Make the option structures const.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Makes it possible to omit extra_opts of matches/targets if unnecessary.
(Jan Engelhardt <jengelh@gmx.de>)

A nice side effect is that merge_option() doesn't copy options in that case.

The option struct needs to be terminated, otherwise ip{,6}tables
will access illegal memory in merge_options().

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Remove the .next=NULL field. This is automatically initialized to zero.
I've kept .print=NULL and .save=NULL so it stands out
(since iptables will do the print/save then).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Make xtables_target->extra_opts const (xtables_match->extra_opts already is)

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Changes permissions of test scripts of dccp, string, and quota match

Unifies libip[6]t_NFQUEUE.c into libxt_NFQUEUE.c

Unifies libip[6]t_SECMARK.c into libxt_SECMARK.c

Unifies libip[6]t_TCPMSS.c into libxt_TCPMSS.c

Add IPv6 support to comment match

Add IPv6 support to dccp match.

Add IPv6 support to dscp match.

Unifies libip[6]t_esp.c into libxt_esp.c

Unifies libip[6]t_length.c into libxt_length.c

Unifies libip[6]t_limit.c into libxt_limit.c.

Unifies libip[6]t_mac.c into libxt_mac.c

Unifies libip[6]t_physdev.c into libxt_physdev.c

Add IPv6 support to pkttype match

Add IPv6 support to quota match

Unifies libip[6]t_sctp.c into libxt_sctp.c

Unifies libip[6]t_standard.c into libxt_standard.c

Unifies libip[6]t_tcp.c into libxt_tcp.c.

Add IPv6 support to tcpmss match

Unifies libip[6]t_udp.c into libxt_udp.c

Unifies libip[6]_mark.c into libxt_mark.c

Use unified API in libipt_mark.c

Add IPv6 support to string match

Moves libipt_string.c to libxt_string.c

Use unified API in string match

Unifies libip[6]t_multiport.c into libipxt_multiport.c

Moves libipt_multiport.c to libxt_multiport.c

Splits ipt_multport into family dependent parts and others

Use unified API in multiport match

Add IPv6 support to NOTRACK

Renames libipt_NOTRACK.c to libxt_NOTRACK.c

Use unified API in NOTRACK target.

Moves all declarations in iptables_common.h to xtables.h.

Installs libxt_*.so to DEST_IPT_LIBIDR and link libip[6]t_*.so to it.

Introduces DEST_IPT_LIBDIR to simplify $(DESTDIR)$(LIBDIR)/iptables

Fixes warning on compilation, part 2

This changes the type of arguments as follows in multiport, DNAT, SNAT,
MASQUERADE, and REDIRECT

- ip[6]t_ip[6] * -> void *
- ip[6]t_entry * -> void *

and adds lines to cast these pointer with intended type.

Fixes warning on compilation of ip6tables matches/targets

This changes the type of arguments as follows
- ip6t_ip6 * -> void *
- ip6t_entry * -> void *

Fixes warning on compilation of iptables matches/targets

This changes the type of arguments as follows
- ipt_ip * -> void *
- ipt_entry * -> void *

This patch doesn't change multiport, DNAT, SNAT, MASQUERADE, REDIRECT
because these need more changes (casting void * variable with intended type)

Replaces ip6t_entry_* with xt_entry_* in matches/targets

Replaces ipt_entry_* with xt_entry_* in matches/targets

Moves IPPROTO_* and IP[6]T_LIB_DIR definitions to xtables.h

Moves some duplicated functions in ip[6]tables.c to xtables.c

string_to_number_ll, string_to_number_l, string_to_number,
service_to_port, parse_port, parse_interface, are moved.

Introduces xtables match/target registration

- moves lib_dir to xtables.c
- introduces struct pfinfo which has protocol family dependent infomations.
- unifies load_ip[6]tables_ko() and moves them as load_xtables_ko()
- introduces xt_{match,match_rule,target,tryload} and replaces
  ip[6]t_* with them
- unifies following functions and move them to xtables.c
        - find_{match,find_target}
        - compatible_revision, compatible_{match,target}_revision
- introduces xtables_register_{match,target} and make
  register_{match,target}[6] call them. xtables_register_* register ONLY
  matches/targets matched protocol family

Some concepts:
- source compatibility for libip[6]t_xxx.c with warning on compilation
  not binary compatibility.
- binary compatibility between 2.4/2.6 kernel and iptables/ip6tables,
  of cause.
- xtables is enough to support only one address family at runtime.
  Then xtables keeps infomations of only the focused address famiy
  in struct afinfo.

Moves ip[6]tables_insmod() to xtables.c as xtables_insmod()

Moves common fw_malloc() and fw_calloc() to xtables.c

Adds xtables.[ch] and change Makefile to compile it

iptables-xml

Attached are:
1. A man page for iptables-xml

2. A fix for iptables.xslt allowing for an arbitrary depth of arguments
or modifiers.

Although iptables-xml cannot generate more than two levels deep, xml
generated by other systems may prefer to generate

<action>
  <restore-mark>
    <mask>0xff00</mask>
  </restore-mark>
</action>

than

<action>
  <restore-mark/>
   <mask>0xff00</mask>
</action>

(which is what iptables-xml generates)
even though the same iptables is re-generated on conversion.

3. A fix for iptables-xml.c so that combining of consecutive targets of
rules with the same match into one XML rule, will not combine over a
terminating action; i.e. there is no point in converting

-A table -p tcp -j DROP
-A table -p tcp -j MARK --set-mark 25
-A table -p tcp -j RETURN

into one XML rule with multiple actions as they are probably not
logically combined in the mind of the author.

Signed-off by: Sam Liddicott <azez@ufomechanic.net>

Ignore generated files

Adds missing explanations about FIN in mask part of '--syn' in libip[6]_tcp.c
and libip6t_tcp.man.

Adds missing FIN to mask part generated by '--syn' of libip6t_tcp

Change default KERNEL_DIR location and add KBUILD_OUTPUT (Sven Wegener <sven.wegener@stealer.net>)

Fixes compile error of connlimit where NO_SHARED_LIBS=1 is specified

PATCH: Add connlimit to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

libipt_statistic: add a few missing validity checks

Signed-off-by: Nicolas Bouliane

Removes KERNEL_64_USERSPACE_32

The recent kernel has compat layer for iptables. It doesn't have
compat layer for libipq and ip6tables, but ip6tables with
KERNEL_64_USERSPACE_32 is still broken. We should fix kernel instead of
fixing them if and when we want use their 32bit binary with 64bit kernel.

Removes some KERNEL_64_USERSPACE_32 because linux 2.6 has compat layer

Fix "iptables getsockopt failed strangely" when querying revisions for non-existant matches and targets

Reported by Joseph Jezak <josejx@gentoo.org>.

Add Jozsef's TRACE target.

Changed to be built unconditionally by myself since it doesn't need any
headerfiles anyways.

bump version

Fixes build error of conntrack match because of missing ip_conntrack_tuple.h
in linux 2.6.22. It is not needed because nf_conntrack headers can be used
instead.

A white space fix in ip6tables.c

'-p all' and '-p 0' should be allowed. And actually ip6tables in kernel
allows '! -p xxx' where xxx is extension header. It matches all valid IPv6
packets.

libipt_hashlimit doc update

Add srcip,srcport to hashlimit manpage.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Add --random option to DNAT and REDIRECT targets and fix the manpage mess this option left behind.

Use posix conform directory existance check (Roy Marples <uberlord@gentoo.org>)

Makefile uses [ -a /dir ] which is invalid on non bash shells

Bugzilla #569

Fix missing newlines in iptables-save/restore output (Pavol Rusnak <prusnak@suse.cz>)

Bugzilla #568

update quota manpage for SMP (Phil Oester)

The quota match works fine on SMP, so update the manpage to reflect
this.  Closes bugzilla #564.

In fixing bug #446 [1], the output for unspecified proto was changed from "all" to "0".  This reverts to the original behaviour, and closes bugzilla #543. (Phil Oester)

Fix iptables-save with --random option

Remove unnecessary IP_NAT_RANGE_PROTO_RANDOM ifdefs.

Remove libnsl from LDLIBS

Bugzilla 557

fix problem with iptables-restore and quotes (close bugzilla id 505)

Use nf_conntrack headers instead of ip_conntrack ones and add sanitized versions.

Remove unnecessary ip_conntrack/ip_nat includes

revert some slipped through patches

prepare conntrack and conntrackd merge: rename conntrack to conntrack-tools

Fix iptables --modprobe parameter (Maurice van der Pot <griffon26@kfk4ever.com>)

Supply modprobe parameter to iptables_insmod function.

Bugzilla #556

ip6tables-restore should output error of modprobe if failed to load
ip6tables.ko after failed to initialize handle.

Fixes typos in the argument of ip[6]tables_insmod: quit -> quiet

Supress error message from modprobe on checking revision.

Fix cut and paste error breaking use of groups != 0

iptables: add random option to SNAT (Eric Leblond)

Reverted r6754. libipt_icmp has the option 'any', so it's unnecessary
to check no option of ICMP type.

Update coreteam members in manpages

Fix missing space in error message (Bugzilla 544)

Remove and readd with executable bit set. SVN doesn't seem to have a proper way of doing this.

Fixes man page for tcp, udp, icmp{,6}. They are not loaded when only '-p' is
specified, but loaded when extra options are specified, too.

Forgot to add TCPMSS target to PF6_EXT_SLIB

Error if no ICMP type is specified even though user intended
to use icmp match.

Add ip6tables mh extension (Masahide NAKAMURA <nakam@linux-ipv6.org>)

Kernel part will go in 2.6.21

Update coreteam members in manpages.

Bugzilla #535

In the tcpmss section of the iptables manpage, there is an extraneous trailing
quote for the --mss option.

Bugzilla #534:

Please remove --mss from libipt_tcp.man.  The tcp match doesn't handle that
option, while the tcpmss match does.

Add ip6tables TCPMSS extension (Arnaud Ebalard <arno@natisbad.org>)

Kernel part will go in 2.6.21.

Add UDPLITE multiport support

Fix missing space in ruleset listing