ChangeLog

   1 fwknop-2.0.1 (07//2012):
   2     - Bug fix where the same encryption key used for two stanzas in
   3       the access.conf file would result in access requests that matched the
   4       second stanza to always be treated as a replay attack.  This has been
   5       fixed for the fwknop-2.0.1 release, and was reported by Andy Rowland. Now
   6       the fwknopd server computes the SHA256 digest of raw incoming payload
   7       data before decryption, and compares this against all previous hashes.
   8       Previous to this commit, fwknopd would add a new hash to the replay
   9       digest list right after the first access.conf stanza match, so when SPA
  10       packet data matched the second access.conf stanza a matching replay
  11       digest would already be there.
  12     - Bug fix for PF firewalls: updated the PF anchor check to not rely on
  13       listing the PF policy - use 'pfctl -s Anchor' instead.
  14     - Minor gcc warning fix: fko_decode.c:43:17: warning: variable ‘edata_size’
  15       set but not used [-Wunused-but-set-variable].
  16
  17 fwknop-2.0 (01/02/2012):
  18     - This is the first production release that has been completely re-written
  19       in C.  This brings Single Packet Authorization functionality to all sorts
  20       of machines from embedded devices to large systems.  iptables, ipfw, and
  21       pf firewalls are supported by the fwknopd daemon, and the fwknop client
  22       is known to work on most major *NIX environments, the iPhone and Android
  23       operating systems, and Cygwin under Windows.
  24     - Added FORCE_NAT mode to the access.conf file so that for any valid SPA
  25       packet, force the requested connection to be NAT'd through to the
  26       specified (usually internal) IP and port value.  This is useful if there
  27       are multiple internal systems running a service such as SSHD, and you
  28       want to give transparent access to only one internal system for each
  29       stanza in the access.conf file.  This way, multiple external users can
  30       each directly access only one internal system per SPA key.
  31     - Added two new access.conf variables are added "ACCESS_EXPIRE" and
  32       "ACCESS_EXPIRE_EPOCH" to allow access stanzas to be expired without
  33       having to modify the access.conf file and restart fwknopd.
  34     - Added a new feature to allow an access stanza that matches the SPA source
  35       address to not automatically short circuit other stanzas if there is an
  36       error (such as when there are multiple encryption keys involved and an
  37       incoming SPA packet is meant for, say, the second stanza and the first
  38       therefore doesn't allow proper decryption).
  39     - Bug fix to exclude SPA packets with timestamps in the future that are too
  40       great (old packets were properly excluded already).
  41     - Bug fix to honor the fwknop client --time-offset-plus and
  42       --time-offset-minus options
  43     - Added DNAT mode tests, minor memory leak fix in NAT mode, added fwknopd
  44       check for ENABLE_IPT_FORWARDING variable before attempting NAT access.
  45     - [test suite] Added --diff mode to compare results from one execution to
  46       the next.