high scores printed too far to the right, move it left a little

typo in comment

Print when we send or recv an EOR marker.
Req by and OK benno@

Introduce log_peer_info() and make log_peer_warn() log at LOG_ERR instead
of LOG_CRIT (which should only be used for fatal).
OK benno@

Close imsg pipes later in the process. The shutdown code still tires to
send imsgs and so the SE and RDE crashed because of this late in shutdown.
OK benno@ phessler@

set autoconfprivacy flag; prodding naddy

Change so that sessions created detached (-d or no client) are always
80x24 and the status line is not applied until they attach. Also make -x
and -y work for control clients whether the session is detached or not.

install new manpage, noted by tb@

please read operator(7) for this information.

document /usr/share/misc/airport contents and rules, after lengthy
hackroom discussion about train stations.
ok mlarkin, feedback deraadt

typo

pasto, typos, spelling; ok florian@

Also recalculate session sizes when refreh-client -C is used. GitHub
issue 947.

The High Council of Deciders has determined that railway stations, even
those with IATA codes, are not airports and therefore do not qualify for
inclusion in this file.

Check also whether the interfaces is matched when pipex check PPPoE
packets.  This fixes the problem when pipex connects with pppoe(4)
through pair(4).

Move check later to mitigate a possible race.

Use interface index and if_{put,get} instead of ifnet pointer.

Use interface index instead of ifnet pointer.

add HWD - Hayward Executive Airport. After extensive discussion, the
decision was made that a missed approach at the DH counts as "being at
the airport"

ok phessler, deraadt

convert to UTF-8

Do not allow NULL callback at rendezvous and clear callback
pointer at the end to catch errors faster.

Let opencvs show ignored files on import, not showing them is just confusing.

ok stsp@

Don't allow opencvs to commit towards tags that are not branches.

Gets rid of the old logic that wasn't working and replaced it with
a simplified version.

ok stsp@

Teach opencvs status to display the sticky tag according to what it really
represents if it is a branch or a revision.

ok stsp@

Bring the opencvs log message template inline with other cvs implementations.

ok stsp@

Limit the nested header chain for IPv6 extensions headers and for
authentication headers in the IPv4 case.  This prevents spending
excessive cpu time on crafted packets.
OK henning@

tweak previous;

Fix bad white spaces, wrap long lines, kill some empty lines.

get a new privacy address before the old one expires

No need to constantly re-add the default route. It will not expire
like the prefixes.  We might want to check if someone deleted the
route by hand though.

Fix checks for seconds and timezones in generalized times.
Fixing the CHECK_RANGE macro in r1.4 revealed that the seconds check
accidentally relied on the macro being broken.  While looking into this I
noticed that the timezone check was also wrong, treating the timezone as
optional for generalized times.

investigation and diff mostly by Seiya Kawashima.

Use fast path if remote call is not needed.

Note that rendezvous calls are no longer necessarily
serialized systemwide.

Remove a redundant assignment introduced in revision 1.219 but favor the
assignment outside of the conditional.

ok stsp@

we're not hardcoded to table 0 any more

so far, bgpd was hardcoded to use rtable 0 for nexthop verification.
instead, use the rtable bgpd was started in (route -T <n> exec / rc.d
daemon_rtable) for nexthop verification and as default Adj-RIB-In and
Loc-RIB. This allows multiple bgpds in different rdomains on the same
machine - bgp router virtualization if you like buzzwords.
initial version written under contract more than a year ago, it took us
a while to wrap our brains around the bgpd <-> rdomain interactions -
1) RIBs, 2) nexthop verification and 3) tcp sockets.
ok & input phessler claudio benno

mips64_multicast_ipi() excludes current CPU.
The caller does not have to do that.

Don't check np->port for NULL - it's an array, it's never NULL.

OK bluhm@

Add missing NET_UNLOCK() in error path.

Spotted by sashan@

Pf was handling IPv4 and IPv6 differently regarding AH extension
headers.  pf_walk_header6() steps over it and detects the real
protocol.  So to implement a minimal header walking function
pf_walk_header() for IPv4.  It does the header checks and jumps
over AH.  Then pf does not understand AH as a protocol, it is just
an extension that authenticates the packet.  Move some header and
option checks to pf_walk_header() for consistency with IPv6.  This
also improves the header check for IPv4 packets in ICMP payload.
OK henning@

Elegant and reliable link status checking courtesy of mpi@.

Less of unreliable ioctl(SIOCGIFMEDIA), more getifaddrs().

ok mpi@

trunk_port_destroy() needs the NET_LOCK().

It brings the interface down and restore the original lladdr.

Found by Hrvoje Popovski

If a function is not found in the CTF data, do not assume it takes no
argument.

Call bpf_mtap_af() a bit earlier in ipip_input().  This prepares
upcoming diffs, no functional change.
OK mpi@

Build i386 kernels with -ffreestanding, matching amd64 and various
other platforms.

ok visa@ kettenis@

Remove all splnet/splx from pipex(4) and pppx(4) and replace some of
them by NET_LOCK/NET_UNLOCK.  Also make the timeout for pipex_timer
run with a thread context and replace pipex softintr by NETISR_PIPEX.

ok mpi

Leaving IP multicast group requires the NET_LOCK().

Grab the lock before calling carpdetach().

ok bluhm@

clang warns on unused labels.  Place a recently introduced label under
ifdef IPSEC to fix the clang build when IPSEC is not defined.

ok deraadt@ bluhm@

Implement an XON/XOFF protocol between the RDE and the SE to throttle
per control session and peer the generation of imsg in the RDE. This
reduces the memory pressure in the SE substantially and also a bit in
the RDE. Makes the RDE more responsive for bgpctl commands.
Tested by me with 100 peers * 2000 prefixes and by phessler@ on an AMS-IX
border router with 200+ session. Convergance time got quite a bit better.
OK phessler@

Merge two functions to lookup ELF sections by name.

ok claudio@, jasper@

reinstate the description of "mask-source" to "listen on socket": my changes
two revisions previous inadvertently removed it;

ok gilles

Fix some spurious fatal firmware errors in iwm(4).

If we are not in SCAN state anymore by the time hardware signals completion
of a scan command, exit the scan completion handler immediately instead of
calling ieee80211_end_scan().

Tested by tb@ and myself.
ok mpi@ tb@ zhuk@

use __func__ in log messages. fix some whitespace while here.
From Hiltjo Posthuma hiltjo -AT codemadness -DOT- org, thanks!
ok florian, claudio

use __func__ in log messages.
From Hiltjo Posthuma hiltjo -AT codemadness -DOT- org, thanks!
ok florian, claudio

Indent and rename var; no functional change.

style(9) some variable declarations
ok florian@

Reduce differences between the two pfctl_osfp.c files.

Apply three commits from pfctl/pfctl_osfp.c

OK bluhm@

check_tos() gets a parameter so i can remove another global var.
ok florian@

introduce struct tr_conf to keep all of the configuration.
Functions needing access to any of those vars get it passed as a parameter.
result: even less global vars.
ok florian@

move as many globals as possible into the main function - thats the
only place where they are used.
Only exception: v6flags - make it an argument to usage()
ok florian@

Remove unused flag IWM_FLAG_STOPPED.
ok tedu@ of course

Use membar_enter_after_atomic() and membar_exit_before_atomic().

Remove useless splnet()/splx() dances.

Data structures modified in the ioctl path are protected by the NET_LOCK().

ok sashan@

propose and configure default gateway

Protect the global array of interfaces with the NET_LOCK().

ok sashan@

When a daemon reaches its timeout when starting, display "timeout" instead
of "ok" so the user is warned and has a chance to fix it (most of the time
due to bogus flags). Daemons reaching the timeout without being able to
start are still marked as "failed" (which should also give a clue to the
user that some investigation is needed).

prodded by beck@ a while ago
discussed with and ok sthen@

Rename ip_local() to ip_deliver() and give it the same parameters
as the pr_input functions.  Add an assert that IPv4 delivery ends
in IP proto done to assure that IPv4 protocol functions work like
IPv6.
OK mpi@

Remove _mode variable and use AI_MODE directly instead. Use the
exit code of ftp consistently to determine success of fetching the
response file.

discussed with and OK tb@

mark up "masquerade";

split the two "listen on" directives into two separate items;
the markup that we were using wouldn;t have worked with groff anyway
but, more worringly, it didn;t work with mandoc either;

Do a better job of not printing sequences we cannot reverse in DELETE or
KILL.  Therefore we can do a better job cleaning up.
testing by benno

Use intr_disable()/intr_restore() to reduce differences with sparc64
mp_lock.

ok kettenis@, visa@

Drop useless lines continuation; no functional change.

etc/netstart: use colon separator instead of dot with chown

OK jung@, deraadt@, jmc@

chown: Remove SUPPORT_DOT ifdef - it's on by default for 22 years

The old syntax was deprecated 25 years ago when the utility was
first standardised in IEEE Std 1003.2-1992 ("POSIX.2"). There was
no POSIX version of chown with the dot separator.

Let's stop pretending that it will ever go away.

OK jung@, deraadt@, jmc@

Catch up with pfctl/pfctl_osfp.c, no binary change.

OK deraadt@

Fix cursor position while removing characters from the command line.

While here, remove a condition that becomes redundant.

ok schwarze@ tb@

print_ioctl() is unused if not debugging. Found with clang, after
marking the function "static". Use OSFP_DEBUG, in a similar
fashion to OPT_DEBUG (pfctl_optimize.c).

OK bluhm@

remove bogus atomic_swap_64 code from i386

xchg can't handle 64 bit values on i386.  gcc errors if the code
is called, clang errors if it is included.

ok mlarkin@ kettenis@

use pread and pwrite to save code and syscalls. ok mlarkin

Fix the carp mode 'balancing ip-stealth'.  Set the link state UP
if at least one vhid is in state MASTER.
from Florian Riehm; OK florian@

fix previous as noted by mpi, thx florian

move sending of pflow packet into a task, seperated from the data
collection by a mbuf queue. with help from mpi@
ok florian@

remove devel/waf gone 2 years ago, may not come back but still gives nightmares

ok ajacoutot

On i386 and amd64, atomic instructions include an implicit memory barrier.

ok mikeb@, visa@, mpi@

Ok turns out we still want to keep the rc_bg variable around but we need
to know which daemon cannot background themselves (actually we want to
know the opposite, but there are much more). However, it's only needed in
_rc_wait and rc.subr still does its magic without the need to add `&'.

Add membar_enter_after_atomic(9) and membar_exit_before_atomic(9) APIs to
allow important optimizations on architectures where atomic instructions
include and implied memory barrier.

ok mikeb@, visa@, mpi@

Move includes.

This reduces the diff with usr.sbin/tcpdump/pfctl_osfp.c. The change
from tcpdump is newer, so change pfctl. No binary change.

OK deraadt@

nvme: Don't set prp1 for DEL_IOCQ

NVM_ADMIN_DEL_IOCQ does not need prp1 (just as NVM_ADMIN_DEL_IOSQ).
Remove what is likely a cut'n'paste error from the *_ADD_* code.

tested by claudio@
ok jmatthew@

Also test arrays of double and long long.

Push the NET_LOCK down into PF_KEY so that it can be treated like PF_ROUTE.
Only pfkeyv2_send() needs the NET_LOCK() so grab it at the start and release
at the end.  This should allow to push the locks down in other places.
OK mpi@, bluhm@

Protect the global list of softc with the NET_LOCK().

ok sashan@

use sizeof("constant string") to avoid magic number

print router preference

Protect the global list of softc with the NET_LOCK().

While here remove superfluous splnet()/splx() in the ioctl routine.

ok sashan@

Remove useless splnet()/splx() dances.

pfsyncioctl() is executed with the NET_LOCK() held which is enough.

ok sashan@

Allow an administrator to disable the bgp loop detection algorithm,
which is useful in very limited situations.

Angry dragons and grues will hunt for you, if you use it.

OK claudio@ sthen@ benno@

allow only one network <prefix> statement per for the same prefix.
ok florian@ phessler@

Use copyin32(9) to atomically copy the futex from user space.

On !MULTIPROCESSOR kernels we still fall back on copyin(9), but that is
fine.  This will break m88k MULTIPROCESSOR kernels.

ok deraadt@, mpi@, visa@

Put an assert that M_PKTHDR is set before accessing m_pkthdr in the
mbuf functions.
OK claudio@

Generate a fake ack (or is it an alternative ack?) internally.
This allows slaacd to configure addresses in the absence of
netcfgd and might be a less scary step forward to move
stateless address autoconfiguration out of the kernel.

This intentionally a compile time option and will go away
once we figure out how to do proposals.