Fixes compile error of connlimit where NO_SHARED_LIBS=1 is specified

PATCH: Add connlimit to iptables.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

libipt_statistic: add a few missing validity checks

Signed-off-by: Nicolas Bouliane

Removes KERNEL_64_USERSPACE_32

The recent kernel has compat layer for iptables. It doesn't have
compat layer for libipq and ip6tables, but ip6tables with
KERNEL_64_USERSPACE_32 is still broken. We should fix kernel instead of
fixing them if and when we want use their 32bit binary with 64bit kernel.

Removes some KERNEL_64_USERSPACE_32 because linux 2.6 has compat layer

Fix "iptables getsockopt failed strangely" when querying revisions for non-existant matches and targets

Reported by Joseph Jezak <josejx@gentoo.org>.

Add Jozsef's TRACE target.

Changed to be built unconditionally by myself since it doesn't need any
headerfiles anyways.

bump version

Fixes build error of conntrack match because of missing ip_conntrack_tuple.h
in linux 2.6.22. It is not needed because nf_conntrack headers can be used
instead.

A white space fix in ip6tables.c

'-p all' and '-p 0' should be allowed. And actually ip6tables in kernel
allows '! -p xxx' where xxx is extension header. It matches all valid IPv6
packets.

libipt_hashlimit doc update

Add srcip,srcport to hashlimit manpage.

Signed-off-by: Jan Engelhardt <jengelh@gmx.de>

Add --random option to DNAT and REDIRECT targets and fix the manpage mess this option left behind.

Use posix conform directory existance check (Roy Marples <uberlord@gentoo.org>)

Makefile uses [ -a /dir ] which is invalid on non bash shells

Bugzilla #569

Fix missing newlines in iptables-save/restore output (Pavol Rusnak <prusnak@suse.cz>)

Bugzilla #568

update quota manpage for SMP (Phil Oester)

The quota match works fine on SMP, so update the manpage to reflect
this.  Closes bugzilla #564.

In fixing bug #446 [1], the output for unspecified proto was changed from "all" to "0".  This reverts to the original behaviour, and closes bugzilla #543. (Phil Oester)

Fix iptables-save with --random option

Remove unnecessary IP_NAT_RANGE_PROTO_RANDOM ifdefs.

Remove libnsl from LDLIBS

Bugzilla 557

fix problem with iptables-restore and quotes (close bugzilla id 505)

Use nf_conntrack headers instead of ip_conntrack ones and add sanitized versions.

Remove unnecessary ip_conntrack/ip_nat includes

revert some slipped through patches

prepare conntrack and conntrackd merge: rename conntrack to conntrack-tools

Fix iptables --modprobe parameter (Maurice van der Pot <griffon26@kfk4ever.com>)

Supply modprobe parameter to iptables_insmod function.

Bugzilla #556

ip6tables-restore should output error of modprobe if failed to load
ip6tables.ko after failed to initialize handle.

Fixes typos in the argument of ip[6]tables_insmod: quit -> quiet

Supress error message from modprobe on checking revision.

Fix cut and paste error breaking use of groups != 0

iptables: add random option to SNAT (Eric Leblond)

Reverted r6754. libipt_icmp has the option 'any', so it's unnecessary
to check no option of ICMP type.

Update coreteam members in manpages

Fix missing space in error message (Bugzilla 544)

Remove and readd with executable bit set. SVN doesn't seem to have a proper way of doing this.

Fixes man page for tcp, udp, icmp{,6}. They are not loaded when only '-p' is
specified, but loaded when extra options are specified, too.

Forgot to add TCPMSS target to PF6_EXT_SLIB

Error if no ICMP type is specified even though user intended
to use icmp match.

Add ip6tables mh extension (Masahide NAKAMURA <nakam@linux-ipv6.org>)

Kernel part will go in 2.6.21

Update coreteam members in manpages.

Bugzilla #535

In the tcpmss section of the iptables manpage, there is an extraneous trailing
quote for the --mss option.

Bugzilla #534:

Please remove --mss from libipt_tcp.man.  The tcp match doesn't handle that
option, while the tcpmss match does.

Add ip6tables TCPMSS extension (Arnaud Ebalard <arno@natisbad.org>)

Kernel part will go in 2.6.21.

Add UDPLITE multiport support

Fix missing space in ruleset listing

Remove extensions for unmaintained/obsolete patchlets

Fix greedy debug grep

From Bugzilla #527:

if you have a kernel with say a '-g' in it, then KERNEL_DIR will include the
'-g' in it, CFLAGS will include the '-g' in it, and then the grep will think you
have -g in your CFLAGS

for example, if you use the grsec or gentoo patchset:
$ uname -r
2.6.19.1-grsec
$ uname -r
2.6.19-gentoo-r2

then your CFLAGS will look like:
-O2 -Wall -Wunused -I"/lib/modules/2.6.19.1-grsec/build"/include -Iinclude/
-DIPTABLES_VERSION=\"1.3.7\"

and the greedy check grep will incorrectly flag this:
egrep -e '-g|-pg|IPTC_DEBUG'

fix typo in manpage (thomas@aktaia.intevation.org)

Move extensions for pom patches to individual patchlets.

fix compile/install error for iptables-xml with DO_MULTI=1 (Lutz Jaenicke)

Bump version to 1.3.7

Add target extensions for new NFLOG target

Fix iptables-save not printing -s !0/0 and -d !0/0 as well as ip6tables
unnecessarily printing the address. Base on patch by Daniel De Graaf.

Fix /etc/network usage (Pablo Neira)

http://bugs.debian.org/398082

iptables 1.3.5 and 1.3.6 appear to read /etc/networks, but the
information is lost somewhere with 1.3.6.

 # cat /etc/networks
 foonet 10.0.0.0

 # strace -s 255 -o /tmp/foo iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.5 [1]
 ACCEPT  all opt -- in * out *  10.0.0.0/8  -> 0.0.0.0/0

 # strace -s 255 -o /tmp/bar iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.6 [2]
 iptables v1.3.6: host/network `foonet.0.0.0' not found
 Try `iptables -h' or 'iptables --help' for more information.

1. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.5.txt
2. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.6.txt

Fix -E (rename) in iptables/ip6tables

Remove ununsed CHECK entry in commands_v_options.

It makes -E (rename) working again - generic_opt_check
expects options for RENAME not for CHECK at that table index.

Signed-off-by: Krzysztof Piotr Oledzki <ole@ans.pl>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Use /lib/modules/$(uname -r)/build instead of /usr/src/linux as KERNEL_DIR default

Add ip6tables support for hashlimit match

Add iptables-xml tool (Amin Azez <azez@ufomechanic.net>)

Add ip6tables support for sctp match

load ip_[6]tables.ko just before checking revision support in kernel.

changes IP6T_SO_GET_REVISION_{MATCH,TARGET} to 68,69
66 and 67 is conflicted with IPv6 Advanced API in kernel <= 2.6.18.

- Add revision support to ip6tables.
- Add support port range match to libip6t_multiport
(R?mi Denis-Courmont <rdenis@simphalempin.com>)

Fix spelling error

iptables segfaults when given "" to --log-prefix (Mike Frysinger <vapier@gentoo.org>)

Bugzilla #516

Add endian annotation types to fix compilation for kernels > 2.6.18

Version number was not bumped in Makefile in svn

Use correct types at error reporting (patch sent by H. Nakano)

Use negative-list for "weird character in interface" warning instead of warning for basically every non-alphanumeric character.

Named realm (Simon Lodal <simon@parknet.dk>)

Optionally read realm values from /etc/iproute2/rt_realms

Add statistic match extension

iptables: fix ipt_MARK documentation (Eric Leblond)

This patch documents --or-mask and --and-mask options of the MARK
target. Description is directly taken from the source code.

iptables -Z clears the per-rule counters, but not the chain policy counters (Andy Gay <andy@andynet.net>)

https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=502

update quota match for xtables + fix -D bug (Phil Oester <kernel@linuxace.com>)

Revert "proto_to_name duplication" patch, as noticed by Yasuyuki it can cause
invalid arguments to get accepted.

proto_to_name duplication (Phil Oester <kernel@linuxace.com>)

Update multiport match to use the iptables version of proto_to_name
instead of reinventing the wheel.

BUG: libiptc chain references bug (Jesper Brouer <hawk@diku.dk>)

Correcting a chain references increment bug in libiptc.

The bug lies in function iptc_delete_entry() / TC_DELETE_ENTRY.  The
problem is the construction of "r" the rule entry, that is used for
comparison. The problem is that the function iptcc_map_target()
increase the target chains references count.

reduce parse_*_port duplication (Phil Oester <kernel@linuxace.com>)

The below patch (dependent upon my 'reduce service_to_port duplication' patch)
centralizes the parse_*_port functions into parse_port.

reduce service_to_port duplication (Phil Oester <kernel@linuxace.com>)

The service_to_port function is used in a number of places, and could
benefit from some centralization instead of being duplicated everywhere.

Use gcc to build shared objects (Phil Oester <kernel@linuxace.com>)

As suggested by Dmitry Levin and included in Fedora Core releases,
use gcc instead of ld to link shared objects.  Fedora rpm notes
refer to this fixing a plugin problem, but does not offer specifics.
But in any event, 'gcc -dumpspecs' does show gcc will pass a number
of parameters which in theory it thinks are better.

Compile tested both with and without NO_SHARED_LIBS.

Closes bug #454.

iptables: handle cidr notation more sanely (Phil Oester <kernel@linuxace.com>)

At present, a command such as

iptables -A foo -s 10.10/16

will interpret 10.10/16 as 10.0.0.10/16, and after applying the mask end
up with 10.0.0.0/16, which likely isn't what the user intended.  Yet
some people do expect 10.10 (without the cidr notation) to end up as
10.0.0.10.

The below patch should satisfy all parties.  It zero pads the missing
octets only in the cidr case, leaving the IP untouched otherwise.

This resolves bug #422

please kill santa-claus (Pierre-Yves Ritschard <pierre-yves@spootnik.org>)

Remove "hoho" message :)

libiptc symbols clash (Phil Oester <kernel@linuxace.com>)

As reported by Dmitry Levin, the TC_NUM_RULES and TC_GET_RULE exports
clash.  His patch below, resolving bug #456

- force user to specify --icmpv6-type if icmpv6 match is required to load
- Don't allow multiple --icmp-type/icmpv6-type

(Closes: #461)

ip6tables multiport does not support x:y (Phil Oester <kernel@linuxace.com>)

Update the manpage for ip6tables multiport match to reflect
reality -- it does not (yet) support x:y syntax.  I looked at
adding it, but adding revision support to ip6tables seems a
waste at this point, since once xtables support is added to
iptables, this problem will resolve itself.

Closes bug #451.

iptables trivial compile warning cleanup (Phil Oester <kernel@linuxace.com>)

Cleanup a few compile warnings in latest snapshot:

extensions/libipt_dscp_helper.c:69: warning: 'dscp_to_name' defined but not used
extensions/libipt_sctp.c: In function 'print_chunks':
extensions/libipt_sctp.c:465: warning: value computed is not used
extensions/libipt_sctp.c:477: warning: value computed is not used

Resolves bug #457.

size_t changed to socklen_t in getsockopt call

set match negation bug fixed

REDIRECT does not accept IP (Phil Oester <kernel@linuxace.com>)

As pointed out by Nicolas Mailhot in bugzilla #483, REDIRECT
does not accept an IP address and when supplied with one,
provides unexpected results.  Patch below fixes this.

Add new exit value to indicate concurrency issues (Jesper Dangaard Brouer <hawk@comx.dk>)

trivial connlimit manpage fix (Phil Oester <kernel@linuxace.com>)

Use lowercase letters for match name (Simon Lodal <simonl@parknet.dk>)

Add information about :<port> syntax (Evan Miller <evanm@frap.net>)

secmark: Add libip6t_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

D'oh .. I'm not too smart, forgot to add the new files in the previous patches :)

secmark: Add libipt_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libip6t_SECMARK

This patch adds the shared library module for the SECMARK target (IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libipt_SECMARK

This patch adds the shared library module for the SECMARK target (IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libselinux support

This patch adds the infrastructure for linking iptables against
libselinux, for use with the SECMARK target.  This is enabled
by setting DO_SELINUX=1 in the build environment.

Signed-off-by: James Morris <jmorris@namei.org>

Add DCCP/SCTP support to multiport. Patch for kernel will go in 2.6.18.

Replace annoying "Something wrong... deleting dependencies" message by something more useful.