Add new exit value to indicate concurrency issues (Jesper Dangaard Brouer <hawk@comx.dk>)

trivial connlimit manpage fix (Phil Oester <kernel@linuxace.com>)

Use lowercase letters for match name (Simon Lodal <simonl@parknet.dk>)

Add information about :<port> syntax (Evan Miller <evanm@frap.net>)

secmark: Add libip6t_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

D'oh .. I'm not too smart, forgot to add the new files in the previous patches :)

secmark: Add libipt_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libip6t_SECMARK

This patch adds the shared library module for the SECMARK target (IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libipt_SECMARK

This patch adds the shared library module for the SECMARK target (IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libselinux support

This patch adds the infrastructure for linking iptables against
libselinux, for use with the SECMARK target.  This is enabled
by setting DO_SELINUX=1 in the build environment.

Signed-off-by: James Morris <jmorris@namei.org>

Add DCCP/SCTP support to multiport. Patch for kernel will go in 2.6.18.

Replace annoying "Something wrong... deleting dependencies" message by something more useful.

Don't overwrite errno with return value of setsockopt (which is -1 on error).
Fixes "Unknown error 4294967295" message (bugzilla #460).

Revert incorrect fix for "Unknown error 4294967295" problem

When entering an invalid command (such as iptables -A INPUT -j MARK --set-mark
1), the error message "Unknown error 4294967295" is displayed; (Closes: #460)

In ip[6]tables.c, NUMBER_OF_OPT was increased to 12 for the OPT_COUNTERS
option.  However, the new array element is not initialized in either
commands_v_options[NUMBER_OF_CMD][NUMBER_OF_OPT] or
inverse_for_options[NUMBER_OF_OPT]. (Closes: #462)

cmdflags is used in cmd2char() to return the option for a command.  It uses the
bit position of the command mask as an index in the array.  There's no entry for
CMD_CHECK (0x0800U), so lookups for CMD_RENAME_CHAIN (0x1000U) index outside the
array. (Closes: #463)

[IPTABLES,IP6TABLES]: check invalid esp spi range

[IP6TABLES] kill manual comparing protocol name with "ipv6-icmp".

fix loading shared library of ICMPv6 match.

The current ip6tables tries to load libip6t_icmp6.so when user types
'ip6tables -p icmpv6 ...' or 'ip6tables ... -m icmpv6' ...', and it fails.

This patch renames libip6t_icmpv6.c to libip6t_icmp6.c so that ip6tables
can load it. Now kernel module and user library has same name 'icmp6'.
It can reduce confusion about name mismatch. That's why I renamed it
instead of reverting change in find_match() which brought this bug.

This patch keeps compatibiity and we can use '-p icmpv6', '-p ipv6-icmpv6',
'-m icmpv6', '-m ipv6-icmpv6', and '-m icmp6', as ever.

[IPTABLES,IP6TABLES]: fix the path to detect esp/connbytes support in kernel

The recent kernels don't have ipt_connbytes.c and ip6t_esp.c.

Correct iptables-save output of osf module (Daniel De Graaf)

don't allow to specify protocol of IPv6 extension header (Yasuyuki Kozakai)

Sometimes I hear that people do 'ip6tables -p ah ...' which never matches
any packet. IPv6 extension headers except of ESP are skipped and invalid
as argument of '-p'. Then I propose that ip6tables exits with error in such
case.

Multiple matches of the same type can be specified on the commandline.

If two or more matches of the same type are detected then the options
are assumed to be grouped in order to tell which option belongs
to which match:

... -m foo ... <options0> ... -m foo ... <options1> ...

Otherwise the commandline parsing is unmodified.

Make '-p all' a special case that is handled before calling getprotoent() (Closes: #446)

fix double-free if a single match is used multiple times within a signle rule
(Closes: #440).  However, while this fixes the double-free, it still doesn't make iptables
support two of the same matches within one rule.  Apparently the last matchinfo is copied into all the previous
matchinfo instances.

don't install libiptc.a

fix segfault or loading of invalid counters in ip[6]tables-restore (Olaf Rempel) (Closes: #437)

make policy match compile independant of kernel headers

Some !%$!*##$@ has modified the kernel include/linux/netfilter_ipv4/ipt_sctp.h
file in a way that breaks userspace :(

fix ipt_conntrack compilation against very early (2.4.0) kernel releases

remove other bits of old ip pool code, people should use ipset (ipset.netfilter.org) these days

remove ippool

Prepare policy match for x_tables unification by making sure both
ipt_policy and ip6t_policy use the same data structure.

fix 'save' (Michael Rash)

major manpage update (Yasuyuki Kozakai)

Add 'copy+paste' support for 'state' and 'connmark' match, as well as
'CONNMARK' target for ip6tables / nf_conntrack_l3proto_ipv6.  This is a temporary solution for the iptables-1.3.x branch, since the 1.4.x branch will have proper support.

add note about deprecated state

fix spelling 'adress' -> 'address' (Closes: #431) (MJ Anthony)

Fix "empty policy element" complaining in non-strict mode.
Noticed by Tom Eastep <teastep@shorewall.net>.

Clarify --tunnel-src/--tunnel-dst options

Move empty policy element check to also catch last element

Don't allow using --next option without specifying a policy element

Fix invalid assignment of tunnel-src to dest address (Patrick McHardy)

Add documentation for string match (Pablo Neira)

Fix probing for supported revisions (Jones Desougi <jones@ingate.com>)

Bugzilla #413

fix iptables-save of 'goto' target (Closes: #410)

Add note that TCPMSS is only valid in the mangle table (not true today, but maybe someday)

fix compilation of iptables on [old] systems that don't have IPT_F_GOTO

note that we can only delete chains that are empty

tcp-rst is the alias, not tcp-reset (Torsten Hilbrich)

Add policy match extensions from patch-o-matic

Fix some gcc-4 warnings

Don't eat numeric arguments for other extensions

The conntrack match does not print any info for --ctproto, thus
breaking iptables-restore of any rules using this option.  Below
patch adds output and closes bug #398. (Phil Oester)

only set revisions on real targets, not on jumps. (Pablo Neira)

- Fix memory leak in TC_COMMIT()  (Markus Sundberg)
- Cleanup error path of TC_COMMIT()
- Correctly propagate errors of setsockopt to calling function

add 'goto' support (Henrik Nordstrom <hno@marasystems.com>)

fix connmark, it's now only 32bits (Deti Fliegl <deti@fliegl.de)

We'ver screwed this up with the 2.6.14 release.  It refuses any mask that
extends 32bits.  We should have fixed this by adding a new target/match
revision, but now it's too late anyway :(

about to release 1.3.4

The conntrack match extension doesn't handle address inversion correctly. (Tom Eastep)

Kernels higher than 2.6.10 don't support multiple --to arguments in
DNAT and SNAT targets.  At present, the error is somewhat vague:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables: Invalid argument

But if we want current iptables to work with kernels <= 2.6.10, we
cannot simply disallow this in all cases.

So the below patch adds kernel version checking to iptables, and
utilizes it in [DS]NAT.  Now, users will see a more informative error:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables v1.3.3: Multiple --to-source not supported

This generic infrastructure (shamelessly lifted from procps btw) may
come in handy in the future for other changes.

This fixes bugzilla #367. (Phil Oester)

* specifying random seed for the Jenkins hash works as documented
* iptables-save seems to work now

Signed-off-by: KOVACS Krisztian <hidden@balabit.hu>
Signed-off-by: Harald Welte <laforge@netfilter.org>

Add the aligned_u64 typedef, it's defined in linux/types.h in the kernel.
We can't include that header since it conflicts with sys/types.h

Make libipt_connbytes.c compile with the ipt_connbytes version that has been merged into the 2.6 kernel

Update manpage to reflect missing ability to SNAT to multiple ranges in 2.6.11-rc1 and later

Update manpage to reflect missing NAT to multiple ranges support in 2.6.11-rc1 and later.

update string match to reflect new kernel implementation (Pablo Neira)

Note which kernel versions are affected by REJECT change (Maciej Soltysiak)

add support for new 'dccp' protocol match

port Eric Leblond's NFQUEUE missing-break fix to ip6tables

Add missing 'break' to make parsing of NFQUEUE numbers work (Eric Leblond)

_really_ sort only user defined chains (Robert de Barth <list-netfilter@debarth.co.uk>

1.3.3 release

The call to free_opts() in merge_options() is invalid C. The oldopts
argument always refers to the memory pointed to by the opts global,
which may be freed by the call to free_opts(), but oldopts is used
after the free_opts() call. This patch makes sure we don't use freed
memory.  (Marcus Sundberg <marcus@ingate.com>)

ip6tables merge by myself.

update manpage to reflect QUEUE / nfnetlink_queue / NFQUEUE changes

Fix NAT of ICMP ID ranges (Patrick McHardy)

get rid of numerous gcc-4 warnings

add NFQUEUE support for ipv4 and ipv6

fix various missing header file / #define issues on old kernels.  I've now tested compilation with kernels starting 2.4.17

we need to have this header file included, since old kernels don't define IP6T_LOG_UID.

bump version number to 1.3.2

add note to https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=334

attempt to fix save/restore of '! --uid-owner squid' problem as reported by Costa Tsaousis (backport from ipv4 owner)

add pointer to bugzilla

we don't have any counter issues in sparc64

Add --log-uid support to libip6t_LOG (Patrick McHardy <kaber@trash.net>)

fix deletion of targets where kernel size != userspace size (Pablo Neira)

reduce code replication of parse_interface() (Yasuyuki Kozakai)

This patch prevents user to set negative port value of SNAT/DNAT.
(Yasuyuki Kozakai)

Chain name should not start with '!' (Yasuyuki Kozakai <yasuyuki.kozakai@toshiba.co.jp>)

Flush chain with noflush when it is redefined (Charlie Brady <charlieb-netfilter-devel@budge.apana.org.au>)

OSF: lib_ipt.c changes to support connector notifications (Evgeniy Polyakov <johnpol@2ka.mipt.ru>)

update multiport manpage (Phil Oester <kernel@linuxace.com>)

Fix CONNMARK save/restore (Tom Eastep <teastep@shorewall.net>, Pawel Sikora <pluto@agmk.net>)

Release previously merged options from merge_opts(), reduces memory-usage of iptables-restore dramatically (Pablo Neira)

While adding testing for inversion of multiport, noticed that documentation about --ports is *wrong*.  Ports do not have to be equal: either dest or src being in list is enough for match.

include FIN bit in mask of "--syn" bits

Ignore unknown arguments in libipt_ULOG (Patrick McHardy <kaber@trash.net>)

Fix connbytes command line parsing bug (Piotrek Kaczmarek <kaczorek@daleka.net>)