Fix iptables-save not printing -s !0/0 and -d !0/0 as well as ip6tables
unnecessarily printing the address. Base on patch by Daniel De Graaf.

Fix /etc/network usage (Pablo Neira)

http://bugs.debian.org/398082

iptables 1.3.5 and 1.3.6 appear to read /etc/networks, but the
information is lost somewhere with 1.3.6.

 # cat /etc/networks
 foonet 10.0.0.0

 # strace -s 255 -o /tmp/foo iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.5 [1]
 ACCEPT  all opt -- in * out *  10.0.0.0/8  -> 0.0.0.0/0

 # strace -s 255 -o /tmp/bar iptables -v -A INPUT -s foonet/8 -j
ACCEPT #1.3.6 [2]
 iptables v1.3.6: host/network `foonet.0.0.0' not found
 Try `iptables -h' or 'iptables --help' for more information.

1. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.5.txt
2. http://people.debian.org/~ljlane/stuff/strace-iptables-1.3.6.txt

Fix -E (rename) in iptables/ip6tables

Remove ununsed CHECK entry in commands_v_options.

It makes -E (rename) working again - generic_opt_check
expects options for RENAME not for CHECK at that table index.

Signed-off-by: Krzysztof Piotr Oledzki <ole@ans.pl>
Signed-off-by: Patrick McHardy <kaber@trash.net>

Use /lib/modules/$(uname -r)/build instead of /usr/src/linux as KERNEL_DIR default

Add ip6tables support for hashlimit match

Add iptables-xml tool (Amin Azez <azez@ufomechanic.net>)

Add ip6tables support for sctp match

load ip_[6]tables.ko just before checking revision support in kernel.

changes IP6T_SO_GET_REVISION_{MATCH,TARGET} to 68,69
66 and 67 is conflicted with IPv6 Advanced API in kernel <= 2.6.18.

- Add revision support to ip6tables.
- Add support port range match to libip6t_multiport
(R?mi Denis-Courmont <rdenis@simphalempin.com>)

Fix spelling error

iptables segfaults when given "" to --log-prefix (Mike Frysinger <vapier@gentoo.org>)

Bugzilla #516

Add endian annotation types to fix compilation for kernels > 2.6.18

Version number was not bumped in Makefile in svn

Use correct types at error reporting (patch sent by H. Nakano)

Use negative-list for "weird character in interface" warning instead of warning for basically every non-alphanumeric character.

Named realm (Simon Lodal <simon@parknet.dk>)

Optionally read realm values from /etc/iproute2/rt_realms

Add statistic match extension

iptables: fix ipt_MARK documentation (Eric Leblond)

This patch documents --or-mask and --and-mask options of the MARK
target. Description is directly taken from the source code.

iptables -Z clears the per-rule counters, but not the chain policy counters (Andy Gay <andy@andynet.net>)

https://bugzilla.netfilter.org/bugzilla/show_bug.cgi?id=502

update quota match for xtables + fix -D bug (Phil Oester <kernel@linuxace.com>)

Revert "proto_to_name duplication" patch, as noticed by Yasuyuki it can cause
invalid arguments to get accepted.

proto_to_name duplication (Phil Oester <kernel@linuxace.com>)

Update multiport match to use the iptables version of proto_to_name
instead of reinventing the wheel.

BUG: libiptc chain references bug (Jesper Brouer <hawk@diku.dk>)

Correcting a chain references increment bug in libiptc.

The bug lies in function iptc_delete_entry() / TC_DELETE_ENTRY.  The
problem is the construction of "r" the rule entry, that is used for
comparison. The problem is that the function iptcc_map_target()
increase the target chains references count.

reduce parse_*_port duplication (Phil Oester <kernel@linuxace.com>)

The below patch (dependent upon my 'reduce service_to_port duplication' patch)
centralizes the parse_*_port functions into parse_port.

reduce service_to_port duplication (Phil Oester <kernel@linuxace.com>)

The service_to_port function is used in a number of places, and could
benefit from some centralization instead of being duplicated everywhere.

Use gcc to build shared objects (Phil Oester <kernel@linuxace.com>)

As suggested by Dmitry Levin and included in Fedora Core releases,
use gcc instead of ld to link shared objects.  Fedora rpm notes
refer to this fixing a plugin problem, but does not offer specifics.
But in any event, 'gcc -dumpspecs' does show gcc will pass a number
of parameters which in theory it thinks are better.

Compile tested both with and without NO_SHARED_LIBS.

Closes bug #454.

iptables: handle cidr notation more sanely (Phil Oester <kernel@linuxace.com>)

At present, a command such as

iptables -A foo -s 10.10/16

will interpret 10.10/16 as 10.0.0.10/16, and after applying the mask end
up with 10.0.0.0/16, which likely isn't what the user intended.  Yet
some people do expect 10.10 (without the cidr notation) to end up as
10.0.0.10.

The below patch should satisfy all parties.  It zero pads the missing
octets only in the cidr case, leaving the IP untouched otherwise.

This resolves bug #422

please kill santa-claus (Pierre-Yves Ritschard <pierre-yves@spootnik.org>)

Remove "hoho" message :)

libiptc symbols clash (Phil Oester <kernel@linuxace.com>)

As reported by Dmitry Levin, the TC_NUM_RULES and TC_GET_RULE exports
clash.  His patch below, resolving bug #456

- force user to specify --icmpv6-type if icmpv6 match is required to load
- Don't allow multiple --icmp-type/icmpv6-type

(Closes: #461)

ip6tables multiport does not support x:y (Phil Oester <kernel@linuxace.com>)

Update the manpage for ip6tables multiport match to reflect
reality -- it does not (yet) support x:y syntax.  I looked at
adding it, but adding revision support to ip6tables seems a
waste at this point, since once xtables support is added to
iptables, this problem will resolve itself.

Closes bug #451.

iptables trivial compile warning cleanup (Phil Oester <kernel@linuxace.com>)

Cleanup a few compile warnings in latest snapshot:

extensions/libipt_dscp_helper.c:69: warning: 'dscp_to_name' defined but not used
extensions/libipt_sctp.c: In function 'print_chunks':
extensions/libipt_sctp.c:465: warning: value computed is not used
extensions/libipt_sctp.c:477: warning: value computed is not used

Resolves bug #457.

size_t changed to socklen_t in getsockopt call

set match negation bug fixed

REDIRECT does not accept IP (Phil Oester <kernel@linuxace.com>)

As pointed out by Nicolas Mailhot in bugzilla #483, REDIRECT
does not accept an IP address and when supplied with one,
provides unexpected results.  Patch below fixes this.

Add new exit value to indicate concurrency issues (Jesper Dangaard Brouer <hawk@comx.dk>)

trivial connlimit manpage fix (Phil Oester <kernel@linuxace.com>)

Use lowercase letters for match name (Simon Lodal <simonl@parknet.dk>)

Add information about :<port> syntax (Evan Miller <evanm@frap.net>)

secmark: Add libip6t_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

D'oh .. I'm not too smart, forgot to add the new files in the previous patches :)

secmark: Add libipt_CONNSECMARK

This patch adds the shared library module for the CONNSECMARK target
(IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libip6t_SECMARK

This patch adds the shared library module for the SECMARK target (IPv6).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libipt_SECMARK

This patch adds the shared library module for the SECMARK target (IPv4).

Signed-off-by: James Morris <jmorris@namei.org>

secmark: Add libselinux support

This patch adds the infrastructure for linking iptables against
libselinux, for use with the SECMARK target.  This is enabled
by setting DO_SELINUX=1 in the build environment.

Signed-off-by: James Morris <jmorris@namei.org>

Add DCCP/SCTP support to multiport. Patch for kernel will go in 2.6.18.

Replace annoying "Something wrong... deleting dependencies" message by something more useful.

Don't overwrite errno with return value of setsockopt (which is -1 on error).
Fixes "Unknown error 4294967295" message (bugzilla #460).

Revert incorrect fix for "Unknown error 4294967295" problem

When entering an invalid command (such as iptables -A INPUT -j MARK --set-mark
1), the error message "Unknown error 4294967295" is displayed; (Closes: #460)

In ip[6]tables.c, NUMBER_OF_OPT was increased to 12 for the OPT_COUNTERS
option.  However, the new array element is not initialized in either
commands_v_options[NUMBER_OF_CMD][NUMBER_OF_OPT] or
inverse_for_options[NUMBER_OF_OPT]. (Closes: #462)

cmdflags is used in cmd2char() to return the option for a command.  It uses the
bit position of the command mask as an index in the array.  There's no entry for
CMD_CHECK (0x0800U), so lookups for CMD_RENAME_CHAIN (0x1000U) index outside the
array. (Closes: #463)

[IPTABLES,IP6TABLES]: check invalid esp spi range

[IP6TABLES] kill manual comparing protocol name with "ipv6-icmp".

fix loading shared library of ICMPv6 match.

The current ip6tables tries to load libip6t_icmp6.so when user types
'ip6tables -p icmpv6 ...' or 'ip6tables ... -m icmpv6' ...', and it fails.

This patch renames libip6t_icmpv6.c to libip6t_icmp6.c so that ip6tables
can load it. Now kernel module and user library has same name 'icmp6'.
It can reduce confusion about name mismatch. That's why I renamed it
instead of reverting change in find_match() which brought this bug.

This patch keeps compatibiity and we can use '-p icmpv6', '-p ipv6-icmpv6',
'-m icmpv6', '-m ipv6-icmpv6', and '-m icmp6', as ever.

[IPTABLES,IP6TABLES]: fix the path to detect esp/connbytes support in kernel

The recent kernels don't have ipt_connbytes.c and ip6t_esp.c.

Correct iptables-save output of osf module (Daniel De Graaf)

don't allow to specify protocol of IPv6 extension header (Yasuyuki Kozakai)

Sometimes I hear that people do 'ip6tables -p ah ...' which never matches
any packet. IPv6 extension headers except of ESP are skipped and invalid
as argument of '-p'. Then I propose that ip6tables exits with error in such
case.

Multiple matches of the same type can be specified on the commandline.

If two or more matches of the same type are detected then the options
are assumed to be grouped in order to tell which option belongs
to which match:

... -m foo ... <options0> ... -m foo ... <options1> ...

Otherwise the commandline parsing is unmodified.

Make '-p all' a special case that is handled before calling getprotoent() (Closes: #446)

fix double-free if a single match is used multiple times within a signle rule
(Closes: #440).  However, while this fixes the double-free, it still doesn't make iptables
support two of the same matches within one rule.  Apparently the last matchinfo is copied into all the previous
matchinfo instances.

don't install libiptc.a

fix segfault or loading of invalid counters in ip[6]tables-restore (Olaf Rempel) (Closes: #437)

make policy match compile independant of kernel headers

Some !%$!*##$@ has modified the kernel include/linux/netfilter_ipv4/ipt_sctp.h
file in a way that breaks userspace :(

fix ipt_conntrack compilation against very early (2.4.0) kernel releases

remove other bits of old ip pool code, people should use ipset (ipset.netfilter.org) these days

remove ippool

Prepare policy match for x_tables unification by making sure both
ipt_policy and ip6t_policy use the same data structure.

fix 'save' (Michael Rash)

major manpage update (Yasuyuki Kozakai)

Add 'copy+paste' support for 'state' and 'connmark' match, as well as
'CONNMARK' target for ip6tables / nf_conntrack_l3proto_ipv6.  This is a temporary solution for the iptables-1.3.x branch, since the 1.4.x branch will have proper support.

add note about deprecated state

fix spelling 'adress' -> 'address' (Closes: #431) (MJ Anthony)

Fix "empty policy element" complaining in non-strict mode.
Noticed by Tom Eastep <teastep@shorewall.net>.

Clarify --tunnel-src/--tunnel-dst options

Move empty policy element check to also catch last element

Don't allow using --next option without specifying a policy element

Fix invalid assignment of tunnel-src to dest address (Patrick McHardy)

Add documentation for string match (Pablo Neira)

Fix probing for supported revisions (Jones Desougi <jones@ingate.com>)

Bugzilla #413

fix iptables-save of 'goto' target (Closes: #410)

Add note that TCPMSS is only valid in the mangle table (not true today, but maybe someday)

fix compilation of iptables on [old] systems that don't have IPT_F_GOTO

note that we can only delete chains that are empty

tcp-rst is the alias, not tcp-reset (Torsten Hilbrich)

Add policy match extensions from patch-o-matic

Fix some gcc-4 warnings

Don't eat numeric arguments for other extensions

The conntrack match does not print any info for --ctproto, thus
breaking iptables-restore of any rules using this option.  Below
patch adds output and closes bug #398. (Phil Oester)

only set revisions on real targets, not on jumps. (Pablo Neira)

- Fix memory leak in TC_COMMIT()  (Markus Sundberg)
- Cleanup error path of TC_COMMIT()
- Correctly propagate errors of setsockopt to calling function

add 'goto' support (Henrik Nordstrom <hno@marasystems.com>)

fix connmark, it's now only 32bits (Deti Fliegl <deti@fliegl.de)

We'ver screwed this up with the 2.6.14 release.  It refuses any mask that
extends 32bits.  We should have fixed this by adding a new target/match
revision, but now it's too late anyway :(

about to release 1.3.4

The conntrack match extension doesn't handle address inversion correctly. (Tom Eastep)

Kernels higher than 2.6.10 don't support multiple --to arguments in
DNAT and SNAT targets.  At present, the error is somewhat vague:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables: Invalid argument

But if we want current iptables to work with kernels <= 2.6.10, we
cannot simply disallow this in all cases.

So the below patch adds kernel version checking to iptables, and
utilizes it in [DS]NAT.  Now, users will see a more informative error:

# iptables -t nat -A foo -j SNAT --to 1.2.3.4 --to 2.3.4.5
iptables v1.3.3: Multiple --to-source not supported

This generic infrastructure (shamelessly lifted from procps btw) may
come in handy in the future for other changes.

This fixes bugzilla #367. (Phil Oester)

* specifying random seed for the Jenkins hash works as documented
* iptables-save seems to work now

Signed-off-by: KOVACS Krisztian <hidden@balabit.hu>
Signed-off-by: Harald Welte <laforge@netfilter.org>

Add the aligned_u64 typedef, it's defined in linux/types.h in the kernel.
We can't include that header since it conflicts with sys/types.h