chain: add function to export tables in JSON format

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set_elem: add NFT_SET_ELEM_ATTR_DATA to set data for mapping

We need this new attribute to configure the data that is attached
to an element. This is useful for the mapping feature to retrieve
data based on keys (like a dictionary) that nftables provides.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

data_reg: xml: delete unreachable code in _veredict_xml_parse()

Similar to commit 414ac29.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: fix nft_*_unset function attribute that don't release data

In (dde2039 src: add nft_*_unset functions), I mangled Arturo's
patch to add a default case, but he was intentionally not adding
it to unset attributes that require no memory releases.

I prefered to add the attributes explicitly in the switch rather
on failing back on the default action.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add nft_*_unset functions

These functions unset the given attribute in each object and
release the data if needed.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-table-get: export in JSON format

Signed-off-by: Alvaro Neira Ayuso <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: add function to export tables in JSON format

Signed-off-by: Alvaro Neira <alvaroneay@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: xml: add versioning

Add version to XML chunks in case of future changes.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-rule-add: fix compilation warning

  CC     nft-rule-add.o
nft-rule-add.c:105:13: warning: ‘add_payload’ defined but not used [-Wunused-function]

Reported-by: Eric Leblond <eric@regit.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-rule-add: remove unexistent libnftables/payload.h include

Reported-by: Eric Leblond <eric@regit.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: immediate: fix display of dreg expression

Signed-off-by: Eric Leblond <eric@regit.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: nft-events: add newline to output

This patch adds a new line to messages to be sure that they are
printed to the shell as soon as they occur. This also fixes the
display of output.

Signed-off-by: Eric Leblond <eric@regit.org>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: fix bad offset returned by _snprintf

Noted while calling _snprintf functions consecutively.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

data_reg: xml: delete unreachable code

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

data_reg: xml: fix using bad temp variable

It should use 'utmp' instead of 'tmp'.

Signed-off-by: Arturo Borero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

data_reg: remove conditional XML printing if parsing is disabled

XML printing is supported even if XML parsing is not enabled.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

data_reg: Delete trailing space in snprintf_xml

A minor cosmetic change. Delete the space before '>'.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: fix table flag not being set at XML parsing

Added in (51370f0 src: add support for XML parsing).

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: delete useless castings

These casting were useless.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: XML parsing examples

Some code snipplets to add tables/chain/rules using the XML representation.

The examples contains:
 * A binary to parse/add the object using libnftables.
 * A shellscript to easily call that binary, doing some tests.
 * table/chain/rule sample XML file.

I included my name in new files, but I don't know if this is correct. Please let me know.

Instructions:
 $ cd examples/ ; make nft-table-xml-add
 # cd test/ ; ./nft-table-xml-add.sh

NOTE: Some kernel changes are required to allow reinsert exactly what is printed (handle handling, flags..)

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add support for XML parsing

This patch adds capabilities for parsing a XML table/chain/rule.

Some comments:

* The XML data is case sensitive
  (so <chain>asd</chain> != <chain>ASD</chain> != <CHAIN>asd</CHAIN>)
* All exported functions receive XML and return an object (table|chain|rule).
* To compile the lib with XML parsing support, run './configure --with-xml-parsing'
* XML parsing is done with libmxml (http://minixml.org). XML parsing depends
  on this external lib, this dependency is optional at compile time.

NOTE: expr/target and expr/match binary data are exported.

[ Fixed to compile without --with-xml-parsing --pablo ]

Signed-off-by: Arturo Borrero González <arturo.borrero.glez@gmail.com>

map: fix missing nft_rule_expr_build_payload export

Update .map file to include it, otherwise it's not exported.

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: remove non implemented function

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: declare nft_rule_list structure at a proper place

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

build: add an autogen.sh script

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

git: add a .gitignore file

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: add nft_chain_attr_set_str

And constify data passed to nft_chain_attr_set.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: add nft_table_attr_[set|table]_str

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: delete exporting internal flags in XML

The uint32_t flags attribute is internal, so no need to
export via XML.

Signed-off-by: Arturo Borrero González <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: remove trailing \n from all nft_*_snprintf functions

The caller should add it in case it needs it.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: remove trailing newlines, tabs and spaces from XML format

Delete all \n and \t from XML output, any reasonable XML viewer
already does the nifty formatting for us.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: fix snprintf XML output offset for rule.

Signed-off-by: Arturo Borrero González <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: rule: fix compat XML output

The compat struct was not printed in XML. So, I think give output
format is the first step to parse it.

Signed-off-by: Arturo Borrero <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: basic support for printing nft_data_reg in XML format

nft_data_reg now is printed in XML according to what it contains

<data> nodes have been also renamed.

Arturo Borrero Gonzalez says:

====================
cmp is using <cmpdata> <cmpdata> has <data_reg></data_reg> which
can also be redundant.

But all around the XML printing (including sets, an incoming patch)
i've been nesting the data_reg into another XML node, so you could
easily see (also the XML parser) the difference between (for example.
in set) nft_set_elem->key and nft_set_elem->data.

As I needed to nest in nft_set_elem I decided to follow a constant
line and do nest all data_reg.
====================

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: constify nft_*_attr_set and nft_*_attr_set_str

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: lookup: fix missing registration

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: fix wrong symbol export

Exported symbol should be nft_rule_attr_get_u32, not nft_rule_attr_get_u64.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: allow to get and to set NFT_*_ATTR_FAMILY

This patch adds support to get and set the attribute
NFT_{TABLE|CHAIN|RULE}_ATTR_FAMILY.

I found this useful when parsing a XML table|chain|rule (future patch).

Signed-off-by: Arturo Borrero <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: match: Fix a typo

Signed-off-by: Arturo Borrero <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: fix rule addition

Missing NLM_F_CREATE, otherwise the automatic handle allocation
returns -EINVAL.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: change XML output format to use element instead of attributes

There are some problems in using attributes:

* they cannot contain multiple values (child elements can)
* they are not easily expandable (for future changes)
* they cannot describe structures (child elements can)
* they are more difficult to manipulate by program code
* attribute values are not easy to test against a DTD

Extracted from "XML Elements vs. Attributes" at:

http://www.w3schools.com/dtd/dtd_el_vs_attr.asp

For more information.

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: match: Delete unused includes

Signed-off-by: Arturo Borrero <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: add XML output for table/chain/rule

To show an instance of this patch:

(shell)$ ./nft-table-get xml
<table name="filter" >
        <properties>
                <family value="2" />
                <flags value="5" table_flags="0" />
        </properties>
</table>

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.co
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

src: add XML output support

Signed-off-by: Arturo Borrero Gonzalez <arturo.borrero.glez@gmail.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: add lookup expression for set-based lookups

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set: add support to add elements to sets

This patch includes iterators and several examples.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set: complete support

Including examples.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: add protocol and flags support for xtables over nftables

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: add support for rule flags

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: fix setting packet statistics

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: add nft_chain_list_del

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: add type and flags to snprintf interface

Propagate the type and flags parameter to the expressions, so we can
implement outputs in different formats.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: Add a function to get rule's family

Add nft_rule_attr_get_u8 to obtain the family number.

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

include: update internal copy of headers

To get it in sync with the existing kernel code.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: support Patrick's chain rename approach

Support the new approach for chain renaming based on the chain
handle.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

set: add initial support

Add initial support for nf_tables native sets

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: Add support for NAT expressions

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>

examples: table: add example of dormant tables

Now we add a non-dormant table which is not active. We can add
chains and rules to it that would not have any effect. Once we
change the flag to wake it up, the rule-set becomes active.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: add nft_table_attr_set_u32 and nft_table_attr_get_u32

Useful to obtain recently added table flags.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: support NFTA_TABLE_FLAGS

This patch adds support for the table flags, only one is possible
at the moment (NFT_TABLE_F_DORMANT).

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

table: use internal flags for attribute

Fix missing use of internal flags for table objects in attributes.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: add support for chain types

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

rule: use 64-bits handle instead of 16-bits

5c4d30c nf_tables: use 64-bits rule handle instead of 16-bits

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: Add support for NFTA_CHAIN_NEW_NAME attribute

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

chain: Handle fixed sized name

Signed-off-by: Tomasz Bursztyka <tomasz.bursztyka@linux.intel.com>
Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

expr: add bitwise

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: add nft-events

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

examples: add nft-compat-get

This utility allows to consult x_tables match/target revisions supported
via the nft_compat layer.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>

initial version of libnftables

It adds support for table, chain and rule handling.

This also includes expression handling for each rule.

Signed-off-by: Pablo Neira Ayuso <pablo@netfilter.org>