bitmap:port type: flavour specific adt functions

Use flavour-specific ADT functions and use shared ones for all
other type functions (Patrick McHardy's review)

Move the type specifici attribute validation to the core

The type specific attribute validation can be moved to the ipset core.
That way it's done centrally and thus can be eliminated from the individual
set types (suggested by Patrick McHardy).

Fix the spelling error fix :-)

Spelling error fixed (Ferenc Wagner)

Use vzalloc() instead of __vmalloc()

Use vzalloc() if kernel version supports it. (Eric Dumazet, Patrick McHardy)

Use meaningful error messages in xt_set.c

Old cryptic error messages are not useful (Patrick McHardy's review)

Constified attribute cannot be written

Attribute is const so a little bit more work is needed to return
the error line number. A test is also added in order to check
the functionality. (Patrick McHardy's review)

Send (N)ACK at dumping only when NLM_F_ACK is set

Missing check of the flag NLM_F_ACK is added to the kernel -
and userspace does set it too (Patrick McHardy's review)

Correct the error codes: use ENOENT and EMSGSIZE

Use correct error codes (Patrick McHardy's review)

Resolving IP addresses did not work at listing/saving sets, fixed.

ipset: fix spelling error

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

ipset: fix the Netlink sequence number

Do not use time() as a Netlink sequence number for each message,
as otherwise the same seq number will be used when sending
another message in the same second.  Instead use time() just for
initialization, then increment per message.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

ipset: turn Set name[] into a const pointer

Also check for the name length.

Note that passing errno values back is not done consistently at
various place, as there are some functions which set errno manually,
others pass -errno back.  I use the -errno approach here, as it is
slightly shorter.

Signed-off-by: Holger Eitzenberger <holger@eitzenberger.org>
Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

Check ICMP and ICMPv6 with the set match and target in the testsuite

"sendip" needs data otherwise ICMP/ICMPv6 gets truncated...

Avoid possible syntax clashing at saving hostnames

If resolving is requested and the resolved hostname contains a dash
character, print the unresolved IP address instead in order not to
clash with the IP/hostname range syntax.

ipset 5.4.1 released

Add UPGRADE instructions

ipset 5.4 released

Fixed broken ICMP and ICMPv6 handling

I mistyped the bitwise operator and the network-order conversion was
missing too. Sigh, sendip cannot generate proper packets to check
ICMP and ICMPv6 in the testsuite. :-(

Fix trailing whitespaces and pr_* messages

Some trailing whitespace slipped in, those are removed. With the deleted
ip_set_kernel.h, the pr_* messages lost the trailing "\n" character.
The messages were completed with it.

Un-inline functions which are not small enough

Fix module loading at create/header commands

While holding the nfnl_mutex, module loading is not allowed.
Bug spotted by Patrick McHardy in his reviewing.

Fix wrong kzalloc flag in type_pf_expire

The expire functions of the hash types are called while locked, so
kzalloc must be called with GFP_ATOMIC.

The get_ip*_port functions are too large to be inlined, moved into the core.

Add missing __GFP_HIGHMEM flag to __vmalloc

We may call ip_set_alloc with GFP_ATOMIC, so we cannot replace __vmalloc
with vzalloc. Missing flag was noticed by Eric Dumazet.

Enforce network-order data in the netlink protocol

Allow only network-order data, with NLA_F_NET_BYTEORDER flag.
Sanity checks also added to prevent processing broken messages
where mandatory attributes are missing. (Patrick McHardy's review)

Use annotated types and fix sparse warnings

Annotated types are introduced and sparse warnings fixed.
Two warnings remained in ip_set_core.c but those are false ones.
(Patrick McHardy's review)

Move ip_set_alloc, ip_set_free and ip_set_get_ipaddr* into core

The functions are too large to be inlined, so move them into the core.
Also, fix the unnecessary initializations in ip_set_get_ipaddr*.
(Patrick McHardy's review)

NETMASK*, HOSTMASK* macros are too generic

NETMASK*, HOSTMASK* macros are rewritten to small inline functions
ip_set_netmask* and ip_set_hostmask* (Patrick McHardy's review)

Use static LIST_HEAD() for ip_set_type_list

Avoid the need for explicit initialization during runtime
(Patrick McHardy's review)

Move NLA_PUT_NET* macros to include/net/netlink.h

These macros can be useful in general (Patrick McHardy's review)

The module parameter max_sets should be unsigned int

Negative set numbers are strange :-) (Patrick McHardy's review)

Get rid of ip_set_kernel.h

The header file was useful at deep debugging only, we can get rid of now.
(Patrick McHardy's review)

Fix the placement style of boolean operators at continued lines

Fix "&&" and "||" continuation style (Patrick McHardy's review)

ipset 5.3 released

Set the non-debug compiling the default

Compiling with debugging can be enabled with the "--enable-debug" option
of the configure script.

Testsuite fix of ospf replaced with vrrp.

The testsuite failed incorrectly, because the order of the elements
changed.

Fix build with NDEBUG defined

The usage of the gcc option -Wunused-parameter interferes badly with
the assert() macros.  In case -DNDEBUG is specified build fails with:

  cc1: warnings being treated as errors
  print.c: In function 'ipset_print_family':
  print.c:92: error: unused parameter 'opt'
  print.c: In function 'ipset_print_port':
  print.c:413: error: unused parameter 'opt'
  print.c: In function 'ipset_print_proto':

Fix it by taking into accout NDEBUG in the function arguments.

Bug reported by Holger Eitzenberger.

Do session initialization once

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

Make IPv4 and IPv6 address handling similar

While the following works for AF_INET:

 ipset add foo 192.168.1.1/32

this does not work for AF_INET6:

 ipset add foo6 20a1:1:2:3:4:5:6:7/128
 ipset v5.2: Syntax error: plain IP address must be supplied: 20a1:1:2:3:4:5:6:7/128

Bug reported by Holger Eitzenberger.

The complete fix is to handle the special host prefixes in the general
IP address parser function.

Show correct line numbers in restore output for parser errors

Parser errors are reported by a wrong lineno at restore, bug reported
by Holger Eitzenberger:

  create foo6 hash:ip hashsize 64 family inet6
  add foo6 20a1:1234:5678::/64
  add foo6 20a1:1234:5679::/64

you get:

  ipset v5.2: Error in line 1: Syntax error: plain IP address must be supplied: 20a1:1234:5678::/64

Should be line 2 though.

The solution is to set the session lineno before parsing.

There is no need to call synchronize_net() at swapping.

Ongoing add/del can happen to referenced sets and delete can be issued
to unreferenced sets. So the bogus call to synchronize_net() can safely
be removed.

Replace strncpy with strlcpy at creating a set.

Better add more safety nets against user input.

Update copyright date and some style changes.

Use jhash.h accepted in kernel, with backward compatibility.

Separate prefixlens from ip_set core.

Separate prefixlens from ip_set core for better readibility and honoring
the independence.
Also, comment that prefixlens were borrowed from Jan Engelhardt.

Replace ospf with vrrp in the testsuite

Some systems do not contain ospf in /etc/protocols but ospfigp only.

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

kernel: remove unused ctnl parameter from call_ad

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Merge branch 'master' of git://dev.medozas.de/ipset

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

build: remove autogenerated files

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

build: use only AC_CANONICAL_HOST

Calculating AC_CANONICAL_TARGET is superfluous, because ipset is not a
code generator.

Signed-off-by: Jan Engelhardt <jengelh@medozas.de>

Comment the possible return values of the add/del/test type-functions

ipset 5.2 released

Handle internal printing errors

Internal printing errors were not reported, handle them by setjmp/longjmp.

Use cast to void * instead of memcpy as Sparc workaround at sockaddr_XXX.

Direct cast results "cast increases required alignment of target type" on
Sparc: use indirect cast to void * instead of memcpy, as Jan Engelhardt
suggested.

Listing/saving of large sets could produce broken listing, fixed.

The wrapper around getnameinfo was not snprintf-compatible and
that could cause broken listing/saving for large sets.

Kernel version check at minimal supported version is mistyped, now fixed.

Support libtool < 2.2

LT_INIT is not present before libtool 2.2. Revert to use AC_PROG_LIBTOOL.

ipset 5.1 released

Test cases for IPv6 restore and more complex restore sessions added.

Restore mode did not work for IPv6 (reported by Elie Rosenblum)

The set cache stored the default family (INET) instead of the set family,
therefore restore mode for IPv6 did not work. The set cache fixed and
message aggregation reworked.

Kernel version compatibility: support from 2.6.34

The basic kernel compatibility issues are verified back to 2.6.24.
The minimal supported kernel version had to be bumped from 2.6.31 to 2.6.34.

Merge branch 'master' of git://dev.medozas.de/ipset into ipset-5

Signed-off-by: Jozsef Kadlecsik <kadlec@blackhole.kfki.hu>

libipset: static annotations

libipset: const annotations

libipset: remove redundant casts

libipset: remove redundant indirection via union name

There are no uses of C99 static initializers, so let's make the union
anonymous and reduce accessor lengths.

libipset: ipset_strncpy is really a strlcpy-type operation

kernel: use EXPORT_SYMBOL_GPL

kernel: const annotations

kernel: use __read_mostly for registration-type structures

Here is where __read_mostly goes :-)

kernel: do not mix const and __read_mostly

It makes no sense to mix these two. Either it is
writable-plus-read-mostly, or it is constant.

xt_set: avoid user types in exported kernel headers

Within isolated code it would be ok, but not so in exported headers.

build: enable parallel building

$ make modules -j8
cd kernel; make -C /lib/modules/`uname -r`/build M=`pwd` V=0 \
                        IP_SET_MAX=256 \
                        NETLINK_DUMP_CONST=const \
                        NFNL_CB_CONST=const modules
make[1]: Entering directory "/usr/src/linux-2.6.36-rc8-34-obj/x86_64/default"
make[1]: warning: jobserver unavailable: using -j1.
Add '+' to parent make rule.

The "fix" here is that we have to use ${MAKE} instead of make.
(NB: The extra cd is redundant and can be appended to M=.)

Prevent calling Makefile directly in the kernel/ subdirectory

Put back the Sparc specific workaround at getaddrinfo.

Should have gone to sleep: fix check_allowed. Really.

It's not as nice as I'd like to be: IPSET_CREATE_FLAGS and
IPSET_ADT_FLAGS are required elsewhere, but to make life
simpler, some flags (like IPSET_OPT_TYPENAME) are *not*
added to the types full[] flags. So those must be excluded here.

Check old system kernel header files

Check from `configure` that the kernel source is patched with netlink.patch

Use configure to detect compiler warning flags

By checking the supported compiler warning flags, different gcc releases
are supported without the crude --disable-extra-flags option.

The fix of incorrect comparison in check_allowed completed.

There was still some other incorrect usage of 'enum ipset_cmd' and
'enum ipset_adt' - corrected.

Try to solve PKG_CHECK_MODULES issue

Rob Sterenborg reported, that on CentOs configure can fail with

./configure: line 11510: syntax error near unexpected token `[libmnl],'
./configure: line 11510: `PKG_CHECK_MODULES([libmnl], [libmnl >= 1])'

Therefore I added 'aclocal -I m4' to autogen.sh, hoping that it solves
the issue.

Fix incorrect comparison in check_allowed

Wrong enum type was used in the comparison, reported by Jan Engelhardt.

Fix Kbuild for me to delete backup files

Initialize ChangeLog for the new release

Add tests to check hash:ip,port,net type

Match command prefixes

Match not only the first letter or the full command name, but
an arbitrary prefix too.

Add more test to check adding/deleting multiple entries.

Updated manpage to reflect wider input possibilities in the ipset tool.

Updated help texts for the hash:ip and list:set types.

Support adding/deleting multiple entries, userspace part.

Support adding/deleting multiple entries in the userspace part
of the hash:ip,port, hash:ip,port,ip, hash:ip,port,net and
hash:net,port types.

Support adding/deleting multiple entries, kernel part.

Support adding/deleting multiple entries in the kernel side
of the hash:ip,port, hash:ip,port,ip, hash:ip,port,net and
hash:net,port types.

Add ipset_parse_tcpudp_port function

Add new parser function to parse TCP/UDP port name, number, or range of them.

Missing spaces in error strings fixed.

Use the 'full' flags of the types and check not allowed flags.

Remove unnecessary gfp_flags arguments

Where the argument was used, the set lock was already activated, therefore
the argument value was always GFP_ATOMIC.

Add test to check multi-message listing and swapping.

Mistypeing in the hbucket() macro fixed.

Manpage cleanups, so it's more clear and straightforward.

Fix outdated messages in the tests