Build IPv6 hbh/dst matches unconditionally

Build IPv6 rt match unconditionally

Build ipv6header match unconditionally

Build IPv6 mh match unconditionally

Resync header files and build IPv6 frag match unconditionally

Resync header file and build IPv6 ah match unconditionally

Build IPv6 REJECT target unconditionally

Resync header file and build CLUSTERIP target unconditionally

Build recent match unconditionally

Build dccp match unconditionally

Build string match unconditionally

Build statistic match unconditionally

Build connbytes match unconditionally

Build quota match unconditionally

Build NFLOG target unconditionally

Remove last vestiges of NFC (Peter Riley <Peter.Riley@hotpop.com>)

Fix dscp match manpage (zhangxiliang <zhangxiliang@cn.fujitsu.com>)

The description for the value in option "-m dscp -dscp" should be
modified to 0~63.

The option can match 6 bit DSCP field within the TOS field in the IP
header. So the range for the option should be 0~(26-1) that is 0~63.

Resync ip6t_REJECT.h with kernel - seems the entire time we had an imcompatible
header :(

Noticed by Peter Riley <Peter.Riley@hotpop.com>

In <xsl:param name="$node"/>, "$node" is not a valid QName.

See http://www.w3.org/TR/xslt#variables

Dan Nicholson <dbn.lists@gmail.com>

Add IPv6 support to statistic match

Add IPv6 support to helper match

Add IPv6 support to connbytes match

Add IPv6 support to DSCP target

Add IPv6 support to CLASSIFY target

Unifies libip[6]t_TRACE into libxt_TRACE

Unifies libip[6]t_NFLOG into libxt_NFLOG

Revert commit 6990.
That log is not correct and .NF_LOG-testx has incorrect mode.

Unifies libip[6]t_state into libxt_state

Unifies libip[6]t_state into libxt_state

Unifies libip[6]t_connmark into libxt_connmark

Unifies libip[6]t_hashlimit into libxt_hashlimit

Unifies libip[6]t_MARK into libxt_MARK

Unifies libip[6]t_CONNSECMARK into libxt_CONNSECMARK

Add IPv6 support to CONNMARK match

Tries to load libxt_*.so at first.
If failed, it tries libip[6]t_*.so.

Make @msg argument a const char *, just like printf().

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Moves libip{,6}t_connlimit to libxt.
Also fixes an option parsing bug (connlimit_parse() may receive
a 'c' that is not from the connlimit options table).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Make the option structures const.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Makes it possible to omit extra_opts of matches/targets if unnecessary.
(Jan Engelhardt <jengelh@gmx.de>)

A nice side effect is that merge_option() doesn't copy options in that case.

The option struct needs to be terminated, otherwise ip{,6}tables
will access illegal memory in merge_options().

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Remove the .next=NULL field. This is automatically initialized to zero.
I've kept .print=NULL and .save=NULL so it stands out
(since iptables will do the print/save then).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Make xtables_target->extra_opts const (xtables_match->extra_opts already is)

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Changes permissions of test scripts of dccp, string, and quota match

Unifies libip[6]t_NFQUEUE.c into libxt_NFQUEUE.c

Unifies libip[6]t_SECMARK.c into libxt_SECMARK.c

Unifies libip[6]t_TCPMSS.c into libxt_TCPMSS.c

Add IPv6 support to comment match

Add IPv6 support to dccp match.

Add IPv6 support to dscp match.

Unifies libip[6]t_esp.c into libxt_esp.c

Unifies libip[6]t_length.c into libxt_length.c

Unifies libip[6]t_limit.c into libxt_limit.c.

Unifies libip[6]t_mac.c into libxt_mac.c

Unifies libip[6]t_physdev.c into libxt_physdev.c

Add IPv6 support to pkttype match

Add IPv6 support to quota match

Unifies libip[6]t_sctp.c into libxt_sctp.c

Unifies libip[6]t_standard.c into libxt_standard.c

Unifies libip[6]t_tcp.c into libxt_tcp.c.

Add IPv6 support to tcpmss match

Unifies libip[6]t_udp.c into libxt_udp.c

Unifies libip[6]_mark.c into libxt_mark.c

Use unified API in libipt_mark.c

Add IPv6 support to string match

Moves libipt_string.c to libxt_string.c

Use unified API in string match

Unifies libip[6]t_multiport.c into libipxt_multiport.c

Moves libipt_multiport.c to libxt_multiport.c

Splits ipt_multport into family dependent parts and others

Use unified API in multiport match

Add IPv6 support to NOTRACK

Renames libipt_NOTRACK.c to libxt_NOTRACK.c

Use unified API in NOTRACK target.

Moves all declarations in iptables_common.h to xtables.h.

Installs libxt_*.so to DEST_IPT_LIBIDR and link libip[6]t_*.so to it.

Introduces DEST_IPT_LIBDIR to simplify $(DESTDIR)$(LIBDIR)/iptables

Fixes warning on compilation, part 2

This changes the type of arguments as follows in multiport, DNAT, SNAT,
MASQUERADE, and REDIRECT

- ip[6]t_ip[6] * -> void *
- ip[6]t_entry * -> void *

and adds lines to cast these pointer with intended type.

Fixes warning on compilation of ip6tables matches/targets

This changes the type of arguments as follows
- ip6t_ip6 * -> void *
- ip6t_entry * -> void *

Fixes warning on compilation of iptables matches/targets

This changes the type of arguments as follows
- ipt_ip * -> void *
- ipt_entry * -> void *

This patch doesn't change multiport, DNAT, SNAT, MASQUERADE, REDIRECT
because these need more changes (casting void * variable with intended type)

Replaces ip6t_entry_* with xt_entry_* in matches/targets

Replaces ipt_entry_* with xt_entry_* in matches/targets

Moves IPPROTO_* and IP[6]T_LIB_DIR definitions to xtables.h

Moves some duplicated functions in ip[6]tables.c to xtables.c

string_to_number_ll, string_to_number_l, string_to_number,
service_to_port, parse_port, parse_interface, are moved.

Introduces xtables match/target registration

- moves lib_dir to xtables.c
- introduces struct pfinfo which has protocol family dependent infomations.
- unifies load_ip[6]tables_ko() and moves them as load_xtables_ko()
- introduces xt_{match,match_rule,target,tryload} and replaces
  ip[6]t_* with them
- unifies following functions and move them to xtables.c
        - find_{match,find_target}
        - compatible_revision, compatible_{match,target}_revision
- introduces xtables_register_{match,target} and make
  register_{match,target}[6] call them. xtables_register_* register ONLY
  matches/targets matched protocol family

Some concepts:
- source compatibility for libip[6]t_xxx.c with warning on compilation
  not binary compatibility.
- binary compatibility between 2.4/2.6 kernel and iptables/ip6tables,
  of cause.
- xtables is enough to support only one address family at runtime.
  Then xtables keeps infomations of only the focused address famiy
  in struct afinfo.

Moves ip[6]tables_insmod() to xtables.c as xtables_insmod()

Moves common fw_malloc() and fw_calloc() to xtables.c

Adds xtables.[ch] and change Makefile to compile it

iptables-xml

Attached are:
1. A man page for iptables-xml

2. A fix for iptables.xslt allowing for an arbitrary depth of arguments
or modifiers.

Although iptables-xml cannot generate more than two levels deep, xml
generated by other systems may prefer to generate

<action>
  <restore-mark>
    <mask>0xff00</mask>
  </restore-mark>
</action>

than

<action>
  <restore-mark/>
   <mask>0xff00</mask>
</action>

(which is what iptables-xml generates)
even though the same iptables is re-generated on conversion.

3. A fix for iptables-xml.c so that combining of consecutive targets of
rules with the same match into one XML rule, will not combine over a
terminating action; i.e. there is no point in converting

-A table -p tcp -j DROP
-A table -p tcp -j MARK --set-mark 25
-A table -p tcp -j RETURN

into one XML rule with multiple actions as they are probably not
logically combined in the mind of the author.

Signed-off by: Sam Liddicott <azez@ufomechanic.net>

Ignore generated files

Adds missing explanations about FIN in mask part of '--syn' in libip[6]_tcp.c
and libip6t_tcp.man.

Adds missing FIN to mask part generated by '--syn' of libip6t_tcp

Change default KERNEL_DIR location and add KBUILD_OUTPUT (Sven Wegener <sven.wegener@stealer.net>)

Fixes compile error of connlimit where NO_SHARED_LIBS=1 is specified

PATCH: Add connlimit to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

libipt_statistic: add a few missing validity checks

Signed-off-by: Nicolas Bouliane

Removes KERNEL_64_USERSPACE_32

The recent kernel has compat layer for iptables. It doesn't have
compat layer for libipq and ip6tables, but ip6tables with
KERNEL_64_USERSPACE_32 is still broken. We should fix kernel instead of
fixing them if and when we want use their 32bit binary with 64bit kernel.

Removes some KERNEL_64_USERSPACE_32 because linux 2.6 has compat layer

Fix "iptables getsockopt failed strangely" when querying revisions for non-existant matches and targets

Reported by Joseph Jezak <josejx@gentoo.org>.

Add Jozsef's TRACE target.

Changed to be built unconditionally by myself since it doesn't need any
headerfiles anyways.

bump version