Don't eat numeric arguments for other extensions

The conntrack match does not print any info for --ctproto, thus
breaking iptables-restore of any rules using this option.  Below
patch adds output and closes bug #398. (Phil Oester)

only set revisions on real targets, not on jumps. (Pablo Neira)

- Fix memory leak in TC_COMMIT()  (Markus Sundberg)
- Cleanup error path of TC_COMMIT()
- Correctly propagate errors of setsockopt to calling function

add 'goto' support (Henrik Nordstrom <hno@marasystems.com>)

fix connmark, it's now only 32bits (Deti Fliegl <deti@fliegl.de)

We'ver screwed this up with the 2.6.14 release.  It refuses any mask that
extends 32bits.  We should have fixed this by adding a new target/match
revision, but now it's too late anyway :(

about to release 1.3.4

The conntrack match extension doesn't handle address inversion correctly. (Tom Eastep)

Kernels higher than 2.6.10 don't support multiple --to arguments in
DNAT and SNAT targets.  At present, the error is somewhat vague:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables: Invalid argument

But if we want current iptables to work with kernels <= 2.6.10, we
cannot simply disallow this in all cases.

So the below patch adds kernel version checking to iptables, and
utilizes it in [DS]NAT.  Now, users will see a more informative error:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables v1.3.3: Multiple --to-source not supported

This generic infrastructure (shamelessly lifted from procps btw) may
come in handy in the future for other changes.

This fixes bugzilla #367. (Phil Oester)

* specifying random seed for the Jenkins hash works as documented
* iptables-save seems to work now

Signed-off-by: KOVACS Krisztian <hidden@balabit.hu>
Signed-off-by: Harald Welte <laforge@netfilter.org>

Add the aligned_u64 typedef, it's defined in linux/types.h in the kernel.
We can't include that header since it conflicts with sys/types.h

Make libipt_connbytes.c compile with the ipt_connbytes version that has been merged into the 2.6 kernel

Update manpage to reflect missing ability to SNAT to multiple ranges in 2.6.11-rc1 and later

Update manpage to reflect missing NAT to multiple ranges support in 2.6.11-rc1 and later.

update string match to reflect new kernel implementation (Pablo Neira)

Note which kernel versions are affected by REJECT change (Maciej Soltysiak)

add support for new 'dccp' protocol match

port Eric Leblond's NFQUEUE missing-break fix to ip6tables

Add missing 'break' to make parsing of NFQUEUE numbers work (Eric Leblond)

_really_ sort only user defined chains (Robert de Barth <list-netfilter@debarth.co.uk>

1.3.3 release

The call to free_opts() in merge_options() is invalid C. The oldopts
argument always refers to the memory pointed to by the opts global,
which may be freed by the call to free_opts(), but oldopts is used
after the free_opts() call. This patch makes sure we don't use freed
memory.  (Marcus Sundberg <marcus@ingate.com>)

ip6tables merge by myself.

update manpage to reflect QUEUE / nfnetlink_queue / NFQUEUE changes

Fix NAT of ICMP ID ranges (Patrick McHardy)

get rid of numerous gcc-4 warnings

add NFQUEUE support for ipv4 and ipv6

fix various missing header file / #define issues on old kernels.  I've now tested compilation with kernels starting 2.4.17

we need to have this header file included, since old kernels don't define IP6T_LOG_UID.

bump version number to 1.3.2

add note to https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=334

attempt to fix save/restore of '! --uid-owner squid' problem as reported by Costa Tsaousis (backport from ipv4 owner)

add pointer to bugzilla

we don't have any counter issues in sparc64

Add --log-uid support to libip6t_LOG (Patrick McHardy <kaber@trash.net>)

fix deletion of targets where kernel size != userspace size (Pablo Neira)

reduce code replication of parse_interface() (Yasuyuki Kozakai)

This patch prevents user to set negative port value of SNAT/DNAT.
(Yasuyuki Kozakai)

Chain name should not start with '!' (Yasuyuki Kozakai <yasuyuki.kozakai@toshiba.co.jp>)

Flush chain with noflush when it is redefined (Charlie Brady <charlieb-netfilter-devel@budge.apana.org.au>)

OSF: lib_ipt.c changes to support connector notifications (Evgeniy Polyakov <johnpol@2ka.mipt.ru>)

update multiport manpage (Phil Oester <kernel@linuxace.com>)

Fix CONNMARK save/restore (Tom Eastep <teastep@shorewall.net>, Pawel Sikora <pluto@agmk.net>)

Release previously merged options from merge_opts(), reduces memory-usage of iptables-restore dramatically (Pablo Neira)

While adding testing for inversion of multiport, noticed that documentation about --ports is *wrong*.  Ports do not have to be equal: either dest or src being in list is enough for match.

include FIN bit in mask of "--syn" bits

Ignore unknown arguments in libipt_ULOG (Patrick McHardy <kaber@trash.net>)

Fix connbytes command line parsing bug (Piotrek Kaczmarek <kaczorek@daleka.net>)

pull out pmtu changes to fix compilation issues

poll goto specific changes out of trunk

fix iptables-save/restore of goto (Jonas Berlin)

omeone forgot to update ipt_conntrack.h header in user space. So, update it to use ip_conntrack_old_tuple. (Pablo Neira)

add REJECT with icmp-frag-needed (Florian Lohoff)

don't allow newlines in LOG prefix (Phil Oester) (Closes: #312)

re-sync ip6tables with iptables (check for init functions) (Jonas Berlin)

add lots of man pages (Jonas Berlin)

the optflags array contains a '3' for the OPT_LINENUMBERS entry while everywhere else '0' is used (Jonas Berlin)

SET target bugfix by Michal Pokrywka applied

Fix TCPLAG version (Torsten Lüttgert <t.luettgert@pressestimmen.de>)

improve REDIRECT manpage (Jonas Berlin <xkr47@outerspace.dyndns.org>)

bump version to 1.3.1

This fixes rule deletion in CLUSTERIP in iptables (Pablo Neira)

Restore chain order (Olaf Rempel <razzor@kopf-tisch.de>)

Kill NFC_* stuff in iptables (Pablo Neira <pablo@eurodev.net>)
Fixes build with conntrack event patch for 2.6

Allow "--realm ! foo" and  "! --realm foo" (Closes: #297)

fix missing comma at end of line

Fix CONNMARK/connmark issues with 64bit kernel and 32bit userspace.
Also fixes a typo in CONNMARK, --mask set the mark, not the mask.

Initial patch by: Pablo Neira <pablo@eurodev.net>
Signed-off-by: Martin Josefsson <gandalf@wlug.westbo.se>

time to release 1.3.0 final

remove way outdated files

update notes to reflect subversion usage

try to fix realm save/restore issue (Adresses: #297)

Fix rule deletion (hinfo pointer initialized by kernel, don't compare it in userspace). (Samuel Jean)

fix parameter handling in libipt_hashlimit with iptables-save (Nikolai Malykh)

Revert the recent addition of memset()'s to TC_COMMIT. One of them is bogus and the other one needs more investigation to why valgrind is complaining.

Noticed and reverted by Phil Oester.

Add support for inversion to multiport revision 1.

Signed-off-by: Phil Oester <kernel@linuxace.com>

we now need to exclude .svn instead of CVS

release rc1

re-implement alphabetic sorting to not confuse users who upgrade to 1.3.0

fix compiler warning about discarding const

add missing comma

fix typo

make structure initializers use C99 standard (Harald Welte)

typo

check for colons

be more specific what INPUT means (Matthias Bruestle)

Use C99 initializers

- Sets the 'iptc_fn' global variable to the pointer to the current functions in all major TC_* functions. This is necessary because in certain cases, an error return from a function that doesn't set 'iptc_fn' will conflict with a function-specific error return from one that does, causing TC_STRERROR() to return the wrong error string. This ensures that the right one will be returned.
- Implements a simple reference counter for the netlink socket global variable 'sockfd'; this is necessary for IPTables::IPv4, where multiple tables (filter, nat, mangle, untracked) may be opened at one time. The way libiptc does it in the official version causes previously-opened tables to break such that attempts to commit changes will fail.
- Adds a couple of memset() invocations in TC_COMMIT, based on past analysis with valgrind. It claimed that allocated structure were not being fully initialized, and adding the memset()s corrected this warning.
(Derrik Pates <demon@devrandom.net>)

John McCann points out via bugzilla that iptables happily accepts this
syntax on DNAT/SNAT:

      --to x.x.x.x:y:z

but doesn't actually make use of the second port.  Clear up the confusion
by only accepting a dash between the ports.

This closes bugzilla #265.

Signed-off-by: Phil Oester <kernel@linuxace.com>

fix name of 'extra_opts' structure member (Nikolai Malykh)

Make it compile on current kernels, the future isn't here yet.

Testsuite found an issue: multiport accepts -p ! tcp.

Pablo Neira:
Multiport revision 1 userspace support.

Remove leftover debug printf

Replace memchr with strlen and fix up one of the statements.

Extension revision number support (if kernel supports the getsockopts).
Enhance MARK match with second revision.
Committed in anticipation of the kernel patch being applied.

Prevent user from using --helper multiple times (Nicolas Bouliane <nib@cookinglinux.org>)

Add --log-uid option (John Lange <john.lange@open-it.ca>)

Stupid typo that meant we didn't compare target data when doing delete-by-matching-rule (found by nfsim test).

Fix compile error introduced by C99 conversion.

Pablo Neira: extensions conversion to C99 structure initialization

(I removed the revision stuff for the moment, but this needs to go in before the code moves too much --RR)

Fix setting lib_dir in ip*tables-{save,restore}