Fix checking the revision of the set type at create command

The revision number was not checked at the create command: if the userspace
sent a valid set type but with not supported revision number, it'd create
a loop.

Manpage was not installed

Entry to install the manpage was missing from Makefile.am
(reported by Mark A. Ziesemer)

hash:ip,port* types with IPv4

The hash:ip,port* types with IPv4 silently ignored when address ranges
with non TCP/UDP were added/deleted from the set and the first address from
the range was only used.

netfilter:ipset: fix the compile warning in ip_set_create

net/netfilter/ipset/ip_set_core.c:615: warning: ?clash? may be used uninitialized in this function

Signed-off-by: shanw <shanw@shanw-desktop.(none)>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

ipset 6.0 released

Print protocol version together with ipset version

Reorganized kernel/ subdir

The kernel/ subdirectory is reorganized to follow the kernel directory
structure.

netfilter: ipset: fix linking with CONFIG_IPV6=n

Add some #ifdefs to unconditionally return false in
ip_set_get_ip6_port() when CONFIG_IPV6=n and convert
to ipv6_skip_exthdr() to avoid pulling in the ip6_tables
module when loading ipset.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netfilter: ipset: send error message manually

When a message carries multiple commands and one of them triggers
an error, we have to report to the userspace which one was that.
The line number of the command plays this role and there's an attribute
reserved in the header part of the message to be filled out with the error
line number. In order not to modify the original message received from
the userspace, we construct a new, complete netlink error message and
modifies the attribute there, then send it.
Netlink is notified not to send its ACK/error message.

netfilter: ipset: add missing break statemtns in ip_set_get_ip_port()

Don't fall through in the switch statement, otherwise IPv4 headers
are incorrectly parsed again as IPv6 and the return value will always
be 'false'.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netfilter: ipset: add missing include to xt_set.h

Signed-off-by: Patrick McHardy <kaber@trash.net>

netfilter: ipset: remove unnecessary includes

None of the set types need uaccess.h since this is handled centrally
in ip_set_core. Most set types additionally don't need bitops.h and
spinlock.h since they use neither. tcp.h is only needed by those
using before(), udp.h is not needed at all.

Signed-off-by: Patrick McHardy <kaber@trash.net>

netfilter: ipset: use nla_parse_nested()

Replace calls of the form:

nla_parse(tb, ATTR_MAX, nla_data(attr), nla_len(attr), policy)

by:

nla_parse_nested(tb, ATTR_MAX, attr, policy)

Signed-off-by: Patrick McHardy <kaber@trash.net>

Testsuite compatibility with debugging enabled

The error line checking would fail when debugging is enabled
(and spit out junk lines), fixed.

Allow "new" as a commad alias to "create"

It's too easy to mistype "n" to "new", so just allow it.

ipset: improve command argument parsing

The number of comparisons for a matching a command name can be
made smaller by just checking on argv[1].

As an example consider the following 'create' arguments 'hashsize',
'family' and 'timeout'.  When having the command

 create foo hash:ip timeout 60 family inet hashsize 64

it compares without this patch:

 strcmp("timeout", "hashsize")
 strcmp("64", "hashsize")
 strcmp("family", "hashsize")
 strcmp("inet", "hashsize")
 strcmp("hashsize", "hashsize")

It is worse in practice, as 'create' has more arguments than this.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>

ipset: avoid the unnecessary argv[] loop

After stripping off the global options there simply has to follow
a command name, there is no other syntax possible.  Therefore the
argv[] loop is unnecessary.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>

ipset: pass ipset_arg argument pointer

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>

Separate ipset errnos completely from system ones and bump protocol version.

Use better error codes in xt_set.c

Fix sparse warning about shadowed definition

bitmap:ip type: flavour specific adt functions

Use flavour-specific ADT functions and use shared ones for all
other type functions (Patrick McHardy's review)

bitmap:port type: flavour specific adt functions

Use flavour-specific ADT functions and use shared ones for all
other type functions (Patrick McHardy's review)

Move the type specifici attribute validation to the core

The type specific attribute validation can be moved to the ipset core.
That way it's done centrally and thus can be eliminated from the individual
set types (suggested by Patrick McHardy).

Fix the spelling error fix :-)

Spelling error fixed (Ferenc Wagner)

Use vzalloc() instead of __vmalloc()

Use vzalloc() if kernel version supports it. (Eric Dumazet, Patrick McHardy)

Use meaningful error messages in xt_set.c

Old cryptic error messages are not useful (Patrick McHardy's review)

Constified attribute cannot be written

Attribute is const so a little bit more work is needed to return
the error line number. A test is also added in order to check
the functionality. (Patrick McHardy's review)

Send (N)ACK at dumping only when NLM_F_ACK is set

Missing check of the flag NLM_F_ACK is added to the kernel -
and userspace does set it too (Patrick McHardy's review)

Correct the error codes: use ENOENT and EMSGSIZE

Use correct error codes (Patrick McHardy's review)

Resolving IP addresses did not work at listing/saving sets, fixed.

ipset: fix spelling error

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

ipset: fix the Netlink sequence number

Do not use time() as a Netlink sequence number for each message,
as otherwise the same seq number will be used when sending
another message in the same second.  Instead use time() just for
initialization, then increment per message.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

ipset: turn Set name[] into a const pointer

Also check for the name length.

Note that passing errno values back is not done consistently at
various place, as there are some functions which set errno manually,
others pass -errno back.  I use the -errno approach here, as it is
slightly shorter.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

Check ICMP and ICMPv6 with the set match and target in the testsuite

"sendip" needs data otherwise ICMP/ICMPv6 gets truncated...

Avoid possible syntax clashing at saving hostnames

If resolving is requested and the resolved hostname contains a dash
character, print the unresolved IP address instead in order not to
clash with the IP/hostname range syntax.

ipset 5.4.1 released

Add UPGRADE instructions

ipset 5.4 released

Fixed broken ICMP and ICMPv6 handling

I mistyped the bitwise operator and the network-order conversion was
missing too. Sigh, sendip cannot generate proper packets to check
ICMP and ICMPv6 in the testsuite. :-(

Fix trailing whitespaces and pr_* messages

Some trailing whitespace slipped in, those are removed. With the deleted
ip_set_kernel.h, the pr_* messages lost the trailing "\n" character.
The messages were completed with it.

Un-inline functions which are not small enough

Fix module loading at create/header commands

While holding the nfnl_mutex, module loading is not allowed.
Bug spotted by Patrick McHardy in his reviewing.

Fix wrong kzalloc flag in type_pf_expire

The expire functions of the hash types are called while locked, so
kzalloc must be called with GFP_ATOMIC.

The get_ip*_port functions are too large to be inlined, moved into the core.

Add missing __GFP_HIGHMEM flag to __vmalloc

We may call ip_set_alloc with GFP_ATOMIC, so we cannot replace __vmalloc
with vzalloc. Missing flag was noticed by Eric Dumazet.

Enforce network-order data in the netlink protocol

Allow only network-order data, with NLA_F_NET_BYTEORDER flag.
Sanity checks also added to prevent processing broken messages
where mandatory attributes are missing. (Patrick McHardy's review)

Use annotated types and fix sparse warnings

Annotated types are introduced and sparse warnings fixed.
Two warnings remained in ip_set_core.c but those are false ones.
(Patrick McHardy's review)

Move ip_set_alloc, ip_set_free and ip_set_get_ipaddr* into core

The functions are too large to be inlined, so move them into the core.
Also, fix the unnecessary initializations in ip_set_get_ipaddr*.
(Patrick McHardy's review)

NETMASK*, HOSTMASK* macros are too generic

NETMASK*, HOSTMASK* macros are rewritten to small inline functions
ip_set_netmask* and ip_set_hostmask* (Patrick McHardy's review)

Use static LIST_HEAD() for ip_set_type_list

Avoid the need for explicit initialization during runtime
(Patrick McHardy's review)

Move NLA_PUT_NET* macros to include/net/netlink.h

These macros can be useful in general (Patrick McHardy's review)

The module parameter max_sets should be unsigned int

Negative set numbers are strange :-) (Patrick McHardy's review)

Get rid of ip_set_kernel.h

The header file was useful at deep debugging only, we can get rid of now.
(Patrick McHardy's review)

Fix the placement style of boolean operators at continued lines

Fix "&&" and "||" continuation style (Patrick McHardy's review)

ipset 5.3 released

Set the non-debug compiling the default

Compiling with debugging can be enabled with the "--enable-debug" option
of the configure script.

Testsuite fix of ospf replaced with vrrp.

The testsuite failed incorrectly, because the order of the elements
changed.

Fix build with NDEBUG defined

The usage of the gcc option -Wunused-parameter interferes badly with
the assert() macros.  In case -DNDEBUG is specified build fails with:

  cc1: warnings being treated as errors
  print.c: In function 'ipset_print_family':
  print.c:92: error: unused parameter 'opt'
  print.c: In function 'ipset_print_port':
  print.c:413: error: unused parameter 'opt'
  print.c: In function 'ipset_print_proto':

Fix it by taking into accout NDEBUG in the function arguments.

Bug reported by Holger Eitzenberger.

Do session initialization once

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

Make IPv4 and IPv6 address handling similar

While the following works for AF_INET:

 ipset add foo 192.168.1.1/32

this does not work for AF_INET6:

 ipset add foo6 20a1:1:2:3:4:5:6:7/128
 ipset v5.2: Syntax error: plain IP address must be supplied: 20a1:1:2:3:4:5:6:7/128

Bug reported by Holger Eitzenberger.

The complete fix is to handle the special host prefixes in the general
IP address parser function.

Show correct line numbers in restore output for parser errors

Parser errors are reported by a wrong lineno at restore, bug reported
by Holger Eitzenberger:

  create foo6 hash:ip hashsize 64 family inet6
  add foo6 20a1:1234:5678::/64
  add foo6 20a1:1234:5679::/64

you get:

  ipset v5.2: Error in line 1: Syntax error: plain IP address must be supplied: 20a1:1234:5678::/64

Should be line 2 though.

The solution is to set the session lineno before parsing.

There is no need to call synchronize_net() at swapping.

Ongoing add/del can happen to referenced sets and delete can be issued
to unreferenced sets. So the bogus call to synchronize_net() can safely
be removed.

Replace strncpy with strlcpy at creating a set.

Better add more safety nets against user input.

Update copyright date and some style changes.

Use jhash.h accepted in kernel, with backward compatibility.

Separate prefixlens from ip_set core.

Separate prefixlens from ip_set core for better readibility and honoring
the independence.
Also, comment that prefixlens were borrowed from Jan Engelhardt.

Replace ospf with vrrp in the testsuite

Some systems do not contain ospf in /etc/protocols but ospfigp only.

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

kernel: remove unused ctnl parameter from call_ad

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

build: remove autogenerated files

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: use only AC_CANONICAL_HOST

Calculating AC_CANONICAL_TARGET is superfluous, because ipset is not a
code generator.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Comment the possible return values of the add/del/test type-functions

ipset 5.2 released

Handle internal printing errors

Internal printing errors were not reported, handle them by setjmp/longjmp.

Use cast to void * instead of memcpy as Sparc workaround at sockaddr_XXX.

Direct cast results "cast increases required alignment of target type" on
Sparc: use indirect cast to void * instead of memcpy, as Jan Engelhardt
suggested.

Listing/saving of large sets could produce broken listing, fixed.

The wrapper around getnameinfo was not snprintf-compatible and
that could cause broken listing/saving for large sets.

Kernel version check at minimal supported version is mistyped, now fixed.

Support libtool < 2.2

LT_INIT is not present before libtool 2.2. Revert to use AC_PROG_LIBTOOL.

ipset 5.1 released

Test cases for IPv6 restore and more complex restore sessions added.

Restore mode did not work for IPv6 (reported by Elie Rosenblum)

The set cache stored the default family (INET) instead of the set family,
therefore restore mode for IPv6 did not work. The set cache fixed and
message aggregation reworked.

Kernel version compatibility: support from 2.6.34

The basic kernel compatibility issues are verified back to 2.6.24.
The minimal supported kernel version had to be bumped from 2.6.31 to 2.6.34.

Merge branch 'master' of git://dev.medozas.de/ipset into ipset-5

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

libipset: static annotations

libipset: const annotations

libipset: remove redundant casts

libipset: remove redundant indirection via union name

There are no uses of C99 static initializers, so let's make the union
anonymous and reduce accessor lengths.

libipset: ipset_strncpy is really a strlcpy-type operation

kernel: use EXPORT_SYMBOL_GPL

kernel: const annotations

kernel: use __read_mostly for registration-type structures

Here is where __read_mostly goes :-)

kernel: do not mix const and __read_mostly

It makes no sense to mix these two. Either it is
writable-plus-read-mostly, or it is constant.

xt_set: avoid user types in exported kernel headers

Within isolated code it would be ok, but not so in exported headers.

build: enable parallel building

$ make modules -j8
cd kernel; make -C /lib/modules/`uname -r`/build M=`pwd` V=0 \
                        IP_SET_MAX=256 \
                        NETLINK_DUMP_CONST=const \
                        NFNL_CB_CONST=const modules
make[1]: Entering directory "/usr/src/linux-2.6.36-rc8-34-obj/x86_64/default"
make[1]: warning: jobserver unavailable: using -j1.
Add '+' to parent make rule.

The "fix" here is that we have to use ${MAKE} instead of make.
(NB: The extra cd is redundant and can be appended to M=.)

Prevent calling Makefile directly in the kernel/ subdirectory

Put back the Sparc specific workaround at getaddrinfo.

Should have gone to sleep: fix check_allowed. Really.

It's not as nice as I'd like to be: IPSET_CREATE_FLAGS and
IPSET_ADT_FLAGS are required elsewhere, but to make life
simpler, some flags (like IPSET_OPT_TYPENAME) are *not*
added to the types full[] flags. So those must be excluded here.

Check old system kernel header files