UPD hashlimit match support
This commit is contained in:
Binary file not shown.
@@ -5774,4 +5774,114 @@ z.~B. UNICAST, \mbox{LOCAL}, BROADCAST, ... \hspace{.5em}
|
||||
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
|
||||
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``bpf'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_BPF [=m] \textbf{[M]}\\*
|
||||
Der BPF-Abgleich wendet einen Linux-Socket-Filter auf jedes Paket an und akzeptiert diejenigen,
|
||||
für die der Filter einen Wert ungleich Null liefert. Um es als Modul zu kompilieren, wählen Sie
|
||||
hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``control group'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CGROUP [=m] \textbf{[M]}\\*
|
||||
Mit dem Socket/Prozess-Kontrollgruppenabgleich können Sie lokal erzeugte Pakete anhand der
|
||||
Zugehörigkeit von Prozessen zur net\_cls-Kontrollgruppe abgleichen.
|
||||
|
||||
\subsubparagraph{``cluster'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CLUSTER [=m] \textbf{[M]}\\*
|
||||
Mit dieser Option können Sie arbeitsteilige Cluster von Netzwerkservern/zustandsfähigen Firewalls
|
||||
aufbauen, ohne einen dedizierten Router/Server/Switch für den Lastausgleich zu haben.
|
||||
Grundsätzlich gibt diese Übereinstimmung wahr zurück, wenn das Paket von diesem Clusterknoten
|
||||
verarbeitet werden muss. Somit sehen alle Knoten alle Pakete und diese Übereinstimmung entscheidet,
|
||||
welcher Knoten welche Pakete bearbeitet. Der Algorithmus für die Arbeitsteilung basiert auf dem
|
||||
Hashing der Quelladressen. Wenn Sie hier Y oder M sagen, versuchen Sie
|
||||
\texttt{iptables -m cluster --help} für weitere Informationen.
|
||||
|
||||
\subsubparagraph{``comment'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_COMMENT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt einen \glqq Kommentar\grqq{}-Dummy-Match hinzu, der es Ihnen erlaubt,
|
||||
Kommentare in Ihren iptables-Regelsatz einzufügen. Wenn Du es als Modul kompilieren willst,
|
||||
sag hier M und lies $<$file:Documentation/kbuild/modules.rst$>$.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``connbytes'' per-connection counter match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CONNBYTES [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt eine \glqq Connbytes\grqq{}-Übereinstimmung hinzu, mit der Sie die Anzahl
|
||||
der Bytes und/oder Pakete für jede Richtung innerhalb einer Verbindung abgleichen können.
|
||||
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
|
||||
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``connlabel'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CONNLABEL [=m] \textbf{[M]}\\*
|
||||
Mit dieser Zuordnung können Sie benutzerdefinierte Bezeichnungen testen und einer Verbindung
|
||||
zuweisen. Der Kernel speichert nur Bit-Werte -- die Zuordnung von Namen zu Bits wird vom
|
||||
Userspace vorgenommen. Anders als bei connmark können einer Verbindung mehr als 32~Flaggenbits
|
||||
gleichzeitig zugewiesen werden.
|
||||
|
||||
\subsubparagraph{``connlimit'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CONNLIMIT [=m] \textbf{[M]}\\*
|
||||
Mit diesem Abgleich können Sie die Anzahl der parallelen Verbindungen zu einem Server pro
|
||||
Client-IP-Adresse (oder Adressblock) abgleichen.
|
||||
|
||||
\subsubparagraph{``connmark'' connection mark match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CONNMARK [=m] \textbf{[M]}\\*
|
||||
Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers (z.~B. bei der
|
||||
Ausführung von oldconfig). Sie wählt CONFIG\_NETFILTER\_XT\_CONNMARK (kombiniertes
|
||||
connmark/CONNMARK-Modul).
|
||||
|
||||
\subsubparagraph{``conntrack'' connection tracking match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CONNTRACK [=m] \textbf{[M]}\\*
|
||||
Dies ist ein allgemeines conntrack Abgleichsmodul, eine Obermenge des state match. Es ermöglicht
|
||||
den Abgleich zusätzlicher Conntrack-Informationen, was in komplexen Konfigurationen wie
|
||||
NAT-Gateways mit mehreren Internetverbindungen oder Tunneln nützlich ist. Um es als Modul zu
|
||||
kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``cpu'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_CPU [=m] \textbf{[M]}\\*
|
||||
Mit dem CPU-Abgleich können Sie Pakete auf der Grundlage der CPU abgleichen, die das Paket gerade
|
||||
bearbeitet. Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``dccp'' protocol match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_DCCP [=m] \textbf{[M]}\\*
|
||||
Wenn diese Option aktiviert ist, können Sie die iptables-Übereinstimmung \glqq dccp\grqq{} verwenden,
|
||||
um auf DCCP-Quell-/Zielports und DCCP-Flags zu reagieren.
|
||||
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
|
||||
$<$file:Documentation/kbuild/modules.rst$>$.\\
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``devgroup'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_DEVGROUP [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt eine \glqq Gerätegruppe\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung
|
||||
mit der Gerätegruppe ermöglicht, der ein Netzwerkgerät zugeordnet ist.
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``dscp'' and ``tos'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_DSCP [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt eine \glqq DSCP\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung mit
|
||||
dem DSCP-Feld des IPv4/IPv6-Headers (Differentiated Services Codepoint) ermöglicht. Das
|
||||
DSCP-Feld kann einen beliebigen Wert zwischen 0x0 und 0x3f einschließlich haben. Außerdem
|
||||
wird eine \glqq tos\grqq{}-Übereinstimmung hinzugefügt, die es Ihnen ermöglicht, Pakete auf
|
||||
der Grundlage der \glqq Type Of Service\grqq{}-Felder des IPv4-Pakets abzugleichen
|
||||
(die dieselben Bits wie DSCP haben). Um es als Modul zu kompilieren, wählen Sie hier M.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``ecn'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_ECN [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt eine \glqq ECN\grqq{}-Übereinstimmung hinzu, mit der Sie die ECN-Felder
|
||||
des IPv4- und TCP-Headers abgleichen können. Um es als Modul zu kompilieren, wählen Sie hier M.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``esp'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_ESP [=m] \textbf{[M]}\\*
|
||||
Mit dieser Abgleichserweiterung können Sie einen Bereich von SPIs im ESP-Header von
|
||||
IPSec-Paketen abgleichen. Um sie als Modul zu kompilieren, wählen Sie hier M.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``hashlimit'' match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MATCH\_HASHLIMIT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt eine \glqq hashlimit\grqq{}-Übereinstimmung hinzu. Im Gegensatz zu
|
||||
\glqq limit\grqq{} erstellt diese Über"-ein"-stim"-mung dynamisch eine Hash-Tabelle von
|
||||
Limit-Buckets, die auf Ihrer Auswahl von Quell-/"-Ziel"-adressen und/oder Ports basiert.
|
||||
Sie ermöglicht es Ihnen, Richtlinien wie
|
||||
\glqq 10kpps für eine bestimmte Zieladresse\grqq{} oder \glqq 500pps von einer
|
||||
bestimmten Quelladresse\grqq{} mit einer einzigen Regel auszudrücken.
|
||||
|
||||
\end{document}
|
||||
|
||||
Reference in New Issue
Block a user