Xtables-addons 1.30

mconfig: deactivate building of xt_TEE and xt_CHECKSUM

ipset: update to 4.4

Xtables-addons 1.29

build: add workaround for beoken linux-glibc-devel (2)

build: add workaround for broken linux-glibc-devel 2.6.34 userspace headers

build: support for Linux 2.6.36

TEE: resolve compile error with Linux 2.6.36-rc

xt_TEE.c:54:19: error: request for member "dst" in something not a
structure or union
xt_TEE.c:55:20: error: "struct rtable" has no member named "u"

Linux kernel commit v2.6.36-rc1~571^2~616 changed this.

SYSRQ: resolve compile error with Linux 2.6.36-rc

xt_SYSRQ.c:156:3: error: too many arguments to function 'handle_sysrq'

Linux kernel commit v2.6.36-rc3~19^2~5 changed it and finally removed
the last unused argument.

ipset: update to 4.3+git3

ipset: bump version number

Basically Xtables-addons's copy of ipset is already functionally equal
to ipset 4.3 thanks to our compat_xtables layer (and our modifications
in ipset/ to use it).

ipset: enable building of ip_set_ipport{ip,net}hash.ko

compat_xtables: return bool for match_check and target_check (doc)

compat_xtables: return bool for match_check and target_check in 2.6.23..34

Reported-by: Tomasz Pala <gotar@polanet.pl>

doc: add API helper files

These files should be a very quick reference to the Xtables APIs of
previous Linux kernel versions and Xtables-addons. Their contents have
been reformatted so as to be usable with diff -u.

configure: pkglibexecdir requires automake >= 1.10.2

Xtables-addons 1.28

geoip: add -D option to geoip_build_dir.pl

This option allows to specify a particular output directory. This help
Makefiles in that they do not need to use cd.

geoip: add .gitignore

geoip: rename original script to build_db

geoip: import scripts for building the xt_geoip database

xt_length2: IPv6 jumbogram support

doc: keep manpage ordered

`find` could return entries out of order.

xt_CHECKSUM: use xtables_param_act

xt_CHECKSUM: only use __u* in public header files

xt_CHECKSUM: remove unnecessary header inclusions

doc: update geoip db url

My hopto.org zone disappeared after I left it unattended...

xt_CHECKSUM: remove pointless $

xt_CHECKSUM: initial import

This adds a "CHECKSUM" target, which can be used in the iptables mangle
table.

You can use this target to compute and fill in the checksum in a packet
that lacks a checksum. This is particularly useful, if you need to work
around old applications such as dhcp clients, that do not work well with
checksum offloads, but don't want to disable checksum offload in your
device.

The problem happens in the field with virtualized applications. For
reference, see Red Hat bz 605555, as well as
http://www.spinics.net/lists/kvm/msg37660.html

Signed-off-by: Michael S. Tsirkin <mst@redhat.com>

xt_SYSRQ: fix a couple of problems

The first problem is that the error response from crypto_alloc_hash()
should be extracted from the pointer before setting the pointer to NULL.

The second error is that only the first half of the password hash is
checked which slightly weakens the password checking.

Signed-off-by: John Haxby <john.haxby@oracle.com>

xt_geoip: fix possible out-of-bounds access

It is possible for geoip_bsearch() to pick mid == sizeof(subnets).

Consider a set with a single entry and a "address to test"
higher than the range:

1st call: lo = 0, hi = 1 -> mid will be 0
2nd call: lo = 1, hi = 1 -> mid will be 1

On the 2nd call, we'll examine random data.

Reported-by: Florian Westphal <fw@strlen.de>

RAWNAT: IPv6 variants erroneously rejected masks /33-/128

build: make configure CFLAGS=-ggdb3 have effect on .so files

RAWNAT: fix incorrect mask in rawnat_ipv6_mask

I really think it is a typo mistake. :)

Signed-off-by: Changli Gao <xiaosuo@gmail.com>

Merge remote branch 'sf/master'

build: update tarball target

Xtables-addons 1.27

xa-d-m: remove superfluous protos

Merge branch 'api35'

compat_xtables: more 2.6.35 support

compat_xtables: move to 2.6.35 xt_action_param (3/3)

Since the last merge of the "api35" branch, further changes were
included into nf-next. This set of three commits updates the
xtables-addons API to match that.

compat_xtables: move to 2.6.35 xt_action_param (2/3)

compat_xtables: move to 2.6.35 xt_action_param (1/3)

compat_xtables: move 2.6.28+ xtnu_target_run code

compat_xtables: remove unused list member from xtnu_{match,target}

compat_xtables: annotate struct xtnu_{match,target}->name

compat_xtables: improve memory usage in struct xtnu_{match,target}

xt_quota2: reduce printf complexity

Xtables-addons 1.26

compat_xtables: fix 2.6.34 compile error due to a typo

Xtables-addons 1.25

Merge branch 'tee'

xt_TEE: move skb cleanup outwards

xt_TEE: remove debug printks

xt_TEE: use nf_conntrack_untracked

No reason having to use our own nf_conntrack bucket.

Merge branch 'condition'

xt_condition: use non-interruptible check routine

Patrick McHardy let's it be known: "No need for interruptible locking,
the section is very short and usually there's only a single iptables
process running at a time."

xt_condition: remove unnecessary RCU protection

The module does not use the RCU mechanism, so calling
list_add_rcu/list_del_rcu does not make much sense either.

Merge branch 'api35'

compat_xtables: correct compile errors

xt_TEE: use less expensive pskb_copy

build: do not print enter/exit during banner

Merge branch 'tee'

Merge branch 'api35'

compat_xtables: move to 2.6.35 API for targets

xt_TEE: new loop detection logic

xt_TEE: remove old loop detection

The loop detection does not work if the kernel is built without
conntrack. In fact, since cloned packets are sent directly and do not
pass through Xtables, there are no loops happening.

xt_TEE: do not retain iif and mark on cloned packet

Patrick McHardy explains in [1] that locally-generated packets (such
as the clones xt_TEE will create) usually start with no iif and no
mark value, and even if cloned packets are a little more special than
locally-generated ones, let's do it that way.

[1] http://marc.info/?l=netfilter-devel&m=127012289008156&w=2

xt_TEE: do not limit use to mangle table

xt_TEE: free skb when route lookup failed

xt_TEE: set dont-fragment on cloned packets

xt_TEE: avoid making original packet writable

There is not any real need to make the original packet writable, as it
is not going to be modified anyway.

xt_TEE: decrease TTL on cloned packet

xt_TEE: do rechecksumming in PREROUTING too

xt_TEE: use ip_send_check instead of open-coded logic

xt_SYSRQ: do not print error messages on ENOMEM

Memory allocation failures are usually already reported by SLAB and
the ENOMEM error code itself.

compat_xtables: move to 2.6.35 API for matches

build: add a version banner on make modules

Because the build error logs of module-assistant are totally useless,
as the tarball filename has been stripped of the version, and
configure is not run either.

doc: put --with-xtlibdir in the spotlight

Too many people forget to specify the proper location...

Xtables-addons 1.24

xt_SYSRQ: drop unprocessed packets

Revert "xt_TEE: cosmetic replace a version check"

This reverts commit ab13e58f96e759be0f54837a8d5e87ab6bd1b8e9.

Whoops. There is no mark at all before 2.6.19.

modules: replace AF/PF with NFPROTO

extensions: replace AF/PF with NFPROTO

Needs one update of netfilter.h to something recent, too.

build: fix build of userspace modules against old headers from linux-glibc-devel

modules: replace AF/PF with NFPROTO

modules: strip unneeded XT_ALIGN from matchsize/targetsize

The x_tables kernel part already does calculate it.

modules: remove XT_ALIGN(0) lines

xt_condition: remove some blank lines

xt_condition: switch semaphore to a mutex

xt_SYSRQ: allow processing of UDP-Lite

xt_SYSRQ: fix wrong define for crypto inclusion

xt_TEE: cosmetic replace a version check

SYSRQ: let module load when crypto is unavailable

ipp2p: bittorrent commands

After testing I decide to write my patch to bittorrent GET commands
from xt_ipp2p.c because old procedure is useless for modified and/or
private trackers.

BTW: info_hash may be 3rd argument, passkey (private trackers) may be
1st argument (or not) etc. so we need to search.

compat_xtables: add a memmem function

This will be needed by xt_ipp2p right away.

Xtables-addons 1.23

build: support for Linux 2.6.34

doc: changelog update

SYSRQ: make IPv6 optional

In case the kernel is built without IPv6 support the compilation of
this module fails as it assumes IPv6. This patch makes kernel support
conditional on kernel .config.