Changements notables de Netfilter/iptables dans le noyau 2.6

(Version 0.21 du 14/01/2008)

De nombreuses évolutions de l'infrastructure de filtrage et de modification des paquets réseau Netfilter/iptables ont eu lieu au cours du développement du noyau Linux 2.6. Ce document a pour objectif de recenser les changements notables pour l'utilisateur dans chaque version du noyau et d'iptables. Si vous en voyez d'autres, merci de m'en faire part à pascal.mail@plouf.fr.eu.org.

Linux 2.6.6
Linux 2.6.8
Linux 2.6.9
Linux 2.6.10
Linux 2.6.11
Linux 2.6.14
Linux 2.6.15
Linux 2.6.16
Linux 2.6.17
Linux 2.6.18
Linux 2.6.19
Linux 2.6.20
Linux 2.6.21
Linux 2.6.22
Linux 2.6.23
Linux 2.6.24

iptables 1.2.9
iptables 1.3.0
iptables 1.3.5
iptables 1.3.6
iptables 1.3.7
iptables 1.3.8
iptables 1.4.0

Linux 2.6.6

Ajout de la table raw et de la cible NOTRACK du patch-o-matic-ng.
Pris en compte dans iptables 1.2.9.

Linux 2.6.8

Ajout des correspondances realm et addrtype du patch-o-matic-ng.

Linux 2.6.9

Ajout du suivi des fenêtres et numéros de séquence TCP (tcp-window-tracking) du patch-o-matic-ng.
Par défaut, les segments hors fenêtre sont maintenant marqués INVALID.
De nouveaux paramètres /proc/sys/net/ipv4/netfilter/ip_conntrack_* sont créés.
Ajout de la correspondance comment du patch-o-matic-ng.

Linux 2.6.10

Ajout de la cible CLUSTERIP du patch-o-matic-ng.
Ajout de la correspondance hashlimit du patch-o-matic-ng.
Pris en compte dans iptables 1.3.0.
Ajout de la correspondance connmark et de la cible CONNMARK du patch-o-matic-ng.

Modification du mode de sélection de l'adresse source de MASQUERADE.
MASQUERADE devrait désormais mieux fonctionner avec le routage avancé.

  [NETFILTER]: Change MASQUERADE to Use Device Address Directly

  Instead of doing a dubious route lookup, just use the first IP address
  of the (dynamic) interface.  Also, reset assured bit so after masq
  connections can be cleaned up if memory pressure.

Retrait de l'optimisation de la cible MASQUERADE qui avait pour but de ne pas effacer les connexions quand l'adresse ne changeait pas. Quand une interface est désactivée ou son adresse IP supprimée, MASQUERADE efface les connexions associées à celle-ci même si l'interface est réactivée avec la même adresse IP.
```
  [NETFILTER]: revert MASQUERADE optimization for mostly static IPs
```

Linux 2.6.11

La cible DNAT dans la chaîne OUTPUT (NF_IP_LOCAL_OUT) ne fait plus de NAT source implicite.
```
  [PATCH] Remove do_extra_mangle: double NAT on LOCAL_OUT

  On NF_IP_LOCAL_OUT, when destination NAT changes the destination
  interface, we also change the source address, so the packet is the
  same as if it were generated to go that way in the first place.  This
  is not strictly necessary, I believe.

  This patch rips that code out to see what breaks.
```
Notes :
1. Le DNAT d'une adresse locale en une adresse non locale n'est plus possible avec une adresse source dans 127.0.0.0/8 car le routage de sortie l'interdit.
2. J'ai l'impression que la fonction warn_if_extra_mangle() qui écrit un message d'avertissement dans le log du noyau est appelée avec de mauvais arguments.

Les cibles DNAT et SNAT ne supportent plus les options --to multiples.

  [PATCH] Remove NAT to multiple ranges
  The NAT code has the concept of multiple ranges: you can say "map this
  connection onto IP 192.168.1.2 - 192.168.1.4, 192.168.1.7 ports
  1024-65535, and 192.168.1.10".  I implemented this because we could.

  But it's not actually *used* by many (any?) people, and you can
  approximate this by a random match (from patch-o-matic) if you really
  want to.  It adds complexity to the code.

Pris en compte dans iptables 1.3.4 qui affiche un message d'erreur.

  Print error message when multiple "--to" DNAT/SNAT args are used
  with kernel >= 2.6.11

La sélection de l'adresse dans l'intervalle des cibles DNAT et SNAT change. Au lieu d'un round robin, la sélection dépend d'un hachage basé sur les adresses IP source et destination originales, de sorte que l'adresse choisie soit toujours la même pour une adresse source donnée, comme la cible SAME du patch-o-matic-ng.

  [PATCH] Remove Randomness in Selecting NAT IP Address

  We currently choose a "random" IP address to NAT to, where we have a
  range.  Martin Josefsson pointed out that he uses the SAME target in
  iptables because changing IP addresses breaks Internet banking sites
  (among others) which assume the customer will be coming from a
  consistent IP address.
  In fact, we spend a fair bit of effort trying to balance the number of
  connections we NAT to each IP address.  We can come pretty damn close
  just hashing the source and destination IP addresses, and it has the
  consistency property which is so desirable, as well as being faster.

Ajout du support de l'inversion (!) dans la correspondance multiport.
Pris en compte dans iptables 1.3.0.

Ajout du support des intervalles de ports dans la correspondance multiport.
Cela rend la cible mport du patch-o-matic-ng inutile.

  [PATCH] Multiport revision with port ranges (replaces "mport")

  The multiport match doesn't support ranges of ports, so a new match
  called "mport" was written.  Now we have versioning of matches and
  targets, we can simply put this extension in multiport revision 1.

Ajout de l'option --log-uid de la cible LOG IPv4 et IPv6.
Pris en compte dans iptables 1.3.0 pour IPv4 et iptables 1.3.2 pour IPv6.
Suppression de l'option CONFIG_IP_NF_NAT_LOCAL qui active le support du NAT en sortie dans la chaîne OUTPUT. Cette fonction est désormais présente systématiquement.

Linux 2.6.14

Ajout de l'option de saut --goto (-g) du patch-o-matic-ng.
Pris en compte dans iptables 1.3.5.
Ajout des correspondances connbytes et string du patch-o-matic-ng.
Ajout des cibles REJECT IPv6, HOPLIMIT et TTL du patch-o-matic-ng.
Ajout du suivi de connexion pour le protocole NBNS (NetBIOS Name Service).
Ajout du suivi de connexion et NAT pour le protocole PPTP du patch-o-matic-ng.

Suppression des options --pid-owner, --sid-owner et --cmd-owner de la correspondance owner pour IPv4 et IPv6.

  [NETFILTER]: Remove tasklist_lock abuse in ipt{,6}owner

  Rip out cmd/sid/pid matching since its unfixable broken and stands in the
  way of locking changes to tasklist_lock.

Ajout du support de la cible NETMAP dans la chaîne OUTPUT.
Les paquets émis localement ne sont plus exclus de la cible MASQUERADE.

Linux 2.6.15

Ajout du nouveau suivi de connexion (nf_conntrack) du patch-o-matic-ng, qui supporte IPv4 et IPv6 mais pas encore les protocoles spéciaux sauf SCTP et FTP ni le NAT, comme alternative au traditionnel ip_conntrack.
Pris en compte dans iptables 1.3.5.

Linux 2.6.16

Ajout de la correspondance policy IPv4 et IPv6 du patch-o-matic-ng.

La cible REJECT ne force plus le TTL maximum sur les paquets TCP Reset.

  [NETFILTER]: Use HOPLIMIT metric as TTL of TCP reset sent by REJECT

  HOPLIMIT metric is appropriate to TCP reset sent by REJECT target
  than hard-coded max TTL. Thanks to David S. Miller for hint.

Ajout de la couche d'abstraction x_tables permettant l'unification des fonctions communes d'ip_tables, ip6_tables et arp_tables.

  [NETFILTER] x_tables: Abstraction layer for {ip,ip6,arp}_tables

  This monster-patch tries to do the best job for unifying the data
  structures and backend interfaces for the three evil clones ip_tables,
  ip6_tables and arp_tables.  In an ideal world we would never have
  allowed this kind of copy+paste programming... but well, our world
  isn't (yet?) ideal.

  o introduce a new x_tables module
  o {ip,arp,ip6}_tables depend on this x_tables module
  o registration functions for tables, matches and targets are only
    wrappers around x_tables provided functions
  o all matches/targets that are used from ip_tables and ip6_tables
    are now implemented as xt_FOOBAR.c files and provide module aliases
    to ipt_FOOBAR and ip6t_FOOBAR
  o header files for xt_matches are in include/linux/netfilter/,
    include/linux/netfilter_{ipv4,ipv6} contains compatibility wrappers
    around the xt_FOOBAR.h headers

Linux 2.6.17

Ajout du suivi de connexion et NAT pour le protocole H.323 du patch-o-matic-ng.

Unification des correspondances multiport IPv4 et IPv6 dans x_tables. Cela ajoute le support de l'inversion et des intervalles de port en IPv6.
Pris en compte dans iptables 1.3.7.

  [NETFILTER]: x_tables: unify IPv4/IPv6 multiport match

  This unifies ipt_multiport and ip6t_multiport to xt_multiport.
  As a result, this addes support for inversion and port range match
  to IPv6 packets.

Linux 2.6.18

Ajout de la correspondance statistic.
Cette correspondance reprend les correspondances nth et random du patch-o-matic-ng.
Pris en compte dans iptables 1.3.6.
Ajout de la correspondance "quota" du patch-o-matic-ng.
Prise en compte de cette version dans iptables 1.3.6.
Ajout du suivi de connexion et NAT pour le protocole SIP.

Linux 2.6.19

Remplacement de la cible DSCP et de la correspondance dscp IPv4 d'ip_tables par des versions indépendantes de la couche 3 dans x_tables.

  [NETFILTER]: x_tables: replace IPv4 DSCP target by address family independent version

  This replaces IPv4 DSCP target by address family independent version.
  This also
      - utilizes dsfield.h to get/mangle DS field in IPv4/IPv6 header
      - fixes Kconfig help text.

  [NETFILTER]: x_tables: replace IPv4 dscp match by address family independent version

  This replaces IPv4 dscp match by address family independent version.
  This also
      - utilizes dsfield.h to get the DS field in IPv4/IPv6 header, and
      - checks for the DSCP value from user space.
      - fixes Kconfig help text.

Ajout d'un paramètre au module ipt_recent pour modifier le propriétaire de /proc/net/ipt_recent/*.

  [NETFILTER]: ipt_recent: add module parameter for changing ownership of /proc/net/ipt_recent/*

Consolidation des correspondances dst et hbh (hop-by-hop) IPv6 d'ip6_tables dans ip6t_hbh, et suppression d'ip6t_dst.

  [NETFILTER]: ip6_tables: consolidate dst and hbh matches

  The matches are identical besides one looking for NEXTHDR_HOP, the other
  for NEXTHDR_DEST. Remove ip6t_dst.c and handle both in ip6t_hbh.c.

Routage IPv6 par marque (fwmark) et classe de trafic.

  [IPV6] ROUTE: Routing by Traffic Class.
  [IPV6] ROUTE: Routing by FWMARK.

Reroutage IPv6 si changement de la marque dans la chaîne OUTPUT de la table mangle d'ip6tables.

  [NETFILTER]: ip6table_mangle: reroute when nfmark changes in NF_IP6_LOCAL_OUT

  Now that IPv6 supports policy routing we need to reroute in NF_IP6_LOCAL_OUT
  when the mark value changes.

Ajout des opérations or/and/xor à la cible mark d'ebtables.

  [NETFILTER]: ebt_mark: add or/and/xor action support to mark target

  The following patch adds or/and/xor functionality for the mark target,
  while staying backwards compatible.

Linux 2.6.20

Amélioration du suivi de connexion et NAT pour le protocole SIP.

Ajout de la compatibilité entre nf_conntrack et ip_conntrack dans /proc.

  [NETFILTER]: nf_conntrack: /proc compatibility with old connection tracking

  This patch adds /proc/net/ip_conntrack, /proc/net/ip_conntrack_expect and
  /proc/net/stat/ip_conntrack files to keep old programs using them working.

  The /proc/net/ip_conntrack and /proc/net/ip_conntrack_expect files show only
  IPv4 entries, the /proc/net/stat/ip_conntrack shows global statistics.

  [NETFILTER]: nf_conntrack: sysctl compatibility with old connection tracking

  This patch adds an option to keep the connection tracking sysctls visible
  under their old names.

Ajout du NAT IPv4 (nf_nat) pour le nouveau suivi de connexion (nf_conntrack).
Attention : les options de compilation de Netfilter pour le suivi de connexion et le NAT ont été remaniées ! Si vous mettez à jour une version antérieure avec make oldconfig, vérifiez ensuite les options avec make menuconfig|xconfig|gconfig.
```
  [NETFILTER]: Add NAT support for nf_conntrack
```
Ajout du NAT par nf_nat pour les protocoles FTP et SNMP. Le suivi de connexion par nf_conntrack pour le protocole FTP existe déjà depuis la version 2.6.15.
Ajout du suivi de connexion IPv4 et IPv6 et du NAT par nf_conntrack/nf_nat pour les protocoles Amanda, H.323, SIP et TFTP.
Ajout du suivi de connexion IPv4 et du NAT par nf_conntrack/nf_nat pour les protocoles IRC et PPTP. Pas de suivi de connexion IPv6 en l'absence de support d'IPv6 par DCC (IRC) et par les implémentations de PPTP.
Ajout du suivi de connexion par nf_conntrack pour le protocole NBNS (NetBIOS Name Service).

Ajout du support de l'option --snap-arp d'ebtables, permettant de modifier l'adresse MAC source à la fois dans l'en-tête MAC et dans l'en-tête ARP.

  [NETFILTER]: ebtables: add --snap-arp option

  The attached patch adds --snat-arp support, which makes it possible to
  change the source mac address in both the mac header and the arp header
  with one rule.

Ajout de la correspondance hashlimit IPv4 et IPv6 dans x_tables

Ajout de la cible NFLOG IPv4 et IPv6 dans x_tables permettant d'utiliser nfnetlink_log.

  [NETFILTER]: x_tables: add NFLOG target

  Add new NFLOG target to allow use of nfnetlink_log for both IPv4 and IPv6.
  Currently we have two (unsupported by userspace) hacks in the LOG and ULOG
  targets to optionally call to the nflog API. They lack a few features,
  namely the IPv4 and IPv6 LOG targets can not specify a number of arguments
  related to nfnetlink_log, while the ULOG target is only available for IPv4.
  Remove those hacks and add a clean way to use nfnetlink_log.

Linux 2.6.21

Le reroutage des paquets dans la chaîne OUTPUT n'a désormais lieu que si la clé de routage a changé, et non plus si seulement un élément de la clé de politique IPSec non impliqué dans le routage a changé.

  [NETFILTER]: nat: avoid rerouting packets if only XFRM policy key changed

  Currently NAT not only reroutes packets in the OUTPUT chain when the
  routing key changed, but also if only the non-routing part of the
  IPsec policy key changed. This breaks ping -I since it doesn't use
  SO_BINDTODEVICE but IP_PKTINFO cmsg to specify the output device, and
  this information is lost.

  Only do full rerouting if the routing key changed, and just do a new
  policy lookup with the old route if only the ports changed.

Correction de la classification erronée des fragments IPv6 dans l'état ESTABLISHED. Désormais les fragments ont l'état du paquet réassemblé.
(Ce patch a été introduit en tant que correctif dès la version 2.6.20.3)

  [NETFILTER]: nf_conntrack_ipv6: fix incorrect classification of IPv6 fragments as ESTABLISHED

  The individual fragments of a packet reassembled by conntrack have the
  conntrack reference from the reassembled packet attached, but nfctinfo
  is not copied. This leaves it initialized to 0, which unfortunately is
  the value of IP_CT_ESTABLISHED.

  The result is that all IPv6 fragments are tracked as ESTABLISHED,
  allowing them to bypass a usual ruleset which accepts ESTABLISHED
  packets early.

Prise en compte du marquage des paquets IPv6 par le reroutage de sortie.
(Ce patch a été introduit en tant que correctif dès la version 2.6.20.3)
```
  [NETFILTER]: ip6_route_me_harder should take into account mark
```
La combinaison de flags TCP SYN+URG n'est plus considérée comme invalide par le suivi de connexion TCP.
(Ce patch a été introduit en tant que correctif dès la version 2.6.20.3)
```
  [NETFILTER]: tcp conntrack: accept SYN|URG as valid

  Some stacks apparently send packets with SYN|URG set. Linux accepts
  these packets, so TCP conntrack should to.
```

Les bits GSO présents dans le paquet original sont effacés dans le paquet de réponse TCP reset.
(Ce patch a été introduit en tant que correctif dès la version 2.6.20.2)

  [NETFILTER]: Clear GSO bits for TCP reset packet

  The TCP reset packet is copied from the original.  This
  includes all the GSO bits which do not apply to the new
  packet.  So we should clear those bits.

Ajout de la correspondance mh (Mobility Header) IPv6.
Pris en compte à partir de la version 1.3.8 d'iptables.

  [NETFILTER]: ip6_tables: support MH match

  This introduces match for Mobility Header (MH) described by Mobile IPv6
  specification (RFC3775). User can specify the MH type or its range to be
  matched.

Ajout de l'option --random dans les cibles NAT source d'iptables (MASQUERADE, SAME, SNAT) pour rendre le port source aléatoire.
Pris en compte à partir de la version 1.3.8 d'iptables.
```
  [NETFILTER]: NAT: optional source port randomization support

  This patch adds support to NAT to randomize source ports.
```
Ajout de la cible TCPMSS IPv6.
Pris en compte à partir de la version 1.3.8 d'iptables.
```
  [NETFILTER]: add IPv6-capable TCPMSS target
```
Le suivi de connexion TCP est désormais libéral (vérification des numéros séquence seulement pour les paquets RST) pour les connexions déjà existantes lors du chargement du suivi de connexion, pour pallier le fait que le facteur de taille de fenêtre (window scaling) est inconnu. Egalement les paquets acceptés par le suivi de connexion libéral ne sont plus journalisés.
```
  [NETFILTER]: tcp conntrack: do liberal tracking for picked up connections

  Do liberal tracking (only RSTs need to be in-window) for connections picked
  up without seeing a SYN to deal with window scaling. Also change logging
  of invalid packets not to log packets accepted by liberal tracking to avoid
  spamming the logs.
```

Ajout du suivi de connexion pour le protocole SANE de partage de scanner en réseau du démon saned.

  [NETFILTER]: Add SANE connection tracking helper

  This is nf_conntrack_sane, a netfilter connection tracking helper module
  for the SANE protocol used by the 'saned' daemon to make scanners available
  via network. The SANE protocol uses separate control & data connections,
  similar to passive FTP. The helper module is needed to recognize the data
  connection as RELATED to the control one.

Linux 2.6.22

Suppression de l'ancien suivi de connexion/NAT IPv4 (ip_conntrack/ip_nat), remplacé par le nouveau suivi de connexion indépendant de la couche 3 (nf_conntrack/nf_nat).
```
  [NETFILTER]: Remove IPv4 only connection tracking/NAT

  Remove the obsolete IPv4 only connection tracking/NAT as scheduled in
  feature-removal-schedule.
```

La combinaison de flags TCP RST+PSH n'est plus considérée comme invalide par le suivi de connexion TCP.

  [NETFILTER]: TCP conntrack: accept RST|PSH as valid

  This combination has been encountered on an IBM AS/400 in response
  to packets sent to a closed session. There is no particular reason
  to mark it invalid.

Factorisation du flag TCP PSH : le flag PSH est accepté par le suivi de connexion TCP avec n'importe quelle combinaison valide d'autres flags.
```
  [NETFILTER]: TCP conntrack: factorize out the PUSH flag

  The PUSH flag is accepted with every other valid combination.
```

Ajout dans bridge-nf de la possibilité de filtrer avec iptables et ip6tables les paquets IPv4 et IPv6 encapsulés dans des trames PPPoE.
Note : quid du suivi de connexion/NAT ?

  [NETFILTER]: bridge-nf: filter bridged IPv4/IPv6 encapsulated in pppoe traffic

  The attached patch by Michael Milner adds support for using iptables and
  ip6tables on bridged traffic encapsulated in ppoe frames, similar to
  what's already supported for vlan.

Ajout de la possibilité de vérifier la cohérence entre l'adresse IP source et l'adresse IP destination dans les trames ARP "gratuites" avec ebtables.

[NETFILTER]: ebt_arp: add gratuitous arp filtering

The attached patch adds gratuitous arp filtering, more precisely: it
allows checking that the IPv4 source address matches the IPv4
destination address inside the ARP header. It also adds a check for the
hardware address type when matching MAC addresses (nothing critical,
just for better consistency).

NAT : déport du recalcul du checksum par le matériel si possible.

  [NETFILTER]: nf_nat: use HW checksumming when possible

  When mangling packets forwarded to a HW checksumming capable device,
  offload recalculation of the checksum instead of doing it in software.

Ajout du support de l'option --random par la cible DNAT rendant le port destination aléatoire dans la plage spécifiée le cas échéant.
Pris en compte à partir de la version 1.3.8 d'iptables.
```
  [NETFILTER]: ipt_DNAT: accept port randomization option

  Also accept the --random option for DNAT to allow randomly selecting a
  destination port from the given range.
```
NAT PPTP : ne pas altérer la charge utile des paquets GREv0 (non PPTP).
(Ce patch a été introduit en tant que correctif dès les versions 2.6.20.14 et 2.6.21.2)
```
  [NETFILTER]: nf_nat_proto_gre: do not modify/corrupt GREv0 packets through NAT
```
NAT SIP : correction de la translation de l'adresse RTP.
```
  [NETFILTER]: sip: Fix RTP address NAT
```

La table 'raw' d'iptables doit ignorer les paquets trop petits ou de taille invalide émis par les sockets RAW, comme les autres tables.

  [NETFILTER]: iptable_raw: ignore short packets sent by SOCK_RAW sockets

  iptables matches and targets expect packets to have at least a full
  IP header and a valid header length. Ignore packets sent through
  raw sockets for which this isn't true as in the other tables.

Corrections du suivi de connexion FTP et H.323.

Linux 2.6.23

Ajout des correspondances connlimit et u32 pour IPv4 et IPv6.
Ajout de la cible TRACE pour IPv4 et IPv6.
Le support IPv4 de ces extensions a été retiré dans iptables 1.3.8. Le support IPv4 et IPv6 sera ajouté dans la prochaine version d'iptables.

Ajout du paramètre noyau (sysctl) nf_conntrack_expect_max.

  [NETFILTER]: nf_conntrack_expect: introduce nf_conntrack_expect_max sysct

  As a last step of preventing DoS by creating lots of expectations, this
  patch introduces a global maximum and a sysctl to control it. The default
  is initialized to 4 * the expectation hash table size, which results in
  1/64 of the default maxmimum of conntracks.

Marquage de la cible SAME (NAT source) pour suppression future.
Prise en charge d'UDPLITE par le suivi de connexion nf_conntrack.

Linux 2.6.24

Ajout de la translation d'adresse sans état (stateless NAT).
Le NAT sans état est géré avec le programme tc du paquet iproute (version 2-2.6.24 minimum). C'est en dehors de Netfilter mais j'ai pensé que l'information était digne d'être mentionnée. On peut d'ailleurs s'interroger sur une éventuelle interaction avec Netfilter et notamment le suivi de connexion.

  [PKT_SCHED]: Add stateless NAT

  Stateless NAT is useful in controlled environments where restrictions are
  placed on through traffic such that we don't need connection tracking to
  correctly NAT protocol-specific data.

  In particular, this is of interest when the number of flows or the number
  of addresses being NATed is large, or if connection tracking information
  has to be replicated and where it is not practical to do so.

  Previously we had stateless NAT functionality which was integrated into
  the IPv4 routing subsystem.  This was a great solution as long as the NAT
  worked on a subnet to subnet basis such that the number of NAT rules was
  relatively small.  The reason is that for SNAT the routing based system
  had to perform a linear scan through the rules.

  If the number of rules is large then major renovations would have take
  place in the routing subsystem to make this practical.

  For the time being, the least intrusive way of achieving this is to use
  the u32 classifier written by Alexey Kuznetsov along with the actions
  infrastructure implemented by Jamal Hadi Salim.

  The following patch is an attempt at this problem by creating a new nat
  action that can be invoked from u32 hash tables which would allow large
  number of stateless NAT rules that can be used/updated in constant time.

  The actual NAT code is mostly based on the previous stateless NAT code
  written by Alexey.  In future we might be able to utilise the protocol
  NAT code from netfilter to improve support for other protocols.

Ajout de la correspondance time du patch-o-matic-ng pour IPv4 et IPv6.

  [NETFILTER]: x_tables: add xt_time match

  This is ipt_time from POM-ng enhanced by the following:

   * xtables/ipv6 support
   * second granularity for daytime
   * day-of-month support (for example "match on the 15th of each month")
   * match against UTC or local timezone

[A CONFIRMER] Suppression de sysctls binaires pour bridge-nf cassés

  [NETFILTER]: bridge: remove broken netfilter binary sysctls

  The netfilter sysctls in the bridging code don't set strategy routines:

   sysctl table check failed: /net/bridge/bridge-nf-call-arptables .3.10.1 Missing strategy
   sysctl table check failed: /net/bridge/bridge-nf-call-iptables .3.10.2 Missing strategy
   sysctl table check failed: /net/bridge/bridge-nf-call-ip6tables .3.10.3 Missing strategy
   sysctl table check failed: /net/bridge/bridge-nf-filter-vlan-tagged .3.10.4 Missing strategy
   sysctl table check failed: /net/bridge/bridge-nf-filter-pppoe-tagged .3.10.5 Missing strategy

  These binary sysctls can't work. The binary sysctl numbers of
  other netfilter sysctls with this problem are being removed.  These
  need to go as well.

Correction du suivi des connections TCP réouvertes.
(Ce correctif a aussi été appliqué dans les versions 2.6.22.14 et 2.6.23.4)

  [NETFILTER]: nf_conntrack_tcp: fix connection reopening

  With your description I could reproduce the bug and actually you were
  completely right: the code above is incorrect. Somehow I was able to
  misread RFC1122 and mixed the roles :-(:

    When a connection is closed actively, it MUST linger in
    TIME-WAIT state for a time 2xMSL (Maximum Segment Lifetime).
    However, it MAY accept a new SYN from the remote TCP to
    reopen the connection directly from TIME-WAIT state, if it:
    [...]

  The fix is as follows: if the receiver initiated an active close, then the
  sender may reopen the connection - otherwise try to figure out if we hold
  a dead connection.

  [NETFILTER]: nf_conntrack_tcp: fix connection reopening fix

  If one side aborts an established connection, the entry still lingers
  for 10s in conntrack for the late packets. Allow to open up the
  connection again for the party which sent the RST packet.

Ajout d'alias IPv6 manquants pour les correspondances de x_tables.

  [NETFILTER]: x_tables: add missing ip6t_modulename aliases

  The patch will add MODULE_ALIAS("ip6t_<modulename>") where missing,
  otherwise you will get

    ip6tables: No chain/target/match by that name

  when xt_<modulename> is not already loaded.

iptables 1.2.9

Ajout à la cible REJECT de l'ICMP Communication Administratively Prohibited (icmp-admin-prohibited) défini dans RFC 1812, supporté par tous les noyaux 2.6.

iptables 1.3.0

Ajout du support de l'option --tee de la cible ROUTE du patch-o-matic-ng.

iptables 1.3.5

Ajout de l'option de saut --goto (-g) du patch-o-matic-ng à iptables (mais pas à ip6tables).

iptables 1.3.6

Support de multiples inclusions de la même correspondance dans une règle.

iptables 1.3.7

Ajout du support des intervalles de port dans la correspondance multiport d'ip6tables.
Pris en compte dans le noyau Linux 2.6.17.
Ajout de la correspondance sctp dans ip6tables.
Ajout de la correspondance hashlimit dans ip6tables.
Pris en compte dans le noyau Linux 2.6.19.
Ajout de la cible NFLOG dans iptables et ip6tables.
Pris en compte dans le noyau Linux 2.6.19.

iptables 1.3.8

Support de la correspondance mh (Mobility Header) IPv6.
Support de la cible TCPMSS IPv6.
Note : Le support de la correspondance tcpmss IPv6 est présent dans les versions récentes du noyau mais toujours manquant dans iptables. Il sera ajouté dans la prochaine version d'iptables. En attendant, voici un patch non officiel pour l'ajouter.
Support de l'option --random par les cibles SNAT, DNAT, MASQUERADE, SAME.
Suppression d'extensions obsolètes ou non maintenues : fuzzy, nth, random (remplacées par statistic), ROUTE, account, BALANCE, childlevel, connlimit, dstlimit, FTOS, IPMARK, ipv4options, IPV4OPTSSTRIP, mport, NETLINK, osf, psd, record_rpc, rpc, TARPIT, TCPLAG, time, TRACE, u32, XOR.
Note : La suppression des extensions TRACE et u32 dans iptables peut surprendre dans la mesure où elles seront incluses dans le prochain noyau 2.6.23.

iptables 1.4.0

Prise charge de l'infrastructure générique xtables (transformation/fusion d'extensions IPv4 libipt_* et IPv6 libip6t_* en extensions génériques libxt_*) améliorant la prise en charge d'IPv6.