Nuke some more free NULL guards.

provide counters for # of synfloods detected, # of syncookies sent,
# of syncookies successfuly validated, ok phessler

Indent labels with a single space so that diff prototypes are more useful.

Convert some explicit_bzero()/free() calls to freezero().

ok deraadt@ dtucker@

Remove some #ifdef notyet code from OpenSSL 0.9.8 days.

These functions have never appeared in OpenSSL and are likely never to do
so.

"kill it with fire" djm@

lowercase doas ee cummings style

Add more free functions for NULL checks.

not necessarily the same name, but the indicated name

Remove guards around *_free() calls since these functions handle NULL.

Remove guards around *_free() calls since these functions handle NULL.

clarify a bit about config

NAME_MAX is the length of the thing between / / in a path *without*
the terminating NUL.
Do not use it for a "small string" or a "probably short path". Replace
it with new defines or PATH_MAX.
It also makes the life easier for people auditing the tree for real
usage of NAME_MAX.
OK deraadt, benno

Add more functions (based on those used in OpenSSH) to the free NULL test.

Remove all guards for calls to OpenSSL free functions - all of these
functions handle NULL, from at least OpenSSL 1.0.1g onwards.

Prompted by dtucker@ asking about guards for RSA_free(), when looking at
openssh-portable pr#84 on github.

ok deraadt@ dtucker@

remove mobileip(4) tendrils

unbreak strict alignment archs by using SIPHASH_KEY for siphash
keys, not uint8_t array.

found by sparc64.

probably ok henning@, but he's at coffee

split mobileip(4) out from the gre(4) driver.

having mobileip in gre makes it hard to cut gre up. the current mobileip
code is also broken, so this is def and improvement. it also makes it
easy to disable and remove mobileip in the future.

ok claudio@ henning@

Keep track of the last proposal used to configure the interface and
compare that to the offered proposal to determine if there are any
changes to configure. Simpler, and fixes issue where using a recorded
lease meant the interface was continually being configured with the
same information.

remove the magic dns port hijacking feature. it's complicated and
brittle, and never quite made the next step to being useful.

Restore the old behavior when a port number without a host name is
passed to BIO_get_accept_socket().  This is part of the API and it
fixes "openssl ocsp -port 12345" in server mode.
from markus@; OK jsing@ beck@

Historically TCP timeouts were implemented with pr_slowtimo and
pr_fasttimo.  That is the reason why we have two timeout mechanisms
with complicated ticks calculation.  Move the delay ACK timeout to
milliseconds and remove some ticks and hz mess from the others.
This makes it easier to see the actual values.
OK florian@ dhill@ dlg@

update to unbound 1.6.8, testing millert, OK sthen

Add plumbing inside of the prefix handling to put prefixes on either the
prefixes or updates list depending on flags passed to the functions.
While there also introduce a similar flag for rde_aspath and adjust
path_compare so that this flag is ignored (liked the linked one).
OK benno@

allow control over syncookies: set syncookies never/always/adaptive

Abstract "no link ..." and "no lease ..." message generation
into a function tick_msg(). Now both work the same way,
dot dot dotting as time passes until they 'sleep'.

Tested by tb@ as part of a larger diff.

syncookies for pf.
when syncookies are on, pf will blindly answer each and every SYN with a
syncookie-SYNACK. Upon reception of the ACK completing the 3WHS, pf will
reconstruct the original SYN, shove it through pf_test, where state will
be created if the ruleset permits it. Then massage the freshly created state
(we won't see the SYNACK), set up the sequence number modulator, and call
into the existing synproxy code to start the 3WHS with the backend host.
Add an - somewhat basic for now - adaptive mode where syncookies get enabled
if a certain percentage of the state table is filled up with half-open tcp
connections. This makes pf firewalls resilient against large synflood
attacks.
syncookies are off by default until we gained more experience, considered
experimental for now.
see http://bulabula.org/papers/2017/bsdcan/ for more details.
joint work with sashan@, widely discussed and with lots of input by many

syncookies implementation to be used in pf, based on the FreeBSD one by
Andre Oppermann, heavily adjusted for pf instead of stack use and with
entirely rewritten timeout machinery and new hashing
with bits from sashan, widely discussed with the other network hackers

slightly randomize the order that new pages populate their item lists in.

ok tedu@ deraadt@

convert __inline to inline

no binary change on amd64

quote http_proxy going to rc.firsttime, avoiding problems if it contains a
special character or space (possible with e.g. proxy username/password).
noticed by, install.sub shell magic from, and ok halex@

convert the test if a node support HT (aka, 11n) into an inline function,
instead of testing some un-obvious bitfield

OK stsp@

Nuke unused state S_REBINDING. We just use the time
to decide between unicast and broadcast for REQUEST.

When binding a lease from the dhclient.leasees.<if> file and
the renewal time is in the past wait retry_interval before
trying to renew the lease.

when we get SIGHUP, close conffd so it's reopened (and rewound).
problem and early fix by anton

Allow the kernel to recognize that it has been netbooted and to add the
boot interface to the "netboot" group.  efiboot grabs the MAC address
from the PXE environment, passes it to the kernel, where it is matched
against the list of ethernet interfaces and the boot device is set.
Concept and most of the code cribbed from amd64.
ok kettenis@

Print an explicit error if the backup volume is not present in
hw.disknames. This can only happen due to a failure or user error.
In either case, silent failure makes it hard to discover and debug.
Now it will be easy to spot in the daily mail.

ok rob, schwarze

If -n is given, the netstart script should not (try to) set the default
route(s). Simply print the command(s) to be issued instead.

tweak & ok rpe

avoid not working if redirected to another urlscheme

syslog cdns redirect, as suggested by sthen@

Delete the "no blank before trailing delimiter" check from the
partial explicit macros.  Leah Neukirchen <leah at vuxu dot org>
rightfully points out that the check makes no sense for these macros.

refactor the "Signature" code for later
- all stuff being elements end up as version elements
- store them directly in the hash, so that we can properly impose
behavior depending on VersionElement (adding stuff to LibObject/PackageName
was slightly icky)

Clarify that the "bind" built-in command only affects Emacs editing
mode, to avoid potential confusion pointed out by andreas dot kahari
at icm dot uu dot se on misc@.
Patch minimally tweaked based on a comment from jmc@.
OK anton@ jca@ jmc@ on the previous version without the tweak.

There was a race in the TCP timers.  As they may sleep to grab the
netlock, timers may still run after they have been disarmed.  Deleting
the timeout is not sufficient to cancel them, but the code from 4.4
BSD is assuming this.
The solution is to add a flag for every timer to see whether it has
been armed or canceled.  Remove the TF_DEAD check as tcp_canceltimers()
is called before the reaper timer is fired.  Cancelation works
reliably now.
OK mpi@

Do some cleanup in ah_massage_headers().
- Declare global array ipseczeroes containing zeroes constant.
- The proto parameter contains the address family, so call it af.
- Remove an unused if block, just keep the else.
- If m_copyback(M_NOWAIT) fails, return with error instead of working
  with an inconsistent mbuf.
- ip6_nxt is u_int8_t, no need to clear the high bits.
- The offset and next protocol are advanced for all extension
  headers, move it after the switch.
- ah_massage_headers() returns an errno, call the variable error.
OK procter@

Do not call freeaddrinfo() with a NULL parameter.
OK jsing@

make sure that all error paths are correctly handled in asr_run_sync()
and that the result is always properly set when the functions returns.
fix issues spotted by claudio@.

ok claudio@

Make sure sigfillsiz is word aligned.

ok kettenis@

some finger muscle workout:
bzero -> memset and (very few) bcopy -> memcpy/memmove

remove extern from function prototypes, remove some variable names, and a
left-over kernel malloc feature we don't use.

OK deraadt@

Run newvers.sh with umask 007 to work around permission issues that
cause 'make release' fail the first time around after building GENERIC
if /usr/obj/ wasn't cleaned out properly. The proper fix would be to
implement privdrop for kernel builds but this is trickier than it looks
at first sight.

discussed with deraadt

Replace "trojan horse" with the correct term (MITM).  From maikel at
predikkta.com via bz#2822, ok markus@

Fix fprintf() to include "\n" where needed. Prefix "no lease"
messages with interface name.

Spotted by & ok tb@

move malloc check up so that it actually works.
OK benno

kill dead code

output the data part of LCP Echo-Request and Echo-Reply packets.

rework ppp, pptp, and gre parsing.

this started cos i was looking at pptp, which came out like this:

23:52:00.197893  call 24 seq 7: gre-ppp-payload (gre encap)
23:52:00.198930  call 1 seq 7 ack 7: gre-ppp-payload (gre encap)

now it looks like this:

23:52:00.197893 20.0.0.2 > 20.0.0.1: pptp callid 24 seq 7: 17.1.1.122 > 40.0.0.2: icmp: echo request
23:52:00.198930 20.0.0.1 > 20.0.0.2: pptp callid 1 seq 7 ack 7: 40.0.0.2 > 17.1.1.122: icmp: echo reply

the big improvement in ppp parsing is it stops parsing based on
what the ppp headers say, rather than what bytes have been captured.
this also adds parsing of EAP packets.

DLT_PPP_SERIAL is now recognised and printed. gre now prints the
outer addresses always, not just when it's encapsulated by ipv6 or
-v is passed to tcpdump.

ok sthen@

recognise DLT_PPP_SERIAL.

shlib version doesnt need a bump before no new symbols were added
or removed.

part of a larger diff that was ok sthen@

Remove manual shutdown and close of the socket since in this case
SSL_free will do this a second time.

ok jsing

Respect the OPENSSL make variable everywhere so that

make OPENSSL=/usr/src/usr.bin/openssl/obj/openssl

actually does the expected thing instead of running a mixture of both the
openssl below /usr/obj and the one below /usr/bin.  Found the hard way via
backtraces that made no sense whatsoever.

ok jsing

Add support for chips which use SYSMEM memory.  Code is a simplified
version of the SOCRAM one.

Support setting the Cortex-M3 cores to active mode.

reduce scope of variable a bit to avoid shadowing

Load the Intel microcode much earlier.  So far we had loaded it after
the CPUs identified and then we had to update the CPU flags afterwards.
As microcode updates can add/remove instructions and features, we need
to load it earlier.  Thus, make the bootloader look for the microcode
and supply it to the kernel as another bootarg.  This way we can update
the cores' microcode before we identify them.

ok deraadt@

Flip -q (be quiet) into -v (be noisy), making terseness the default
behaviour.

Always go daemon after link_timeout seconds and complete lease
negotiations in the background if necessary. No hanging around in the
foreground for the full 64 seconds waiting for a server to appear.

Log a more relevant message when a default route can't be obtained via
RTM_GET. i.e. "no default route" rather than "No such process".

-q -> -v ok mpi@

remove a bit of dead code. ok bluhm deraadt

chdir to the target directory, run make there and fchdir back after.
allows Makefiles with ${.CURDIR} constructs to work with crunchgen.
pointed out by Holger Mikolon, input from theo, ok theo millert

Switch a few lists to tailqs. Mainly the prefix list per aspath needs
to be a queue so that we can use it in the Adj-RIB-Out case.
OK benno@

If an http proxy was used when fetching sets in the ramdisk, write it to
rc.firsttime for fw_update and syspatch. From trondd at kagu-tsuchi com,
ok halex@

typos

Pass env(1) to ${SUDO}, not the other way around. Solves an issue when running
the tests as a non-root and doas is not configured to preserve the OBJDIR
variable. While here, ensure OBJDIR is defined and fix typos.

ok bluhm@

Document athn(4) USB open source firmware support.
Remove the BUGS section, USB Host AP works now. Mention in the CAVEATS
section that USB Host AP is limited to 7 concurrent clients.
Add bentley@ and myself to the AUTHORS section.
ok jmc, bentley

Remove tcp_acounts, some tcp_usrreq() counting from 1981.  Also
remove the #ifdef KPROF which seems to be unused since that year.
OK mpi@

simplify macros, and avoid some arg splitting;

Introduce "depend on". This allows ospfd to set the metric dependent
on the status of another interface.

in collaboration with benno@ jca@
OK benno@ jca@

Move event packet handling into a serialized process context to remove
a state transitioning race condition.  Event packets, like completing
authentication and the following association completion, are usually
received shortly after another.  The code that handles those events is
scheduled using a task, so it can easily happen that the state change
caused by the authentication packet was not done before the following
association event arrived.  By moving the event packet handling into the
same context as the state task we serialize the processing and remove
the race condition.  Fixes connecting to the 5GHz WiFi AP used at a2k18.

ok stsp@

claim copyright

Ensure that the "bound to ..." message appears in the log unless
dhclient was started with '-d'. Move the "yielding responsibility"
message to log_debug().  Stop logging duplicate "bound to ..."
messages now that one is guaranteed to be present when the address is
first bound. Thins out logs. Especially if you run with '-q'.

Move athn(4) USB devices to the open source atk9k HTC firmware.

Also fix support for AR7010 devices, fix mode hostap by properly
managing the firmware station table, and fix Tx rate reporting.

Tested on AR7010 and AR9271 devices.

ok kevlo@

Add a new function hook to struct ieee80211com which wireless drivers
can use to process, and then acknowledge or reject, incoming AUTH
requests in hostap mode.

net80211 accepts an AUTH request from any STA which fits into the node
cache. This behaviour doesn't work for devices which have a lower limit
on concurrent STAs they can serve, so such drivers need an override.

This will be used by our athn(4) USB driver soon.

ok kevlo@

Add struct status_line to hold status line members of struct client, not
used yet but will be soon. From Thomas Adam.

tweak previous;

Show if filter is active/no matches in modes.

Add a couple of non-negativity checks to avoid close(-1).

ok djm

The file descriptors for socket, stdin, stdout and stderr aren't
necessarily distinct, so check if they are the same to avoid closing
the same fd several times.

ok djm

Always run through state_preboot() when starting up or the
link status changes. Simplifies some logic.

bcmp -> memcmp; kinda req'd / not-just-kinda ok'd by claudio

remove unused function prototype

I accidentially a word

Constants which can go into .rodata

Nuke unused parameter to go_daemon().

Change struct prefix a bit. Make the aspath pointer opaque and remove the
direct pointer to the pt_prefix struct. To getter functions prefix_aspath()
and prefix_peer() added to make access of the opaque pointers possible.
Looks good henning@ and benno@

Pass a FILE * instead of a file descriptor into load_user() and
perform the fclose() in process_crontab().  Previously we were
closing the crontab fd twice--once in load_user() via fclose() and
once in process_crontab().  OK tb@

implement an arp filter
allows arp (and rarp) requests and replies to be matched, including matching
based on the source and target host and protocol adresses, and thus control
over arp traffic and learning.
written for medical x-ray machines, but useful in many spread out L2 networks
ok claudio benno

sync

CKSUM_DIGEST_STRING_LENGTH bounding didn't include full range of size_t
and NUL
ok millert krw tb

Do not bother NULLing pointers in memory that is freed immediately after.

Add a comment why it is OK to set the tableid to 0 for Adj-RIB-In/Out.
Requested by henning@

prefix check must be last because the prefixlen check does an immediate return.
This will be rewritten soon so just do the quick fix now.
Found and OK benno@

Be consistent with the goto label names used in libtls code.

No change to generated assembly.

use sizeof, rather than the constant.  on change in binary.