Merge "netd: Add NOTICE and MODULE_LICENSE_* files"
am: 04c820c5f1

* commit '04c820c5f1591e1afd287519efd1a4df162d2551':
  netd: Add NOTICE and MODULE_LICENSE_* files

Merge "netd: Add NOTICE and MODULE_LICENSE_* files"

netd: Add NOTICE and MODULE_LICENSE_* files

BUG: 24605215
Change-Id: Ice2df1dcaca7af089e6228c4bbf5b5b285b51622

am c8683d7e: Don\'t break IPv6 connectivity when in doze mode.

* commit 'c8683d7eb9bb95de2090431e8daaa45d92b45e38':
  Don't break IPv6 connectivity when in doze mode.

Don't break IPv6 connectivity when in doze mode.

Working IPv6 connectivity relies on the kernel being able to
receive certain ICMPv6 packets (router advertisements, neighbour
solicitations, neighbour advertisements) at all times. Allow
these packets when in doze mode.

This is not necessary for IPv4 because in IPv4 these functions
use ARP, which is invisible to iptables.

Bug: 23158230
Change-Id: I29ed77561db9688486cf58cd14ac3bce7fce4b40

am f228899a: (-s ours) am 8246d45e: Merge "bundle init.rc contents with its service"

* commit 'f228899aef79c5bad319aa88e1861da225b18fc0':

am 56cc45f1: (-s ours) am f2fed764: Make iptables -L and -S calls wait for xtables lock

* commit '56cc45f112c1bb21784e1763a4bf748351063f5a':

am c132be49: (-s ours) am 93e6f6a7: Merge "Make iptables -L and -S calls wait for xtables lock"

* commit 'c132be495ffeae7c393175c66943195dee84479e':

am 8246d45e: Merge "bundle init.rc contents with its service"

* commit '8246d45e94bfb0ce878f41a01602b7b8d78c40ad':
  bundle init.rc contents with its service

am 8246d45e: Merge "bundle init.rc contents with its service"

* commit '8246d45e94bfb0ce878f41a01602b7b8d78c40ad':
  bundle init.rc contents with its service

Merge "bundle init.rc contents with its service"

am f2fed764: Make iptables -L and -S calls wait for xtables lock

* commit 'f2fed7647ede2ae39a76d50cf4abc9e57b49d40d':
  Make iptables -L and -S calls wait for xtables lock

am f2fed764: Make iptables -L and -S calls wait for xtables lock

* commit 'f2fed7647ede2ae39a76d50cf4abc9e57b49d40d':
  Make iptables -L and -S calls wait for xtables lock

am 93e6f6a7: Merge "Make iptables -L and -S calls wait for xtables lock"

* commit '93e6f6a70c83b700aacaa16396449c3d9946b94c':
  Make iptables -L and -S calls wait for xtables lock

bundle init.rc contents with its service

Bug: 23186545
Change-Id: Iab00111d55494def6009c7b6c0da56ecd4b6aa9f

Make iptables -L and -S calls wait for xtables lock

(cherry picked from commit 99b40503edccae74d0917b9d1e17a5939ac7193b)

Bug:22802665
Change-Id: Ief59212ab976af940887508fab706b5be07005c6

am 93e6f6a7: Merge "Make iptables -L and -S calls wait for xtables lock"

* commit '93e6f6a70c83b700aacaa16396449c3d9946b94c':
  Make iptables -L and -S calls wait for xtables lock

Merge "Make iptables -L and -S calls wait for xtables lock"

Make iptables -L and -S calls wait for xtables lock

Bug:22802665
Change-Id: I95b83ec0a926208e20659ad4b5355cf8500821f5

Move local union such that it doesn't escape (and get optimized out).

Bug: 23239997

The Clang update exposed a latent bug in the code here, where a pointer
to a local variable escaped the encapsulating block. Clang noticed the
end of this object's lifetime, and removed assignments to its original
storage (because they are now dead assignments). By moving the union out
of the block, it will survive until the sendmsg() call, and the expected
writes will be restored.

Change-Id: If2106d2f53d761ddca6dd26ab2648244d737dcd9

Merge "Make netd calls to iptables wait for xtables lock" into mnc-dev

Make netd calls to iptables wait for xtables lock

Without this wait iptables commands can fail with various unpleasant
consequences like Log.wtf() or missing iptables rules.  The most
critical calls to iptables in NetdConstants.cpp already wait for the
lock.

Bug:22802665
Change-Id: I7d542c3d4f0e005618e368da674159b90d652c8a

Enable use_oif_addrs_only in netd.

Bug: 19470192
Bug: 21832279
Bug: 22464419
Change-Id: I53a9e592a03fd16c124dcae2a47c6ac2e9049c48

Use struct android_net_context when interfacing with bionic

Add a new NetworkController::getNetworkContext() that builds the
contents of a struct net_context out of getNetworkForConnect()
and getNetworkForDns().

Bug: 19470192
Bug: 20733156
Bug: 21832279
Change-Id: I5a69b0413a83d33be28b78c0a99359b109517a8f

netd: add default fw white list for system uids

In uid firewall white list, we white list the system uid range
by default to make sure system processes will always have network
access.

BUG:22094135
Change-Id: I8f472a98a9fd93591a2887982cec1458d7683613

netd: add two child chains to firewall

This is an attempt to speed up getting out of device idle.  It groups
uid firewall rules in these child chains so we can attach/detach a whole
chain instead of individual uid rules.

BUG:21446713
Change-Id: I61dc7d14110e633c5994e466481b9cac633a7a4f

Fix boolean to integer return value conversion.

Change-Id: Ie996c9b4f84f9cd8395abb592ecf0c04cfdc4023

Merge "InterfaceController::setBaseReachableTimeMs()" into mnc-dev

Merge "Partial refactoring and Android-type style changes." into mnc-dev

InterfaceController::setBaseReachableTimeMs()

Add an InterfaceController::setBaseReachableTimeMs() method to set
the ARP/ND default reachable time, as configured in:

     /proc/sys/net/ipv4/{interface}/base_reachable_time_ms
     /proc/sys/net/ipv6/{interface}/base_reachable_time_ms

Bug: 18581716
Change-Id: Idc652e81396d81efe0f08bb1d6dc38bc8e554a56

Partial refactoring and Android-type style changes.

Bug: 18581716
Change-Id: I85aec575a318861468ea4707b70ed747c27293c7

Add FwmarkServer support for querying whether a UID can access a NetID

This new FwmarkServer API is only accessible from system apps.

Bug:20470604
Change-Id: Ie2376cdddc10f658fcc5802ef3e8dc9f1948d5c0

Blacklist uids for network access

FirewallController can now be in blacklist mode (aka disabled)
or whitelist mode (aka enabled).

Some of the methods don't do anything when in blacklist mode.

Uid rules updated to allow dropping packets to uids that
shouldn't get any network access, usually for idle apps.

Added a wait option to iptables calls to make sure it doesn't
fail if there's contention. Fixes a flakiness I was seeing in
removing rules.

Bug: 20066058
Change-Id: I815bcb45aa06d04020e902df8c67bb3894e98f40

netd: Adds support for uid in idletimer netlink notification.

Change-Id: Ib85b85fc12b20436e0d788d5c3ec66306c632b57
Signed-off-by: Ruchi Kandoi <kandoiruchi@google.com>
Bug: 20264396
(cherry picked from commit 05c39f0a048abf6b8a44f17063f0c1f8c16285ed)

Corrently log /set/ MTU error.

Change-Id: I90e2d4f64a5c3ec9f640fd7dc41438517110cf68

Remove uses of libcxx.mk.

This is a no-op.

Change-Id: Ic9d3070b7c329d9744ed660e426c5f39704ffccc

am 200e0b53: (-s ours) Merge "Revert "Revert "Update for libbase."""

* commit '200e0b53817227453418a432b1384792c1bc29da':
  Revert "Revert "Update for libbase.""

Merge "Revert "Revert "Update for libbase."""

Merge "Revert "Revert "Update for libbase."""

Revert "Revert "Update for libbase.""

This reverts commit 4a0ab5ff4a87cfc4a987da99546b01e44875a2e5.

(cherry picked from commit 3e87c785434fdfed2fb00496cb391c411a426bdd)

Change-Id: I042f485f3cc84206766298853491ddd26dbba13f

Revert "Revert "Update for libbase.""

This reverts commit 4a0ab5ff4a87cfc4a987da99546b01e44875a2e5.

Change-Id: Idd2947bbdaef267ffd68179b4d3fe267870b9de4

Revert "Revert "Update for libbase.""

This reverts commit 4a0ab5ff4a87cfc4a987da99546b01e44875a2e5.

Forgot this in merge resolution.

Change-Id: Ieb26ec5fc333743b86d414ee558c978334647853

resolved conflicts for merge of 6066d418 to master

Change-Id: I2aa9721365e96c363648dd8e9e15718ed50e3c12

Merge "Revert "Update for libbase.""

Revert "Update for libbase."

Breaks internal master.

This reverts commit b67219a71d1d896bcb34c4a7a797824b88515b2c.

Change-Id: I43145f0724ad2d669b65d20b6fd6ccc44b8f0a4f

Merge remote-tracking branch 'goog/mirror-m-wireless-internal-release'

Change-Id: I51337014e2851f47dd5e183c4bfdf39bafa59942

am e3734499: Merge "Update for libbase."

* commit 'e37344992f49c8e0e6e9b816f590afbd00a961ca':
  Update for libbase.

Merge "Update for libbase."

Update for libbase.

StringPrintf and the string based file I/O are being moved to libbase.

Change-Id: I765d9e53f65a76d318d9d0d9503403fc092254d5

Follow NetlinkEvent refactoring.

Change-Id: Ibb6101c8741f862f4732fb200f646dfd329f4782

am "Parse all netids with stringToNetId."

merged from partner/m-wireless-wifi-dev
6c65afd Parse all netids with stringToNetId.

am "server: softap: Set hw_mode according to selected channel [DO NOT MERGE]"

merged from partner/m-wireless-wifi-dev
2f8e725 server: softap: Set hw_mode according to selected channel [DO NOT MERGE]

am "set softAP on a specified band, including both 2.4 and 5 GHz band"

merged from partner/m-wireless-wifi-dev
1ecc6c9 set softAP on a specified band, including both 2.4 and 5 GHz band

Flush tethering rules on interface remove.

Bug: 19500693
Change-Id: I25b7942784ec026d30c60273c9e13e34d082d25a

Add oif rules that allow UID 0 to bypass the VPN.

This is needed for wifi calling so that the kernel (which does
not set marks) can tee packets towards the modem. It also fixes
things like not being able to reply to DHCP requests from
tethered clients when a VPN is up.

System apps can already bypass the VPN using explicit marks, so
allowing UID 0 to do so does not create additional bypass VPN
issues.

Bug: 19500693
Change-Id: Ie324026893637e9bd8e7aa65a37579569390e7b7

Separate NAT from forwarding.

Bug: 19500693

Change-Id: Ib3871106ea3c0d68327611e7568c0710210e4ff2

Make the VPN rule only to originated, not forwarded, traffic.

Currently the VPN rule for the primary user will match every
forwarded packet on the system, because it specifies a UID range
that includes 0, and forwarded packets have UID 0.

Use "iif lo" to limit the rule match to locally-originated
traffic. This requires a kernel that sets the loopback ifindex.
when originating packets. Anything based on 3.10 is fine, but
devices using 3.4 will need a one-line change for IPv6.

Bug: 19500693
Change-Id: Iaab88bed62716dc1cea33b45c4e258f6b3bfc9d0

Add a dummy network that discards all packets.

Bug: 19500693
Change-Id: Ic25f2d8c481f1528e887e43ca3fa868189582110

Changes to forwarding for wifi calling.

1. Support multiple forwarding requests. Keep track of all
   requests inside TetherController, and enable system
   forwarding any time there is more than one active request.
2. Enable both IPv4 and IPv6 forwarding.

Bug: 19500693
Change-Id: Ic81bae7b399bc6ebf6a63de4bcd341885638dfa4

am 909757cf: am 7a269cb3: Merge "Store MARK/CONNMARK flags in a central location."

* commit '909757cfc276546652d8f6d433c56d644325af8c':
  Store MARK/CONNMARK flags in a central location.

resolved conflicts for merge of 64b816ba to master

Change-Id: Ie6348e38e90e48ffe115e63e5fde16640e2c3d92

am 7a269cb3: Merge "Store MARK/CONNMARK flags in a central location."

* commit '7a269cb3916692b691c7f3a531f3eba78be7a366':
  Store MARK/CONNMARK flags in a central location.

Merge "Store MARK/CONNMARK flags in a central location."

am f48d6abf: Merge "Switch writing to <utils/file.h>."

* commit 'f48d6abfb701cedbf619fb530e69a4a245ad0697':
  Switch writing to <utils/file.h>.

Merge "Switch writing to <utils/file.h>."

Switch writing to <utils/file.h>.

Change-Id: Idb2de24414f4dd8e926e625b62e4d12152dc4527

am a0b6b3a6: am 50c6639a: Merge "Use StringPrintf."

* commit 'a0b6b3a6ec2090ebd6cae611ec35fc670857331b':
  Use StringPrintf.

am 50c6639a: Merge "Use StringPrintf."

* commit '50c6639a55b3208b64adc691b181a90e1e6de223':
  Use StringPrintf.

Merge "Use StringPrintf."

Use StringPrintf.

This doesn't replace every asprintf in netd, but it replaces the ones in code
I touched.

Change-Id: I2de5c7772523372bb36145e66e885aa8132ad58e

am 561ad8c1: resolved conflicts for merge of c9692899 to lmp-mr1-dev-plus-aosp

* commit '561ad8c1a4fd519a6ae632ea1d414f90e62da95f':
  Switch netd over to <utils/file.h>.

am 69766c22: am 6c08cd6a: Merge "Avoid leaking file descriptors"

* commit '69766c22edb99338c3b703aeadbaa286f6b78334':
  Avoid leaking file descriptors

resolved conflicts for merge of c9692899 to lmp-mr1-dev-plus-aosp

Change-Id: I8f4c9ae0d13d30e69b7a197eafdfcb9b2b9050c0

am 6c08cd6a: Merge "Avoid leaking file descriptors"

* commit '6c08cd6aa7aee66b973ee4861237ad36560e0239':
  Avoid leaking file descriptors

Merge "Switch netd over to <utils/file.h>."

Switch netd over to <utils/file.h>.

Change-Id: Id79961cc4feee1c307dad06d64e3f4ffe060c4da

Store MARK/CONNMARK flags in a central location.

MARK/CONNMARK values/tags are shared accross all controllers because
of the way the firewall works. To avoid accidental clashes, it's best
to store the values used in a central place.

Change-Id: I76aaba38cba6554704a5635b1e7297a144e6e2ff

Merge "Avoid leaking file descriptors"

Avoid leaking file descriptors

Add O_CLOEXEC on open() calls, and SOCK_CLOEXEC on socket calls.
This avoids leaking file descriptors across execs.

Addresses the following SELinux denial:

  audit(1422740213.283:8): avc: denied { read write } for pid=2597 comm="clatd" path="socket:[6709]" dev="sockfs" ino=6709 scontext=u:r:clatd:s0 tcontext=u:r:netd:s0 tclass=netlink_socket

and allows the removal of some other SELinux rules which were
inappropriately added because of leaking file descriptors.

Change-Id: I9c180488ea1969d610e488f967a7276a672bb477

am 623e69e6: am aea68fdd: Merge "Don\'t fail when trying to add routes that already exist."

* commit '623e69e66b18fb3af840369633548bbd6c098580':
  Don't fail when trying to add routes that already exist.

am aea68fdd: Merge "Don\'t fail when trying to add routes that already exist."

* commit 'aea68fddd979bf6852b8aef9bc718567f9da935a':
  Don't fail when trying to add routes that already exist.

Merge "Don't fail when trying to add routes that already exist."

Don't fail when trying to add routes that already exist.

Previously, we suppressed failures for the special case of
requestRouteToHost() being called multiple times. Turns out that other
parts of the system also try to add duplicate routes, so just suppress
EEXIST errors in general (as far as adding routes is concerned). For
example, this happens when the WiFi P2P DHCP client renews its lease
and blindly requests to add a route that it had already added before.

(cherry picked from commit 64166e7666e3cc7f4b9c715f2b4e19d28ae44c5a)

Bug: 17205769
Change-Id: I11d50052f616cb48a912d647b8024ccef01b736d

am 29cbbf2a: am b1842acd: Merge "Add missing <string.h> include."

* commit '29cbbf2a37ceb841c20004189bac2bc2895aff2f':
  Add missing <string.h> include.

am 750f9d0a: am 883d129b: Merge "Add missing <malloc.h> include."

* commit '750f9d0abe7d3f06b7a2f8dcfee780fd956023d4':
  Add missing <malloc.h> include.

am b1842acd: Merge "Add missing <string.h> include."

* commit 'b1842acd6fcba8a1d80efd95ea3e88c2faf7eeb0':
  Add missing <string.h> include.

am 883d129b: Merge "Add missing <malloc.h> include."

* commit '883d129ba24bfc599b65b09fd0b5aaa0946d1958':
  Add missing <malloc.h> include.

Merge "Add missing <string.h> include."

Merge "Add missing <malloc.h> include."

Add missing <malloc.h> include.

Change-Id: I0259da35f2dc8ff87c928eb5bd378f39cbfc9f9c

Add missing <string.h> include.

Change-Id: I14ea45e98b8271d6b53ac86e92ad3b5c7dac8f75

Parse all netids with stringToNetId.

Bug: 19049156
Change-Id: Iaa3b1a84afa469dfbc0cd0798271467528196c9d

Parse all netids with stringToNetId.

Bug: 19049156
Change-Id: Iaa3b1a84afa469dfbc0cd0798271467528196c9d

am 51f7a8ee: am 6ef96c48: Merge "Config NFLOG target before listening."

* commit '51f7a8ee6eb051b939bd02bf82a399da676bf32f':
  Config NFLOG target before listening.

am 6ef96c48: Merge "Config NFLOG target before listening."

* commit '6ef96c4862428e02a0c4aebbfa1ed0ccbf58b46e':
  Config NFLOG target before listening.

Merge "Config NFLOG target before listening."

Config NFLOG target before listening.

Otherwise the listener thread races with us and can eat the
responses to the config messages.

Bug: 19066761
Change-Id: I484fd79414731ab74ebc3ea50446e374a50eac77

am 732c34ee: am 535b94fa: Merge "Offer to detect non-SSL/TLS network traffic."

* commit '732c34ee7cf9fdd93e8e2aa41bac1df231d9b50b':
  Offer to detect non-SSL/TLS network traffic.

am 535b94fa: Merge "Offer to detect non-SSL/TLS network traffic."

* commit '535b94fa9d88097220de3ea04cb8d9a91114baa8':
  Offer to detect non-SSL/TLS network traffic.