fix double-free if a single match is used multiple times within a signle rule
(Closes: #440).  However, while this fixes the double-free, it still doesn't make iptables
support two of the same matches within one rule.  Apparently the last matchinfo is copied into all the previous
matchinfo instances.

don't install libiptc.a

fix segfault or loading of invalid counters in ip[6]tables-restore (Olaf Rempel) (Closes: #437)

make policy match compile independant of kernel headers

Some !%$!*##$@ has modified the kernel include/linux/netfilter_ipv4/ipt_sctp.h
file in a way that breaks userspace :(

fix ipt_conntrack compilation against very early (2.4.0) kernel releases

remove other bits of old ip pool code, people should use ipset (ipset.netfilter.org) these days

remove ippool

Prepare policy match for x_tables unification by making sure both
ipt_policy and ip6t_policy use the same data structure.

fix 'save' (Michael Rash)

major manpage update (Yasuyuki Kozakai)

Add 'copy+paste' support for 'state' and 'connmark' match, as well as
'CONNMARK' target for ip6tables / nf_conntrack_l3proto_ipv6.  This is a temporary solution for the iptables-1.3.x branch, since the 1.4.x branch will have proper support.

add note about deprecated state

fix spelling 'adress' -> 'address' (Closes: #431) (MJ Anthony)

Fix "empty policy element" complaining in non-strict mode.
Noticed by Tom Eastep <teastep@shorewall.net>.

Clarify --tunnel-src/--tunnel-dst options

Move empty policy element check to also catch last element

Don't allow using --next option without specifying a policy element

Fix invalid assignment of tunnel-src to dest address (Patrick McHardy)

Add documentation for string match (Pablo Neira)

Fix probing for supported revisions (Jones Desougi <jones@ingate.com>)

Bugzilla #413

fix iptables-save of 'goto' target (Closes: #410)

Add note that TCPMSS is only valid in the mangle table (not true today, but maybe someday)

fix compilation of iptables on [old] systems that don't have IPT_F_GOTO

note that we can only delete chains that are empty

tcp-rst is the alias, not tcp-reset (Torsten Hilbrich)

Add policy match extensions from patch-o-matic

Fix some gcc-4 warnings

Don't eat numeric arguments for other extensions

The conntrack match does not print any info for --ctproto, thus
breaking iptables-restore of any rules using this option.  Below
patch adds output and closes bug #398. (Phil Oester)

only set revisions on real targets, not on jumps. (Pablo Neira)

- Fix memory leak in TC_COMMIT()  (Markus Sundberg)
- Cleanup error path of TC_COMMIT()
- Correctly propagate errors of setsockopt to calling function

add 'goto' support (Henrik Nordstrom <hno@marasystems.com>)

fix connmark, it's now only 32bits (Deti Fliegl <deti@fliegl.de)

We'ver screwed this up with the 2.6.14 release.  It refuses any mask that
extends 32bits.  We should have fixed this by adding a new target/match
revision, but now it's too late anyway :(

about to release 1.3.4

The conntrack match extension doesn't handle address inversion correctly. (Tom Eastep)

Kernels higher than 2.6.10 don't support multiple --to arguments in
DNAT and SNAT targets.  At present, the error is somewhat vague:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables: Invalid argument

But if we want current iptables to work with kernels <= 2.6.10, we
cannot simply disallow this in all cases.

So the below patch adds kernel version checking to iptables, and
utilizes it in [DS]NAT.  Now, users will see a more informative error:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables v1.3.3: Multiple --to-source not supported

This generic infrastructure (shamelessly lifted from procps btw) may
come in handy in the future for other changes.

This fixes bugzilla #367. (Phil Oester)

* specifying random seed for the Jenkins hash works as documented
* iptables-save seems to work now

Signed-off-by: KOVACS Krisztian <hidden@balabit.hu>
Signed-off-by: Harald Welte <laforge@netfilter.org>

Add the aligned_u64 typedef, it's defined in linux/types.h in the kernel.
We can't include that header since it conflicts with sys/types.h

Make libipt_connbytes.c compile with the ipt_connbytes version that has been merged into the 2.6 kernel

Update manpage to reflect missing ability to SNAT to multiple ranges in 2.6.11-rc1 and later

Update manpage to reflect missing NAT to multiple ranges support in 2.6.11-rc1 and later.

update string match to reflect new kernel implementation (Pablo Neira)

Note which kernel versions are affected by REJECT change (Maciej Soltysiak)

add support for new 'dccp' protocol match

port Eric Leblond's NFQUEUE missing-break fix to ip6tables

Add missing 'break' to make parsing of NFQUEUE numbers work (Eric Leblond)

_really_ sort only user defined chains (Robert de Barth <list-netfilter@debarth.co.uk>

1.3.3 release

The call to free_opts() in merge_options() is invalid C. The oldopts
argument always refers to the memory pointed to by the opts global,
which may be freed by the call to free_opts(), but oldopts is used
after the free_opts() call. This patch makes sure we don't use freed
memory.  (Marcus Sundberg <marcus@ingate.com>)

ip6tables merge by myself.

update manpage to reflect QUEUE / nfnetlink_queue / NFQUEUE changes

Fix NAT of ICMP ID ranges (Patrick McHardy)

get rid of numerous gcc-4 warnings

add NFQUEUE support for ipv4 and ipv6

fix various missing header file / #define issues on old kernels.  I've now tested compilation with kernels starting 2.4.17

we need to have this header file included, since old kernels don't define IP6T_LOG_UID.

bump version number to 1.3.2

add note to https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=334

attempt to fix save/restore of '! --uid-owner squid' problem as reported by Costa Tsaousis (backport from ipv4 owner)

add pointer to bugzilla

we don't have any counter issues in sparc64

Add --log-uid support to libip6t_LOG (Patrick McHardy <kaber@trash.net>)

fix deletion of targets where kernel size != userspace size (Pablo Neira)

reduce code replication of parse_interface() (Yasuyuki Kozakai)

This patch prevents user to set negative port value of SNAT/DNAT.
(Yasuyuki Kozakai)

Chain name should not start with '!' (Yasuyuki Kozakai <yasuyuki.kozakai@toshiba.co.jp>)

Flush chain with noflush when it is redefined (Charlie Brady <charlieb-netfilter-devel@budge.apana.org.au>)

OSF: lib_ipt.c changes to support connector notifications (Evgeniy Polyakov <johnpol@2ka.mipt.ru>)

update multiport manpage (Phil Oester <kernel@linuxace.com>)

Fix CONNMARK save/restore (Tom Eastep <teastep@shorewall.net>, Pawel Sikora <pluto@agmk.net>)

Release previously merged options from merge_opts(), reduces memory-usage of iptables-restore dramatically (Pablo Neira)

While adding testing for inversion of multiport, noticed that documentation about --ports is *wrong*.  Ports do not have to be equal: either dest or src being in list is enough for match.

include FIN bit in mask of "--syn" bits

Ignore unknown arguments in libipt_ULOG (Patrick McHardy <kaber@trash.net>)

Fix connbytes command line parsing bug (Piotrek Kaczmarek <kaczorek@daleka.net>)

pull out pmtu changes to fix compilation issues

poll goto specific changes out of trunk

fix iptables-save/restore of goto (Jonas Berlin)

omeone forgot to update ipt_conntrack.h header in user space. So, update it to use ip_conntrack_old_tuple. (Pablo Neira)

add REJECT with icmp-frag-needed (Florian Lohoff)

don't allow newlines in LOG prefix (Phil Oester) (Closes: #312)

re-sync ip6tables with iptables (check for init functions) (Jonas Berlin)

add lots of man pages (Jonas Berlin)

the optflags array contains a '3' for the OPT_LINENUMBERS entry while everywhere else '0' is used (Jonas Berlin)

SET target bugfix by Michal Pokrywka applied

Fix TCPLAG version (Torsten Lüttgert <t.luettgert@pressestimmen.de>)

improve REDIRECT manpage (Jonas Berlin <xkr47@outerspace.dyndns.org>)

bump version to 1.3.1

This fixes rule deletion in CLUSTERIP in iptables (Pablo Neira)

Restore chain order (Olaf Rempel <razzor@kopf-tisch.de>)

Kill NFC_* stuff in iptables (Pablo Neira <pablo@eurodev.net>)
Fixes build with conntrack event patch for 2.6

Allow "--realm ! foo" and  "! --realm foo" (Closes: #297)

fix missing comma at end of line

Fix CONNMARK/connmark issues with 64bit kernel and 32bit userspace.
Also fixes a typo in CONNMARK, --mask set the mark, not the mask.

Initial patch by: Pablo Neira <pablo@eurodev.net>
Signed-off-by: Martin Josefsson <gandalf@wlug.westbo.se>

time to release 1.3.0 final

remove way outdated files

update notes to reflect subversion usage

try to fix realm save/restore issue (Adresses: #297)

Fix rule deletion (hinfo pointer initialized by kernel, don't compare it in userspace). (Samuel Jean)

fix parameter handling in libipt_hashlimit with iptables-save (Nikolai Malykh)