compat_xtables: remove unused function declarations

compat_xtables: remove unused ipt_unregister_table macro

compat_xtables: remove unused xtnu_ip_route_me_harder

compat_xtables: remove unused xtnu_skb_make_writable

compat_xtables: remove unused xtnu_request_find_match

The xt_find_match function is also getting unexported in 3.14.

xt_quota2: remove trailing junk which might have a digit in it

Signed-off-by: Sam Liddicott <sam@liddicott.com>

xt_quota2: fix 2 bugs when not in grow mode

1. XT_QUOTA_NO_CHANGE should not alter quota to zero ever
2. XT_QUOTA_PACKET should not be set to zero based on skb->len

Signed-off-by: Sam Liddicott <sam@liddicott.com>

Update .gitignore

Looks like GCOV is enabled somewhere.

extensions: remove RAWSNAT/RAWDNAT

extensions: remove STEAL target

There is enough demo code in the "demos" branch.

build: skip calling depmod

Calling depmod is no longer needed. (Since sometime in the 2.6
series.)

Xtables-addons 2.3

xt_pknock: support for Linux 3.10

xt_quota2: support for Linux 3.10

xt_condition: support for Linux 3.10

xt_DNETMAP: support for Linux 3.10

compat_xtables: dissolve unusued rt_dst

extensions: resolve compile error when CONFIG_UIDGID_STRICT_TYPE_CHECKS=y

xt_DNETMAP.c: In function "dnetmap_tg_check":
xt_DNETMAP.c:331:16: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_DNETMAP.c:332:16: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_DNETMAP.c:344:16: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_DNETMAP.c:345:16: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_condition.c: In function "condition_mt_check":
xt_condition.c:158:24: error: incompatible types when assigning to
type "kuid_t" from type "unsigned int"
xt_condition.c:159:24: error: incompatible types when assigning to
type "kgid_t" from type "unsigned int"
xt_quota2.c: In function "q2_get_counter":
xt_quota2.c:134:18: error: incompatible types when assigning to type
"kuid_t" from type "unsigned int"
xt_quota2.c:135:18: error: incompatible types when assigning to type
"kgid_t" from type "unsigned int"

scripts: avoid bashism in xt_geoip_dl

xt_geoip_dl is marked to use /bin/sh. As such, avoid bashisms.

build: only scan manpages in extensions/

When using quilt to apply some patch to manpages, files named
libxt_*.man can appear within $srcdir/.pc which will be found by our
find(1) call. Limit the search to $srcdir/extensions to avoid this.

doc: spelling and grammar corrections to DNETMAP

doc: replace apostrophes by proper situation-dependent puncutation

doc: dissolve contractions

doc: more escapes for minuses

doc: markup paragraphs

doc: lint man pages (hyphens and spelling)

* hyphen-used-as-minus-sign
* spelling-error-in-manpage

build: remove manpage files during `make clean`

extensions: make print (iptables -L) output the same as save (-S)

xt_quota2: print "!" at the correct position during iptables-save

xt_geoip: do not throw a warnings when country database is size 0

xt_RAWNAT: skb writable part might not include whole L4 header (IPv4 case)

Consider TCP/IPv4 packet with IP options: sizeof(*iph) + sizeof(struct
tcphdr) is not enough to include tcp checksum. It may hurt if this
packet is fragmented.

Therefore, we should use iph->ihl * 4 instead of sizeof(*iph).

Signed-off-by: Dmitry Popov <dp@highloadlab.com>

Xtables-addons 2.2

DELUDE: update comment about reentrancy

iptaccount: fix being a no-op program

A PPC system has been observed where "char" is unsigned; with that,
the getopt loop will never terminate because optchar != -1 could not
happen.

build: support for Linux 3.9

Xtables-addons 2.1

build: support for Linux 3.8

xt_DNETMAP: fix compile error with Linux 3.7

Xtables-addons 2.0

I have been thinking quite a while when to drop support for old
versions. The changes in Linux kernel 3.7 in nf_nat prompted me to
make the cut here, to throw out most of the backwards-compatibility
code and start mostly blank. As future kernels will be released and
supported, no doubt will new code to work with those releases be
added.

If you run with an older kernel, continue to use the Xtables-addons
1.x series.

Merge branch 'maint' into newage

Update my email address

To ... none! Whatever is recent is in the git log.

build: remove support for Linux 3.6 / switch xt_DNETMAP to nf_nat

build: remove support for Linux 3.5

build: remove support for Linux 3.4

build: remove support for Linux 3.3

build: remove support for Linux 3.2

build: remove support for Linux 3.1

build: remove support for Linux 3.0

build: remove support for Linux 2.6.39

build: remove support for Linux 2.6.38

build: remove support for Linux 2.6.37

build: remove support for Linux 2.6.36

xt_CHECKSUM: remove the module

This is available in upstream Linux 2.6.36+.

build: remove support for Linux 2.6.35

xt_TEE: remove the module

This is available in upstream Linux 2.6.35+.

build: remove support for Linux 2.6.34

build: remove support for Linux 2.6.33

build: remove support for Linux 2.6.32

build: remove support for Linux 2.6.31

build: remove support for Linux 2.6.30

build: remove support for Linux 2.6.29

build: remove support for Linux 2.6.28

build: remove support for Linux 2.6.27

build: remove support for Linux 2.6.26

build: remove support for Linux 2.6.25

build: remove support for Linux 2.6.24

build: remove support for Linux 2.6.23

build: remove support for Linux 2.6.22

build: remove support for Linux 2.6.21

build: remove support for Linux 2.6.20

build: remove support for Linux 2.6.19

build: remove support for Linux 2.6.18

build: remove support for Linux 2.6.17

Xtables-addons 1.47.1

build: resolve compiler error

extensions/xt_psd.c:141:2: error: implicit declaration of function
'vmalloc' [-Werror=implicit-function-declaration]

Xtables-addons 1.47

xt_psd: replace vzalloc by vmalloc+memset

The lower support boundary is currently 2.6.32, but vzalloc is only
available since 2.6.37.

Merge branch 'psd'

xt_psd: add IPv6 support

Because most users will probably only use IPv4 psd, allocate most of the
state6 storage when the first IPv6 psd rule is added, and not at module
load time via .bss.

xt_psd: move IPv4 state locking responsibility to caller

The former psd_match function is now < 72 lines.

xt_psd: move L4 header fetching into helper

Also start splitting psd_match into two functions, one to do initial
sanity checking and header retrieval, one to do the actual work.

xt_psd: use tcph->dest directly

This allows us to move more code away from the main match function.

xt_psd: move table cleanup into helper

xt_psd: split struct host into generic and AF-dependent structure

xt_psd: remove unneeded variables, make hash unsigned

- dest port and dest address were only written, never read
- struct inaddr isn't needed either, just look at iph->saddr

xt_psd: move match functionality to helpers

Reduce line count and to allow code reuse when IPv6 support will be
introduced.

xt_psd: avoid if (c=h) do {..} while (c = c->next)

It is aquivalent to c=h; while (c) { ..; c = c->next; }
which is a bit easier to read.

xt_psd: move parts of main match function to helpers

The match function is way too large, start to split this into smaller
chunks.

xt_psd: consider protocol when searching port list

If we saw a TCP packet on port X, and we receive a UDP packet from the
same host to port X, we counted this as "port X", and did not see this
as a new packet.

Change compare to also consider protocol number and move it to a helper
to de-bloat the overlay large match function.

This change makes psd more aggressive with mixed TCP/UDP traffic.

Xtables-addons 1.46

doc: update xt_SYSRQ.man to reflect that the full IPv6 address is needed

xt_SYSRQ uses NIP6_FMT, so requires the expanded form for the digest.

Reported-by: Jan Krcmar <honza801@gmail.com>

build: remove extraneous closing bracket in configure.ac

Now autogen.sh will work without complaints.

TARPIT: fix memory leak when tarpit_generic() fails

Currently tarpit_generic() just returns on failure, but this does not
free nskb.

Signed-off-by: Josh Hunt <johunt@akamai.com>

extensions: fix ipv6_find_hdr upstream change fallout

Upstream commit v3.5-rc1~109^2~138^2~4 ("netfilter: ip6_tables: add
flags parameter to ipv6_find_hdr()") changed the offset parameter of
ipv6_find_hdr() to be an input-output value. Moreover, if it is
non-zero, it MUST point to a valid IPv6 header embedded in the
packet.

Xtables-addons 1.45

build: avoid use of unexported functions

Fixes: "WARNING 'ipv6_find_hdr' [xt_TARPIT.ko] not found" in
<= linux-2.6.37.

fix: "WARNING 'xtnu_ipv6_find_hdr' [.ko] not found"

Xtables-addons 1.44

build: do not attempt to build IPv6 parts if CONFIG_IP6_NF_IPTABLES=n

Checking for IPV6 is not sufficient, use IP6_NF_IPTABLES instead.

build: do not attempt to build IPv6 parts if CONFIG_IPV6=n