re-use for IPv4 and IPv6 into helper functions.
* add IPv6 rule printing support.
* add support to parse IPv6 address.

Pablo added several improvements to this patch:

* added basic xtables-save and xtables-restore support (so it defaults
  to IPv4)
* fixed a couple of bugs found while testing
* added reference when -f is used to point to -m frag (until we can make
  this consistent with IPv4).

Note that we use one single xtables binary utility for IPv4 and IPv6.

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables: fix crash due to using wrong globals

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

nft: adapt chain rename to recent Patrick's updates

This patch gets existing code in sync with Patrick's chain
renaming new approach.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xtables-restore: add support for dormant tables

This patch adds support for dormant tables for xtables-restore.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: nft: use chain types

We use the new special chain types defined in the kernel.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: nft: use 64-bits handle

Now that we use that in kernel space and in libnftables.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: nft: remove __nft_check_rule

Rework code to remove __nft_check_rule and split it into
logical fragments.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: nft: move priority to chain instead of table

NAT table uses different chain priorities, adapt the existing
code to allow this.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

headers: remove unused compatibility definitions

They belong to nf_tables_compat.h

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

nft: fix missing rule listing in custom chains with -L

Reported-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: nft: Add support for -R option

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

iptables: nft: Refactor __nft_rule_check to return rule handle when relevant

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

iptables: nft: Fix -D chain rulenum option

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

nft: Add support for chain rename options (-E)

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

headers: Make nf_tables.h up to date

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

iptables: nft: add -f support

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rework automatic creation of built-in table and chains

This patch reworks the automatic creation of built-in table and
chains. Now it initializes all built-in chains belonging a table
at once.

This happens with commands: -P, -A, -I, -N

Note that xtables skips chain initialization if it notices that
the table already exists in the kernel.

Thanks to Tomasz Bursztyka for spotting problems with -N.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

automatic creation of built-in table and chains

In order to emulate the iptables behaviour, this patch changes
the current behaviour to:

1st) check if the table and chains are built-in.
2nd) If they don't exists, create them. If they exists, don't touch
     them.

The automatic creation happens in the -I and -P paths.

We should provide a new command to allow to delete (unregister)
built-in tables and chains. It would be similar to unloading
the iptable_X module that registers the custom table.

This is not done for other commands like -C or -D since they
will fail while trying to find the rule in the kernel if such
combination of chain and table does not exists.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

use nf_tables and nf_tables compatibility interface

This patch adds the following utilities:

* xtables
* xtables-restore
* xtables-save
* xtables-config

They all use Patrick's nf_tables infrastructure plus my compatibility
layer.

xtables, xtables-restore and xtables-save are syntax compatible with
ip[6]tables, ip[6]tables-restore and ip[6]tables-save.

Semantics aims to be similar, still the main exception is that there
is no commit operation. Thus, we incrementally add/delete rules without
entire table locking.

The following options are also not yet implemented:

-Z (this requires adding expr->ops->reset(...) so nft_counters can reset
    internal state of expressions while dumping it)

-R and -E (this requires adding this feature to nf_tables)

-f (can be implemented with expressions: payload 6 (2-bytes) + bitwise a&b^!b + cmp neq 0)

-IPv6 support.

But those are a matter of time to get them done.

A new utility, xtables-config, is available to register tables and
chains. By default there is a configuration file that adds backward
compatible tables and chains under iptables/etc/xtables.conf. You have
to call this utility first to register tables and chains.

However, it would be possible to automagically register tables and
chains while using xtables and xtables-restore to get similar operation
than with iptables.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: Add IPv4/6 IPcomp match support

This patch enables user to set iptables ACTIONs for IPcomp
flow specified by its SPI value.

For example:
iptables  -A OUTPUT -p 108 -m ipcomp --ipcompspi 0x12 -j DROP
ip6tables -A OUTPUT -p 108 -m ipcomp --ipcompspi 0x12 -j DROP

IPcomp packet with spi as 0x12 will be dropped.

Signed-off-by: Fan Du <fan.du@windriver.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: don't include tests in released tarball

Do not include all our .t test files in releases. Skip
iptables-tests.py script as well.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables-save: remove dlfcn.h include

It's not required and breaks on static-only uClibc builds which don't
have the header file.

Signed-off-by: Gustavo Zacarias <gustavo@zacarias.com.ar>
Signed-off-by: Florian Westphal <fw@strlen.de>

Merge branch 'stable-1.4.20'

... to get 76e230e ('iptables: link against libnetfilter_conntrack'),
else static build doesn't work.

Conflicts:
extensions/GNUmakefile.in

[ CPPFLAGS was added in master, so keep it ]

Reported-By: Gustavo Zacarias <gustavo@zacarias.com.ar>

iptables 1.4.21 release

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

utils: nfsynproxy: fix error while compiling the BPF filter

Fix the following error while running nfsynproxy here:

 pcap_compile: not-yet-activated pcap_t passed to pcap_compile

According to what I have read, we have to compile the filter
once the pcap_t handle has been activated.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_set, libxt_SET: check the set family too

Do not accept silently sets with wrong protocol family but reject
them with an error message. It makes straightforward to catch user
errors.

[ Use afinfo instead to avoid a binary interface update --pablo ]

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

utils: add nfsynproxy tool

[ Originally synconf, but Jesper D. Brouer suggested to change
  the name to avoid a possible filename clash. I also include
  nfsynproxy in the final configure report --pablo ]

Signed-off-by: Patrick McHardy <kaber@trash.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: add SYNPROXY extension

Signed-off-by: Patrick McHardy <kaber@trash.net>

extensions: libxt_cluster: add note on arptables-jf

Gao feng reported problems while getting the cluster match working with
arptables. This patch adds a note in the manpage to warn about the arptables-jf
syntax, which is different from mainstream arptables.

Reported-by: Gao feng <gaofeng@cn.fujitsu.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

ip6tables: Use consistent exit code for EAGAIN

As of commit 056564f6a (Add new exit value to indicate concurrency
issues), the IPv4 iptables binary returns exit status 4 to indicate that
the kernel returned EAGAIN when trying to update a table.  But ip6tables
still returns exit status 1 under the same circumstances.  Update
ip6tables to bring it in line with iptables behavior.

Signed-off-by: Kevin Cernekee <cernekee@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: spurious error in load_extension

In commit 927385017047d (iptables: improve error reporting with extension
loading troubles), a new error message was added in an attempt to handle
the case where a match does not support a particular protocol family.
For instance, attempting to use the osf match on IPv6.

Unfortunately, this error message now triggers when creating a new chain
which has the same name as a match extension, because iptables calls
xtables_find_target with the name of the new chain to verify it does not
clash with an existing target.  For example:

    # iptables -N tcp
    /usr/lib/xtables/libxt_tcp.so: no "tcp" extension found for this protocol

I attempted to resolve this by adding a new XTF flag, but that required changes
in many different places (including -j handling).  It seems easiest just to
remove this warning and stick with the original error message of ENOENT, even
if less than precise.

Signed-off-by: Phil Oester <kernel@linuxace.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

iptables: improve chain name validation

As pointed out by Andrew Domaszek, iptables allows whitespace to be included in
chain names.  This causes issues with iptables-restore, and later iptables
actions on the chain.  Attached patch disallows whitespace, and also consolidates
all chain name checking into a new function.

This closes netfilter bugzilla #855.

[ Included ip6tables changed as well --pablo ]

Signed-off-by: Phil Oester <kernel@linuxace.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_MARK: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_owner: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libip6t_DNAT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_SNAT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_TEE: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_physdev: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_iprange: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_quota: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_cpu: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_dscp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libip6t_REJECT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_multiport: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_ULOG: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_conntrack: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_limit: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libip6t_eui64: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_DSCP: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_TOS: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_TRACE: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_ECN: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_standard: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_MASQUERADE: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_NOTRACK: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_sctp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_REJECT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_mark: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_nfacct: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_rateest: add unit test

based on tests/options-most.rules

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_string: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_state: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_CT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_pkttype: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_ttl.t: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_NFQUEUE: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libipt_icmp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_helper: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_esp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_dccp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_NFLOG: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_tos: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_tcp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_udp: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_length: add unit test

based on tests/options-most.rules

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_time: add unit test

based on tests/options-most.rules

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_hashlimit: add unit test

based on tests/options-most.rules

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_CONNMARK: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_connmark: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_connlimit: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_connbytes: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_CLASSIFY: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_CHECKSUM: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_AUDIT: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

extensions: libxt_comment: add unit test

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>