geoip: remove outdated instructions in xt_geoip_build

The manpage contains the authoritative description of options
currently supported.

SYSRQ: fix double target initialization at module load

Merge branch 'tarpit6'

doc: changelog entry for IPv6 TARPIT

compat_xtables: avoid compile abort on <= 2.6.37

TARPIT: enable IPv6 userspace support

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: resolve build errors with newer kernels

Adds fragment offset arg to ipv6_skip_exthdr() and also removes usage
of ipv6_addr_copy() in favor or direct assignment.

Signed-off-by: Josh Hunt <johunt@akamai.com>

compat_xtables: add xtnu_ipv6_skip_exthdr

TARPIT: add IPv6 support

This adds IPv6 support for the tarpit target. It performs the same
functionality as the v4 version, but with IPv6 connections.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: make tarpit code generic

Creates a generic function to perform the tcp header manipulation in.
Done in preparation for IPv6 support. This allows us to share code
between v4 and v6 processing.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_RESET to its own function

Moves XTTARPIT_RESET into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_HONEYPOT mode into its own function

Moves XTTARPIT_HONEYPOT into its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: move XTTARPIT_TARPIT mode processing to its own function

Moves the XTTARPIT_TARPIT mode processing to its own function.

Signed-off-by: Josh Hunt <johunt@akamai.com>

TARPIT: mark oldtcphdr const

build: include <net/ip6_checksum.h> for csum_ipv6_magic

xt_ECHO fails to build on PPC because csum_ipv6_magic is declared in
<net/ip6_checksum.h>, which is not implicitly included from other
headers on PPC causing build failures due to this function being
undefined. So, include this header explicitly.

Note:  Same cause as <http://bugzilla.netfilter.org/show_bug.cgi?id=307>.

Xtables-addons 1.43

build: support for Linux 3.5

build: do not fail if AM_PROG_AR is not known

build: remove empty warning message

build: add missing include for xt_DNETMAP

xt_DNETMAP.c: In function 'dnetmap_tg_proc_write':
xt_DNETMAP.c:703:3: error: implicit declaration of function 'in4_pton'
[-Werror=implicit-function-declaration]

build: automake 1.12 wants me to use AM_PROG_AR

Merge branch 'psd_cleanups' of git://git.breakpoint.cc/fw/xtables-addons

psd: move defines to user/kernelspace part where possible

Some of these defines have no meaning in userspace, so there
is no need to make those available.

psd: reduce size of struct host

We can use u16, saving 8 bytes total (weight cannot exceed
PSD_MAX_RATE, 10000). Also re-format comments & struct initializers.

No functional changes.

psd: re-format comments

psd: add basic validation of userspace matchinfo data

psd multiplies weight_thresh by HZ, so it could overflow.

Userspace libxt_psd refuses values exceeding PSD_MAX_RATE, so check
that on kernel side, too.

Also, setting 0 weight for both privileged and highports will cause
psd to never match at all.

Reject 0 weight threshold, too because it makes no sense (triggers
match for every initial packet).

psd: rip out scanlogd leftovers

scanlogd remembers tcp flags and uses the *_CHANGING values in its
logger function to determine the best log format to use (e.g. TTL is
not logged if HF_TTL_CHANGING was set, as TTL values were different).

As psd does not log at all, we do not need track this.

Also get rid of bogus/misleading comments.

all: remove trailing squatspaces

DNETMAP version 2

- new type: static binding
- new persistent flag option for prefix
- add extra information in /proc/net/xt_DNETMAP/prefix_stat that
  includes the count of static bindings and persistent flag
- add proc interface write support (add/del/flush binding)
- updated manual

build: update installation requirements

Versions prior to 2.6.32 are not tested anymore due to make 3.82 being
troubled with an old ambiguous Makefile syntax.

build: limit xt_ECHO to kernel 3.x

(Would also work on 2.6.39, but eh.)

xt_psd: avoid crash due to curr->next corruption

curr->ports[] is of size SCAN_MAX_COUNT - 1, so under certain
conditions we wrote past end of array, corrupting ->next pointer
of the adjacent host entry.

Reported-and-tested-by: Serge Leschinsky <serge.leschinsky@gmail.com>

Xtables-addons 1.42

src: remove ipset6-genl

As scheduled, perform the removal of ipset from the tree.

build: support for Linux 3.4

build: enable xt_ECHO by default

build: support for Linux 3.3

Remove unused Kconfig files

xt_SYSRQ: fix compile error when crypto is turned off

compat_xtables: fixed mistranslation of checkentry return values

Xtables-addons 1.41

build: stash away build tools and update .gitignore

build: additional compilation fixes for Linux 3.2/3.3

doc: document --without-kbuild

References: http://comments.gmane.org/gmane.comp.security.firewalls.netfilter.general/42337

doc: update README/INSTALL with recent changes

build: deactivate build of ipset-genl by default

build: support for Linux 3.2

Xtables-addons 1.40

xt_quota2: license clarification

GPL3 did not exist back when Sam's xt_quota was written, therefore it
should be assumed that MODULE_LICENSE("GPL") intended to mean just
GPL2.

ipset: update to 6.10-genl

build: notify of unsupported Linux kernel versions

make 3.82 does not like mixing normal rules with implicit rules,
which rejects Makefiles of Linux kernels before 2.6.32 series.

xt_ipv4options: fix an infinite loop

Merge remote branch 'origin/master'

src: use xtables_register_targets throughout

build: iptables >= 1.4.5 is in fact required

xt_ECHO: IPv6 support

xt_ECHO: calculate UDP checksum

xt_ECHO: fix kernel warning about RTAX_HOPLIMIT being used

xt_ECHO: misc backports from ipt_REJECT and cosmetics

Xtables-addons 1.39

ipset: update to 6.9.1-genl

build: add missing linux/version.h includes where needed

Reported-by: Sergei Zhirikov <sfzhi@yahoo.com>
References: http://marc.info/?l=netfilter-devel&m=131404939007827&w=2

doc: update changelog

ipset: move ipset_errcode from src to library to avoid undefined reference

Unresolved symbols found in: /home/users/arekm/tmp/
xtables-addons-1.38-root-arekm/usr/lib64/libipset.so.1.0.0
        ipset_errcode

References: http://marc.info/?l=netfilter-devel&m=131435791514602&w=2

build: fix compilation after missing libxtables_CFLAGS in submodules

ipset-4: remove unsupported version from the VCS

Xtables-addons 1.38

ipset-6: unambiguouize reported name

build: disable ipset-4 by default

This is no longer supported by upstream.

ipset: fix compile error due to changed function signature with Linux 3.1

xt_ipp2p: support UDPLITE

xt_SYSRQ: fix UDPLITE header lookup in IPv6

xt_pknock: support UDPLITE

xt_CHECKSUM: abort build when the feature is already provided by mainline

Merge branch 'ipset'

Conflicts:
doc/changelog.txt

Merge branch 'psd'

xt_psd: resolve compiler warning

xt_psd.c: In function "xt_psd_match":
xt_psd.c:253:27: warning: "tcph" may be used uninitialized in this
function [-Wuninitialized]

xt_psd: compact temporary skb buffers

xt_psd: support UDPLITE

xt_psd: move early bail-out code above skb_header_pointer

xt_psd: cleanup and reduce number of condition checks

xt_psd: restore skb_header_pointer functionality for UDP

ipset: update to 6.8-genl

xt_TEE: abort build when the feature is already provided by mainline

xt_TARPIT: fix kernel warning about RTAX_HOPLIMIT being used

xt_LOGMARK: put ct dumping into its own function

extensions: more precise description

Xtables-addons 1.37

doc: do not advertise old tools

Remove mention of netcat from the libxt_SYSRQ manpage.

xt_SYSRQ: include host address in digest

The xt_SYSRQ hash now includes the destination IPv4 or IPv6 address
which makes it harder to replay a request to many different machines
in the hope that some of them are using the same password.

xt_SYSRQ: make IPv6 trigger work again

IPv6 sysrq never worked because of bad pointer arithmetic.

xt_TARPIT: fix a kernel oops in --reset mode

1. Moved misplaced code that was causing kernel oops in reset mode.

2. Added payload size calc to honeypot mode, so ack sequence may ACK
the length of client's sent payload packets correctly.

3. Modified TTL for honeypot mode so we look more like a Windows
machine.

build: use absolute path for M=

Use absolute path for M during checking kernelrelease. This will force
temporary objects be built in the current directory and not $kbuilddir
as it happened, e.g. in the current kernel scripts/Kbuild.include
try-run target (it is called with TMPOUT=M=. and during call
pwd=$kbuilddir). This should fix sandbox violation in Gentoo:
https://bugs.gentoo.org/show_bug.cgi?id=371997

build: fix support for 2.6.x kernels

After commit 75b3762ef4a81db2753f120fcb63c2e214cb67a8 "WARNING: That
kernel version is not supported." is issued to supported kernels too.
Fix this.

Xtables-addons 1.36

doc: remove stray "userspace" wording

xt_TARPIT: unlock for use with all tables

Merge branch 'ipset-6'

doc: move iptaccount(8) option overview to its own manpage

doc: fix \(em in ipv4options