build: use appropriate location for program modules

Modules - since they are dependent on the executable - generally go to
libexec/.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: avoid use of LIBS variable

The variable contains global libraries linked into every possible
object, which is unwanted. Clean up things.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

ulogd: fix double call of stop for reused input plugins

This patch adds reference counting for plugins. This is used to fix
a double stop for input plugins that are reused.

This problem was reported by Salih Gonullu <sag@open.ch>:

http://marc.info/?l=netfilter&m=129439584700693&w=2

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: fix bug in polling mode

This closes the following bug:
http://bugzilla.netfilter.org/show_bug.cgi?id=684

This problem was introduced with the XML output plugin.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

filter/HWHDR: remove redundant sizeof(char)

It is 1 by definition.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: no need for error message in PKG_CHECK_MODULES

PKG_CHECK_MODULES already produces its own (and more verbose) messsage
when a module cannot be found.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: propagate global CFLAGS

We must not override CFLAGS, because that will break when the user
overrides CFLAGS again at make time (which he is entitled to). So,
name our CFLAGS regular_CFLAGS, and also include that across all
Makefiles so that they are actually uesd for all the code.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: default to not building static libraries

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

output/LOGEMU: resolve build warning

ulogd_output_LOGEMU.c:37:2: warning: #warning this libc does not
define HOST_NAME_MAX

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: remove unused $(all_includes)

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: remove -fPIC flag

libtool automatically adds PIC flags as needed.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: remove statements without obvious effect

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: move global automake options into configure.ac

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Add helper script pcap2ulog

This script uses the Net::Pcap Perl library to parse an pcap file and
send packets to ulogd2 throught the UNIXSOCK input module.

Signed-off-by: Pierre Chifflier <chifflier@edenwall.com>

Add new input plugin UNIXSOCK

This input plugins creates a unix socket which can be used to log packets.
Scripts or applications can connect to the socket (only one client allowed
per socket) and send data in a Key-Length-Value format (including the
payload).

Signed-off-by: Pierre Chifflier <chifflier@edenwall.com>

DB output: fix crash in SIGHUP handling

This patch fixes the handling of SIGHUP when a SQL plugin is used. A
freed structure was previoulsy used to build the request and this was
leading to a crash.

HWHDR: Fix various crashes

This patch fixes the HWHDR plugin. The logic of the interaction with
exiting plugin was not correctly coded and this was leading to crashes
due to the lack of sanity check.

autoconf: fix sqlite configure description message.

This patch fixes configure message as pointed out by
http://bugzilla.netfilter.org/show_bug.cgi?id=594

ulogd.conf: fix mysql definition for NFCT

Mysql definition for NFCT usage was not correct.

Mysql schema: fix procedure declaration

It seems that some version of MySQL were more delicate about comment
in procedure. THis patch fixes a problem with a procedure comment
and fix the inner code which was not using the correct variable.

Mysql schema: fix delimiter

The use of delimiter was not correct in the MySQL schema. This patch
fixes this issue my correctly switching from ";" to "$$" when needed.

Based on a patch by Bruno Friedmann <bruno@ioda-net.ch>

pcap: fix packet length handling

Currently, the PCAP output plugin uses ip.totlen to determine both the
"len" and "caplen" pcap header fields, as well as the amount of packet
data written to the file. There are two issues with this:

- For obvious reasons it doesn't work for IPv6.

- AFAICT, in case of an incompletely captured packet (--nflog-range)
  it will attempt to write out the whole packet, not just the part
  captured.

This patch changes the behavior to:

- Use raw.pktlen to set the "caplen" field, and the amount of data
  written.

- Determine the "len" (original length) field from ip.totlen or
  ip6.payload_len if possible, default to the same value as "caplen"
  otherwise.

Signed-off-by: Jan Andres <jandres@gmx.net>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: remove obsolete reference to debian/ dir in Makefile

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: bump version to 2.0.0beta4 and update dependencies

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

IPFIX: remove plugin until it is usable

This patch removes the IPFIX from the Makefile. Thus, we keep
it in the tree in the hope that we'll have time to finish it
in the future but don't compile it. This confuses users since
they think that it works.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: copy the conntrack object to the plugin once

With this patch, we copy the conntrack object that we propagate
to the output plugin instances *only once*.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

fix wrong list addition in plugin re-use logic

This patch fixes a bug that makes ulogd loops forever while
propagating inputs to the output plugin. It is reproducible
if you re-use three or more plugin instances. The problem is
that the parameters in the list addition are in incorrect
order.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: fix plugin re-use in different stacks

This patch fixes a problem in configurations that use the NFCT
plugin as input in several stacks. The first plugin loaded contains
the hashtable and other important NFCT private data. Other plugin
instances of NFCT are dummies that are only used to store the
output keys.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

output: XML: add infix in output file

This patch adds an infix to the XML file to avoid problems if we are
logging packets and flows at the same time. Thus, we create two
different XML files whose filename describes the sort of logging
information that it contains. It is also useful when listing files
at a quick sight.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

output: XML: support reopening file via SIGHUP

This feature is useful for log-rotation.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

output: add new plugin XML to output logs in XML

This patch adds XML that allows to log information in XML for
ulogd2. It supports packet and flow-based accounting.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

fix incorrect negative EINTR checking in main loop

This patch fixes the following error that is displayed if we send
SIGHUP to reopen the logfile:

ulogd.c:904 select says Interrupted system call

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

LOGEMU: fix crash if output file cannot be accessed

This patch fixes a crash if the output file was not correctly opened.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: use ARRAY_SIZE to calculate the array size of keys

This patch is a cleanup to use ARRAY_SIZE in NFLOG and ULOG input
plugins.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

IP2BIN: fix missing protocol key

ulogd2 from git won't start using filter IP2BIN. It gives the following error
message in the log:

<1> ulogd.c:670 traversing plugin `IP2BIN'
<1> ulogd.c:627 log4(NFLOG)
<1> ulogd.c:733 assigning `oob.family(?)' as source for IP2BIN(oob.family)
<7> ulogd.c:727 cannot find key `' in stack
<1> ulogd.c:863 destroying stack

Filling up ip2bin_inp[] declaration with missing section in
filter/ulogd_filter_IP2BIN.c solves the problem:

Signed-off-by: Christophe Fish <christophe.fish@free.fr>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: fix reset counters via SIGUSR2 signal

This patch fixes a feature that allows to force the logging of
the existing entries and reset the counters.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: fix number of options (missing one)

This patch fixes the number of options in NFCT that is
actually 8, not 7.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: split event handler if hashtable is used or not

This patch splits event_handler into two functions:
event_handler_hashtable and event_handler_no_hashtable.
Thus, we register the appropriate handler during the
initialization time. This patch is a cleanup.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: use new hashtable implementation for better performance

This patch replaces the existing hashtable implementation with
a newer that provide better performance since it reduces the
number of hash computations.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: change `pollinterval' behaviour

This patch adds support for poll-based logging. Basically,
ulogd polls from the kernel periodically to log entries. You
can use the `pollinterval' option in the configuration file to
set the polling period.

This patch changes the current behaviour of `pollinterval'
that allowed to mix both the event-driven logging with
polling periodically from the kernel. I have tried to look
for anyone in google (and asking Eric Leblond) using this
feature but I found noone.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: cleanup constructor and destructor functions

This patch cleans up the destructor and the destructor functions
in the NFCT plugin. I know, this patch isn't easy to review
because it includes too many changes in one.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

Fix wrong definition of views in flat DB schema

Create views using the ip_protocol field (and not the oob_family).

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

Remove debian directory

Remove Debian packaging files, it is easier to maintain the packaging
files outside of the sources.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

IPFIX: preliminary fixes, yet unusable

This patch is a preliminary fix for the yet-unfinished IPFIX
support. This patch resolves a couple of bugs that made ulogd
crash and a couple of missing symbols that didn't allow to
use this plugin in the configuration file.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: remove -lpthread from Makefile

This patch remove -lpthread that was introduced time ago to
workaround a problem in gdb.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: avoid spamming report about netlink overruns

This patch reduces the verbosity of the log messages that report
netlink overruns.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: add configurable option to set the value of the resynchronization timer

This patch adds `netlink_resync_timeout' that allows you to set
the number of seconds that we wait to perform a resynchronization
due to a netlink overrun. This patch changes the default timeout
from 2 to 60 seconds (less agressive).

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: improve netlink overrun handling

With this patch, we schedule one resynchronization against the
kernel conntrack table that will occur in two seconds (still
we need a patch to make this configurable). Before this, we
scheduled a resynchronization for every overrun, that is very
bad in a scenario in which overruns occurs very frequently.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

NFCT: fix NULL dereference when hashtable is full

This patch fixes a NULL dereference to the timestamp structure when
hashtable_add() fails, for example, because the hashtable is full.

Reported-by: Bernhard Schmidt <berni@birkenwald.de>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

Revert "ulogd: permit compilation of plugin outside of tree"

This reverts commit 0ff525cb0506b2c043bc9df6d7e7b486c865bc38. A stable
and clean API should be provided if we choose to offer for external
module capability.

Documentation: information about procedure variable.

This patch documents the "procedure" option in the database
plugin configurations.

DB plugins: fixed bug with INSERT* procedures

When procedure begins with INSERT* (without space), it considers it as an
INSERT statement.

Signed-off-by: Romain Bignon <romain@inl.fr>

DB plugin: add capability to specify complete INSERT command

This patch modifies the procedure name parsing to be able to specify a
complete INSERT command.

ulogd: configure all plugins before resolving keys.

Split the 'resolve keys' step in two parts: first call the configure
fonction for all plugins (in reverse order), then loop again
to resolve the keys.
This allows dynamic construction of the input and output keys, even
for filter plugins.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

ulogd: permit compilation of plugin outside of tree

This patch modifies Makefile.am to install the headers needed for
compilation of plugins outside of the source tree.

ulogd: include config.h in all files.

This patch adds config.h inclusion in ulogd.h to be able to use all
defined value in the whole project.

db plugins: free memory at exit.

This patches frees an allocated buffer when ulogd is quitting.

ip2bin: add AF_BRIDGE family support.

This patch adds support for AF_BRIDGE family. It synchronizes code of
IP2BIN module with the one of IP2STR.

hwhdr: suppress explicit allocation

This patch suppresses all allocation and use a statically
created array instead.

ip2bin: suppress explicit allocation of some output key values

This patch suppresses explicit allocation and free for each packet and use
a statically created array instead.

ip2str: suppress explicit allocation of some output key values

This patch suppresses explicit allocation and free for each packet
and use a statically created array instead.

ifindex: avoid memory allocation

This patch modifies the interp function to avoid to do an explicit
allocation of memory.

nflog: adjust unit which was inaccurate.

Timeout unit is 10ms and not 1ms. This patch fixes an invalid comment
in the configuration file.

build: bump version to 2.00beta3

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

Delete timer in destructor function.

This patch deletes the overrun timer in the destructor function.

pgsql: fix type of mac_protocol and oob_protocol.

The oob_protocol does not fit into a smallint (IPv6 case for example).
This patch switches the length of the related field to an integer.

Add threshold and timeout option to NFLOG plugin.

This patch adds support for setting NFLOG threshold and timeout
from ulogd.

Explicitely type PCAP input key.

This patch affect type and flag to PCAP input key.

Display which keys are optional in info mode.

This patch adds a "optional" keyword to description of input key which are
optional when --info is used to dump information about a plugin.

Replace INCLUDES by AM_CPPFLAGS in Makefile.am.

This patch fixes autotools warning about deprecated usage of INCLUDES in
Makefile.am.

build: update configure.ac

Some constructs in there are old-fashioned. Replace them by their
modern counterparts.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: resolve autotools suggestions to use AC_CONFIG_MACRO_DIR

libtoolize: Consider adding `AC_CONFIG_MACRO_DIR([m4])' to configure.ac and
libtoolize: rerunning libtoolize, to keep the correct libtool macros in-tree.
libtoolize: Consider adding `-I m4' to ACLOCAL_AMFLAGS in Makefile.am.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: use -avoid-version for modules

The modules are pretty much bound to ulogd, and it does not seem
to make sense to specially version these.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Update .gitignore and remove install-sh

install-sh is autogenerated.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: compile fix

ulogd_inpflow_NFCT.c: In function 'propagate_ct':
ulogd_inpflow_NFCT.c:483: error: 'IPPROTO_UDPLITE' undeclared (first use in this function)

(and more for IPPROTO_SCTP)

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

HWHDR: Fix size of allocated string.

This patch fixes a incorrect computing of the allocation size
of a string.

Fix crash on IPv6 packet.

Incorrect definition of a IPv6 input key handling function was causing
a crash in ulogd.

Display logfile to check in case of error.

This patch adds the display of the used logging file to look at if there
is a critical error.

fix config file: MAC2STR has been renamed to HWHDR.

This patch replaces all MAC2STR occurences by HWHDR to sync with the
renaming of the plugin.

Flat SQL schema for MySQL

This schema is designed for performance, by putting all fields in a
single table. It should be used in combination with plain INSERT.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

Flat SQL schema for PostgreSQL

This schema is designed for performance, by putting all fields in a
single table. It should be used in combination with plain INSERT.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

PostgreSQL: allow local connections

This patch allows to connect to the server using the local (unix) socket,
thus not using a network socket and SSL encryption.
Local connection is used if host parameter is omitted or empty.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

DBI: lower column name before comparing to key

Some databases (e.g Oracle) return column name in uppercase, while
key name is in lowercase. This patch allows to match keys correctly.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

Allow plain INSERT instead of procedure

If the procedure name specified in configuration is INSERT, than use
a regular insertion instead of a stored procedure.
This should be used when performance is needed, with a flat SQL schema,
to reduce the cost of SQL procedure calls.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

PostgreSQL schema: drop useless constraints

Constraints on TCP/UDP port number validity are useless and only slow
down insertions.

Signed-off-by: Pierre Chifflier <chifflier@inl.fr>

Add variable to force binding of nfnetlink_log.

This patch updates the behaviour of the NFLOG input plugin to fix an
issue related to kernel older than 2.6.29. The call to nflog_bind_pf()
that can be necessary to receive packet from the nfnetlink_log was only
done if the used group was 0 (system logging). This is logic for the
newest kernel (NFLOG really sends message to nfnetlink_log and not to
the nf_log logger). But this is unsufficient for older one. By forcing
the binding with the new configuration variable bind, it is now possible
to trigger the binding from the ulogd2 configuration file. This gives
users a way to be sure that ulogd will receive packets if the NFLOG
input plugin is used.

Return true/false instead of ULOGD_IRET_OK/STOP

Signed-off-by: Thomas Jacob <jacob@internet24.de>
Signed-off-by: Eric Leblond <eric@inl.fr>

Add valgrind compilation option.

Valgrind messages are obscur when the plugins are unloaded. This patch
adds a macro that can be used to desactivate unloading. To use it, you
have to specify 'CPPFLAGS=-DDEBUG_VALGRIND' on configure line.

Fix memory leak in destructor_nfct().

This patch fixes a memory leak in the destructor function which was not
releasing the memory allocated for each connection tracking entry.

Free stacks when exiting.

This patch modifies ulogd2 to have it free the stacks when leaving.

Introduce config_stop() function

This patch adds the config_stop function which is in charge of releasing
ressources allocated for configuration file parsing.

Unload plugins when quitting.

This patch adds unloading of plugins (call dlclose()) in ulogd2. This
make valgrind happy and will be useful for daemon live reconfiguration.

Add SIGINT to list of terminal signal.

This patch modifies ulogd to intercept SIGINT signal
and quit nicely when this signal is received.

Call pluginstance stop function when exiting

The stop function of plugin was not called when ulogd2 was
preparing to quit. This patch adds a call to stop for all
plugins in each stack and free pluginstance.

Fix minor memory leak in NFLOG plugin.

This patch fix a minor memory leak at NFLOG plugin exit.

Don't free pluginstance when leaving

If we free pluginstance in the stop function we won't
be able to iter anymore on the stack linked list.

Fix stop function of NFCT plugin.

This patch fixes some crashes in NFCT plugin that were triggered
by the call of the destructor_nfct function (during stop).

Treat nice function return.

gcc was warning that the return of the nice function should
be treated. This patch adds an error message in case of failure.

Add SCTP support to MySQL and PGSQL output.

This patch adds support for SCTP in the MySQL and PGSQL
output plugins. It adds a dedicated SCTP table and modifies
the insert_packet_full procedure.

Signed-off-by: Eric Leblond <eric@inl.fr>

SCTP support for PRINTPKT.

This patch modifies PRINTPKT plugin to add SCTP support.

Signed-off-by: Eric Leblond <eric@inl.fr>