Linux 2.6.19.x内核编译配置选项简介(2)
Security Marking
对网络包进行安全标记,类似于nfmark,但主要是为安全目的而设计,如果你不明白的话就别选
Network packet filtering (replaces ipchains)
Netfilter可以对数据包进行过滤和修改,可以作为防火墙("packet filter"或"proxy-based")或网关(NAT)或代理(proxy)或网桥使用.选中此选项后必须将"Fast switching"关闭,否则将前功尽弃

Network packet filtering debugging
仅供开发者调试Netfilter使用
Bridged IP/ARP packets filtering
如果你希望使用一个针对桥接的防火墙就打开它
Core Netfilter Configuration
核心Netfilter配置(当包流过Chain时如果match某个规则那么将由该规则的target来处理,否则将由同一个Chain中的下一个规则进行匹配,若不match所有规则那么最终将由该Chain的policy进行处理)

Netfilter netlink interface
允许Netfilter在与用户空间通信时使用新的netlink接口link Socket是Linux用户态与内核态交流的主要方法之一,且越来越被重视

Netfilter NFQUEUE over NFNETLINK interface
通过NFNETLINK接口对包进行排队
Netfilter LOG over NFNETLINK interface
通过NFNETLINK接口对包记录.该选项废弃了ipt_ULOG和ebg_ulog机制,并打算在将来废弃基于syslog的ipt_LOG和ip6t_LOG模块

Layer 3 Independent Connection tracking
独立于第三层的链接跟踪,通过广义化的ip_conntrack支持其它非IP协议的第三层协议
Netfilter Xtables support
如果你打算使用ip_tables,ip6_tables,arp_tables之一就必须选上

"CLASSIFY" target support
允许为包设置优先级,一些排队规则(atm,cbq,dsmark,pfifo_fast,htb,prio)需要使用它
"CONNMARK" target support
类似于"MARK",但影响的是连接标记的值
"DSCP" target support
允许对ip包头部的DSCP(Differentiated Services Codepoint)字段进行修改,该字段常用于Qos
"MARK" target support
允许对包进行标记(通常配合ip命令使用),这样就可以改变路由策略或者被其它子系统用来改变其行为
"NFQUEUE" target Support
用于替代老旧的QUEUE(iptables内建的target之一),因为NFQUEUE能支持最多65535个队列,而QUEUE只能支持一个
"NOTRACK" target support
允许规则指定哪些包不进入链接跟踪/NAT子系统
"SECMARK" target support
允许对包进行安全标记,用于安全子系统
"CONNSECMARK" target support
针对链接进行安全标记,同时还会将连接上的标记还原到包上(如果链接中的包尚未进行安全标记),通常与SECMARK target联合使用
"comment" match support
允许你在iptables规则集中加入注释
"connbytes" per-connection counter match support
允许针对单个连接内部每个方向(进/出)匹配已经传送的字节数/包数
"connmark" connection mark match support
允许针对每个会话匹配先前由"CONNMARK"设置的标记值
"conntrack" connection tracking match support
连接跟踪匹配,是"state"的超集,它允许额外的链接跟踪信息,在需要设置一些复杂的规则(比如网关)时很有用
"DCCP" protocol match support
DCCP是打算取代UDP的新传输协议,它在UDP的基础上增加了流控和拥塞控制机制,面向实时业务
"DSCP" match support
允许对IP包头的DSCP字段进行匹配
"ESP" match support
允许对IPSec包中的ESP头进行匹配,使用IPsec的话就选上吧
"helper" match support
加载特定协议的连接跟踪辅助模块,由该模块过滤所跟踪的连接类型的包,比如ip_conntrack_ftp模块
"length" match support
允许对包的长度进行匹配
"limit" match support
允许根据包的进出速率进行规则匹配,常和"LOG target"配合使用以抵抗某些Dos攻击
"mac" address match support
允许根据以太网的MAC进行匹配,常用于无线网络环境
"mark" match support
允许对先前由"MARK"标记的特定标记值进行匹配
IPsec "policy" match support
使用IPsec就选上吧
Multiple port match support
允许对TCP或UDP包同时匹配多个端口(通常情况下只能匹配一个端口)
"physdev" match support
允许对到达的或将要离开的物理桥端口进行匹配
"pkttype" packet type match support
允许对封包目的地址类别(广播/播/直播)进行匹配
"quota" match support
允许对总字节数的限额值进行匹配
"realm" match support
允许对iptables中的路由子系统中的realm值进行匹配
"sctp" protocol match support
流控制传输协议(SCTP),十年以后也许能够普及的东西
"state" match support
这是对包进行分类的有力工具,它允许利用连接跟踪信息对连接中处于特定状态的包进行匹配
"statistic" match support
允许根据一个给定的百分率对包进行周期性的或随机性的匹配
"string" match support
允许根据包所承载的数据中包含的特定字符串进行匹配
"tcpmss" match support
允许根据TCP SYN包头中的MSS(最大分段长度)选项的值进行匹配

IP: Netfilter Configuration
针对IPv4的Netfilter配置

Connection tracking (required for masq/NAT)
链接跟踪.可用于报文伪装或地址转换,也可用于增强包过滤能力

Connection tracking flow accounting
允许针对每个连接记录已经传送的字节/包数,常用于connbytes match
Connection mark tracking support
允许对连接进行标记,与针对单独的包进行标记的不同之处在于它是针对连接流的.CONNMARK target和connmark match需要它的支持
Connection tracking security mark support
允许对连接进行安全标记,通常这些标记包(SECMARK)复制到其所属连接(CONNSECMARK),再从连接复制到其关联的包(SECMARK)
Connection tracking events
连接跟踪事件支持.如果启用这个选项,连接跟踪代码将提供一个notifier链,它可以被其它内核代码用来获知连接跟踪状态的改变
Connection tracking netlink interface
支持基于netlink的用户空间接口
SCTP protocol connection tracking support
SCTP是IP网面向多媒体通信的新一代的流控制传输协议
FTP protocol support
FTP协议
IRC protocol support
IRC协议是一种用来实时聊天协议,用过mIRC的人应当不陌生
NetBIOS name service protocol support
NetBIOS名字服务协议
TFTP protocol support
TFTP是基于UDP的比FTP简单的文件传输协议
Amanda backup protocol support
Amanda备份协议
PPTP protocol support
点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术,ADSL用户对它应该很熟悉
H.323 protocol support
ITU-T提出的用于IP电话的协议
SIP protocol support
IETE提出的用于IP电话的协议

IP Userspace queueing via NETLINK
已废弃
IP tables support (required for filtering/masq/NAT)
要用iptables就肯定要选上 react router match

IP range match support
允许对ip地址的范围进行匹配
TOS match support
允许对ip包头的TOS(Type Of Service)字段进行匹配
recent match support

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。