xt_geoip: fix typo in error message

Make both instances of the same message (about invalid country codes)
be consistent with each other.  If you have scripts which capture and
collate error messages, then having consistent strings to match against
is a win.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

Xtables-addons 2.13

xt_condition: namespace support #2

xt_geoip: check for allocation overflow

compat_xtables: use more accurate printf format for NIPQUAD

We never expect to emit values greater than 255 here, so use %hhu to
address more sprintf warnings.

xt_DNETMAP: fix a buffer overflow

prefix_str was only 16 bytes, but the largest emitted string could be
"255.255.255.255/32" (19 bytes).

xt_DNETMAP.c: In function "dnetmap_tg_check":
compat_xtables.h:46:22: warning: "%u" directive writing between 1 and 10
bytes into a region of size between 0 and 8 [-Wformat-overflow=]
 # define NIPQUAD_FMT "%u.%u.%u.%u"
xt_DNETMAP.c:296:2: note: "sprintf" output between 10 and 27 bytes into
a destination of size 16
  sprintf(p->prefix_str, NIPQUAD_FMT "/%u", NIPQUAD(mr->min_addr.ip),
   33 - ffs(~(ip_min ^ ip_max)));

xt_LOGMARK: resolve new gcc7 warnings

xt_LOGMARK.c:56:32: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""SEEN_REPLY", prev++ ? "," : "");
xt_LOGMARK.c:58:29: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""ASSURED", prev++ ? "," : "");
xt_LOGMARK.c:60:31: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""CONFIRMED", prev++ ? "," : "");

build: support for Linux 4.12

As a result of commit cc41c84b7e7f ("netfilter: kill the fake untracked
conntrack objects") the helper nf_ct_is_untracked always returns false
and commit ab8bc7ed864b ("netfilter: remove nf_ct_is_untracked") removes
it all together.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

xt_condition: add support for namespaces

xt_psd: resolve compiler warning

xt_psd.c:53:0: warning: "HASH_SIZE" redefined
 #define HASH_SIZE   (1 << HASH_LOG)
linux-4.10.10/include/linux/hashtable.h:26:0:
note: this is the location of the previous definition
 #define HASH_SIZE(name) (ARRAY_SIZE(name))

Xtables-addons 2.12

build: mark Linux 4.10 as supported

build: support for Linux 4.10

Commit 613dbd95723aee7abd16860745691b6c7bda20dc (netfilter:
x_tables: move hook state into xt_action_param structure) changes the
struct xt_action_param, accommodate for it.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

build: support for Linux 4.9

Commit f330a7fdbe1611104622faff7e614a246a7d20f0 (netfilter: conntrack:
get rid of conntrack timer) replaces timer_list with an u32, use helper
from commit c8607e020014cf11a61601a0005270bad81cabdf (netfilter: nft_ct:
fix expiration getter).

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

Xtables-addons 2.11

xt_ECHO: ensure IP header length is set

xt_ECHO: handle fragments

Since everything is just echoed back verbatim without modification,
supporting fragments seems easy.

xt_pknock: use shash crypto API

The old hash API is dropped as of Linux 4.6.
Only build tested.

xt_pknock: replace nemesis by socat

Use a utility much more widely available.

xt_pknock: import digest generation utility

xt_pknock: remove reference to non-existing documentation

Even in the old pknock-0.5.tar.gz tarball, there is no doc/pknock/
directory.

xt_SYSRQ: use new shash crypto API

The "shash" API is not exactly new (Linux 2.6.27), but the "hash" API
was finally thrown out for Linux 4.6.

xt_ACCOUNT: make it namespace aware

xt_ACCOUNTing objects create in one network namespace could be
read from all namespaces. Also object with the same name in
different namespaces would collide.

Signed-off-by: Andreas Schultz <aschultz@tpip.net>

build: fix configure compatiblity with POSIX shells

The kernel version detection code uses some bashisms, which makes the
build fail on Debian systems where /bin/sh links to dash. Replace with
POSIX-conforming commands at the cost of requiring awk.

Xtables-addons 2.10

build: silence compiler warning in xt_quota2

xt_quota2.c:67:6: warning: unused variable "ret" [-Wunused-variable]

build: support for Linux 4.4

xt_ACCOUNT: remove redundant braces

For single-line statements, the {} are not strictly needed.

xt_ACCOUNT: indent reduction

Invert early terminating conditions so the rest of the block can be
de-indented.

xt_ACCOUNT: call free_pages(x,2) (doc)

Below is the patch with the *rest* of the free_page(X) calls changed
to free_pages(X, 2). xt_ACCOUNT should always allocate memory in page
pairs. And always *free* memory in page pairs.

References: http://www.spinics.net/lists/netfilter-devel/msg39025.html

xt_ACCOUNT: call free_pages(x,2)

Below is the patch with the *rest* of the free_page(X) calls changed
to free_pages(X, 2). xt_ACCOUNT should always allocate memory in page
pairs. And always *free* memory in page pairs.

References: http://www.spinics.net/lists/netfilter-devel/msg39025.html

Xtables-addons 2.9

build: support for Linux 4.3

xt_quota2: allow incremental value to be written to quota proc file

As well as writing absolute numeric values to the quota file, you
can now also write numbers preceded by a + sign or a - sign, e.g.

* "+30" would increase the quota by 30
* "+-20" would increase the quota by negative 20,
  which is the same as decrease by 20
* "-5" would decrease the quota by 5

xt_DHCPMAC: correct L2addr set and compare

Xtables-addons 2.8

xt_ECHO: enable for all supported versions

Linux is now at 4.x.

build: support for Linux 4.2

xt_DNETMAP.c: In function "dnetmap_prefix_destroy":
xt_DNETMAP.c:185:2: error: implicit declaration of function
"remove_proc_entry" [-Werror=implicit-function-declaration]
  remove_proc_entry(p->proc_str_data, dnetmap_net->xt_dnetmap);

Xtables-addons 2.7

doc: remove old changelog entries

doc: combine kernel version numbers

xt_TARPIT: support for Linux 4.1

xt_ACCOUNT: avoid implicit padding in struct ipt_acc_handle_ip

Make the structure size so that an ILP32 environment has no problem
taking the raw bytes from an LP64 one.

iptaccount: cast from uint64_t to please printf

%llu wants an "unsigned long long", which is not necessarily
the same as uint64_t.

xt_ACCOUNT: make counters 64-bit wide

The Smoothwall Express traffic stats collector (traffiClogger) does
not handle counter rollovers well and does not perform read&flush.
(Yes, the code is somewhat aged.) To change it to perform read&flush
is non-trivial. Then, it occurred to me that it might be easier to
change ipt_ACCOUNT in xtables-addons to use 64-bit counters,
considering it was designed around single kernel pages.

The following submission counts to at least 100 GB, produces no
obvious kernel gripes, and adjacent counters do not seem to interfere
with each other. Yes, it uses more memory, but RAM costs much less
than bugs that grown out of complex software.

The theory:

  - Use two kernel pages for the counters for each group of 256
    addresses.
  - Change counters to 64-bit.
  - Change to __get_free_pages/free_pages, using order=2
    (two consecutive pages), and zero both pages.
  - Change "%u" to "%llu" as needed.
  - Everything else pretty much stays the same.

I also changed tmpbuf to two pages (Justin Case's idea), but I
do not know if that's really necessary.

Xtables-addons 2.6

build: explicitly support Linux 3.16, 3.17

xt_pknock: fix pknock in UDP SPA mode

When the PK_CRYPTO pre-processor flag got removed in
v1.47.1-2-g66f213e, one of the removal cases was misapplied; the body
of an "#ifndef PK_CRYPTO" was left in rather than the whole section
being removed.

src: work with typeof

Although not officially supported, we have found that the
xtables-addons modules we are interested in work fine on 3.0.4 with a
slight non-invasive mod to compat_xtables.h.

Xtables-addons 2.5

build: resolve compile error with Linux 3.15

Commit v3.15-rc1~141^2~97 changed the signature for cn_netlink_send.

build: resolve compile error with Linux 3.13

net_random has been removed in commit v3.14-rc1~94^2~191 and replaced
by its definition, prandom_u32.

prandom_u32 was only introduced in v3.8-rc1~74^2~22, so we will have
an extra ifdef for 3.7 support.

xt_quota2: introduce support for network namespaces

Initialize a separate xt_quota2 instance for each network
namespace so data limit can be set and enforced per container.

doc: add xt_quota2 changelog items

Xtables-addons 2.4

build: support for Linux 3.13

compat_xtables: remove no longer needed target API redirection

Function signature for targets stayed the same since 3.7.

compat_xtables: remove unused compat_nfinetaddr.h header

compat_xtables: remove unused function declarations

compat_xtables: remove unused ipt_unregister_table macro

compat_xtables: remove unused xtnu_ip_route_me_harder

compat_xtables: remove unused xtnu_skb_make_writable

compat_xtables: remove unused xtnu_request_find_match

The xt_find_match function is also getting unexported in 3.14.

xt_quota2: remove trailing junk which might have a digit in it

Signed-off-by: Sam Liddicott <sam@liddicott.com>

xt_quota2: fix 2 bugs when not in grow mode

1. XT_QUOTA_NO_CHANGE should not alter quota to zero ever
2. XT_QUOTA_PACKET should not be set to zero based on skb->len

Signed-off-by: Sam Liddicott <sam@liddicott.com>

Update .gitignore

Looks like GCOV is enabled somewhere.

extensions: remove RAWSNAT/RAWDNAT

extensions: remove STEAL target

There is enough demo code in the "demos" branch.

build: skip calling depmod

Calling depmod is no longer needed. (Since sometime in the 2.6
series.)

Xtables-addons 2.3

xt_pknock: support for Linux 3.10

xt_quota2: support for Linux 3.10

xt_condition: support for Linux 3.10

xt_DNETMAP: support for Linux 3.10

compat_xtables: dissolve unusued rt_dst

extensions: resolve compile error when CONFIG_UIDGID_STRICT_TYPE_CHECKS=y

xt_DNETMAP.c: In function "dnetmap_tg_check":
xt_DNETMAP.c:331:16: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_DNETMAP.c:332:16: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_DNETMAP.c:344:16: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_DNETMAP.c:345:16: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_condition.c: In function "condition_mt_check":
xt_condition.c:158:24: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_condition.c:159:24: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_quota2.c: In function "q2_get_counter":
xt_quota2.c:134:18: error: incompatible types when assigning to type
"kuid_t" from type "unsigned int"
xt_quota2.c:135:18: error: incompatible types when assigning to type
"kgid_t" from type "unsigned int"

scripts: avoid bashism in xt_geoip_dl

xt_geoip_dl is marked to use /bin/sh. As such, avoid bashisms.

build: only scan manpages in extensions/

When using quilt to apply some patch to manpages, files named
libxt_*.man can appear within $srcdir/.pc which will be found by our
find(1) call. Limit the search to $srcdir/extensions to avoid this.

doc: spelling and grammar corrections to DNETMAP

doc: replace apostrophes by proper situation-dependent puncutation

doc: dissolve contractions

doc: more escapes for minuses

doc: markup paragraphs

doc: lint man pages (hyphens and spelling)

* hyphen-used-as-minus-sign
* spelling-error-in-manpage

build: remove manpage files during `make clean`

extensions: make print (iptables -L) output the same as save (-S)

xt_quota2: print "!" at the correct position during iptables-save

xt_geoip: do not throw a warnings when country database is size 0

xt_RAWNAT: skb writable part might not include whole L4 header (IPv4 case)

Consider TCP/IPv4 packet with IP options: sizeof(*iph) + sizeof(struct
tcphdr) is not enough to include tcp checksum. It may hurt if this
packet is fragmented.

Therefore, we should use iph->ihl * 4 instead of sizeof(*iph).

Signed-off-by: Dmitry Popov <dp@highloadlab.com>

Xtables-addons 2.2

DELUDE: update comment about reentrancy

iptaccount: fix being a no-op program

A PPC system has been observed where "char" is unsigned; with that,
the getopt loop will never terminate because optchar != -1 could not
happen.

build: support for Linux 3.9

Xtables-addons 2.1

build: support for Linux 3.8

xt_DNETMAP: fix compile error with Linux 3.7

Xtables-addons 2.0

I have been thinking quite a while when to drop support for old
versions. The changes in Linux kernel 3.7 in nf_nat prompted me to
make the cut here, to throw out most of the backwards-compatibility
code and start mostly blank. As future kernels will be released and
supported, no doubt will new code to work with those releases be
added.

If you run with an older kernel, continue to use the Xtables-addons
1.x series.

Merge branch 'maint' into newage

Update my email address

To ... none! Whatever is recent is in the git log.

build: remove support for Linux 3.6 / switch xt_DNETMAP to nf_nat