build: properly detect versions like "2.6.36+"

xt_iface: allow matching against incoming/outgoing interface

build: autodetect value for --with-xtlibdir

libxt_gradm: match packets based on status of grsecurity RBAC

This patch adds a module which is useful to users of grsecurity's RBAC
system. It matches packets based on whether RBAC is enabled or
disabled.

See: http://grsecurity.net/

Signed-off-by: Anthony G. Basile <basile@opensource.dyc.edu>
Jan Engelhardt> Also, I do not see a xt_gradm.c in this patch.

This [xt_gradm.c] is part of the grsecurity patch which not only adds
the Xtables code, but also the RBAC code. Without the entire RBAC
stuff, xt_gradm does not make sense and so it is included with the
grsecurity patch to the kernel, and not this patch to Xtables-addons.

>Can you elaborate a bit on how this is useful in conjunction with
>rulesets? I could imagine it be used with LSM selctx'es for example,
>or another extension that tests for other RBAC attributes.

The idea here is that when the RBAC rulesets are not being enforced,
the system is more vulnerable and the user wants stricter firewall
rules. When RBAC is being enforced, one can relax the firewall and
access to services which are now better protected. In practice this
usually means allowing only access to some trusted IP(s) on boot
before RBAC is turned on.

doc: update changelog

xt_iface: reorder code for upcoming address checking

From now on, info->flags lists the flags to test, not just the flags
to test positively for.

xt_iface: reduce indent by early return

xt_iface: move XT_IFACE_IFACE out of the public header

This flag is only used by the userspace component, so remove it from
the kernel header. Also change the value to 1<<16 for the same reason.

build: respect LDFLAGS on make

Without setting these variables, ./configure LDFLAGS=-m32
would have no effect.

build: improve detection of kernel version and error handling

Thanks to Arkadiusz Miskiewicz from PLD for reporting.

make: *** kernelrelease: No such file or directory. Stop.
Found kernel version "...0" in
ERROR: That kernel version is not supported. Please see
INSTALL for minimum configuration.

ACCOUNT: remove uses of obsolete IPT_CONTINUE

And replace by XT_CONTINUE, to avoid compilation errors in 2.6.37.

LOGMARK: print remaining ct lifetime

Xtables-addons 1.30

mconfig: deactivate building of xt_TEE and xt_CHECKSUM

ipset: update to 4.4

Xtables-addons 1.29

build: add workaround for beoken linux-glibc-devel (2)

build: add workaround for broken linux-glibc-devel 2.6.34 userspace headers

build: support for Linux 2.6.36

TEE: resolve compile error with Linux 2.6.36-rc

xt_TEE.c:54:19: error: request for member "dst" in something not a
structure or union
xt_TEE.c:55:20: error: "struct rtable" has no member named "u"

Linux kernel commit v2.6.36-rc1~571^2~616 changed this.

SYSRQ: resolve compile error with Linux 2.6.36-rc

xt_SYSRQ.c:156:3: error: too many arguments to function 'handle_sysrq'

Linux kernel commit v2.6.36-rc3~19^2~5 changed it and finally removed
the last unused argument.

ipset: update to 4.3+git3

ipset: bump version number

Basically Xtables-addons's copy of ipset is already functionally equal
to ipset 4.3 thanks to our compat_xtables layer (and our modifications
in ipset/ to use it).

ipset: enable building of ip_set_ipport{ip,net}hash.ko

compat_xtables: return bool for match_check and target_check (doc)

compat_xtables: return bool for match_check and target_check in 2.6.23..34

Reported-by: Tomasz Pala <gotar@polanet.pl>

doc: add API helper files

These files should be a very quick reference to the Xtables APIs of
previous Linux kernel versions and Xtables-addons. Their contents have
been reformatted so as to be usable with diff -u.

configure: pkglibexecdir requires automake >= 1.10.2

Xtables-addons 1.28

geoip: add -D option to geoip_build_dir.pl

This option allows to specify a particular output directory. This help
Makefiles in that they do not need to use cd.

geoip: add .gitignore

geoip: rename original script to build_db

geoip: import scripts for building the xt_geoip database

xt_length2: IPv6 jumbogram support

doc: keep manpage ordered

`find` could return entries out of order.

xt_CHECKSUM: use xtables_param_act

xt_CHECKSUM: only use __u* in public header files

xt_CHECKSUM: remove unnecessary header inclusions

doc: update geoip db url

My hopto.org zone disappeared after I left it unattended...

xt_CHECKSUM: remove pointless $

xt_CHECKSUM: initial import

This adds a "CHECKSUM" target, which can be used in the iptables mangle
table.

You can use this target to compute and fill in the checksum in a packet
that lacks a checksum. This is particularly useful, if you need to work
around old applications such as dhcp clients, that do not work well with
checksum offloads, but don't want to disable checksum offload in your
device.

The problem happens in the field with virtualized applications. For
reference, see Red Hat bz 605555, as well as
http://www.spinics.net/lists/kvm/msg37660.html

Signed-off-by: Michael S. Tsirkin <mst@redhat.com>

xt_SYSRQ: fix a couple of problems

The first problem is that the error response from crypto_alloc_hash()
should be extracted from the pointer before setting the pointer to NULL.

The second error is that only the first half of the password hash is
checked which slightly weakens the password checking.

Signed-off-by: John Haxby <john.haxby@oracle.com>

xt_geoip: fix possible out-of-bounds access

It is possible for geoip_bsearch() to pick mid == sizeof(subnets).

Consider a set with a single entry and a "address to test"
higher than the range:

1st call: lo = 0, hi = 1 -> mid will be 0
2nd call: lo = 1, hi = 1 -> mid will be 1

On the 2nd call, we'll examine random data.

Reported-by: Florian Westphal <fw@strlen.de>

RAWNAT: IPv6 variants erroneously rejected masks /33-/128

build: make configure CFLAGS=-ggdb3 have effect on .so files

RAWNAT: fix incorrect mask in rawnat_ipv6_mask

I really think it is a typo mistake. :)

Signed-off-by: Changli Gao <xiaosuo@gmail.com>

Merge remote branch 'sf/master'

build: update tarball target

Xtables-addons 1.27

xa-d-m: remove superfluous protos

Merge branch 'api35'

compat_xtables: more 2.6.35 support

compat_xtables: move to 2.6.35 xt_action_param (3/3)

Since the last merge of the "api35" branch, further changes were
included into nf-next. This set of three commits updates the
xtables-addons API to match that.

compat_xtables: move to 2.6.35 xt_action_param (2/3)

compat_xtables: move to 2.6.35 xt_action_param (1/3)

compat_xtables: move 2.6.28+ xtnu_target_run code

compat_xtables: remove unused list member from xtnu_{match,target}

compat_xtables: annotate struct xtnu_{match,target}->name

compat_xtables: improve memory usage in struct xtnu_{match,target}

xt_quota2: reduce printf complexity

Xtables-addons 1.26

compat_xtables: fix 2.6.34 compile error due to a typo

Xtables-addons 1.25

Merge branch 'tee'

xt_TEE: move skb cleanup outwards

xt_TEE: remove debug printks

xt_TEE: use nf_conntrack_untracked

No reason having to use our own nf_conntrack bucket.

Merge branch 'condition'

xt_condition: use non-interruptible check routine

Patrick McHardy let's it be known: "No need for interruptible locking,
the section is very short and usually there's only a single iptables
process running at a time."

xt_condition: remove unnecessary RCU protection

The module does not use the RCU mechanism, so calling
list_add_rcu/list_del_rcu does not make much sense either.

Merge branch 'api35'

compat_xtables: correct compile errors

xt_TEE: use less expensive pskb_copy

build: do not print enter/exit during banner

Merge branch 'tee'

Merge branch 'api35'

compat_xtables: move to 2.6.35 API for targets

xt_TEE: new loop detection logic

xt_TEE: remove old loop detection

The loop detection does not work if the kernel is built without
conntrack. In fact, since cloned packets are sent directly and do not
pass through Xtables, there are no loops happening.

xt_TEE: do not retain iif and mark on cloned packet

Patrick McHardy explains in [1] that locally-generated packets (such
as the clones xt_TEE will create) usually start with no iif and no
mark value, and even if cloned packets are a little more special than
locally-generated ones, let's do it that way.

[1] http://marc.info/?l=netfilter-devel&m=127012289008156&w=2

xt_TEE: do not limit use to mangle table

xt_TEE: free skb when route lookup failed

xt_TEE: set dont-fragment on cloned packets

xt_TEE: avoid making original packet writable

There is not any real need to make the original packet writable, as it
is not going to be modified anyway.

xt_TEE: decrease TTL on cloned packet

xt_TEE: do rechecksumming in PREROUTING too

xt_TEE: use ip_send_check instead of open-coded logic

xt_SYSRQ: do not print error messages on ENOMEM

Memory allocation failures are usually already reported by SLAB and
the ENOMEM error code itself.

compat_xtables: move to 2.6.35 API for matches

build: add a version banner on make modules

Because the build error logs of module-assistant are totally useless,
as the tarball filename has been stripped of the version, and
configure is not run either.

doc: put --with-xtlibdir in the spotlight

Too many people forget to specify the proper location...

Xtables-addons 1.24

xt_SYSRQ: drop unprocessed packets

Revert "xt_TEE: cosmetic replace a version check"

This reverts commit ab13e58f96e759be0f54837a8d5e87ab6bd1b8e9.

Whoops. There is no mark at all before 2.6.19.

modules: replace AF/PF with NFPROTO

extensions: replace AF/PF with NFPROTO

Needs one update of netfilter.h to something recent, too.

build: fix build of userspace modules against old headers from linux-glibc-devel

modules: replace AF/PF with NFPROTO

modules: strip unneeded XT_ALIGN from matchsize/targetsize

The x_tables kernel part already does calculate it.

modules: remove XT_ALIGN(0) lines