OSF: lib_ipt.c changes to support connector notifications (Evgeniy Polyakov <johnpol@2ka.mipt.ru>)

update multiport manpage (Phil Oester <kernel@linuxace.com>)

Fix CONNMARK save/restore (Tom Eastep <teastep@shorewall.net>, Pawel Sikora <pluto@agmk.net>)

Release previously merged options from merge_opts(), reduces memory-usage of iptables-restore dramatically (Pablo Neira)

While adding testing for inversion of multiport, noticed that documentation about --ports is *wrong*.  Ports do not have to be equal: either dest or src being in list is enough for match.

include FIN bit in mask of "--syn" bits

Ignore unknown arguments in libipt_ULOG (Patrick McHardy <kaber@trash.net>)

Fix connbytes command line parsing bug (Piotrek Kaczmarek <kaczorek@daleka.net>)

pull out pmtu changes to fix compilation issues

poll goto specific changes out of trunk

fix iptables-save/restore of goto (Jonas Berlin)

omeone forgot to update ipt_conntrack.h header in user space. So, update it to use ip_conntrack_old_tuple. (Pablo Neira)

add REJECT with icmp-frag-needed (Florian Lohoff)

don't allow newlines in LOG prefix (Phil Oester) (Closes: #312)

re-sync ip6tables with iptables (check for init functions) (Jonas Berlin)

add lots of man pages (Jonas Berlin)

the optflags array contains a '3' for the OPT_LINENUMBERS entry while everywhere else '0' is used (Jonas Berlin)

SET target bugfix by Michal Pokrywka applied

Fix TCPLAG version (Torsten Lüttgert <t.luettgert@pressestimmen.de>)

improve REDIRECT manpage (Jonas Berlin <xkr47@outerspace.dyndns.org>)

bump version to 1.3.1

This fixes rule deletion in CLUSTERIP in iptables (Pablo Neira)

Restore chain order (Olaf Rempel <razzor@kopf-tisch.de>)

Kill NFC_* stuff in iptables (Pablo Neira <pablo@eurodev.net>)
Fixes build with conntrack event patch for 2.6

Allow "--realm ! foo" and  "! --realm foo" (Closes: #297)

fix missing comma at end of line

Fix CONNMARK/connmark issues with 64bit kernel and 32bit userspace.
Also fixes a typo in CONNMARK, --mask set the mark, not the mask.

Initial patch by: Pablo Neira <pablo@eurodev.net>
Signed-off-by: Martin Josefsson <gandalf@wlug.westbo.se>

time to release 1.3.0 final

remove way outdated files

update notes to reflect subversion usage

try to fix realm save/restore issue (Adresses: #297)

Fix rule deletion (hinfo pointer initialized by kernel, don't compare it in userspace). (Samuel Jean)

fix parameter handling in libipt_hashlimit with iptables-save (Nikolai Malykh)

Revert the recent addition of memset()'s to TC_COMMIT. One of them is bogus and the other one needs more investigation to why valgrind is complaining.

Noticed and reverted by Phil Oester.

Add support for inversion to multiport revision 1.

Signed-off-by: Phil Oester <kernel@linuxace.com>

we now need to exclude .svn instead of CVS

release rc1

re-implement alphabetic sorting to not confuse users who upgrade to 1.3.0

fix compiler warning about discarding const

add missing comma

fix typo

make structure initializers use C99 standard (Harald Welte)

typo

check for colons

be more specific what INPUT means (Matthias Bruestle)

Use C99 initializers

- Sets the 'iptc_fn' global variable to the pointer to the current functions in all major TC_* functions. This is necessary because in certain cases, an error return from a function that doesn't set 'iptc_fn' will conflict with a function-specific error return from one that does, causing TC_STRERROR() to return the wrong error string. This ensures that the right one will be returned.
- Implements a simple reference counter for the netlink socket global variable 'sockfd'; this is necessary for IPTables::IPv4, where multiple tables (filter, nat, mangle, untracked) may be opened at one time. The way libiptc does it in the official version causes previously-opened tables to break such that attempts to commit changes will fail.
- Adds a couple of memset() invocations in TC_COMMIT, based on past analysis with valgrind. It claimed that allocated structure were not being fully initialized, and adding the memset()s corrected this warning.
(Derrik Pates <demon@devrandom.net>)

John McCann points out via bugzilla that iptables happily accepts this
syntax on DNAT/SNAT:

      --to x.x.x.x:y:z

but doesn't actually make use of the second port.  Clear up the confusion
by only accepting a dash between the ports.

This closes bugzilla #265.

Signed-off-by: Phil Oester <kernel@linuxace.com>

fix name of 'extra_opts' structure member (Nikolai Malykh)

Make it compile on current kernels, the future isn't here yet.

Testsuite found an issue: multiport accepts -p ! tcp.

Pablo Neira:
Multiport revision 1 userspace support.

Remove leftover debug printf

Replace memchr with strlen and fix up one of the statements.

Extension revision number support (if kernel supports the getsockopts).
Enhance MARK match with second revision.
Committed in anticipation of the kernel patch being applied.

Prevent user from using --helper multiple times (Nicolas Bouliane <nib@cookinglinux.org>)

Add --log-uid option (John Lange <john.lange@open-it.ca>)

Stupid typo that meant we didn't compare target data when doing delete-by-matching-rule (found by nfsim test).

Fix compile error introduced by C99 conversion.

Pablo Neira: extensions conversion to C99 structure initialization

(I removed the revision stuff for the moment, but this needs to go in before the code moves too much --RR)

Fix setting lib_dir in ip*tables-{save,restore}

Use string_to_number.  Don't check for no optarg: we set has_arg to 1 in option array, so getopt does that for us.

Don't need ipt_entry_target()/ip6t_entry_target() now kernel uses static inline instead of extern inline (otherwise it doesn't compile without -O).
Don't re-initialize libiptc/libip6t unless modprobe attempt actually succeeds.  This makes nfsim run about 20 times faster, as it doesn't have to explore failures in the first iptc_init().

Implement IPTABLES_LIB_DIR and IP6TABLES_LIB_DIR environment variables, and set them in testsuite if we're running iptables within tree.

Nicolas Bouliane: I was writing an nfsim .sim for the match tos, when I realized that when we enter --tos twice the second overwrite the first.

Implement some optimization for finding rules to replace in TC_REPLACE_ENTRY.
Stolen from TC_DELETE_NUM_ENTRY.

Make "is_same" test basics and entries only: targets are generic.
Make target testing aware of different kinds of rules.
Change reverse logic: target_different now target_same.
Set type to MODULE in iptcc_map_target.
Add testcase for this.

Remove GET_TARGET() define: this was for compiling iptables for debugging (ie. without -O) on old kernels where ipt_get_target() was defined "extern inline".  These days it's "static inline", and only developers build without -O anyway.
Fix up DUMP_ENTRIES a little, but remove calls: it only dumps the table as loaded, not the changed (cached) table, which is misleading.
Fix TC_DELETE_ENTRY: we need to use iptcc_map_target() before comparing, otherwise "-j DROP" (as an example) doesn't work.

ROUTE --tee target extension (Patrick Schaaf)

ipset 2 related updates (JK)

fix some compiler warnings and errors

sync with latest patch-o-matic-ng update (support direction and mode parameters)

Search backwards when inserting/deleting in/from the top half of the rules in a chain.

before:

insert 50k rules without any previous rules
real    0m1.314s
user    0m1.184s
sys     0m0.123s

insert 50k with one already existing rule
real    2m38.052s
user    2m37.296s
sys     0m0.353s

insert 50k rules in the middle of 20k already existing rules
real    2m43.831s
user    2m43.005s
sys     0m0.414s

delete rule #70000 10k times with 100k rules
real    1m37.990s
user    1m37.247s
sys     0m0.500s

after:

insert 50k without any previous rules
real    0m1.315s
user    0m1.184s
sys     0m0.125s

insert 50k with one already existing rule
real    0m1.313s
user    0m1.189s
sys     0m0.119s

insert 50k rules in the middle of 20k already existing rules
real    0m8.550s
user    0m8.327s
sys     0m0.197s

delete rule #70000 10k times with 100k rules
real    0m35.566s
user    0m35.062s
sys     0m0.416s

Fix module-autoloading in certain cases (Fixse Debian Bug 219686)

minor syntax fixes

- add hashlimit to makefile
- fix typo in libipt_hashlimit

move ipt_hashlimit to it's correct location

add hashlimit kernel header file

hashlimit port of userspace plugin

add paragraph about raw table

Mention owner brokenness in manpage

note owner match brokenness in helptext, closes bugzilla #244 (Phil Oester)

Add comment about time not adhering DST (Phil Oester) (Closes: #75)

Replace O(n) with O(1) when TC_INSERT_ENTRY() inserts an entry at the end.
Do the same with TC_DELETE_NUM_ENTRY() when deleting the last rule.

My rule management script does both of these things in certain situations.
Created a file with 50.000 rules which my script converted into
iptables-restore format but inserting each rule with an index instead of
appending like the iptables-save output does. That took a while without this
optimization.  Same thing when deleting the 45.000 last rules in that chain,
the script outputs deletes by number starting from the bottom.

Inserting or deleting (by number) in the middle of the chain is still O(n)
where n is the rulenumber where the insert/delete is taking place.

Spelling error.

Fix returnvalue of TC_BUILTIN()

All jumps to nonexisting chains were believed to be jumps to builtin chains,
that's bad as it made it impossible to add rules with external targets.

Make sure to zero all the memory we allocate for the new table.
Makes flushing of chains containing more than a few entries work without
potentially oopsing the kernel.

Make TC_DELETE_ENTRY() and TC_DELETE_NUM_ENTRY() actually do something practical

Fix two more rulenumber off by 1 errors

Insertion of rules with -I was broken.
It checked if a rule existed on the position we were inserting to.
Thus inserting into an empty chain didn't work.
And it didn't care about the fact that the first rule in the chain has index 1
the rulenumer we get starts at 0...

Fix rule counting

Fix listing of module targets.
Type was only set for standard targets.

Harald: please review.

realm: fix inversion (Simon Lodal)

Fix half-working ipv6 limit invert check (Phil Oester)

Fix half-working dstlimit invert check (Phil Oester)

limit match does not support invert, warn about it. Closes bugzilla #95 (Phil Oester)

Add comment match extension (Brad Fisher)

fix segfault from memory allocation: handle->entries is actualy struct ipt_get_entries plus the size

fix psd option parsing (Phil Oester)

Print error when '!' is used with multiport. Based on patch by Phil Oester.