tom/kernel_dell_tom
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

UPD hashlimit match support

Browse Source
This commit is contained in:
Thomas Kuschel
2023-12-24 01:24:19 +01:00
parent 6100c1445a
commit 18fc1d1258
2 changed files with 110 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

BIN
documentation/linux_configuration.pdf
View File

Binary file not shown.

110
documentation/linux_configuration.tex
View File

@@ -5774,4 +5774,114 @@ z.~B. UNICAST, \mbox{LOCAL}, BROADCAST, ... \hspace{.5em}
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N. $<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``bpf'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_BPF [=m] \textbf{[M]}\\*
Der BPF-Abgleich wendet einen Linux-Socket-Filter auf jedes Paket an und akzeptiert diejenigen,
für die der Filter einen Wert ungleich Null liefert. Um es als Modul zu kompilieren, wählen Sie
hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``control group'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CGROUP [=m] \textbf{[M]}\\*
Mit dem Socket/Prozess-Kontrollgruppenabgleich können Sie lokal erzeugte Pakete anhand der
Zugehörigkeit von Prozessen zur net\_cls-Kontrollgruppe abgleichen.
\subsubparagraph{``cluster'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CLUSTER [=m] \textbf{[M]}\\*
Mit dieser Option können Sie arbeitsteilige Cluster von Netzwerkservern/zustandsfähigen Firewalls
aufbauen, ohne einen dedizierten Router/Server/Switch für den Lastausgleich zu haben.
Grundsätzlich gibt diese Übereinstimmung wahr zurück, wenn das Paket von diesem Clusterknoten
verarbeitet werden muss. Somit sehen alle Knoten alle Pakete und diese Übereinstimmung entscheidet,
welcher Knoten welche Pakete bearbeitet. Der Algorithmus für die Arbeitsteilung basiert auf dem
Hashing der Quelladressen. Wenn Sie hier Y oder M sagen, versuchen Sie
\texttt{iptables -m cluster --help} für weitere Informationen.
\subsubparagraph{``comment'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_COMMENT [=m] \textbf{[M]}\\*
Diese Option fügt einen \glqq Kommentar\grqq{}-Dummy-Match hinzu, der es Ihnen erlaubt,
Kommentare in Ihren iptables-Regelsatz einzufügen. Wenn Du es als Modul kompilieren willst,
sag hier M und lies $<$file:Documentation/kbuild/modules.rst$>$.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``connbytes'' per-connection counter match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CONNBYTES [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq Connbytes\grqq{}-Übereinstimmung hinzu, mit der Sie die Anzahl
der Bytes und/oder Pakete für jede Richtung innerhalb einer Verbindung abgleichen können.
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``connlabel'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CONNLABEL [=m] \textbf{[M]}\\*
Mit dieser Zuordnung können Sie benutzerdefinierte Bezeichnungen testen und einer Verbindung
zuweisen. Der Kernel speichert nur Bit-Werte -- die Zuordnung von Namen zu Bits wird vom
Userspace vorgenommen. Anders als bei connmark können einer Verbindung mehr als 32~Flaggenbits
gleichzeitig zugewiesen werden.
\subsubparagraph{``connlimit'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CONNLIMIT [=m] \textbf{[M]}\\*
Mit diesem Abgleich können Sie die Anzahl der parallelen Verbindungen zu einem Server pro
Client-IP-Adresse (oder Adressblock) abgleichen.
\subsubparagraph{``connmark'' connection mark match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CONNMARK [=m] \textbf{[M]}\\*
Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers (z.~B. bei der
Ausführung von oldconfig). Sie wählt CONFIG\_NETFILTER\_XT\_CONNMARK (kombiniertes
connmark/CONNMARK-Modul).
\subsubparagraph{``conntrack'' connection tracking match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CONNTRACK [=m] \textbf{[M]}\\*
Dies ist ein allgemeines conntrack Abgleichsmodul, eine Obermenge des state match. Es ermöglicht
den Abgleich zusätzlicher Conntrack-Informationen, was in komplexen Konfigurationen wie
NAT-Gateways mit mehreren Internetverbindungen oder Tunneln nützlich ist. Um es als Modul zu
kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``cpu'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_CPU [=m] \textbf{[M]}\\*
Mit dem CPU-Abgleich können Sie Pakete auf der Grundlage der CPU abgleichen, die das Paket gerade
bearbeitet. Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``dccp'' protocol match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_DCCP [=m] \textbf{[M]}\\*
Wenn diese Option aktiviert ist, können Sie die iptables-Übereinstimmung \glqq dccp\grqq{} verwenden,
um auf DCCP-Quell-/Zielports und DCCP-Flags zu reagieren.
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
$<$file:Documentation/kbuild/modules.rst$>$.\\
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``devgroup'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_DEVGROUP [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq Gerätegruppe\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung
mit der Gerätegruppe ermöglicht, der ein Netzwerkgerät zugeordnet ist.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``dscp'' and ``tos'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_DSCP [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq DSCP\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung mit
dem DSCP-Feld des IPv4/IPv6-Headers (Differentiated Services Codepoint) ermöglicht. Das
DSCP-Feld kann einen beliebigen Wert zwischen 0x0 und 0x3f einschließlich haben. Außerdem
wird eine \glqq tos\grqq{}-Übereinstimmung hinzugefügt, die es Ihnen ermöglicht, Pakete auf
der Grundlage der \glqq Type Of Service\grqq{}-Felder des IPv4-Pakets abzugleichen
(die dieselben Bits wie DSCP haben). Um es als Modul zu kompilieren, wählen Sie hier M.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``ecn'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_ECN [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq ECN\grqq{}-Übereinstimmung hinzu, mit der Sie die ECN-Felder
des IPv4- und TCP-Headers abgleichen können. Um es als Modul zu kompilieren, wählen Sie hier M.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``esp'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_ESP [=m] \textbf{[M]}\\*
Mit dieser Abgleichserweiterung können Sie einen Bereich von SPIs im ESP-Header von
IPSec-Paketen abgleichen. Um sie als Modul zu kompilieren, wählen Sie hier M.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``hashlimit'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_HASHLIMIT [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq hashlimit\grqq{}-Übereinstimmung hinzu. Im Gegensatz zu
\glqq limit\grqq{} erstellt diese Über"-ein"-stim"-mung dynamisch eine Hash-Tabelle von
Limit-Buckets, die auf Ihrer Auswahl von Quell-/"-Ziel"-adressen und/oder Ports basiert.
Sie ermöglicht es Ihnen, Richtlinien wie
\glqq 10kpps für eine bestimmte Zieladresse\grqq{} oder \glqq 500pps von einer
bestimmten Quelladresse\grqq{} mit einer einzigen Regel auszudrücken.
\end{document} \end{document}