Merge tag 'nf-next-24-05-12' of git://git.kernel.org/pub/scm/linux/kernel/git/netfilt...
authorJakub Kicinski <kuba@kernel.org>
Mon, 13 May 2024 20:12:34 +0000 (13:12 -0700)
committerJakub Kicinski <kuba@kernel.org>
Mon, 13 May 2024 20:12:35 +0000 (13:12 -0700)
commitc85e41bfe7af41c71c438c6011b298398c185fa8
tree6e7bee1a64f50af926efaa05439010c20fc00547
parentcddd2dc6390b90e62cec2768424d1d90f6d04161
parentfa23e0d4b756d25829e124d6b670a4c6bbd4bf7e
Merge tag 'nf-next-24-05-12' of git://git./linux/kernel/git/netfilter/nf-next

Pablo Neira Ayuso says:

====================
Netfilter updates for net-next

The following patchset contains Netfilter updates for net-next:

Patch #1 skips transaction if object type provides no .update interface.

Patch #2 skips NETDEV_CHANGENAME which is unused.

Patch #3 enables conntrack to handle Multicast Router Advertisements and
 Multicast Router Solicitations from the Multicast Router Discovery
 protocol (RFC4286) as untracked opposed to invalid packets.
 From Linus Luessing.

Patch #4 updates DCCP conntracker to mark invalid as invalid, instead of
 dropping them, from Jason Xing.

Patch #5 uses NF_DROP instead of -NF_DROP since NF_DROP is 0,
 also from Jason.

Patch #6 removes reference in netfilter's sysctl documentation on pickup
 entries which were already removed by Florian Westphal.

Patch #7 removes check for IPS_OFFLOAD flag to disable early drop which
 allows to evict entries from the conntrack table,
 also from Florian.

Patches #8 to #16 updates nf_tables pipapo set backend to allocate
 the datastructure copy on-demand from preparation phase,
 to better deal with OOM situations where .commit step is too late
 to fail. Series from Florian Westphal.

Patch #17 adds a selftest with packetdrill to cover conntrack TCP state
 transitions, also from Florian.

Patch #18 use GFP_KERNEL to clone elements from control plane to avoid
 quick atomic reserves exhaustion with large sets, reporter refers
 to million entries magnitude.

* tag 'nf-next-24-05-12' of git://git.kernel.org/pub/scm/linux/kernel/git/netfilter/nf-next:
  netfilter: nf_tables: allow clone callbacks to sleep
  selftests: netfilter: add packetdrill based conntrack tests
  netfilter: nft_set_pipapo: remove dirty flag
  netfilter: nft_set_pipapo: move cloning of match info to insert/removal path
  netfilter: nft_set_pipapo: prepare pipapo_get helper for on-demand clone
  netfilter: nft_set_pipapo: merge deactivate helper into caller
  netfilter: nft_set_pipapo: prepare walk function for on-demand clone
  netfilter: nft_set_pipapo: prepare destroy function for on-demand clone
  netfilter: nft_set_pipapo: make pipapo_clone helper return NULL
  netfilter: nft_set_pipapo: move prove_locking helper around
  netfilter: conntrack: remove flowtable early-drop test
  netfilter: conntrack: documentation: remove reference to non-existent sysctl
  netfilter: use NF_DROP instead of -NF_DROP
  netfilter: conntrack: dccp: try not to drop skb in conntrack
  netfilter: conntrack: fix ct-state for ICMPv6 Multicast Router Discovery
  netfilter: nf_tables: remove NETDEV_CHANGENAME from netdev chain event handler
  netfilter: nf_tables: skip transaction if update object is not implemented
====================

Link: https://lore.kernel.org/r/20240512161436.168973-1-pablo@netfilter.org
Signed-off-by: Jakub Kicinski <kuba@kernel.org>