kernel: Disable TCP_SIGNATURE in preparation for removing IPSEC.
authorSascha Wildner <saw@online.de>
Tue, 17 Apr 2018 17:10:55 +0000 (19:10 +0200)
committerSascha Wildner <saw@online.de>
Sat, 21 Apr 2018 21:28:07 +0000 (23:28 +0200)
Keep the code around until it gets fixed at a later date.

Requested-by: sephe
share/man/man4/tcp.4
sys/conf/options
sys/config/LINT64

index bddd9c9..15d5d5b 100644 (file)
@@ -27,9 +27,8 @@
 .\"
 .\"     From: @(#)tcp.4        8.1 (Berkeley) 6/5/93
 .\" $FreeBSD: src/share/man/man4/tcp.4,v 1.11.2.14 2002/12/29 16:35:38 schweikh Exp $
-.\" $DragonFly: src/share/man/man4/tcp.4,v 1.9 2008/10/17 11:30:24 swildner Exp $
 .\"
-.Dd February 14, 1995
+.Dd April 17, 2018
 .Dt TCP 4
 .Os
 .Sh NAME
@@ -152,31 +151,31 @@ option is set to a non-zero value,
 .Tn TCP
 will delay sending any data at all until either the socket is closed,
 or the internal send buffer is filled.
-.It Dv TCP_SIGNATURE_ENABLE
-This option enables the use of MD5 digests (also known as TCP-MD5)
-on writes to the specified socket.
-In the current release, only outgoing traffic is digested;
-digests on incoming traffic are not verified.
-The current default behavior for the system is to respond to a system
-advertising this option with TCP-MD5; this may change.
-.Pp
-One common use for this in a DragonFlyBSD router deployment is to enable
-based routers to interwork with Cisco equipment at peering points.
-Support for this feature conforms to RFC 2385.
-Only IPv4 (AF_INET) sessions are supported.
-.Pp
-In order for this option to function correctly, it is necessary for the
-administrator to add a tcp-md5 key entry to the system's security
-associations database (SADB) using the
-.Xr setkey 8
-utility.
-This entry must have an SPI of 0x1000 and can therefore only be specified
-on a per-host basis at this time.
-.Pp
-If an SADB entry cannot be found for the destination, the outgoing traffic
-will have an invalid digest option prepended, and the following error message
-will be visible on the system console:
-.Em "tcpsignature_compute: SADB lookup failed for %d.%d.%d.%d" .
+.\".It Dv TCP_SIGNATURE_ENABLE
+.\"This option enables the use of MD5 digests (also known as TCP-MD5)
+.\"on writes to the specified socket.
+.\"In the current release, only outgoing traffic is digested;
+.\"digests on incoming traffic are not verified.
+.\"The current default behavior for the system is to respond to a system
+.\"advertising this option with TCP-MD5; this may change.
+.\".Pp
+.\"One common use for this in a DragonFlyBSD router deployment is to enable
+.\"based routers to interwork with Cisco equipment at peering points.
+.\"Support for this feature conforms to RFC 2385.
+.\"Only IPv4 (AF_INET) sessions are supported.
+.\".Pp
+.\"In order for this option to function correctly, it is necessary for the
+.\"administrator to add a tcp-md5 key entry to the system's security
+.\"associations database (SADB) using the
+.\".Xr setkey 8
+.\"utility.
+.\"This entry must have an SPI of 0x1000 and can therefore only be specified
+.\"on a per-host basis at this time.
+.\".Pp
+.\"If an SADB entry cannot be found for the destination, the outgoing traffic
+.\"will have an invalid digest option prepended, and the following error message
+.\"will be visible on the system console:
+.\".Em "tcpsignature_compute: SADB lookup failed for %d.%d.%d.%d" .
 .It Dv TCP_KEEPINIT
 If a
 .Tn TCP
index 4ce9c5c..7ed7fe0 100644 (file)
@@ -271,7 +271,7 @@ IPSTEALTH
 LIBMCHAIN
 MPLS                   opt_mpls.h
 TCPDEBUG
-TCP_SIGNATURE          opt_inet.h
+#TCP_SIGNATURE         opt_inet.h
 TCP_DROP_SYNFIN                opt_tcp_input.h
 ICMPPRINTFS
 
index 1b0ca9a..5cad5c9 100644 (file)
@@ -423,7 +423,11 @@ options                ACCEPT_FILTER_HTTP
 # socket option.
 # This requires the use of 'device crypto', 'options IPSEC'
 # or 'device cryptodev'.
-options   TCP_SIGNATURE   #include support for RFC 2385
+#
+# XXX disabled for now until building with it (which broke after removing
+#     IPSEC) is fixed
+#
+#options   TCP_SIGNATURE   #include support for RFC 2385
 
 #
 # TCP_DROP_SYNFIN adds support for ignoring TCP packets with SYN+FIN. This