Merge branch 'quota2'

xt_quota2: minor fixes, merge into main config files

ipset: fixup compile errors with 2.6.18.x and 2.6.20 warnings

ipset: fixup compile warnings

And add a few const here and there.

xt_quota2: support packet counting; add manpage

build: properly recognize external Kbuild/Mbuild files

xt_quota2: allow for multiple rules to share one counter

Add xt_quota2

Support for inversion, upcounting, and changing the quota/counter
through sysfs.

ipp2p: bump version to indicate this is newer than 0.8.2

src: update netfilter.h to unifdef'ed variant

From Linux kernel, c8942f1f0a7e2160ebf2e51ba89e50ee5895a1e7.

Import ipset-2.3.2a (userspace components)

Import ipset-2.3.2 (kernel components)

Import ipset-2.3.1a-20080617

Update README, .gitignore

Update manpages of CHAOS, IPMARK

ipt_ACCOUNT, iptables: (tomj) fix module load error caused by previous change

ipt_ACCOUNT, iptables: (tomj) support for iptables 1.4.0 and 1.4.1

ipt_ACCOUNT, iptables: (tomj) fix delete handling (#1379)

ipt_ACCOUNT, iptables: (tomj) fix some pointer types (#1397)

Xtables-addons 1.5.4.1

Fix compilation error for 2.6.18-stable

The prototype of ip_route_me_harder changed in 2.6.18.5, so I think
Xtables-addons should account for it. This renders compilation on
anything below it impossible. (2.6.17 is not supported in general.)

removed autogenerated files

Update .gitignore

configure.ac: AC_SUBST must be separate

condition: use PF_UNSPEC in vtable

Xtables-addons 1.5.4

manpages: generate manpages

manpages: remove diff markers from CHAOS,TARIPT

compat: resolve missing tcp_hdr and udp_hdr for xt_ipp2p

TEE: make skb writable before attempting checksum update

This also adds the compat function xtnu_skb_make_writable().

condition: resolve typesize compiler warning

Fix warning: field precision should have type "int", but argument 2
has type "long unsigned int".

Merge reworked "IPMARK" target

IPMARK: redo ipmark_tg_parse()

- check for illegal inversion on flags
- use param_act() and strtonum() instead of open-coded checks

IPMARK: style cleanup

IPMARK: IPv6 support

IPMARK: print --addr flag the usual way

IPMARK: omit printing unset mask

IPMARK: remove incorrect --and/--or check

It is perfectly valid for no --and-mask and also no --or-mask to
appear, in which case the IP(v4) address is taken as mark without
modification.

IPMARK: misc cleanups

- order #include lists
- const annotations, removal of casts
- add ipt_IPMARK alias
- make symbol names distinct

IPMARK: rebuild parameter structure (fixed-size types)

Rebuild the parameter structure to have fixed-size members only.

IPMARK: import 20080304 code base

With truly minimal changes to make it compile.

Merge reworked "ipp2p" match

ipp2p: add missing MODULE_ALIAS(ipt_ipp2p)

ipp2p: use c99 initializers in getopt structure

ipp2p: use param_act() for parameter validation

ipp2p: use OR in flag settings in libxt_ipp2p

ipp2p: enable experimental data stream analyzers

(get rid of "function unused" warnings)

ipp2p: internally simplify selecting protocol searches

ipp2p: guard against potential unaligned access

get_u16() and get_u32() may get passed unaligned pointers;
let's play it safe.

ipp2p: use auxiliary skb functions

ipp2p: static and const annotations, type usage

ipp2p: fix match function signature

ipp2p: adhere to codingstyle

ipp2p: remove compat and obsolete code

ipp2p: import 20080304 code base

Merge reworked "condition" match

condition: greatly improve processing speed

Replace the loop over all possible condvars by a simple deref. This
changes the runtime from O(n) to O(1) at the expense of only 8 bytes
for rule.

condition: squash variables

condition: remove support for nonstandard inversion

condition: reenable IPv6 support in userspace extension

condition: style cleanup

condition: rework condvar name check

Use memchr() instead of a for loop to detect '/' in the condvar name.
Also unconditionally disallow names starting with a dot.

condition: use appropriate types and return values

condition: use unique symbol names and rewrite init function

Use an array of xt_match for the match vtable.

condition: use new structure type

Use __u8 for the invert flag instead of int. Reduce CONDITION_NAME_LEN
from 32 to 31 so that the entire structure can fit into a cacheline.

condition: remove casts, add const qualifiers

condition: remove version #ifs and compat selectors

condition: import 20080125 code base

LOGMARK: fix comma output in ctstatus= list

LOGMARK: add hook= and ctdir= fields

compat: add ipv6_hdr

TEE: reenable header_ops check

compat: add check for pskb relocation

The Xtables-addons compat layer does not support pskb relocation
(result of possible memory allocation in kernels before 2.6.24) and
we just assume it does not happen. Add a check to warn if relocation
did happen and packet loss is to be expected.

ECHO: Catch skb_linearize out-of-memory condition

Removed obsoleted stuff

Makefile: support building multiple files with one config option

TEE: fix address copying bug

Add Kconfig descriptions for Chaostables, ECHO, geoip

Xtables-addons 1.5.3

Merge reworked geoip extension

Add xt_ECHO sample target

geoip: minor cleanups in help, opts and logic

geoip: use simpler, preprocessed integer vector lists and fix endian issue

The old database format was in unknown byteorder -- if you run the
converter program yourself, you got a host order file, but if you
downloaded the preprocessed DB file (geoipdb.bin), you got a
little-endian file.

Use a new database format. Instead of having an index and a DB file,
do away with the index and let the filesystem do the indexing, using
one file per country. Also access the database files with a known
endianess type. The converter script now produces two distinct
variants (especially needed for IA-64).

All of this reduces the touched code by half.

geoip: use appropriate and normal types

For the header file, we need __u32 and so on because they are exported
to userspace and rather constitute a kernel header.

Use normal types instead of uintXX_t in the main code.

geoip: use rcu to reduce time spinlocks are held

spin_lock_bh does not look safe (only disables preempt on current
CPU?). Change to spin_lock, that also avoids the management overhead
of spin_lock_bh. to spin_lock to avoid management overhead.

Use rcu in match and destroy function.

geoip: use real atomic_t and remove casts from uint32_t

geoip: use struct list_head instead of self-cooked list

geoip: use local-portable aligned_u64 pointer values

A 64-bit kernel will interpret the pointer with 64 bits width, while
a 32-bit userspace filled in only 32 of it, leaving the other 32
undefined. This must be avoided.

geoip: split user/kernel-visible parts of struct geoip_info

geoip: use vmalloc due to potential list size

The subnet list may become really large (United States: ~15000
entries), which means a use of roughly 120 KB, and kmalloc may fail
to find a contiguous block in physical memory. Virtual contiguity is
enough, so use vmalloc/vfree.

vfree may not be called within a spin_lock_bh area, so release the
lock first, it is safe to do so.

geoip: use a binary search to replace the current linear one

Certain countries have lots (around 10000) of IP address ranges
(US,GB,DE,...). The current linear search is really bad:

No firewall:
3000 packets transmitted, 3000 received, 0% packet loss, time 1992ms

Testing against the countries with top 50 IP ranges:
3000 packets transmitted, 3000 received, 0% packet loss, time 8998ms

With binary search:
3000 packets transmitted, 3000 received, 0% packet loss, time 2358ms

geoip: address comparison is inclusive

subnet is somewhat a wrong term, geoip actually uses ipranges. Either
way, the comparison needs to be >= and <= instead of > <.

geoip: lock timing correctness

find_node: The reference count needs to be increased while the lock
is held. Otherwise, the node may disappear right after the lock was
released and increase was attempted, leading to an oops.

remove_node: The reference count needs to be checked while the lock
is held. Otherwise, the node may be used in the match function or
returned from find_node while it has a zero refcount.

geoip: add missing kfree in error path

geoip: sort #include list

geoip: use tabs not spaces and indent

geoip: remove redundant casts

geoip: remove unused code and unneeded per-info refcount

- freeing userspace memory is not the kernel's job, really.
- checkentry is called exactly once, as is destroy.

geoip: import 20080214 code base

compat update: allow building from 2.6.18 onwards