rule: Implement internal iterator for expressions

Introduce nftnl_expr_iter_init() to allow stack allocated iterators for
internal use.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>

src: Constify iterators

Iterators do not modify objects which they iterate, so input pointer must
be const.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: don't set data_len to zero when returning pointers

nft already assumes that passing NULL as data_len is valid, otherwise
it crashes. Fix this by leave data_len unset in this specific case.

Fixes: bda7102 ("src: Fix nftnl_*_get_data() to return the real attribute length")
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-rule-get: selective rule dumping

Improve nft-rule-get example to demonstrate selective rule dumping when
table and / or chain attributes are set in a rule dump request.

Usage is now as follows:

nft-rule-get <family> [<table> <chain>] [<xml|json>]

Signed-off-by: Josue Alvarez <jalvarez@toulouse.viveris.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: lookup: print flags only if they are available

Follow same approach as with other objects, print what it is set only.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: Fix nftnl_*_get_data() to return the real attribute length

All getters must set the memory size of the attributes, ie. this
includes the nul-termination in strings.

For references to opaque objects hidden behind the curtain, report
a zero size.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: Fix missing nul-termination in nftnl_*_set_str()

The string length must be one character longer to include the
nul-termination.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: Check set user data

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set: Add new attribute into 'set' to store user data

The new structure 'user' holds a pointer to user data and its length. The
kernel must have the flag NFTA_SET_USERDATA to support this feature.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: lookup: give support for inverted matching

Inverted matching support was included in the kernel, let's give support here
as well.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set_elem: fix return in several error paths of nftnl_set_elems_parse2()

They don't set ret to anything, and ret is not initialized, so we return
garbage.

Fixes: 59cb13b ("src: fix missing error checking in parser functions")
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: fix missing error checking in parser functions

Bail out on errors in several nftnl_*_nlmsg_parse() functions. We can
overwrite the previous error value, and may execute code which should
not.

Bad way:
int f() {
int ret;

ret = g();
ret = h();

return ret;
}

Good way:
int f() {
int ret;

ret = g();
if (ret < 0)
return ret;

ret = h();
if (ret < 0)
return ret;

return 0;
}

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: Check correct attribute

Fix nftnl_chain_set_data() with NFTNL_CHAIN_DEV.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: stricter string attribute validation

In nft-expr_lookup-test.c, check for the strings instead of size.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: dynamically allocate name

Just in case we ever support chain with larger names in the future,
this will ensure the library doesn't break. Although I don't expect
allocating more bytes for this anytime soon, but let's be conservative
here.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: shuffle values that are injected

Shuffle value that are used to set attributes, this variability should
help us catch more problems in the future.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: check for flags before releasing attributes

Now that unsetters don't set pointers to NULL, check if the attribute is
set before trying to release it.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: simplify unsetters

If the attribute is set as we already check at the beginning of this
function, then we can release the object.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: data_reg: get rid of leftover perror() calls

Let the client of this library decide when to display error messages.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: check for strdup() errors from setters and parsers

And pass up an error to the caller.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: return value on setters that internally allocate memory

So the client can bail out of memory allocation errors. Or in case of
daemon, make sure things are left in consistent state before bailing
out.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: assert when setting unknown attributes

If this attribute is not supported by the library, we should rise an
assertion so the client knows something is wrong, instead of silently
going through.

The only case I can think may hit this problem is version mismatch
between library and tools. This should not ever really happen, so better
bail out from the library itself in this case.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: Fix leak in nftnl_*_unset()

Fix leak of NFTNL_*_USERDATA from unset() functions.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: payload: don't use deprecated definition NFT_EXPR_PAYLOAD_SREG

Use NFTNL_EXPR_PAYLOAD_SREG instead.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-table-upd: don't use deprecated aliases

Convert this example not to use the deprecated aliases anymore.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: update LIBVERSION to prepare a new release

Bump Current and Age accordingly, given that we got new interfaces.
This git repository shows these changes in the map file since previous
release:

$ git diff libnftnl-1.0.5..HEAD src/libnftnl.map
--- a/src/libnftnl.map
+++ b/src/libnftnl.map
@@ -498,3 +498,33 @@ global:

 local: *;
 };
+
+LIBNFTNL_4.1 {
+       nftnl_trace_alloc;
+       nftnl_trace_free;
+
+       nftnl_trace_is_set;
+
+       nftnl_trace_get_u16;
+       nftnl_trace_get_u32;
+       nftnl_trace_get_u64;
+       nftnl_trace_get_str;
+       nftnl_trace_get_data;
+
+       nftnl_trace_nlmsg_parse;
+
+       nftnl_udata_buf_alloc;
+       nftnl_udata_buf_free;
+       nftnl_udata_buf_len;
+       nftnl_udata_buf_data;
+       nftnl_udata_buf_put;
+       nftnl_udata_start;
+       nftnl_udata_end;
+       nftnl_udata_put;
+       nftnl_udata_put_strz;
+       nftnl_udata_type;
+       nftnl_udata_len;
+       nftnl_udata_get;
+       nftnl_udata_next;
+       nftnl_udata_parse;
+} LIBNFTNL_4;

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set_elem: Copy user data memory

All attributes are passed by copy, so user data should be copied too.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set_elem: Fix memory leak

User data must be freed.

How to reproduce:
    > nft add table t
    > nft add set t s {type ipv4_addr\;}
    > valgrind nft add element t s {1.1.1.1}

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: Fix segfault due to invalid free of rule user data

If the user allocates a nftnl_udata_buf and then passes the TLV data to
nftnl_rule_set_data, the pointer stored in rule.user.data is not the
begining of the allocated block. In this situation, if it calls to
nftnl_rule_free, it tries to free this pointer and segfault is thrown.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: Free nftnl_udata_buf before exit

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libnftnl: gitignore: Fix mistake in gitignore regexp

If a whole directory was ignored, files inside it will not be checked.

Fixes: f3d37ef ("libnftnl: Add to .gitignore all auto-generated files")
Reported-by: Pablo Neira Ayuso <pablo@netfilter.org>
Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

include: refresh nf_tables.h cache copy

Refresh the cached header file.

This includes a small fix to avoid this compilation warning after
refreshing the header:

trace.c: In function 'nftnl_trace_parse_attr_cb':
trace.c:87:2: warning: enumeration value 'NFTA_TRACE_PAD' not handled in switch [-Wswitch]

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libnftnl: Add to .gitignore all auto-generated files

It ignores files inside test/ and examples/ except all c code (*.c)
and the Makefile.am.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: missing constification of _get() functions

These functions don't modify the chain object.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: missing static in several array definitions

They are not used out of the scope of the C file where they are defined,
so we can statify them.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: remove unnecessary inline in _snprintf functions

These functions are passed as parameter, so we basically get nothing
with this.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libnftnl: constify object arguments to various functions

flow table support needs constant object arguments to printing functions
to avoid ugly casts. While at it, also constify object arguments to message
construction, destructor and a few helper functions.

Signed-off-by: Patrick McHardy <kaber@trash.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

libnftnl: allow any set name length

Unfortunately libnftnl restricts the set names in the lookup and dynset
expressions to 16 bytes. Remove this restriction so this can work with
the upcoming 4.7 Linux kernel.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: load modules when adding chains or tables

Tell the kernel to load the necessary modules by adding
the NLM_F_CREATE flag.

Signed-off-by: Daniel Wagner <daniel.wagner@bmw-carit.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: ct: fix typo unknow vs unknown

Reported by Debian's lintian tool.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Florian Westphal <fw@strlen.de>

rule: fix leaks in NFTNL_RULE_USERDATA

Fix leaks in nftnl_rule_free() and nftnl_rule_set_data().

Reported-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: expr-nat: Use different values to test

Tests are more effective if different values are set so, use different
values for every expression.

Signed-off-by: Shivani Bhardwaj <shivanib134@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

tests: nft-rule-test: check for NFTNL_RULE_USERDATA

Modify nft-rule-test.c to check TLV attribute inclusion in nftnl_rule.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

udata: add TLV user data infrastructure

These functions allow to create a buffer (struct nftnl_udata_buf) of
user data attributes in TLV format (struct nftnl_udata). It is inspired
by libmnl/src/attr.c. It can be used to store several TLVs sequentially
into an object.

Example:

struct nftnl_udata_buf *buf;
struct nftnl_udata *attr;
const char *str = "Hello World!";

buf = nftnl_udata_buf_alloc(UDATA_SIZE);
if (!buf) {
perror("OOM");
exit(EXIT_FAILURE);
}

if (!nftnl_udata_put_strz(buf, MY_TYPE, str)) {
perror("Can't put attribute \"%s\"", str);
exit(EXIT_FAILURE);
}

nftnl_udata_for_each(buf, attr)
printf("%s\n", (char *)nftnl_udata_attr_value(attr));

nftnl_udata_buf_free(buf);

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

trace: fix missing NFTNL_TRACE_JUMP_TARGET in nftnl_trace_get_str()

Signed-off-by: Patrick McHardy <kaber@trash.net>

trace: fix multiple copy and paste errors

Fix duplicated and incorrect assignments.

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: masq: Add support for port selection

Complete masquerading support by allowing port range selection.

Signed-off-by: Shivani Bhardwaj <shivanib134@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: meta: add prandom support

Signed-off-by: Florian Westphal <fw@strlen.de>

expr: add forward expression

Add forward expression for the netdev family.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: ct: add packet and byte counter support

Signed-off-by: Florian Westphal <fw@strlen.de>
Acked-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: limit: add support for flags

This patch adds the limit flags, the first client of this is the
inversion flag that allows us to match overlimit.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add trace infrastructure support

parses trace monitor netlink messages from the kernel and builds
nftnl_trace struct that contains the dissected information.

Provides getters to access these attributes.

Signed-off-by: Florian Westphal <fw@strlen.de>

payload: add payload mangling support

Signed-off-by: Patrick McHardy <kaber@trash.net>

src: rename EXPORT_SYMBOL to EXPORT_SYMBOL_ALIAS

Future symbols don't need backwards-compat aliases.

Signed-off-by: Florian Westphal <fw@strlen.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

Add support to print netdev family

When we lookup the family, return "netdev" for NFPROTO_NETDEV instead of
"unknown".

Signed-off-by: Vijay Subramanian <subramanian.vijay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: fix segfault in 'device' XML parsing

Reported by valgrind:
[...]
==14065== Process terminating with default action of signal 11 (SIGSEGV)
==14065==  Access not within mapped region at address 0x0
==14065==    at 0x4C2C022: strlen (vg_replace_strmem.c:454)
==14065==    by 0x4E41A93: nftnl_chain_set_str (chain.c:259)
==14065==    by 0x4E427F7: nftnl_mxml_chain_parse (chain.c:770)
==14065==    by 0x4E48F96: nftnl_ruleset_parse_chains (ruleset.c:314)
==14065==    by 0x4E4959A: nftnl_ruleset_xml_parse_ruleset (ruleset.c:625)
==14065==    by 0x4E4959A: nftnl_ruleset_xml_parse_cmd (ruleset.c:668)
==14065==    by 0x4E4959A: nftnl_ruleset_xml_parse (ruleset.c:706)
==14065==    by 0x4E4959A: nftnl_ruleset_do_parse (ruleset.c:734)
==14065==    by 0x4013C9: test_xml (nft-parsing-test.c:166)
==14065==    by 0x4016F4: execute_test (nft-parsing-test.c:214)
==14065==    by 0x400EBA: main (nft-parsing-test.c:330)
[...]

While at it, fix a bit the coding style.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: Fix nft-table-upd example

examples/nft-table-upd does not work currently since NFT_MSG_NEWTABLE
needs to use batching mode of netlink message delivery.

This patch adds batching to nft-table-upd example.

While here, also add support for netdev family.

Signed-off-by: Vijay Subramanian <subramanian.vijay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: Fix compilation with JSON and XML parsing enabled

Fix missing/incorrect variables.
Also remove unsed variables to avoid warnings.

Signed-off-by: Vijay Subramanian <subramanian.vijay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: dup: fix missing space in text output

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: add dup expression support

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: limit: add per-byte limiting support

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: limit: add burst attribute

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

bump version to 1.0.5

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: bump library versioning

Commit libnftnl-1.0.3-31-g5ea54b2 removed a symbol. Such requires a
bumped to n+1:0:0. The symbol groups can be merged again to save time
processing them as the groups are relative to a particular SONAME
(of which we have a new one).

Signed-off-by: Jan Engelhardt <jengelh@inai.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

bump version to 1.0.4

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: get rid of _attr_ infix in new nftnl_ definitions

The function names are already large, trim off the _ATTR_ infix in the
attribute definitions.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: get rid of _ATTR_ infix in new nfntl_ definitions

The constant names are already large, trim off the _ATTR_ infix in the
attribute definitions.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: rename NFTNL_RULE_EXPR_ATTR to NFTNL_EXPR_

So we get a shorter constant definition for expression attributes.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: rename nftnl_rule_expr to nftnl_expr

Use a shorter name for this, morever this can be used from sets so the _rule_
is misleading.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add compat header file definitions

This patch restores the original nft_* definitions from the header files to
avoid sudden compilation breakage of the existing clients of this library.

Then, moving forward the idea is to deprecate the old nft_* symbols anytime
soon using __attribute__((deprecated)) from the header files to warn our users
that they need to update their code.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: rename existing functions to use the nftnl_ prefix

So we can use the nft_* prefix anytime soon for our upcoming higher level
library.

After this patch, the nft_* symbols become an alias of the nftnl_* symbols.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: introduce nftnl_* aliases for all existing functions

This patch introduces the nftnl_ symbols as aliases for the existing nft_
symbols through the EXPORT_SYMBOL(...) macro.

We would like to use the nft_* prefix from our upcoming higher level library,
meanwhile with this move we avoid that old binaries break because of missing
symbol dependencies.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: immediate: fix leak in expression destroy path

The verdict can be a chain string, make sure we release it when the expression
is destroyed. This patch adds a new nft_free_data() for this purpose and use it
from the immediate expression.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: fix memory leaks at nft_[object]_nlmsg_parse

Free object attributes before overwrite it. Fix 'nlmsg_parse' methods of
following objects: 'table', 'chain', 'rule', 'set' and 'set_element'.

Signed-off-by: Carlos Falgueras García <carlosfg@riseup.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: redir: fix snprintf to return the number of bytes printed

This fixes --debug netlink output when a redir target is included.

Signed-off-by: Balazs Scheidler <balazs.scheidler@balabit.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: add netdev family support

Add support for the new NFT_CHAIN_ATTR_DEV attribute that indicates that the
basechain is attached to a net_device.

This partially reworks 1dd9ba1ea23c ("table: add netdev family support").

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: add netdev family support

This adds support for the new 'netdev' family tables.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add batch abstraction

This patch adds a new batch class to libnftnl, it basically generalizes what we
already have.

A batch is composed of one or more page objects. Every page may contain one or
more netlink messages.

 batch
   *      .------.   .------.         .------.
   |      |      |   |      |         |      |
   `----> | page |-->| page |-->...-->| page |
          |      |   |      |         |      |
          `------'   `------'         `------'

You can create a batch via:

batch = nft_batch_alloc(...);

This batch initially comes with one initial page.

You can fetch a pointer to the next spare area in the current page to add a new
netlink message to the batch.

void *nft_batch_buffer(struct nft_batch *batch);

Once you have added a netlink message, you have to call:

nft_batch_update(batch);

this internally updates the pointer to the next spare data area in the page.

Every page has a limit threshold after which you start using the overrun area.

  page  .------.
        |      |
        |      |
        .      . page area
        |      |
        |      |
        |------|<--- limit
        |      |
        |      | overrun area
        |      |
        '______'<--- real page size

If we write over the limit, then the next call to nft_batch_update() results in
a new empty page added to the batch. With careful page size and limit
selection, we ensure that a netlink message always fit into the page, so we
avoid the overhead of canceling the netlink message that doesn't fit in.

Once your batch is complete, if you want to send it out to kernel-space, you
can convert them to iovec via:

nft_batch_iovec(batch, iov, iov_len);

Then, after having sent the batch, you can release it via:

nft_batch_free(batch);

This class relies on the libmnl batching infrastructure.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

dynset: support expression templates

Support expression templates for the dynset expression for dynamic
expression instantiation.

Signed-off-by: Patrick McHardy <kaber@trash.net>

set_elem: support expressions attached to set elements

This patch supports attaching a struct nft_rule_expr to a set element
and adds netlink attribute encoding and decoding.

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: seperate expression parsing and building functions

The expression build function currently assumes to be only used from
rule context and actually builds rule attributes. Fix that and only
build the expression. Also it seems to have been exported by accident,
undo that.

Additionally, move the expression parsing function from rule parsing
and also remove any assumptions about being used in rule context.

Signed-off-by: Patrick McHardy <kaber@trash.net>

data: increase maximum possible data size

Signed-off-by: Patrick McHardy <kaber@trash.net>

headers: resync headers for new register definitions

Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: dynset: fix json/xml parsing

expr/dynset.c: In function 'nft_rule_expr_dynset_json_parse':
expr/dynset.c:194:3: warning: implicit declaration of function 'nft_rule_expr_dynset_str' [-Wimplicit-function-declaration]
   nft_rule_expr_dynset_str(e, NFT_EXPR_DYNSET_SET, set_name);
   ^
expr/dynset.c:194:31: error: 'NFT_EXPR_DYNSET_SET' undeclared (first use in this function)
   nft_rule_expr_dynset_str(e, NFT_EXPR_DYNSET_SET, set_name);
                               ^
expr/dynset.c:194:31: note: each undeclared identifier is reported only once for each function it appears in
expr/dynset.c:197:3: warning: implicit declaration of function 'nft_rule_expr_dynset_u32' [-Wimplicit-function-declaration]
   nft_rule_expr_dynset_u32(e, NFT_EXPR_DYNSET_SREG, sreg);
   ^
expr/dynset.c:197:31: error: 'NFT_EXPR_DYNSET_SREG' undeclared (first use in this function)
   nft_rule_expr_dynset_u32(e, NFT_EXPR_DYNSET_SREG, sreg);
                               ^
expr/dynset.c:200:31: error: 'NFT_EXPR_DYNSET_DREG' undeclared (first use in this function)
   nft_rule_expr_dynset_u32(e, NFT_EXPR_DYNSET_DREG, dreg);
                               ^
expr/dynset.c: In function 'nft_rule_expr_dynset_xml_parse':
expr/dynset.c:220:31: error: 'NFT_EXPR_DYNSET_SET' undeclared (first use in this function)
   nft_rule_expr_dynset_str(e, NFT_EXPR_DYNSET_SET, set_name);
                               ^
expr/dynset.c:224:31: error: 'NFT_EXPR_DYNSET_SREG' undeclared (first use in this function)
   nft_rule_expr_dynset_u32(e, NFT_EXPR_DYNSET_SREG, sreg);
                               ^
expr/dynset.c:228:31: error: 'NFT_EXPR_DYNSET_DREG' undeclared (first use in this function)
   nft_rule_expr_dynset_u32(e, NFT_EXPR_DYNSET_DREG, dreg);
                               ^
Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Patrick McHardy <kaber@trash.net>

expr: add support for the dynset expr

Signed-off-by: Patrick McHardy <kaber@trash.net>

set_elem: add support for userdata

Signed-off-by: Patrick McHardy <kaber@trash.net>

set: print set elem timeout information

Signed-off-by: Patrick McHardy <kaber@trash.net>

set_elem: add timeout support

Signed-off-by: Patrick McHardy <kaber@trash.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set: add support for set timeouts

Signed-off-by: Patrick McHardy <kaber@trash.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

list: fix prefetch dummy

../include/linux_list.h:385:59: warning: right-hand operand of comma expression has no effect [-Wunused-value]
  for (pos = list_entry((head)->next, typeof(*pos), member), \
                                                           ^
set.c:266:2: note: in expansion of macro 'list_for_each_entry'
  list_for_each_entry(elem, &set->element_list, head) {

Signed-off-by: Patrick McHardy <kaber@trash.net>

src: restore static array with expression operations

We cannot use __attribute__((constructor)) to register the supported
expressions in runtime when the library is statically linked. This lead
us to some explicit libnftnl_init() function that needs to be called
from the main() function of the client program.

This patch reverts 4dd0772 ("expr: use __attribute__((constructor)) to
register expression").

Reported-by: Laurent Bercot <ska-devel@skarnet.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

parser: Add operation not supported error message

If we try to import a ruleset in json or xml and the library was not
compile with support for those, this shows a misleading error.

To resolve this problem, this patch sets up EOPNOTSUPP by default when
we create the nft_parse_err structure.

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

ruleset: add nft_ruleset_ctx_free

This function releases the ruleset objects attached in the parse context
structure, ie. struct nft_parse_ctx.

Moreover, this patch updates the nft_parse_ruleset_file to use it.

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: add nft-ruleset-parse-file

With this example, we can parse the objects in the ruleset and create the
netlink message with the action associated. For example:

- Flush ruleset
- Add, delete or flush tables/chains
- Add, delete sets
- Add, delete set elements
- Add, delete, replace or prepend rules

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

xml: test if the root node name is initialized

If the root node name is missing, we have a crash.

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

ruleset: crash from error path when we build the xml/json tree

Fix crash when we try to release a tree that is not initialized.

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

ruleset: fix crash if we free sets included in the set_list

When we parse a ruleset which has a rule using a set. First step is to
parse the set, set up an ID and add it to a set list. Later, we use this
set list to find the set associated to the rule and we set up the set ID
to the expression (lookup expression) of the rule.

The problem is that if we return this set to the callback function
nft_ruleset_parse_file_cb() and we free this set, we have a crash when
we try to iterate in the set list.

This patch solves it, cloning the set and adding the new set to the set
list.

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

Makefile: internal.h now resides in include

Remove reference to the former internal.h under src/

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: split internal.h is smaller files

The internal.h file started being a small file with private definitions.
Its size has been increasing over time more and more, so let's split
this in small header files that map to the corresponding class where the
functions belong to.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

ruleset: fix more leaks in error path

Shouldn't happen though, since you need to introduce an unsupported
markup language.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>