Enforce network-order data in the netlink protocol

Allow only network-order data, with NLA_F_NET_BYTEORDER flag.
Sanity checks also added to prevent processing broken messages
where mandatory attributes are missing. (Patrick McHardy's review)

Use annotated types and fix sparse warnings

Annotated types are introduced and sparse warnings fixed.
Two warnings remained in ip_set_core.c but those are false ones.
(Patrick McHardy's review)

Move ip_set_alloc, ip_set_free and ip_set_get_ipaddr* into core

The functions are too large to be inlined, so move them into the core.
Also, fix the unnecessary initializations in ip_set_get_ipaddr*.
(Patrick McHardy's review)

NETMASK*, HOSTMASK* macros are too generic

NETMASK*, HOSTMASK* macros are rewritten to small inline functions
ip_set_netmask* and ip_set_hostmask* (Patrick McHardy's review)

Use static LIST_HEAD() for ip_set_type_list

Avoid the need for explicit initialization during runtime
(Patrick McHardy's review)

Move NLA_PUT_NET* macros to include/net/netlink.h

These macros can be useful in general (Patrick McHardy's review)

The module parameter max_sets should be unsigned int

Negative set numbers are strange :-) (Patrick McHardy's review)

Get rid of ip_set_kernel.h

The header file was useful at deep debugging only, we can get rid of now.
(Patrick McHardy's review)

Fix the placement style of boolean operators at continued lines

Fix "&&" and "||" continuation style (Patrick McHardy's review)

ipset 5.3 released

Set the non-debug compiling the default

Compiling with debugging can be enabled with the "--enable-debug" option
of the configure script.

Testsuite fix of ospf replaced with vrrp.

The testsuite failed incorrectly, because the order of the elements
changed.

Fix build with NDEBUG defined

The usage of the gcc option -Wunused-parameter interferes badly with
the assert() macros.  In case -DNDEBUG is specified build fails with:

  cc1: warnings being treated as errors
  print.c: In function 'ipset_print_family':
  print.c:92: error: unused parameter 'opt'
  print.c: In function 'ipset_print_port':
  print.c:413: error: unused parameter 'opt'
  print.c: In function 'ipset_print_proto':

Fix it by taking into accout NDEBUG in the function arguments.

Bug reported by Holger Eitzenberger.

Do session initialization once

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

Make IPv4 and IPv6 address handling similar

While the following works for AF_INET:

 ipset add foo 192.168.1.1/32

this does not work for AF_INET6:

 ipset add foo6 20a1:1:2:3:4:5:6:7/128
 ipset v5.2: Syntax error: plain IP address must be supplied: 20a1:1:2:3:4:5:6:7/128

Bug reported by Holger Eitzenberger.

The complete fix is to handle the special host prefixes in the general
IP address parser function.

Show correct line numbers in restore output for parser errors

Parser errors are reported by a wrong lineno at restore, bug reported
by Holger Eitzenberger:

  create foo6 hash:ip hashsize 64 family inet6
  add foo6 20a1:1234:5678::/64
  add foo6 20a1:1234:5679::/64

you get:

  ipset v5.2: Error in line 1: Syntax error: plain IP address must be supplied: 20a1:1234:5678::/64

Should be line 2 though.

The solution is to set the session lineno before parsing.

There is no need to call synchronize_net() at swapping.

Ongoing add/del can happen to referenced sets and delete can be issued
to unreferenced sets. So the bogus call to synchronize_net() can safely
be removed.

Replace strncpy with strlcpy at creating a set.

Better add more safety nets against user input.

Update copyright date and some style changes.

Use jhash.h accepted in kernel, with backward compatibility.

Separate prefixlens from ip_set core.

Separate prefixlens from ip_set core for better readibility and honoring
the independence.
Also, comment that prefixlens were borrowed from Jan Engelhardt.

Replace ospf with vrrp in the testsuite

Some systems do not contain ospf in /etc/protocols but ospfigp only.

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

kernel: remove unused ctnl parameter from call_ad

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

build: remove autogenerated files

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: use only AC_CANONICAL_HOST

Calculating AC_CANONICAL_TARGET is superfluous, because ipset is not a
code generator.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Comment the possible return values of the add/del/test type-functions

ipset 5.2 released

Handle internal printing errors

Internal printing errors were not reported, handle them by setjmp/longjmp.

Use cast to void * instead of memcpy as Sparc workaround at sockaddr_XXX.

Direct cast results "cast increases required alignment of target type" on
Sparc: use indirect cast to void * instead of memcpy, as Jan Engelhardt
suggested.

Listing/saving of large sets could produce broken listing, fixed.

The wrapper around getnameinfo was not snprintf-compatible and
that could cause broken listing/saving for large sets.

Kernel version check at minimal supported version is mistyped, now fixed.

Support libtool < 2.2

LT_INIT is not present before libtool 2.2. Revert to use AC_PROG_LIBTOOL.

ipset 5.1 released

Test cases for IPv6 restore and more complex restore sessions added.

Restore mode did not work for IPv6 (reported by Elie Rosenblum)

The set cache stored the default family (INET) instead of the set family,
therefore restore mode for IPv6 did not work. The set cache fixed and
message aggregation reworked.

Kernel version compatibility: support from 2.6.34

The basic kernel compatibility issues are verified back to 2.6.24.
The minimal supported kernel version had to be bumped from 2.6.31 to 2.6.34.

Merge branch 'master' of git://dev.medozas.de/ipset into ipset-5

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

libipset: static annotations

libipset: const annotations

libipset: remove redundant casts

libipset: remove redundant indirection via union name

There are no uses of C99 static initializers, so let's make the union
anonymous and reduce accessor lengths.

libipset: ipset_strncpy is really a strlcpy-type operation

kernel: use EXPORT_SYMBOL_GPL

kernel: const annotations

kernel: use __read_mostly for registration-type structures

Here is where __read_mostly goes :-)

kernel: do not mix const and __read_mostly

It makes no sense to mix these two. Either it is
writable-plus-read-mostly, or it is constant.

xt_set: avoid user types in exported kernel headers

Within isolated code it would be ok, but not so in exported headers.

build: enable parallel building

$ make modules -j8
cd kernel; make -C /lib/modules/`uname -r`/build M=`pwd` V=0 \
                        IP_SET_MAX=256 \
                        NETLINK_DUMP_CONST=const \
                        NFNL_CB_CONST=const modules
make[1]: Entering directory "/usr/src/linux-2.6.36-rc8-34-obj/x86_64/default"
make[1]: warning: jobserver unavailable: using -j1.
Add '+' to parent make rule.

The "fix" here is that we have to use ${MAKE} instead of make.
(NB: The extra cd is redundant and can be appended to M=.)

Prevent calling Makefile directly in the kernel/ subdirectory

Put back the Sparc specific workaround at getaddrinfo.

Should have gone to sleep: fix check_allowed. Really.

It's not as nice as I'd like to be: IPSET_CREATE_FLAGS and
IPSET_ADT_FLAGS are required elsewhere, but to make life
simpler, some flags (like IPSET_OPT_TYPENAME) are *not*
added to the types full[] flags. So those must be excluded here.

Check old system kernel header files

Check from `configure` that the kernel source is patched with netlink.patch

Use configure to detect compiler warning flags

By checking the supported compiler warning flags, different gcc releases
are supported without the crude --disable-extra-flags option.

The fix of incorrect comparison in check_allowed completed.

There was still some other incorrect usage of 'enum ipset_cmd' and
'enum ipset_adt' - corrected.

Try to solve PKG_CHECK_MODULES issue

Rob Sterenborg reported, that on CentOs configure can fail with

./configure: line 11510: syntax error near unexpected token `[libmnl],'
./configure: line 11510: `PKG_CHECK_MODULES([libmnl], [libmnl >= 1])'

Therefore I added 'aclocal -I m4' to autogen.sh, hoping that it solves
the issue.

Fix incorrect comparison in check_allowed

Wrong enum type was used in the comparison, reported by Jan Engelhardt.

Fix Kbuild for me to delete backup files

Initialize ChangeLog for the new release

Add tests to check hash:ip,port,net type

Match command prefixes

Match not only the first letter or the full command name, but
an arbitrary prefix too.

Add more test to check adding/deleting multiple entries.

Updated manpage to reflect wider input possibilities in the ipset tool.

Updated help texts for the hash:ip and list:set types.

Support adding/deleting multiple entries, userspace part.

Support adding/deleting multiple entries in the userspace part
of the hash:ip,port, hash:ip,port,ip, hash:ip,port,net and
hash:net,port types.

Support adding/deleting multiple entries, kernel part.

Support adding/deleting multiple entries in the kernel side
of the hash:ip,port, hash:ip,port,ip, hash:ip,port,net and
hash:net,port types.

Add ipset_parse_tcpudp_port function

Add new parser function to parse TCP/UDP port name, number, or range of them.

Missing spaces in error strings fixed.

Use the 'full' flags of the types and check not allowed flags.

Remove unnecessary gfp_flags arguments

Where the argument was used, the set lock was already activated, therefore
the argument value was always GFP_ATOMIC.

Add test to check multi-message listing and swapping.

Mistypeing in the hbucket() macro fixed.

Manpage cleanups, so it's more clear and straightforward.

Fix outdated messages in the tests

Document which elements cannot be stored in the different hash types.

And enforce from kernel side as well...

Speed up testing a little bit

Lower timeout values to max 5s, so we can lower sleep values too.

Convert last printks to pr_debug in ip_set_ahash.h

Remove remnants of slist from ip_set_ahash.h

Buffered commands are just ... buffered.

Calculate the free buffer size when adding the existing attributes at the buffered
commands. If the buffer is full, cancel the unfinished nested attribute and commit
the previously buffered commands. Then restart with the current buffered command.
Thus we can get rid of the ugly maxsize parameter of the set types.

Fixing dangling empty line produced backward-incompatible exit codes, fixed.

Support case-insensitive ICMP and ICMPv6 type/code names.

Compiler flag compatibility fix with libmnl

libmnl now uses void pointer arithmetic, remove -Wpointer-arith from
the compiler flags.

Fix dangling empty line at error/warning messages emitted by ipset.

Add proper RCU protection to resizing

Resizing can be triggered by userspace command only, and those
are serialized by the nfnl mutex. During resizing the set is
read-locked, so the only possible concurrent operations are
the kernel side readers. Those must be protected by proper RCU locking.

Convert hash types from chash to ahash.

Instead of the cache friendly hashing, use the array based hashing.
According to my tests the latter uses less memory, faster at lookup and
deletion, and only slower at insertion.

Strip off ip_set_ prefix from non-ipset specific header files.

Update ip_set_jhash.h

Update ip_set_jhash.h with the version which was submitted for kernel
inclusion.

Create include/linux/netfilter/ipset/ directory

Separate the ipset header files from netfilter header files.

Complete Kconfig.ipset with hash:net,port type.

Remove include/net/pfxlen.h

Spare some memory by moving the static prefixlen maps to the ipset core.
Thus we can get rid of include/net/pfxlen.h too.

Remove command MODIFY

Modifying a set can be performed by save/modify/restore/swap, without
adding kernel part support.

Whitespace, checkpatch.pl cleanups.

The protocol extended with the command MODIFY.

The command is not used yet, but better to reserve it already.

Update README file

Cleaned up the netlink.patch part: there's no more multiple patches.
The incompatibilities against 4.x are listed in details.

Manpage and help text fixes.

The manpage is updated to reflect the recent modifications and
the addition of the hash:net,port type. The help text of hash:ip
is updated: adding/deleting multiple entries are supported for
IPv4 only.

Enforce handling IPv4 and IPv6 differently for hash:ip type.

Use the newly added parser function ipset_parse_ip4_single6 instead
of the generic ipset_parse_ip.

Add parser function to handle IPv4 and IPv6 differently.

At present IPv6 does not support adding/deleting multiple IPv6 addresses
specified as an ip-ip range or ip/prefix block. A parser function is
added by which can enforce it at parsing the address pattern.

Resizing converted to run under read-locking of the set

With restricting resizing so that it can be triggered by an add
from userspace only, we can modify it so that it uses read-locking
instead of write-locking. Thus the matching in the set can run parallel
with resizing.