build: do install xt_geoip_fetch.1

geoip: install and document xt_geoip_fetch

Add a man page for xt_geoip_fetch.1 and include it as part of
the installed scripts.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: pipe wget right into gzip

Skip over creating temporary files.

geoip: simplify unpacking start/end tuples from database

Use unpack() to separate start/end instead of substr().

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: update download script for DBIP database

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

Xtables-addons 3.9

build: avoid configure warning for Linux 4.15

Commit 4603d3e0f477dcb795a69196071cda66211819c0 and others
erroneously changed the acceptance range from >=4.15 to >=4.17.
Return to previous state.

Support for Linux 5.6 procfs API

Xtables-addons 3.8

geoip: adjust builder script for DBIP service

Maxmind databases are no longer libre.

Xtables-addons 3.7

xt_geoip: fix in6_addr little-endian byte swapping

The Perl script that builds the GeoIP DBs uses inet_pton(3) to convert
the addresses to network byte order. This converts

  "1234:5678::90ab:cdef"

to:

  0x12 0x34 0x56 0x78 .. 0xcd 0xef, interpreted by an LE machine
  accessing this in uint32_t-sized chunks as
  8765:4321::fedc:ba09

The kernel module compares the addresses in packets with the ranges from
the DB in host byte order using binary search. It uses 32-bit swaps
when converting the addresses.

libxt_geoip, however, which the module uses to load the ranges from the
DB and convert them from NBO to HBO, uses 16-bit swaps to do so, and
this means that:

  1234:5678::90ab:cdef

becomes:

  4321:8765::ba09:fedc

Obviously, this is inconsistent with the kernel module and DB build
script and breaks the binary search.

Fixes: b91dbd03c717 ("geoip: store database in network byte order")
Reported-by: "Thomas B. Clark" <kernel@clark.bz>
Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

build: update max. supported kernel version

The maximum supported version is reported as 5.3. Bump to 5.4.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

Xtables-addons 3.6

build: add support for Linux 5.4

Xtables-addons 3.5

Merge MR-14

Xtables-addons 3.4

xt_pknock, xt_SYSRQ: do not set shash_desc::flags.

shash_desc::flags was removed from the kernel in 5.1.

That assignment was actually superfluous anyway, because crypto.desc
is zero-initialized when crypto is initialized (xt_pknock.c, ll.
110ff.).

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

treewide: replace skb_make_writable

skb_make_writable was removed in v5.3-rc1~140^2~370^2~1 .
Replace it with skb_ensure_writable that was introduced in
v3.19-rc1~118^2~153^2~2 .

xt_PROTO: style fixes

Merge MR-11

xt_DHCPMAC: replace skb_make_writable with skb_ensure_writable

skb_make_writable was removed from the kernel in
v5.3-rc1~140^2~370^2~1 , and its callers were converted to use
skb_ensure_writable. Updated dhcpmac_tg() accordingly.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

add support for Linux 5.0 for DELUDE and TARPIT

Add man page items for xt_PROTO

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Enable xt_PROTO in build system

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Add xt_PROTO extension

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Xtables-addons 3.3

build: remove xa-download-more script

This mechanism has not seen any use in recent years (the "sources"
file is still the same) — drop it.

doc: update README and changelog

xt_SYSRQ: replace do_gettimeofday

Linux kernel commit v4.20-rc1-18-ge4b92b108c6c removed
do_gettimeofday in favor of ktime_get_real_ts64 introduced in
v3.16-rc5-59-gd6d29896c665 .

Merge MR-10

xt_ACCOUNT: make table limit configurable

Add parameter option in module xt_ACCOUNT.ko to accept. Change in the
ACCOUN_MAX_TABLES table without the need to recompile the module.

References: MR-8

Xtables-addons 3.2

geoip: build tool should not rely on directory name

Fix this:

GeoLite2-Country-CSV_20180905$ /usr/lib/xtables-addons/xt_geoip_build

Use of uninitialized value $dir in concatenation (.) or string at
/usr/lib/xtables-addons/xt_geoip_build line 59.
Couldn't open list country names

Do not rely on any directory names (they change). Use the current
directory as the default source directory, similar to the older
xt_geoip_build (well, *.csv was passed as arguments).

Xtables-addons 3.1

build: add support for Linux 4.18

build: add support for Linux 4.17

build: fix 4.16 warning

build: match documented and coded build requirements

doc: add 3.0 headline in changelog

geoip: simplify handling table column names

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: add database query tool for use with ipsets

Add a tool for retrieiving the IPv4 or IPv6 (or both!) CIDR ranges
for a given country, which can then be injected into an ipset if
one doesn't want to use (or have available) the xt_geoip extension.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: update man page for xt_geoip_build

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: adapt to GeoLite2 database

Requires Net::CIDR::Lite for manipulating CIDR blocks, aggregation, etc.
since database is stored as subnet/mask pairs and may require compaction
into ranges (which can combine adjacent subnets).

We don't use Net::CIDR because it's a clunkier interface.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: store database in network byte order

This allows a single database to be built and distributed as a
package that is accepted by both big- and little-endian hosts.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

Xtables-addons 3.0

build: support for Linux 4.16

build: remove support for Linux 4.14

build: remove support for Linux 4.13

build: remove support for Linux 4.12

build: remove support for Linux 4.11

build: remove support for Linux 4.10

build: remove support for Linux 4.9

build: remove support for Linux 4.8

build: remove support for Linux 4.7

build: remove support for Linux 4.6

build: remove support for Linux 4.5

build: remove support for Linux 4.4

build: remove support for Linux 4.3

build: remove support for Linux 4.2

build: remove support for Linux 4.1

build: remove support for Linux 4.0

build: remove support for Linux 3.19

build: remove support for Linux 3.18

build: remove support for Linux 3.17

build: remove support for Linux 3.16

build: remove support for Linux 3.15

build: remove support for Linux 3.14

build: remove support for Linux 3.13

build: remove support for Linux 3.12

build: remove support for Linux 3.11

build: remove support for Linux 3.10

build: remove support for Linux 3.9

build: remove support for Linux 3.8

build: remove support for Linux 3.7

geoip: apply consistent style to xt_geoip_build

geoip: selective endianness catalog generation

xt_pknock: don't split function heads

build: support for Linux 4.15

Signed-off-by: Marcelo Henrique Cerri <marcelo.cerri@canonical.com>

build: (additional) support for Linux 4.14

Signed-off-by: Seth Forshee <seth.forshee@canonical.com>

Xtables-addons 2.14

DNETMAP: remove NF_CT_ASSERT use

The hooks are already checked by the xtables core (due to struct
xt_target::hooks).

DNETMAP: fix write past end of buffer

xt_geoip: fix typo in error message

Make both instances of the same message (about invalid country codes)
be consistent with each other.  If you have scripts which capture and
collate error messages, then having consistent strings to match against
is a win.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

DELUDE: fix PVSStudio reports

V560 A part of conditional expression is always true: !oth->rst.

ipp2p: fix PVSStudio reports

V666 Consider inspecting fourth argument of the function 'HX_memmem'.
It is possible that the value does not correspond with the length of
a string which was passed with the third argument.

pknock: fix PVSStudio static analyzer reports

V595 The 'peer' pointer was utilized before it was verified against
nullptr.

Xtables-addons 2.13

xt_condition: namespace support #2

xt_geoip: check for allocation overflow

compat_xtables: use more accurate printf format for NIPQUAD

We never expect to emit values greater than 255 here, so use %hhu to
address more sprintf warnings.

xt_DNETMAP: fix a buffer overflow

prefix_str was only 16 bytes, but the largest emitted string could be
"255.255.255.255/32" (19 bytes).

xt_DNETMAP.c: In function "dnetmap_tg_check":
compat_xtables.h:46:22: warning: "%u" directive writing between 1 and 10
bytes into a region of size between 0 and 8 [-Wformat-overflow=]
 # define NIPQUAD_FMT "%u.%u.%u.%u"
xt_DNETMAP.c:296:2: note: "sprintf" output between 10 and 27 bytes into
a destination of size 16
  sprintf(p->prefix_str, NIPQUAD_FMT "/%u", NIPQUAD(mr->min_addr.ip),
   33 - ffs(~(ip_min ^ ip_max)));

xt_LOGMARK: resolve new gcc7 warnings

xt_LOGMARK.c:56:32: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""SEEN_REPLY", prev++ ? "," : "");
xt_LOGMARK.c:58:29: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""ASSURED", prev++ ? "," : "");
xt_LOGMARK.c:60:31: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""CONFIRMED", prev++ ? "," : "");

build: support for Linux 4.12

As a result of commit cc41c84b7e7f ("netfilter: kill the fake untracked
conntrack objects") the helper nf_ct_is_untracked always returns false
and commit ab8bc7ed864b ("netfilter: remove nf_ct_is_untracked") removes
it all together.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

xt_condition: add support for namespaces

xt_psd: resolve compiler warning

xt_psd.c:53:0: warning: "HASH_SIZE" redefined
 #define HASH_SIZE   (1 << HASH_LOG)
linux-4.10.10/include/linux/hashtable.h:26:0:
note: this is the location of the previous definition
 #define HASH_SIZE(name) (ARRAY_SIZE(name))

Xtables-addons 2.12

build: mark Linux 4.10 as supported

build: support for Linux 4.10

Commit 613dbd95723aee7abd16860745691b6c7bda20dc (netfilter:
x_tables: move hook state into xt_action_param structure) changes the
struct xt_action_param, accommodate for it.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>