am 92ceda97: am f7635e29: Merge "Move VPN routing decisions from iptables to ip" into klp-dev

* commit '92ceda97cd153f6bee3db04cd0b6d93f32a12551':
  Move VPN routing decisions from iptables to ip

am f7635e29: Merge "Move VPN routing decisions from iptables to ip" into klp-dev

* commit 'f7635e290be7bf427736f3849981f12369dd5215':
  Move VPN routing decisions from iptables to ip

Merge "Move VPN routing decisions from iptables to ip" into klp-dev

am 803e8d85: am e287d24e: Merge "Allow overlap in UidMarkMap" into klp-dev

* commit '803e8d85f3b78f06288d4651cd814f3f05fdcebe':
  Allow overlap in UidMarkMap

am 6b9ae17f: am 954d5d1b: Merge "Update clearifaceforuidrange to take the interface" into klp-dev

* commit '6b9ae17f88919417991147eba90e7c021e062737':
  Update clearifaceforuidrange to take the interface

am e287d24e: Merge "Allow overlap in UidMarkMap" into klp-dev

* commit 'e287d24e9cfd6ed84bdb69a82b6f8357de2fee34':
  Allow overlap in UidMarkMap

am 954d5d1b: Merge "Update clearifaceforuidrange to take the interface" into klp-dev

* commit '954d5d1bcdcdfe4522a64ae48827501a6a6d64c0':
  Update clearifaceforuidrange to take the interface

Merge "Allow overlap in UidMarkMap" into klp-dev

Merge "Update clearifaceforuidrange to take the interface" into klp-dev

am 406edcfd: am 2a390120: Mark uids without rules with PROTECT_MARK

* commit '406edcfde29342be37cbbb326e1b9c4697236cd2':
  Mark uids without rules with PROTECT_MARK

am 2a390120: Mark uids without rules with PROTECT_MARK

* commit '2a390120a9e90ec414d347921039ff98724d0dda':
  Mark uids without rules with PROTECT_MARK

am cfb7ebe1: Merge "Fix C++11 violations"

* commit 'cfb7ebe1b2dfd31b408f6aa6e3f3fcdf89baa6c4':
  Fix C++11 violations

Merge "Fix C++11 violations"

Fix C++11 violations

The C++11 standard requires a space between literals and identifiers

Allow overlap in UidMarkMap

To support simultaneous tuns UidMarkMap now allows for
overlaping/duplicate rules. If there are multiple rules for a given uid
the most recently added rule will be used in all cases.

When overlapping rules are added in addUidRule there may be multiple
iptables rules matching the uid. Since addUidRule appends it will use
the most recent rule as well, no change required. Previously
UidMarkMap->add would fail and the rule would never be added.

Bug: 12134439
Change-Id: I5f2976dd3ee334584a9f98f6eacd5edbe5c9bb6b

Update clearifaceforuidrange to take the interface

resolv's uid range=>iface map now allows overlap in uid ranges to support
simultaneous tuns. _resolv_clear_iface_for_uid_range now takes the
interface to support removing only one of the rules.

Bug: 12134439
Change-Id: I3e2a167875bbd381846d5c47d7b34c625abfb2e0

Move VPN routing decisions from iptables to ip

Routes are now encoded by ip rules that send connections to the Vpn
table if the connection is marked and the destination falls into a
route. This differs from the previous design where a mark meant that
the connection must go over the VPN, now a mark simply means that it
may.
Bug: 12549060
Change-Id: I9be7e27a0f46858f109d8bc5c5bced309b05201a

Mark uids without rules with PROTECT_MARK

The default result for a uid without a mark should be MARK_PROTECT
because the service using the uid's mark may be covered by a VPN that
should not cover the user it is acting for.

Bug: 12608570
Change-Id: I2402cb86ddb2fe6e670d1793263ff6c2c31d32fe

am 491086e5: Merge "Changed path to the private dns headers Bug: 13219633"

* commit '491086e5f523b5ae86734e135dd8685499c954fa':
  Changed path to the private dns headers Bug: 13219633

Merge "Changed path to the private dns headers Bug: 13219633"

Changed path to the private dns headers
Bug: 13219633

Change-Id: Ia7f3da59925621b449bacfeb220ab8f8e3be8d88

Add support for custom TXT records

This isn't supported higher up in the stack yet, so use command line to test.
E.g. "ndc mdns mdnssd register 4 Kitten _kitten._tcp 4242 sound=meow color=pink"

Change-Id: I261c17465ae677f91a289077b6e363a149c94c3e

am 2bd389e3: Merge "AArch64: Fix printf format strings."

* commit '2bd389e386feeef0a901ccf68b106eafea6bbcb4':
  AArch64: Fix printf format strings.

Merge "AArch64: Fix printf format strings."

AArch64: Fix printf format strings.

Use the portable printf format strings as defined in:

http://google-styleguide.googlecode.com/svn/trunk/cppguide.xml#64-bit_Portability

These changes are necessary when compiling for LP64 architectures.

Change-Id: I3ff355dda5a7a72a8e659a7e5d2014aa4e62f8c3
Signed-off-by: Matthew Leach <matthew.leach@arm.com>
Signed-off-by: Matteo Franchin <matteo.franchin@arm.com>

am 05952ccb: Merge "netd: remove  from include path"

* commit '05952ccb4a2f44ada2eb0d11480eb2780c8caa91':
  netd: remove $(KERNEL_HEADERS) from include path

Merge "netd: remove $(KERNEL_HEADERS) from include path"

netd: remove $(KERNEL_HEADERS) from include path

The kernel headers are already in the include path, and manually
adding them again will break on a multiarch build, where the
kernel headers may be different for each arch.

Change-Id: I0f07ecde4c519341153e58e3cdd6441e84362ae1

am 7f4117ee: Merge "tethering: Add --dhcp-authoritative to dnsmasq daemon"

* commit '7f4117ee430e5069bffc89ad4e3841845586951a':
  tethering: Add --dhcp-authoritative to dnsmasq daemon

Merge "tethering: Add --dhcp-authoritative to dnsmasq daemon"

tethering: Add --dhcp-authoritative to dnsmasq daemon

Bug: 12114185

Change-Id: I91e83c78de251ebe88bed30174f1422b62edca07
Signed-off-by: Dmitry Shmidt <dimitrysh@google.com>

am 57c2b4c8: Merge commit \'f0aa90f7898502aae6a015b49abcb2a5a0719fad\' into HEAD

* commit '57c2b4c8aa5d66cb3198770d1a71f299b8b14470':

Merge commit 'f0aa90f7898502aae6a015b49abcb2a5a0719fad' into HEAD

Change-Id: If9a70bdfa24a37bab6980194af6fa4f73d9f4bd1

am 22f485dc: Merge "Make netd listen for and notify RDNSS options."

* commit '22f485dc390ba75c76645d2ced812cd1988b6bf0':
  Make netd listen for and notify RDNSS options.

am 6eeea7cb: Merge "Simplify notification code in NetlinkHandler."

* commit '6eeea7cb5a563cf8369c8373ae469ef1f676d7a9':
  Simplify notification code in NetlinkHandler.

am 634b7b7b: Merge "Don\'t log "Unexpected netlink message" on NDUSEROPT"

* commit '634b7b7b6c83269e5c1ad71b871f8c5a7a020c0d':
  Don't log "Unexpected netlink message" on NDUSEROPT

am 1dc26be0: Merge "Unbreak interface add/delete notifications."

* commit '1dc26be03b0ace9a52a23caaa669a4edf9b0bd85':
  Unbreak interface add/delete notifications.

am 4006ada5: (-s ours) Merge "Make netd track and notify IP address changes."

* commit '4006ada573f332b5ef4d32273bd4e2c058aa2b73':
  Make netd track and notify IP address changes.

SecondaryTableController: force the MSS to match pmtu on TCP SYN

Without this change, the VPN sets up a tun/ppp that needs a small
MTU, and during TCP SYN the MSS will end up matching the outgoing iface
MTU which is potentially too big.
This leads to connection flakiness. The wrong MSS is visible by
tcpdump-ing on the tun/ppp device.

With this change, the MSS now is correct.
It requires the kernel to be configured with
 CONFIG_NETFILTER_XT_TARGET_TCPMSS=y
If kernel is not configured, it silently fails.

Bug: 11579326
Change-Id: I254d8c39435b92dff91931e461e1efb8b35f6b1e

Merge "Make netd listen for and notify RDNSS options."

Merge "Simplify notification code in NetlinkHandler."

Merge "Don't log "Unexpected netlink message" on NDUSEROPT"

Merge "Unbreak interface add/delete notifications."

Merge "Make netd track and notify IP address changes."

Make netd listen for and notify RDNSS options.

[Cherry-pick of 12acae8db9dee865a41f0fd11dacf01112115920]

Bug: 9180552
Change-Id: Id2485b35c2299cfc455dd2b3b725136e5eb2a7e4

Simplify notification code in NetlinkHandler.

1. Factor most of the notification code out to a common function.
2. Use vasprintf instead of snprintf so we don't have to worry
   about clipping notifications due to fixed-size message
   buffers.

[Cherry-pick of 0b454ea4abdc8a563af6da58fa37835729220acf]

Bug: 9180552
Change-Id: Idde16ee6dd56d38dab866f0ea678b04d98b3048d

Don't log "Unexpected netlink message" on NDUSEROPT

When opening the netlink socket, NetlinkManager specifies it's
interested in ND_USEROPT messages, but we since we don't have
code to parse them yet, we end up logging an error message for
packets that contain them. Get rid of the logspam by not asking
the kernel to receive them.

[Cherry-pick of a95f8a3426e6a4f17cf41888673f58302781b7be]

Bug: 10718651
Change-Id: Ib1b7748448a983cfa7bb7725e48e238d85152ea2

Unbreak interface add/delete notifications.

The change to enable address tracking via netlink incorrectly
changed the subsystem of rtnetlink events from "net" to
"interface". This broke interface add/delete notifications,
which come from the kernel with subsystem "net".

Switch back to "net" and deal with address tracking via new
action codes instead of a new subsystem.

[Cherry-pick of 4da12db25b4a2947b1a98b0322e4be56a30c5e17]

Bug: 10433320
Change-Id: I59a50e9c7cb49f46e680c7d84ac8e196a861ca4b

Make netd track and notify IP address changes.

Subscribe netd's netlink socket to listen to IPv4 and IPv6
address changes (and ND opts, which we'll need for IPv6 DNS
later), and make NetlinkHandler notify the system of address
changes.

[Cherry-pick of 9b3cd7635caf5948d7d4b11f8f588c9d2811d58e]

Bug: 10232006
Change-Id: Ib9dfd58635dce389980d8ee9529a17661a02320a

merge in KFS78N (no-op)

Don't vpn dns if the vpn didn't provide servers

A split-tunnel vpn shouldn't snarf all dns queries if it's not
going to provide dns servers to service them.

bug:10115444
Change-Id: I4f8de66b75a04ca0e274edb92ace7acee762bca2

merge in klp-factoryrom-release history after reset to klp-release

Don't log "Unexpected netlink message" on NDUSEROPT

When opening the netlink socket, NetlinkManager specifies it's
interested in ND_USEROPT messages, but we since we don't have
code to parse them yet, we end up logging an error message for
packets that contain them. Get rid of the logspam by not asking
the kernel to receive them.

Bug: 10718651
Change-Id: Ib1b7748448a983cfa7bb7725e48e238d85152ea2

Missing tethering stats isn't an error.

When a device first boots, there won't be any tethering stats, which
isn't an error.  Continue checking for partial results.

Bug: 5868832
Change-Id: Ic432f5f159320da9886d85c2525fa2cde8c67750

Unbreak interface add/delete notifications.

The change to enable address tracking via netlink incorrectly
changed the subsystem of rtnetlink events from "net" to
"interface". This broke interface add/delete notifications,
which come from the kernel with subsystem "net".

Switch back to "net" and deal with address tracking via new
action codes instead of a new subsystem.

Bug: 10433320
Change-Id: I59a50e9c7cb49f46e680c7d84ac8e196a861ca4b

BandwidthController: fix bad flushing for bw_costly_* tables.

Some of the bw_costly_<iface> rules would not get correctly flushed and
cleared on netd re-start, which would cause a failure when trying to
setup the bw_penalty_box as bw_costly_<iface> would reference it.
The resulting symptom would be that bandwidth could not be re-enabled.

Bug: 10183445
Change-Id: I79a8a73ae52e18b3bff8a58e47ac1aea2454ae63

Make netd track and notify IP address changes.

Subscribe netd's netlink socket to listen to IPv4 and IPv6
address changes (and ND opts, which we'll need for IPv6 DNS
later), and make NetlinkHandler notify the system of address
changes.

Bug: 10232006
Change-Id: Ib9dfd58635dce389980d8ee9529a17661a02320a

am bca84afd: Merge "Incorrect memset parameters"

* commit 'bca84afd429667bf25f2288f254f6e854bcb0f04':
  Incorrect memset parameters

Merge "Incorrect memset parameters"

Incorrect memset parameters

Memset parameters swapped

Change-Id: I528c1f6de344447d3c43d89c1dd4cd87e1c5c5a7

Merge "Host exemption now handles premarked sockets"

Host exemption now handles premarked sockets

Host exemption now properly handles routing for sockets that were
already marked

Change-Id: I55d5c00754036a5ef49379170c37607d3e71a1e8

am 8ab6df2e: am 08ff0e40: Merge "Fix memset call"

* commit '8ab6df2e2a4df8eb2c6bcd3325c8ac7a5b01c63e':
  Fix memset call

am 08ff0e40: Merge "Fix memset call"

* commit '08ff0e408976d541dae0fc36527c15195cc86cda':
  Fix memset call

Merge "Fix memset call"

Fix memset call

Parameters was passed in the wrong order.

Change-Id: I1d4d68f1ba729bf54da84cbcb5f631938ac697f2

Merge "Add netd commands to get marks for routing"

Merge "Add destination host exemption to VPN routing"

Merge "Add support for fwmark split tunneling"

Add netd commands to get marks for routing

Add commands for fetching the mark associated with routing a uid and for
fetching the mark associated with avoiding the fwmark routing rules

Change-Id: I4accd1a9aecd91f6f0630eb1a5466a81e309eeac

Merge "Add netd support for uid based routing for DNS"

Add destination host exemption to VPN routing

requestRouteToHost requires the ability to punch holes in the VPN for
certain addresses, this adds support for this under mark based VPNs.

Change-Id: I9d890829048624d43c0f1efaec54563a860e850f

Add support for fwmark split tunneling

Packets are now only marked for fwmark if their destination is in one of
the routes for the target interface.

Change-Id: Ided4ad992c4cf957d77ae11fa62ac4843a8592c7

BandwidthController: prefix chains with bw_

Just a cleanup.

Change-Id: Ic5afd7bd194fdcad604d533ba95e4c23b10b3e24

BandwidthController: allow UID 0 as a "special uid"

The happy box needs to be able to let UID 0 (dhcp, ...) pass through.

Bug: 6212480
Change-Id: I9867b7db4e5ad71cfb1170659d2d6a14ca9590be

BandwidthController: add support for "nice apps" and the "happy box"

* ndc bandwidth happybox (enable | disable)
 - enable
  . creates a an empty happy_box chain which rejects all traffic from all UIDs by default.
  . Uses the penalty_box as a hook. Any costly_interface automatically  gets the happy_box as it has a penalty_box.
  . any app UID not in the happy_box will be treated as if it was in the penalty_box (i.e. addnaughtyapps)
  . penalty_box (addnaughtyapps) still applies.
 - disable
  . removes the happy box.
* ndc bandwidth addniceapps <appUid> ...
 - similar to addnaughtyapps, but for the happy_box
* ndc bandwidth removeniceapps <appUid> ...
 - similar to removenaughtyapps, but for the happy_box

Bug: 6212480
Change-Id: I1f10e8c6fa1b230c7b3bb070d88508e437589705

BandwidthController: switch to generic handling for naughty apps.

Rename some stuff in preparation for nice apps and the "happy box".

Bug: 6212480
Change-Id: I637c4283695ac619533999beab4f88968580d2e4

BandwidthController: reject with port-unreachable to prevent TCP retries.

Currently the bandwidth controller will cut off traffic via an ICMP
destination unreachable message with code "administratively prohibited".
TCP's RFC1122 does not explicitly say what to do with it, but it does say
to abort the transmission when "port-unreachable" is seen.

Some servers keep on retrying with the "prohibited" ICMP message which
keeps the radio longer awake as more packets come in.

Bug: 9150002
Change-Id: I6eb1c3ae41c3890f26581a4b7464821b7ffb85f4

Add netd support for uid based routing for DNS

DNSProxyListener now supports bionic changes for marking DNS requests
for routing DNS requests with the uid routing rules

Change-Id: Iac9aa1bb14834be6da5e512405f23c6a72dc71ed

netd: tethering stats: persistent + list-all support

* Persistent stats
Previously we would parse the iptables counters out of the FORWARD
rules used for tethering. Those rules could come an go before they
were parsed, which would cause us to incorrectly count traffic.
Now we have separate counting rules (and quota2 counters) which
persist beyond tethering.

* Rename the iface0/iface1
Match NatControllers notions for tethering ifaces during enable.
Detect weird call from userspace (until b/9565268 gets fixed),
or else it leaves an ugly iptables state.

* The commands affected:
 - ndc bandwidth gettetheringstats intIface extIface
  . no change from before: return a single stats line
 - ndc bandwidth gettetheringstats
  . return a list of results showing all tethered stats
 - ndc bandwidth gettetheringstats "" extIface
 - ndc bandwidth gettetheringstats intIface
   . return a list of results matching the tethering on
     the given interface.

Bug: 9565268
Bug: 5868832
Change-Id: I8559d9a184abcffaf65998fb3cc8c9c50d46bf06

am 5ff04590: am 4ea5bd05: Merge "Revert "netd: reduce privileges""

* commit '5ff04590386a08712d83c4f8add6d78870fe3bce':
  Revert "netd: reduce privileges"

am 4ea5bd05: Merge "Revert "netd: reduce privileges""

* commit '4ea5bd0540bf3b4b6767815b5c9e41a7146f749c':
  Revert "netd: reduce privileges"

Merge "Revert "netd: reduce privileges""

Revert "netd: reduce privileges"

jpa reports that tethering is broken.

This reverts commit ab3df62f7b5584af6dee4f5ec069b70dd4f4cee6.

Change-Id: I0736f0fd83ea7cada9fdaee7e8d39123d2a3b5c2

am 4dbd276e: am 30583ec3: Merge "netd: reduce privileges"

* commit '4dbd276e59f4d04028effd8510bb3a1e5cb31823':
  netd: reduce privileges

am 30583ec3: Merge "netd: reduce privileges"

* commit '30583ec326fb85f5f2638a6582d6f573fd57b42c':
  netd: reduce privileges

Merge "netd: reduce privileges"

ndc: re-instate the command sequence num

Some prior change removed the ability to use a command sequence number.
This would cause conflicts with java-land sending commands, and results
don't get routed appropriatly: ndc would catch results destined for java.
Also, cleanup the bad errno handling: don't use errno after any library
call.

Bug: 5886205
Change-Id: I72cafb7d8f8328a6879971e6dd5401f8c20a21f9

netd: reduce privileges

netd doesn't need full root capabilities. Rather, it only needs
CAP_NET_ADMIN and CAP_NET_RAW. Reduce the capabilities to that
set.

netd continues to run with UID=0, which allows applications spawned
by netd to continue to have CAP_NET_ADMIN and CAP_NET_RAW. It also
allows netd to access /proc and /sys files as UID=0.

Change-Id: I439d22150109697213c0cc83276ddb668007b978

Merge "Make uid marking rule's API consistent"

Make uid marking rule's API consistent

Make the netd binds for adding uid iptables mark rules consistent with
the other per uid range binds.

Change-Id: I97d1576f4ac11368bf6ede866229e456a2ed24da

Add getmtu and setmtu interface commands

Bug: 9372485

Change-Id: I0dfa6b1f973426d67f976a9c79be8de90e3d9c19
Signed-off-by: Dmitry Shmidt <dimitrysh@google.com>

Merge "softap: Add channel configuration parameter"

Merge "Add netd support for marked packet forwarding"

Merge "Add netd binds for UID based routing"

softap: Add channel configuration parameter

Bug: 9372353

Change-Id: Id85a8a41f644195519f1635e4ab73806b5e1738e
Signed-off-by: Dmitry Shmidt <dimitrysh@google.com>

Add netd binds for clearing DNS interface maps

Add resolver clearifacemapping to clear both the uidrange => interface DNS map
and the pid => interface DNS map

Change-Id: I144f4d092780b532633d8a956f68a6888d46797a

Add netd binds for setting per uid dns interfaces

Change-Id: I1029232adbd754246c75fbd97c6d720e7e60ced8

Add netd support for marked packet forwarding

Add binds in netd for setting up fwmark rules to be used with the per
uid marking to do per uid routing.

Change-Id: Id4f315dd1aec73f074e233c2e3f70eb24b4c537a

Add netd binds for UID based routing

Add methods for add per uid mark rules to push all traffic from specific
uids to specific interfaces.
Allows for per uid routing for per uid VPNs.

Change-Id: I8492c668e2c96010b0f74ea7e367f0b4471238ad