update notes to reflect subversion usage

try to fix realm save/restore issue (Adresses: #297)

Fix rule deletion (hinfo pointer initialized by kernel, don't compare it in userspace). (Samuel Jean)

fix parameter handling in libipt_hashlimit with iptables-save (Nikolai Malykh)

Revert the recent addition of memset()'s to TC_COMMIT. One of them is bogus and the other one needs more investigation to why valgrind is complaining.

Noticed and reverted by Phil Oester.

Add support for inversion to multiport revision 1.

Signed-off-by: Phil Oester <kernel@linuxace.com>

we now need to exclude .svn instead of CVS

release rc1

re-implement alphabetic sorting to not confuse users who upgrade to 1.3.0

fix compiler warning about discarding const

add missing comma

fix typo

make structure initializers use C99 standard (Harald Welte)

typo

check for colons

be more specific what INPUT means (Matthias Bruestle)

Use C99 initializers

- Sets the 'iptc_fn' global variable to the pointer to the current functions in all major TC_* functions. This is necessary because in certain cases, an error return from a function that doesn't set 'iptc_fn' will conflict with a function-specific error return from one that does, causing TC_STRERROR() to return the wrong error string. This ensures that the right one will be returned.
- Implements a simple reference counter for the netlink socket global variable 'sockfd'; this is necessary for IPTables::IPv4, where multiple tables (filter, nat, mangle, untracked) may be opened at one time. The way libiptc does it in the official version causes previously-opened tables to break such that attempts to commit changes will fail.
- Adds a couple of memset() invocations in TC_COMMIT, based on past analysis with valgrind. It claimed that allocated structure were not being fully initialized, and adding the memset()s corrected this warning.
(Derrik Pates <demon@devrandom.net>)

John McCann points out via bugzilla that iptables happily accepts this
syntax on DNAT/SNAT:

      --to x.x.x.x:y:z

but doesn't actually make use of the second port.  Clear up the confusion
by only accepting a dash between the ports.

This closes bugzilla #265.

Signed-off-by: Phil Oester <kernel@linuxace.com>

fix name of 'extra_opts' structure member (Nikolai Malykh)

Make it compile on current kernels, the future isn't here yet.

Testsuite found an issue: multiport accepts -p ! tcp.

Pablo Neira:
Multiport revision 1 userspace support.

Remove leftover debug printf

Replace memchr with strlen and fix up one of the statements.

Extension revision number support (if kernel supports the getsockopts).
Enhance MARK match with second revision.
Committed in anticipation of the kernel patch being applied.

Prevent user from using --helper multiple times (Nicolas Bouliane <nib@cookinglinux.org>)

Add --log-uid option (John Lange <john.lange@open-it.ca>)

Stupid typo that meant we didn't compare target data when doing delete-by-matching-rule (found by nfsim test).

Fix compile error introduced by C99 conversion.

Pablo Neira: extensions conversion to C99 structure initialization

(I removed the revision stuff for the moment, but this needs to go in before the code moves too much --RR)

Fix setting lib_dir in ip*tables-{save,restore}

Use string_to_number.  Don't check for no optarg: we set has_arg to 1 in option array, so getopt does that for us.

Don't need ipt_entry_target()/ip6t_entry_target() now kernel uses static inline instead of extern inline (otherwise it doesn't compile without -O).
Don't re-initialize libiptc/libip6t unless modprobe attempt actually succeeds.  This makes nfsim run about 20 times faster, as it doesn't have to explore failures in the first iptc_init().

Implement IPTABLES_LIB_DIR and IP6TABLES_LIB_DIR environment variables, and set them in testsuite if we're running iptables within tree.

Nicolas Bouliane: I was writing an nfsim .sim for the match tos, when I realized that when we enter --tos twice the second overwrite the first.

Implement some optimization for finding rules to replace in TC_REPLACE_ENTRY.
Stolen from TC_DELETE_NUM_ENTRY.

Make "is_same" test basics and entries only: targets are generic.
Make target testing aware of different kinds of rules.
Change reverse logic: target_different now target_same.
Set type to MODULE in iptcc_map_target.
Add testcase for this.

Remove GET_TARGET() define: this was for compiling iptables for debugging (ie. without -O) on old kernels where ipt_get_target() was defined "extern inline".  These days it's "static inline", and only developers build without -O anyway.
Fix up DUMP_ENTRIES a little, but remove calls: it only dumps the table as loaded, not the changed (cached) table, which is misleading.
Fix TC_DELETE_ENTRY: we need to use iptcc_map_target() before comparing, otherwise "-j DROP" (as an example) doesn't work.

ROUTE --tee target extension (Patrick Schaaf)

ipset 2 related updates (JK)

fix some compiler warnings and errors

sync with latest patch-o-matic-ng update (support direction and mode parameters)

Search backwards when inserting/deleting in/from the top half of the rules in a chain.

before:

insert 50k rules without any previous rules
real    0m1.314s
user    0m1.184s
sys     0m0.123s

insert 50k with one already existing rule
real    2m38.052s
user    2m37.296s
sys     0m0.353s

insert 50k rules in the middle of 20k already existing rules
real    2m43.831s
user    2m43.005s
sys     0m0.414s

delete rule #70000 10k times with 100k rules
real    1m37.990s
user    1m37.247s
sys     0m0.500s

after:

insert 50k without any previous rules
real    0m1.315s
user    0m1.184s
sys     0m0.125s

insert 50k with one already existing rule
real    0m1.313s
user    0m1.189s
sys     0m0.119s

insert 50k rules in the middle of 20k already existing rules
real    0m8.550s
user    0m8.327s
sys     0m0.197s

delete rule #70000 10k times with 100k rules
real    0m35.566s
user    0m35.062s
sys     0m0.416s

Fix module-autoloading in certain cases (Fixse Debian Bug 219686)

minor syntax fixes

- add hashlimit to makefile
- fix typo in libipt_hashlimit

move ipt_hashlimit to it's correct location

add hashlimit kernel header file

hashlimit port of userspace plugin

add paragraph about raw table

Mention owner brokenness in manpage

note owner match brokenness in helptext, closes bugzilla #244 (Phil Oester)

Add comment about time not adhering DST (Phil Oester) (Closes: #75)

Replace O(n) with O(1) when TC_INSERT_ENTRY() inserts an entry at the end.
Do the same with TC_DELETE_NUM_ENTRY() when deleting the last rule.

My rule management script does both of these things in certain situations.
Created a file with 50.000 rules which my script converted into
iptables-restore format but inserting each rule with an index instead of
appending like the iptables-save output does. That took a while without this
optimization.  Same thing when deleting the 45.000 last rules in that chain,
the script outputs deletes by number starting from the bottom.

Inserting or deleting (by number) in the middle of the chain is still O(n)
where n is the rulenumber where the insert/delete is taking place.

Spelling error.

Fix returnvalue of TC_BUILTIN()

All jumps to nonexisting chains were believed to be jumps to builtin chains,
that's bad as it made it impossible to add rules with external targets.

Make sure to zero all the memory we allocate for the new table.
Makes flushing of chains containing more than a few entries work without
potentially oopsing the kernel.

Make TC_DELETE_ENTRY() and TC_DELETE_NUM_ENTRY() actually do something practical

Fix two more rulenumber off by 1 errors

Insertion of rules with -I was broken.
It checked if a rule existed on the position we were inserting to.
Thus inserting into an empty chain didn't work.
And it didn't care about the fact that the first rule in the chain has index 1
the rulenumer we get starts at 0...

Fix rule counting

Fix listing of module targets.
Type was only set for standard targets.

Harald: please review.

realm: fix inversion (Simon Lodal)

Fix half-working ipv6 limit invert check (Phil Oester)

Fix half-working dstlimit invert check (Phil Oester)

limit match does not support invert, warn about it. Closes bugzilla #95 (Phil Oester)

Add comment match extension (Brad Fisher)

fix segfault from memory allocation: handle->entries is actualy struct ipt_get_entries plus the size

fix psd option parsing (Phil Oester)

Print error when '!' is used with multiport. Based on patch by Phil Oester.

port physdev to ip6tables (Bart De Schuymer)

Fix typo. (Phil Oester) Closes #239

Fix number parsing (Piotr Gasidlo)

add delete by matching-rule to libiptc2 (still untested)

slightly different semantics of iptc_builtin

fix slightly changed semantics of iptc_is_builtin

complete libiptc rewrite.  Time to load 10k rules goes down from 2.20 minutes to 1.255 seconds (!).  Might still contain bugs, use with caution.

add missing spaces in 'save' printout (youza@post.cz) (Closes: #235)

Cleanup ttl-match option parsing, fixes bugzilla #183 (Phil Oester)

Fix conntrack-match typo, fixes bugzilla #194 (Phil Oester)

Allocate enough memory for addr-list in host_to_addr()

Limit ttl-value to 0-255 (Maciej Soltysiak <solt@dns.toxicfilms.tv>)

Check that TTL is between 0 and 255 (Nicolas Bouliane)

update to ipt_account 0.1.16 (Piotr Gasid?o)

In C, we declare variables at the top of function (Olivier Clerget)

Giving --dst-range twice to iprange did not ring the bell
Bug reported and fixed by Nicolas Bouliane

fix syntax of help message

fix dual-free bug with multiple-A dns records (keso@klister.net)

Add addrtype match to list of unconditionally built extensions

Add ipt_addrtype.h

make DO_MULTI=1 documented in INSTALL file

Missing file from multi patch added

Bastiaan Bakker's patch to combine iptables, iptables-save and iptables-restore
for size reduction applied

add missing include

pom-ng only deals with numerical versions

Semicolon were missing in the added assigment lines

Fix for empty extra match/target man page list processing

fix 'make distrib'

With a 64bit kernel only the high 32bits of nfmark was used regardless of
32/64bit userspace. This makes it quite hard to interoperate with 'tc'.
Sync ipv6 versions with ipv4 versions.

Tested on x86 and sparc64 with both 32bit and 64bit userspace.