PATCH - Fix for --random option in DNAT and REDIRECT

The --random option produces "Unknown arg `--random'" errors with both the
DNAT and REDIRECT targets. Corrected by the attached patch.

Tom Eastep <teastep@shorewall.net>

Document xt_statistic (Stefano Sabatini <stefano.sabatini-lala@poste.it>)

iptables-edit: iptables-edit: adds --table to iptables-restore

adds --table to iptables-restore which allows to restore only the supplied table

Signed-off-by: Peter Warasin <peter@endian.com>

let DO_MULTI=1 work for ip6tables* binaries part 2

Sorry forgot to mention that the "ip6tables-multi.c" (in the patch) which is
not in the repository has to be manually added.

Hann-huei Chiou <koala@ascenvision.com>

Introducing libxt_*.man files. Sorted matches and modules

The iptables.8 and ip6tables.8 man pages are now generated from libxt_*.man
files too. For xtables modules one man page is enough with libxt_ prefix.

The match and target lists are sorted alphabetically.

The make command doesn't print anything when creates man pages.

Signed-off-by: Laszlo Attila Toth <panther@balabit.hu>

let DO_MULTI=1 work for ip6tables* binaries

When defining DO_MULTI=1 in Makefile, only iptables is built as
a single multipurpose binary. This patch makes ip6tables also be
built in the same manner.

Hann-huei Chiou <koala@ascenvision.com>

Transfer all my copyright over to our company.

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Don't silenty exit on failure to open /proc/net/{ip,ip6}_tables_names

Victor Stinner <victor.stinner@inl.fr>

Fix the compile warning fix

According to Jan:

While the fields of struct xt_time are uints, the defined
time_t span is by definition 0..231-1, i.e. it should be
INT_MAX, not UINT_MAX.

Fix compiler warning on 64 bit: date_stop is an u_int32_t, so use UINT_MAX instead of LONG_MAX

extension/sctp: fix - mistake to pass a pointer where array is required

Macros like SCTP_CHUNKMAP_XXX(chukmap) require chukmap to be an array,
but print_chunks() passes a pointer to these macros.

Li Zefan <lizf@cn.fujitsu.com>

[PATCH iptables] print warnings to stderr

iptables prints some of its error messages and warnings to stdout.
This patch applies to svn r7075 and will make iptables print
diagnostic messages to stderr instead.

Signed-off-by: Max Kellermann <max@duempel.org>

Install ip6tables-{save,restore} manpages

Fix sscanf type errors

Add ip6tables-{save,restore} to non-experimental target, fix strict aliasing warnings

bump version to 1.4.0rc1

make print-extensions doesn't show libxt_* extensions

In extensions/Makefile the variable PFX_EXT_SLIB_OPTS is not appended to
OPTIONALS, therefor 'make print-extensions' doesn't show any optional
libxt_* extension.

Sebastian Claßen <sebastian.classen@freenet.ag>

Unique symbols and no '&' characters

Removing '&' from .._match and ..._target variables.
Give all symbols unique names.

Signed-off-by: Laszlo Attila Toth

Remove redundant dst/hbh lines

Remove hbh stuff from libip6t_dst,
remove dst stuff from libip6t_hbh.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique symbols 6/6

Give symbols of libxt targets unique names (3/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 5/6

Give symbols of libxt matches unique names (3/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 4/6

Give symbols of libxt targets unique names (2/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 3/6

Give symbols of libxt matches unique names (2/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique names 2/6

Give symbols of libxt targets unique names (1/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Unique symbols 1/6

Give symbols of libxt matches unique names (1/3).

Adds unique prefixes to all functions (most of them - especially the hook
functions) so that debugging programs can unambiguously map a symbol to an
address. Also unifies the names of the xtables_match/xtables_target structs,
(based upon libxt_connmark.c/libip6t_*.c).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

No ipt in xt

Cease using ipt_entry_match (replaced by xt_entry_match).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Constify data structures

Constify more data structures. Make functions static.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->print() and ->save() functions

Deletes empty ->print() and ->save() functions.
ip[6]tables prints the trivial thing automatically.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->final_check() functions

Deletes empty ->final_check() functions, and makes ip[6]tables
checks for NULL on these.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Delete empty ->init() functions

Deletes empty ->init() functions. ip[6]tables already
checks for .init being NULL or not.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Remove stray NULLs

Mixing member accessors (non-named vs named) is not good.
Remove stray NULL.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Addrtype match: renaming functions

The function names in libipt_addrtype.c makes debugging hard, also I renamed them
prefixed by 'addrtype_'.

Laszlo attila toth <panther@balabit.hu>

Couldn't load/find match `u32'

iptables (up to 0927 snapshot) keeps complaining of "Couldn't
load (or find, if NO_SHARED_LIBS=1) match `u32'. After comparing
with other libxt_*.c, I found that there's no member ".family"
in the "u32_reg" structure, while ".family = AF_INET6" exists
in "u32_reg6"

Hann-Huei Chiou <koala@ascenvision.com>

Add the libxt_time iptables match

This is libipt_time from POM-ng enhanced by the following:

 * day-of-month support (for example "match on the 15th of each month")
 * inversion support for --weekdays and --monthdays
 * match against UTC or local timezone
 * a manpage

Signed-off-by: Jan Engelhardt <jengelh@computergmbh.de>

Fix u32 warnings

warning: format '%ld' expects type 'long int', but argument 3 has type 'int'.

With %u alone, you would get "but arg-start is long" warnings on x64.
With %lu, you would get "but arg-start is int" on x86.
Fix it up by explicitly deciding for one (%u and cast to unsigned int)
and using that.

Jan Engelhardt <jengelh@computergmbh.de>

Adds u32 to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Fix unused function warning

Fix more sparse warnings: non-C99 array declaration, incorrect function prototypes

Fix sparse warnings: non-ANSI function declarations, 0 used as pointer

Makefile for man pages of xtables extensions (Laszlo Attila Toth <panther@balabit.hu>)

 * no extra target/match by default  :)
 * man page of fix modules (PF_EXT_SLIB etc.) plus optional
  (...SLIB_OPTS)  modules generated, but not all.
 * because of the previous one I had to rename PF_EXT_SE_SLIB to
   PF_EXT_SELINUX_SLIB etc. as a non-optional variable, original
   PF_EXT_SE_SLIB gets the value of PF_EXT_SELINUX_SLIB if DO_SELINUX is
   set to 1.

Remove unsupported connrate extension

Build manpages for xtables extensions (Laszlo Attila Toth <panther@balabit.hu>)

Fix aligned_u64 type on 64 bit: its an unsigned long, not an unsigned long long.
Fixes compiler warning in quota match.

Fix strict aliasing warnings

Build IPv6 hbh/dst matches unconditionally

Build IPv6 rt match unconditionally

Build ipv6header match unconditionally

Build IPv6 mh match unconditionally

Resync header files and build IPv6 frag match unconditionally

Resync header file and build IPv6 ah match unconditionally

Build IPv6 REJECT target unconditionally

Resync header file and build CLUSTERIP target unconditionally

Build recent match unconditionally

Build dccp match unconditionally

Build string match unconditionally

Build statistic match unconditionally

Build connbytes match unconditionally

Build quota match unconditionally

Build NFLOG target unconditionally

Remove last vestiges of NFC (Peter Riley <Peter.Riley@hotpop.com>)

Fix dscp match manpage (zhangxiliang <zhangxiliang@cn.fujitsu.com>)

The description for the value in option "-m dscp -dscp" should be
modified to 0~63.

The option can match 6 bit DSCP field within the TOS field in the IP
header. So the range for the option should be 0~(26-1) that is 0~63.

Resync ip6t_REJECT.h with kernel - seems the entire time we had an imcompatible
header :(

Noticed by Peter Riley <Peter.Riley@hotpop.com>

In <xsl:param name="$node"/>, "$node" is not a valid QName.

See http://www.w3.org/TR/xslt#variables

Dan Nicholson <dbn.lists@gmail.com>

Add IPv6 support to statistic match

Add IPv6 support to helper match

Add IPv6 support to connbytes match

Add IPv6 support to DSCP target

Add IPv6 support to CLASSIFY target

Unifies libip[6]t_TRACE into libxt_TRACE

Unifies libip[6]t_NFLOG into libxt_NFLOG

Revert commit 6990.
That log is not correct and .NF_LOG-testx has incorrect mode.

Unifies libip[6]t_state into libxt_state

Unifies libip[6]t_state into libxt_state

Unifies libip[6]t_connmark into libxt_connmark

Unifies libip[6]t_hashlimit into libxt_hashlimit

Unifies libip[6]t_MARK into libxt_MARK

Unifies libip[6]t_CONNSECMARK into libxt_CONNSECMARK

Add IPv6 support to CONNMARK match

Tries to load libxt_*.so at first.
If failed, it tries libip[6]t_*.so.

Make @msg argument a const char *, just like printf().

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Moves libip{,6}t_connlimit to libxt.
Also fixes an option parsing bug (connlimit_parse() may receive
a 'c' that is not from the connlimit options table).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Make the option structures const.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Makes it possible to omit extra_opts of matches/targets if unnecessary.
(Jan Engelhardt <jengelh@gmx.de>)

A nice side effect is that merge_option() doesn't copy options in that case.

The option struct needs to be terminated, otherwise ip{,6}tables
will access illegal memory in merge_options().

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Remove the .next=NULL field. This is automatically initialized to zero.
I've kept .print=NULL and .save=NULL so it stands out
(since iptables will do the print/save then).

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Make xtables_target->extra_opts const (xtables_match->extra_opts already is)

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Changes permissions of test scripts of dccp, string, and quota match

Unifies libip[6]t_NFQUEUE.c into libxt_NFQUEUE.c

Unifies libip[6]t_SECMARK.c into libxt_SECMARK.c

Unifies libip[6]t_TCPMSS.c into libxt_TCPMSS.c

Add IPv6 support to comment match

Add IPv6 support to dccp match.

Add IPv6 support to dscp match.

Unifies libip[6]t_esp.c into libxt_esp.c

Unifies libip[6]t_length.c into libxt_length.c

Unifies libip[6]t_limit.c into libxt_limit.c.

Unifies libip[6]t_mac.c into libxt_mac.c

Unifies libip[6]t_physdev.c into libxt_physdev.c

Add IPv6 support to pkttype match

Add IPv6 support to quota match