diff --git a/documentation/linux_configuration.pdf b/documentation/linux_configuration.pdf index 5a1e250..e26e5ed 100644 Binary files a/documentation/linux_configuration.pdf and b/documentation/linux_configuration.pdf differ diff --git a/documentation/linux_configuration.tex b/documentation/linux_configuration.tex index 277f66a..a848f09 100644 --- a/documentation/linux_configuration.tex +++ b/documentation/linux_configuration.tex @@ -6,7 +6,7 @@ \usepackage[a4paper,margin=25mm]{geometry} \usepackage[ngerman]{babel} %Verwendung von \glqq \qrgg{} \usepackage{hyperref} -\setcounter{secnumdepth}{5}%numbering down to paragraphs, subparagraphs +\setcounter{secnumdepth}{6}%numbering down to paragraphs, subparagraphs %% \usepackage{ulem} %strike through with /sout{} % you have to install texlive-plaingeneric first : \usepackage{ulem} @@ -21,6 +21,19 @@ \renewcommand\subparagraph{% \@startsection {subparagraph}{5}{\z@ }{3.25ex \@plus 1ex \@minus .2ex}{-1em}{\normalfont \normalsize \bfseries }}% +\newcounter{subsubparagraph}[subparagraph] +\renewcommand\thesubsubparagraph{% + \thesubparagraph.\@arabic\c@subsubparagraph} +\newcommand\subsubparagraph{% + \@startsection {subsubparagraph} % counter + {6} % level + {\z@ }%{\parindent} % no indent%indent + {3.25ex \@plus 1ex \@minus .2ex} % beforeskip + {-1em} % afterskip + {\normalfont\normalsize\bfseries}} +\newcommand\l@subsubparagraph{\@dottedtocline{6}{10em}{5em}} +\newcommand{\subsubparagraphmark}[1]{} +\def\toclevel@subsubparagraph{6} \makeatother \begin{document} @@ -4813,16 +4826,14 @@ Es erfordert den \texttt{fq} (\glqq Fair Queue\grqq{}) Pacing Packet Scheduler. \subparagraph{Default TCP congestion control () \texorpdfstring{$\rightarrow$}{->}}$~$\\ Wählen Sie die TCP-Überlastungssteuerung aus, die standardmäßig für alle Verbindungen verwendet werden soll. -\leftskip8em -\subparagraph*{Cubic}$~$\\ +\subsubparagraph{Cubic}$~$\\ CONFIG\_DEFAULT\_CUBIC [=y] \textbf{[Y]}\\* Für diese Option ist keine Hilfe vorhanden. -\leftskip8em -\subparagraph*{Reno}$~$\\ + +\subsubparagraph{Reno}$~$\\ CONFIG\_DEFAULT\_RENO [=n] \textbf{[N]}\\* Für diese Option ist keine Hilfe vorhanden. -\leftskip0em \paragraph{TCP: MD5 Signature Option support (RFC~2385)}$~$\\ CONFIG\_TCP\_MD5SIG [=y] \textbf{[Y]}\\* RFC2385 spezifiziert eine Methode zum MD5-Schutz von TCP-Sitzungen. Die wichtigste (einzige?) Anwendung ist der Schutz von BGP-Sitzungen @@ -4843,14 +4854,11 @@ Die Router-Präferenz ist eine optionale Erweiterung der Router-Advertisement-Na einen geeigneten Router auszuwählen, insbesondere wenn die Hosts in einem Netz mit mehreren Hosts untergebracht sind. Wenn Sie unsicher sind, sagen Sie N. -\leftskip3em -\subparagraph*{IPv6: Router Information (RFC~4191) support}$~$\\ +\subsubparagraph{IPv6: Router Information (RFC~4191) support}$~$\\ CONFIG\_IPV6\_ROUTE\_INFO [=y] \textbf{[Y]}\\* Unterstützung von Routeninformationen. Wenn Sie unsicher sind, sagen Sie N. -\leftskip0em - \subparagraph{IPv6: Enable RC~4429 Optimistic DAD}$~$\\ CONFIG\_IPV6\_OPTIMISTIC\_DAD [=y] \textbf{[Y]}\\* Unterstützung für die optimistische Erkennung von doppelten Adressen. Dadurch können automatisch konfigurierte Adressen schneller verwendet werden. @@ -4874,20 +4882,17 @@ Wenn Sie andere Algorithmen benötigen, müssen Sie diese in der Krypto-API akti aller benötigten Algorithmen aktivieren, sofern verfügbar. Wenn Sie unsicher sind, sagen Sie Y für Ja. -\leftskip3em -\subparagraph*{IPv6: ESP transformation offload}$~$\\ +\subsubparagraph{IPv6: ESP transformation offload}$~$\\ CONFIG\_INET6\_ESP [=m] \textbf{[M]}\\* Unterstützung für ESP-Transformationsoffload. Dies ist nur dann sinnvoll, wenn das System wirklich IPsec verwendet und einen hohen Durchsatz erzielen möchte. Ein typisches Desktop-System braucht dies nicht, selbst wenn es IPsec verwendet. Wenn Sie unsicher sind, sagen Sie N. -\subparagraph*{IPv6: ESP in TCP encapsulation (RFC~8229)}$~$\\ +\subsubparagraph{IPv6: ESP in TCP encapsulation (RFC~8229)}$~$\\ CONFIG\_INET6\_ESPINTCP [=y] \textbf{[Y]}\\* Unterstützung für die RFC~8229-Kapselung von ESP und IKE über TCP/IPv6-Sockets. Wenn Sie unsicher sind, sagen Sie N. -\leftskip0em - \subparagraph{IPv6: IPComp transformation}$~$\\ CONFIG\_INET6\_IPCOMP [=m] \textbf{[M]}\\* Unterstützung für IP Payload Compression Protocol (IPComp) (RFC~3173), typischerweise erforderlich für IPsec. @@ -4920,21 +4925,17 @@ der das einkapselnde Protokoll versteht. Dieser Treiber implementiert die Einkap nützlich, wenn Sie zwei IPv6-Netzwerke über einen reinen IPv4-Pfad verbinden wollen. Wenn Sie hier M sagen, wird ein Modul namens \texttt{sit} erzeugt. Wenn Sie unsicher sind, sagen Sie Y. -\leftskip3em -\subparagraph*{IPv6: IPv6 Rapid Deployment (6RD)}$~$\\ +\subsubparagraph{IPv6: IPv6 Rapid Deployment (6RD)}$~$\\ CONFIG\_IPV6\_SIT\_6RD [=y] \textbf{[Y]}\\* -IPv6 Rapid Deployment -(6rd; draft-ietf-softwire-ipv6-6rd) baut auf den Mechanismen -von 6to4 (RFC~3056) auf, um Dienste"-anbieter -in die Lage zu versetzen, IPv6"=Unicast"=Dienste schnell an IPv4"=Standorten einzurichten, für die sie Kundengeräte bereitstellen. +IPv6 Rapid Deployment (6rd; draft-ietf-softwire-ipv6-6rd) baut auf Mechanismen von 6to4 (RFC~3056) auf, um einen +Dienstanbieter in die Lage zu versetzen, IPv6-Unicast-Dienste schnell an IPv4-Standorten einzurichten, für die er +Kundengeräte bereitstellt. Wie 6to4 verwendet es zustandsloses IPv6 in einer IPv4"=Kapselung, um eine reine IPv4"=Netz"-infra"-struktur zu durch"-queren. Im Gegensatz zu 6to4 verwendet ein 6rd"=Dienstanbieter ein eigenes IPv6"=Präfix anstelle des festen 6to4"=Präfixes. Wenn diese Option aktiviert ist, bietet der SIT"=Treiber 6rd"=Funktionalität, indem er eine zusätzliche ioctl"=API zur Konfiguration des IPv6-Präfixes anstelle des statischen 2002::/16 für 6to4 bereitstellt.\\* Wenn Sie unsicher sind, sagen Sie N. -\leftskip0em - \subparagraph{IPv6: IP-in-IPv6 tunnel (RFC~2473)}$~$\\ CONFIG\_IPV6\_TUNNEL [=m] \textbf{[M]}\\* Unterstützung für IPv6-in-IPv6- und IPv4-in-IPv6-Tunnel, beschrieben in RFC~2473. @@ -4953,36 +4954,30 @@ Wenn Sie hier M sagen, wird ein Modul namens \texttt{ip6\_gre} erzeugt. Wenn Sie CONFIG\_IPV6\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\* Unterstützung mehrerer Routing-Tabellen. -\leftskip3em -\subparagraph*{IPv6: source address based routing}$~$\\ +\subsubparagraph{IPv6: source address based routing}$~$\\ CONFIG\_IPV6\_SUBTREES [=y] \textbf{[Y]}\\* Aktivieren Sie das Routing nach Quelladresse oder Präfix.\\ -Die Zieladresse ist immer noch der primäre Routing-Schlüssel, so dass das Mischen von normalen und quellpräfixspezifischen Routen -in derselben Routing-Tabelle manchmal zu einem unbeabsichtigten Routing-Verhalten führen kann. Dies kann vermieden werden, -indem unterschiedliche Routing-Tabellen für die normalen und die quellpräfixspezifischen Routen definiert werden. +Die Zieladresse ist immer noch der primäre Routing"=Schlüssel, so dass das Mischen von normalen und quell"-präfix"-spezifischen Routen +in derselben Routing"=Tabelle manchmal zu einem unbeabsichtigten Routing"=Verhalten führen kann. Dies kann vermieden werden, +indem unterschiedliche Routing"=Tabellen für die normalen und die quellpräfixspezifischen Routen definiert werden.\\ Wenn Sie unsicher sind, sagen Sie N. -\leftskip0em - \subparagraph{IPv6: multicast routing}$~$\\ CONFIG\_IPV6\_MROUTE [=y] \textbf{[Y]}\\* Unterstützung der IPv6-Multicast-Weiterleitung. Wenn Sie unsicher sind, sagen Sie N. -\leftskip3em -\subparagraph*{IPv6: multicast policy routing}S~S\\ +\subsubparagraph{IPv6: multicast policy routing}S~S\\ CONFIG\_IPV6\_MROUTE\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\* Normalerweise führt ein Multicast-Router einen Userspace-Daemon aus und entscheidet auf der Grundlage der Quell- und Zieladressen, was mit einem Multicast-Paket geschehen soll. Wenn Sie hier Y angeben, kann der Multicast-Router auch Schnittstellen und Paketmarkierungen berück"-sichtigen und mehrere Instanzen von Userspace-Dämonen gleichzeitig laufen lassen, von denen jeder eine einzelne Tabelle bearbeitet. Wenn Sie unsicher sind, sagen Sie N. -\subparagraph*{IPv6: multicast policy routing}S~S\\ +\subsubparagraph{IPv6: multicast policy routing}S~S\\ CONFIG\_IPV6\_MROUTE\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\* Unterstützung für das IPv6-PIM-Multicast-Routing-Protokoll PIM-SMv2. Wenn Sie unsicher sind, sagen Sie N. -\leftskip0em - \subparagraph{IPv6: Segment Routing Header encapsulation support}$~$\\ CONFIG\_IPV6\_SEG6\_LWTUNNEL [=y] \textbf{[Y]}\\* Unterstützung für die Einkapselung von Paketen in einen äußeren IPv6-Header und einen Segment-Routing-Header @@ -5330,5 +5325,343 @@ CONFIG\_NETFILTER\_NETLINK\_GLUE\_CT [=y] \textbf{[Y]}\\* Wenn diese Option aktiviert ist, können NFQUEUE und NFLOG zusammen mit dem Paket, das über NFNETLINK in die Warteschlange gestellt wurde, Informationen zur Verbindungsverfolgung enthalten. +\subparagraph{Network Address Translation support}$~$\\ +CONFIG\_NF\_NAT [=m] \textbf{[M]}\\* +Die NAT"=Option ermöglicht Masquerading, Portweiterleitung und andere Formen der vollständigen +Network Address Port Translation. Dies kann durch iptables, ip6tables oder nft kontrolliert +werden. + +\subparagraph{Netfilter nf\_tables support}$~$\\ +CONFIG\_NF\_TABLES [=m] \textbf{[M]}\\* +nftables ist das neue Rahmenwerk zur Paketklassifizierung, das die bestehende +\{ip,ip6,arp,eb\}\_tables-Infrastruktur ersetzen soll. Es bietet eine +Pseudo-Zustandsmaschine mit einem erweiterbaren Befehlssatz (auch als Ausdrücke +bekannt), den das Userspace-Dienstprogramm \texttt{nft} +(\url{https://www.netfilter.org/projects/nftables}) zum Aufbau des Regelsatzes +verwendet. Außerdem enthält es die generische Set-Infrastruktur, die es Ihnen +ermöglicht, Zuordnungen zwischen Übereinstimmungen und Aktionen zu konstruieren, +um die Leistung zu verbessern. Um es als Modul zu kompilieren, wählen Sie hier M. + +\subsubparagraph{Netfilter nf\_tables mixed IPv4/IPv6 tables support}$~$\\ +CONFIG\_NF\_TABLES\_INET [=y] \textbf{[Y]}\\* +Diese Option aktiviert die Unterstützung für eine gemischte +IPv4/IPv6"=\glqq inet\grqq{}"=Tabelle. + +\subsubparagraph{Netfilter nf\_tables netdev tables support}$~$\\ +CONFIG\_NF\_TABLES\_NETDEV [=y] \textbf{[Y]}\\* +Diese Option aktiviert die Unterstützung für die Tabelle \glqq netdev\grqq{}. + +\subsubparagraph{Netfilter nf\_tables number generator module}$~$\\ +CONFIG\_NFT\_NUMGEN [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck für den Zahlengenerator hinzu, der zur +Durchführung der inkrementellen Zählung und der an eine Obergrenze +gebundenen Zufallszahlen verwendet wird. + +\subsubparagraph{Netfilter nf\_tables conntrack module}$~$\\ +CONFIG\_NFT\_CT [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck "ct" hinzu, den Sie verwenden können, um Informationen +zur Verbindungsverfolgung, wie z.~B. den Status des Datenflusses, abzugleichen. + +\subsubparagraph{Netfilter nf\_tables hardware flow offload module}$~$\\ +CONFIG\_NFT\_FLOW\_OFFLOAD [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq flow\_offload\grqq{} hinzu, mit dem Sie +festlegen können, welche Datenströme in die Hardware eingespeist werden. + +\subsubparagraph{Netfilter nf\_tables connlimit module}$~$\\ +CONFIG\_NFT\_CONNLIMIT [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq connlimit\grqq{} hinzu, den Sie verwenden können, +um die Übereinstimmung von Regeln pro Verbindung zu begrenzen. + +\subsubparagraph{Netfilter nf\_tables log module}$~$\\ +CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq log\grqq{} hinzu, den Sie verwenden können, +um Pakete zu protokollieren, die bestimmten Kriterien entsprechen. + +\subsubparagraph{Netfilter nf\_tables limit module}$~$\\ +CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq limit\grqq{} hinzu, den Sie verwenden können, +um die Übereinstimmung von Regeln zu begrenzen. + +\subsubparagraph{Netfilter nf\_tables masquerade support}$~$\\ +CONFIG\_NFT\_MASQ [=m] \textbf{[M]}\\* +Diese Option fügt den \glqq masquerade\grqq{}"=Ausdruck hinzu, den Sie verwenden +können, um NAT im Masquerade"=Flavour durchzuführen. + +\subsubparagraph{Netfilter nf\_tables redirect support}$~$\\ +CONFIG\_NFT\_REDIR [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq redirect\grqq{} hinzu, mit dem Sie NAT +im Redirect"=Flavour durchführen können. + +\subsubparagraph{Netfilter nf\_tables nat module}$~$\\ +CONFIG\_NFT\_NAT [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq nat\grqq{} hinzu, mit dem Sie typische +NAT-Paketumwandlungen (Network Address Translation) durchführen können. + +\subsubparagraph{Netfilter nf\_tables tunnel module}$~$\\ +CONFIG\_NFT\_TUNNEL [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq tunnel\grqq{} hinzu, den Sie zum Festlegen von +Tunneling-Richtlinien verwenden können. + +\subsubparagraph{Netfilter nf\_tables queue module}$~$\\ +CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\* +Dies ist erforderlich, wenn Sie die Userspace"=Warteschlangen"=Infrastruktur (auch +bekannt als NFQUEUE) von nftables verwenden wollen. + +\subsubparagraph{Netfilter nf\_tables quota module}$~$\\ +CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq quota\grqq{} hinzu, den Sie verwenden können, +um Byte-Quoten zu erzwingen. + +\subsubparagraph{Netfilter nf\_tables reject support}$~$\\ +CONFIG\_NFT\_REJECT [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck \glqq reject\grqq{} hinzu, den Sie verwenden +können, um nicht zugelassenen Datenverkehr explizit abzulehnen und über +TCP-Reset/ICMP"=Informationsfehler zu benachrichtigen. + +\subsubparagraph{Netfilter x\_tables over nf\_tables module}$~$\\ +CONFIG\_NFT\_COMPAT [=m] \textbf{[M]}\\* +Dies ist erforderlich, wenn Sie beabsichtigen, eine der vorhandenen x\_tables +match/target-Erweiterungen über das nf\_tables-Framework zu verwenden. + +\subsubparagraph{Netfilter nf\_tables hash module}$~$\\ +CONFIG\_NFT\_HASH [=m] \textbf{[M]}\\* +Diese Option fügt den Ausdruck glqq hash\grqq{} hinzu, mit dem Sie eine Hash-Operation für +Register durchführen können. + +\subsubparagraph{Netfilter nf\_tables fib inet support}$~$\\ +CONFIG\_NFT\_FIB\_INET [=m] \textbf{[M]}\\* +Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der Inet"=Tabelle. +Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je nach dem Protokoll +des Pakets. + +\subsubparagraph{Netfilter nf\_tables xfrm/IPSec security association matching}$~$\\ +CONFIG\_NFT\_XFRM [=m] \textbf{[M]}\\* +Diese Option fügt einen Ausdruck hinzu, den Sie verwenden können, um Eigenschaften einer +Paketsicherheitszuordnung zu extrahieren. + +\subsubparagraph{Netfilter nf\_tables socket match support}$~$\\ +CONFIG\_NFT\_SOCKET [=m] \textbf{[M]}\\* +Diese Option ermöglicht den Abgleich auf das Vorhandensein oder Nichtvorhandensein eines +entsprechenden Sockets und seiner Attribute. + +\subsubparagraph{Netfilter nf\_tables passive OS fingerprint support}$~$\\ +CONFIG\_NFT\_OSF [=m] \textbf{[M]}\\* +Mit dieser Option können Pakete von einem bestimmten Betriebssystem abgeglichen +werden. + +\subsubparagraph{Netfilter nf\_tables tproxy support}$~$\\ +CONFIG\_NFT\_TPROXY [=m] \textbf{[M]}\\* +Dadurch wird die Unterstützung für transparente Proxys in nftables verfügbar. + +\subsubparagraph{Netfilter nf\_tables SYNPROXY expression support}$~$\\ +CONFIG\_NFT\_SYNPROXY [=m] \textbf{[M]}\\* +Mit dem SYNPROXY-Ausdruck können Sie TCP-Verbindungen abfangen und mit +Syncookies aufbauen, bevor sie an den Server weitergeleitet werden. +Auf diese Weise können Sie die Nutzung von Verbindungen und Serverressourcen +bei SYN"=Flood"=Angriffen vermeiden. + +\subsubparagraph{Netfilter packet duplication support}$~$\\ +CONFIG\_NF\_DUP\_NETDEV [=m] \textbf{[M]}\\* +Diese Option aktiviert die generische Infrastruktur zur Paketvervielfältigung +für Netfilter. + +\subsubparagraph{Netfilter nf\_tables netdev packet duplication support}$~$\\ +CONFIG\_NFT\_DUP\_NETDEV [=m] \textbf{[M]}\\* +Mit dieser Option wird die Paketverdopplung für die \glqq netdev\grqq{}"=Familie +aktiviert. + +\subsubparagraph{Netfilter nf\_tables netdev packet forwarding support}$~$\\ +CONFIG\_NFT\_FWD\_NETDEV [=m] \textbf{[M]}\\* +Diese Option aktiviert die Paketweiterleitung für die Familie +\glqq netdev\grqq{}. + +\subsubparagraph{Netfilter nf\_tables netdev fib lookups support}$~$\\ +CONFIG\_NFT\_FIB\_NETDEV [=m] \textbf{[M]}\\* +Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der +netdev"=Tabelle. Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je +nach dem Protokoll des Pakets. + +\subsubparagraph{Netfilter nf\_tables netdev fib REJECT support}$~$\\ +CONFIG\_NFT\_REJECT\_NETDEV [=m] \textbf{[M]}\\* +Diese Option aktiviert die REJECT-Unterstützung in der netdev-Tabelle. +Die Erzeugung von Rück"-sende"-paketen wird an die IPv4- oder IPv6-ICMP- oder +TCP-RST-Implementierung delegiert, je nach dem Protokoll des Pakets. + +\subparagraph{Netfilter flow table mixed IPv4/IPv6 module}$~$\\ +CONFIG\_NF\_FLOW\_TABLE\_INET [=m] \textbf{[M]}\\* +Diese Option fügt die gemischte IPv4/IPv6-Unterstützung der Flow Table hinzu. +Um sie als Modul zu kompilieren, wählen Sie hier M. + +\subparagraph{Netfilter flow table module}$~$\\ +CONFIG\_NF\_FLOW\_TABLE [=m] \textbf{[M]}\\* +Diese Option fügt die Kerninfrastruktur der Ablauftabelle hinzu. Um sie als +Modul zu kompilieren, wählen Sie hier M. + +\subsubparagraph{Supply flow table statistics in procfs}$~$\\ +CONFIG\_NF\_FLOW\_TABLE\_PROCFS [=y] \textbf{[Y]}\\* +Diese Option ermöglicht die Anzeige der Flow-Table-Offload-Statistiken in +procfs unter\\ +net/netfilter/nf\_flowtable. + +\subparagraph{Netfilter Xtables support (required for ip\_tables)}$~$\\ +CONFIG\_NETFILTER\_XTABLES [=m] \textbf{[M]}\\* +Dies ist erforderlich, wenn Sie eine der Tabellen ip\_tables, ip6\_tables oder +arp\_tables verwenden wollen. + +\subsubparagraph{Netfilter Xtables 32bit support}$~$\\ +CONFIG\_NETFILTER\_XTABLES\_COMPAT [=y] \textbf{[Y]}\\* +Diese Option bietet eine Übersetzungsschicht, um 32bit arp,ip(6),ebtables-Binärdateien +auf 64bit-Kerneln laufen zu lassen. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph*{*** Xtables combined modules ***}$~$\\ +(Xtables kombinierte Module) + +\subsubparagraph{nfmark target and match support}$~$\\ +CONFIG\_NETFILTER\_XT\_MARK [=m] \textbf{[M]}\\* +Diese Option fügt das \glqq MARK\grqq{}-Ziel und die \glqq mark\grqq{}-Übereinstimmung +hinzu. Mit dem Netfilter-Mark-Matching können Sie Pakete auf der Grundlage des +\glqq nfmark\grqq{}-Werts im Paket abgleichen. Mit dem Ziel können Sie in der +\glqq mangle\grqq{}-Tabelle Regeln erstellen, die das mit dem Paket verbundene +Feld \glqq netfilter mark\grqq{} (nfmark) ändern. Vor dem Routing kann die +nfmark die Routing-Methode beeinflussen und kann auch von anderen Subsystemen +verwendet werden, um ihr Verhalten zu ändern. + +\subsubparagraph{ctmark target and match support}$~$\\ +CONFIG\_NETFILTER\_XT\_CONNMARK [=m] \textbf{[M]}\\* +Diese Option fügt das Ziel \glqq CONNMARK\grqq{} und die Übereinstimmung +\glqq connmark\grqq{} hinzu. Netfilter ermöglicht es Ihnen, einen Markierungswert +pro Verbindung (auch bekannt als ctmark) zu speichern, ähnlich wie bei der +Paketmarkierung (nfmark). Mit Hilfe dieses Ziels und der Übereinstimmung können +Sie diese Markierung setzen und abgleichen. + +\subsubparagraph{set target and match support}$~$\\ +CONFIG\_NETFILTER\_XT\_SET [=m] \textbf{[M]}\\* +Diese Option fügt das \glqq SET\grqq{}-Ziel und die \glqq set\grqq{}-Übereinstimmung +hinzu. Mit diesem Ziel und dieser Übereinstimmung können Sie Elemente in den von +ipset(8) erstellten Sets hinzufügen/löschen und abgleichen. Um es als Modul zu +kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph*{*** Xtables combined modules ***}$~$\\ +(Xtables kombinierte Module) + +\subsubparagraph{AUDIT target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_AUDIT [=m] \textbf{[M]}\\* +Diese Option fügt ein 'AUDIT'-Ziel hinzu, das verwendet werden kann, um +Audit"=Aufzeichnungen für verworfene/akzeptierte Pakete zu erstellen. +Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, +sagen Sie N. + +\subsubparagraph{CHECKSUM target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_CHECKSUM [=m] \textbf{[M]}\\* +Diese Option fuegt ein \glq CHECKSUM\grq{}-Ziel hinzu, das in der iptables +Mangle-Tabelle verwendet werden kann, um fehlerhafte DHCP"=Clients in +virtualisierten Umgebungen zu umgehen. Einige alte DHCP"=Clients lassen Pakete +fallen, weil sie nicht wissen, dass die Prüfsumme normalerweise auf die +Hardware ausgelagert wird und daher als gültig angesehen werden sollte. Dieses +Ziel kann verwendet werden, um die Prüfsumme mit iptables auszufüllen, wenn +solche Pakete über ein virtuelles Netzwerkgerät gesendet werden. Um es als +Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{``CLASSIFY'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_CLASSIFY [=m] \textbf{[M]}\\* +Diese Option fügt ein \glq CLASSIFY\grq{}-Ziel hinzu, das es dem Benutzer +ermöglicht, die Priorität eines Pakets festzulegen. Einige qdiscs können +diesen Wert zur Klassifizierung verwenden, darunter sind:\\[.5em] +atm, cbq, dsmark, pfifo\_fast, htb, prio\\[0.5em] +Um es als Modul zu kompilieren, wählen Sie hier M. +Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{``CONNMARK'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_CONNMARK [=m] \textbf{[M]}\\* +Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers +(z.~B. bei der Ausführung von oldconfig).\\ +Mit ihr wird +CONFIG\_NETFILTER\_XT\_CONNMARK (kombiniertes connmark/CONNMARK"=Modul) +ausgewählt. + +\subsubparagraph{``CONNSECMARK'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_CONNSECMARK [=m] \textbf{[M]}\\* +Die Zielvorgabe CONNSECMARK kopiert Sicherheitsmarkierungen von Paketen auf +Verbindungen und stellt Sicherheitsmarkierungen von Verbindungen auf Pakete +wieder her (wenn die Pakete nicht bereits markiert sind). +Er wird normalerweise in Verbindung mit dem SECMARK"=Ziel verwendet.\\ +Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, +sagen Sie N. + +\subsubparagraph{``CT'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_CT [=m] \textbf{[M]}\\* +Diese Option fügt ein \glq CT\grq{}-Ziel hinzu, das es ermöglicht, anfängliche +Parameter für die Verbindungsverfolgung wie zu übermittelnde Ereignisse +und den zu verwendenden Helfer anzugeben.\\Um es als Modul zu kompilieren, +wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{``DSCP'' and ``TOS'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_DSCP [=m] \textbf{[M]}\\* +Diese Option fügt ein \glq DSCP\grq{}-Ziel hinzu, mit dem Sie das DSCP-Feld +(Differentiated Services Codepoint) des IPv4/IPv6-Headers manipulieren können. +Das DSCP-Feld kann einen beliebigen Wert zwischen 0x0 und einschließlich 0x3f +haben. Es fügt auch das \glqq TOS\grqq{}-Ziel hinzu, mit dem Sie Regeln in +der \glqq Mangle\grqq{}-Tabelle erstellen können, die das \glqq Type Of +Service\grqq{}-Feld eines IPv4- oder das Prioritätsfeld eines IPv6-Pakets +vor dem Routing ändern.\\ +Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, +wählen Sie N. + +\subsubparagraph{``HL'' hoplimit target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_HL [=m] \textbf{[M]}\\* +Diese Option fügt die Ziele \glqq HL\grqq{} (für IPv6) und \glqq TTL\grqq{} +(für IPv4) hinzu, die es dem Benutzer ermöglichen, den +Hoplimit-/Time-to-live-Wert des IP-Headers zu ändern. Während es sicher ist, +den Hoplimit/TTL-Wert zu dekrementieren, erlauben die Module auch, den +Hoplimit-Wert des Headers zu erhöhen und auf beliebige Werte zu setzen. +Dies ist EXTREM GEFÄHRLICH, da man leicht unsterbliche Pakete erzeugen kann, +die sich ewig im Netz drehen. + +\subsubparagraph{``HMARK'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_HMARK [=m] \textbf{[M]}\\* +Diese Option fügt das Ziel \glqq HMARK\grqq{} hinzu. Mit diesem Ziel können Sie +in den Tabellen \glqq raw\grqq{} und \glqq mangle\grqq{} Regeln erstellen, +die die skbuff-Marke mittels Hash-Berechnung innerhalb eines bestimmten +Bereichs setzen. Die nfmark kann die Routing-Methode beeinflussen und kann +auch von anderen Teilsystemen verwendet werden, um deren Verhalten zu ändern. +Um es als Modul zu kompilieren, wählen Sie hier M. +Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{IDLETIMER target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_IDLETIMER [=m] \textbf{[M]}\\* +Diese Option fügt das Ziel \glqq IDLETIMER\grqq{} hinzu. +Jedes übereinstimmende Paket setzt den Timer zurück, der mit dem Label +verbunden ist, das beim Hinzufügen der Regel angegeben wurde. Wenn der +Timer abläuft, löst er eine sysfs-Benachrichtigung aus. Die verbleibende +Zeit bis zum Ablauf kann über sysfs ausgelesen werden. Um es als Modul zu +kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{``LED'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_LED [=m] \textbf{[M]}\\* +Diese Option fügt ein `LED'-Ziel hinzu, mit dem Sie LEDs als Reaktion auf +bestimmte Pakete, die Ihren Rechner passieren, blinken lassen können. +Dies kann dazu verwendet werden, eine freie LED in eine Netzwerkaktivitäts-LED +zu verwandeln, die z.~B. nur bei FTP-Übertragungen blinkt. +Oder Sie könnten eine LED haben, die jedes Mal für ein oder zwei Minuten +aufleuchtet, wenn sich jemand über SSH mit Ihrem Rechner verbindet. Damit dies +funktioniert, benötigen Sie Unterstützung für die Klasse \glqq led\grqq{}. So +erstellen Sie einen LED-Auslöser für eingehenden SSH-Verkehr:\\[.5em] +\texttt{iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000}\\[.5em] +Verbinden Sie dann den neuen Auslöser mit einer LED auf Ihrem System:\\[.5em] +\texttt{echo netfilter-ssh $>$ /sys/class/leds/$<$ledname$>$/trigger}\\[.5em] +Weitere Informationen zu den auf Ihrem System verfügbaren LEDs finden Sie unter\\ +Documentation/leds/leds-class.rst + +\subsubparagraph{LOG target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_LOG [=m] \textbf{[M]}\\* +Diese Option fügt ein \glq LOG\grq{}-Ziel hinzu, das es Ihnen erlaubt, Regeln in +jeder iptables-Tabelle zu erstellen, die den Paket-Header im Syslog aufzeichnen. +Um es als Modul zu kompilieren, wähle hier M. Wenn Sie unsicher sind, sagen Sie N. + +\subsubparagraph{``MARK'' target support}$~$\\ +CONFIG\_NETFILTER\_XT\_TARGET\_MARK [=m] \textbf{[M]}\\* +Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers +(z.~B. bei der Ausführung von oldconfig). Mit ihr wird +CONFIG\_NETFILTER\_XT\_MARK (kombiniertes Mark/MARK-Modul) ausgewählt. \end{document}