UPD MARK target support
This commit is contained in:
Binary file not shown.
@@ -6,7 +6,7 @@
|
||||
\usepackage[a4paper,margin=25mm]{geometry}
|
||||
\usepackage[ngerman]{babel} %Verwendung von \glqq \qrgg{}
|
||||
\usepackage{hyperref}
|
||||
\setcounter{secnumdepth}{5}%numbering down to paragraphs, subparagraphs
|
||||
\setcounter{secnumdepth}{6}%numbering down to paragraphs, subparagraphs
|
||||
%% \usepackage{ulem} %strike through with /sout{}
|
||||
% you have to install texlive-plaingeneric first :
|
||||
\usepackage{ulem}
|
||||
@@ -21,6 +21,19 @@
|
||||
\renewcommand\subparagraph{%
|
||||
\@startsection {subparagraph}{5}{\z@ }{3.25ex \@plus 1ex
|
||||
\@minus .2ex}{-1em}{\normalfont \normalsize \bfseries }}%
|
||||
\newcounter{subsubparagraph}[subparagraph]
|
||||
\renewcommand\thesubsubparagraph{%
|
||||
\thesubparagraph.\@arabic\c@subsubparagraph}
|
||||
\newcommand\subsubparagraph{%
|
||||
\@startsection {subsubparagraph} % counter
|
||||
{6} % level
|
||||
{\z@ }%{\parindent} % no indent%indent
|
||||
{3.25ex \@plus 1ex \@minus .2ex} % beforeskip
|
||||
{-1em} % afterskip
|
||||
{\normalfont\normalsize\bfseries}}
|
||||
\newcommand\l@subsubparagraph{\@dottedtocline{6}{10em}{5em}}
|
||||
\newcommand{\subsubparagraphmark}[1]{}
|
||||
\def\toclevel@subsubparagraph{6}
|
||||
\makeatother
|
||||
|
||||
\begin{document}
|
||||
@@ -4813,16 +4826,14 @@ Es erfordert den \texttt{fq} (\glqq Fair Queue\grqq{}) Pacing Packet Scheduler.
|
||||
\subparagraph{Default TCP congestion control () \texorpdfstring{$\rightarrow$}{->}}$~$\\
|
||||
Wählen Sie die TCP-Überlastungssteuerung aus, die standardmäßig für alle Verbindungen verwendet werden soll.
|
||||
|
||||
\leftskip8em
|
||||
\subparagraph*{Cubic}$~$\\
|
||||
\subsubparagraph{Cubic}$~$\\
|
||||
CONFIG\_DEFAULT\_CUBIC [=y] \textbf{[Y]}\\*
|
||||
Für diese Option ist keine Hilfe vorhanden.
|
||||
\leftskip8em
|
||||
\subparagraph*{Reno}$~$\\
|
||||
|
||||
\subsubparagraph{Reno}$~$\\
|
||||
CONFIG\_DEFAULT\_RENO [=n] \textbf{[N]}\\*
|
||||
Für diese Option ist keine Hilfe vorhanden.
|
||||
|
||||
\leftskip0em
|
||||
\paragraph{TCP: MD5 Signature Option support (RFC~2385)}$~$\\
|
||||
CONFIG\_TCP\_MD5SIG [=y] \textbf{[Y]}\\*
|
||||
RFC2385 spezifiziert eine Methode zum MD5-Schutz von TCP-Sitzungen. Die wichtigste (einzige?) Anwendung ist der Schutz von BGP-Sitzungen
|
||||
@@ -4843,14 +4854,11 @@ Die Router-Präferenz ist eine optionale Erweiterung der Router-Advertisement-Na
|
||||
einen geeigneten Router auszuwählen, insbesondere wenn die Hosts in einem Netz mit mehreren Hosts untergebracht sind.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip3em
|
||||
\subparagraph*{IPv6: Router Information (RFC~4191) support}$~$\\
|
||||
\subsubparagraph{IPv6: Router Information (RFC~4191) support}$~$\\
|
||||
CONFIG\_IPV6\_ROUTE\_INFO [=y] \textbf{[Y]}\\*
|
||||
Unterstützung von Routeninformationen.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip0em
|
||||
|
||||
\subparagraph{IPv6: Enable RC~4429 Optimistic DAD}$~$\\
|
||||
CONFIG\_IPV6\_OPTIMISTIC\_DAD [=y] \textbf{[Y]}\\*
|
||||
Unterstützung für die optimistische Erkennung von doppelten Adressen. Dadurch können automatisch konfigurierte Adressen schneller verwendet werden.
|
||||
@@ -4874,20 +4882,17 @@ Wenn Sie andere Algorithmen benötigen, müssen Sie diese in der Krypto-API akti
|
||||
aller benötigten Algorithmen aktivieren, sofern verfügbar.
|
||||
Wenn Sie unsicher sind, sagen Sie Y für Ja.
|
||||
|
||||
\leftskip3em
|
||||
\subparagraph*{IPv6: ESP transformation offload}$~$\\
|
||||
\subsubparagraph{IPv6: ESP transformation offload}$~$\\
|
||||
CONFIG\_INET6\_ESP [=m] \textbf{[M]}\\*
|
||||
Unterstützung für ESP-Transformationsoffload. Dies ist nur dann sinnvoll, wenn das System wirklich IPsec verwendet und einen hohen
|
||||
Durchsatz erzielen möchte. Ein typisches Desktop-System braucht dies nicht, selbst wenn es IPsec verwendet.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subparagraph*{IPv6: ESP in TCP encapsulation (RFC~8229)}$~$\\
|
||||
\subsubparagraph{IPv6: ESP in TCP encapsulation (RFC~8229)}$~$\\
|
||||
CONFIG\_INET6\_ESPINTCP [=y] \textbf{[Y]}\\*
|
||||
Unterstützung für die RFC~8229-Kapselung von ESP und IKE über TCP/IPv6-Sockets.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip0em
|
||||
|
||||
\subparagraph{IPv6: IPComp transformation}$~$\\
|
||||
CONFIG\_INET6\_IPCOMP [=m] \textbf{[M]}\\*
|
||||
Unterstützung für IP Payload Compression Protocol (IPComp) (RFC~3173), typischerweise erforderlich für IPsec.
|
||||
@@ -4920,21 +4925,17 @@ der das einkapselnde Protokoll versteht. Dieser Treiber implementiert die Einkap
|
||||
nützlich, wenn Sie zwei IPv6-Netzwerke über einen reinen IPv4-Pfad verbinden wollen. Wenn Sie hier M sagen, wird ein Modul
|
||||
namens \texttt{sit} erzeugt. Wenn Sie unsicher sind, sagen Sie Y.
|
||||
|
||||
\leftskip3em
|
||||
\subparagraph*{IPv6: IPv6 Rapid Deployment (6RD)}$~$\\
|
||||
\subsubparagraph{IPv6: IPv6 Rapid Deployment (6RD)}$~$\\
|
||||
CONFIG\_IPV6\_SIT\_6RD [=y] \textbf{[Y]}\\*
|
||||
IPv6 Rapid Deployment
|
||||
(6rd; draft-ietf-softwire-ipv6-6rd) baut auf den Mechanismen
|
||||
von 6to4 (RFC~3056) auf, um Dienste"-anbieter
|
||||
in die Lage zu versetzen, IPv6"=Unicast"=Dienste schnell an IPv4"=Standorten einzurichten, für die sie Kundengeräte bereitstellen.
|
||||
IPv6 Rapid Deployment (6rd; draft-ietf-softwire-ipv6-6rd) baut auf Mechanismen von 6to4 (RFC~3056) auf, um einen
|
||||
Dienstanbieter in die Lage zu versetzen, IPv6-Unicast-Dienste schnell an IPv4-Standorten einzurichten, für die er
|
||||
Kundengeräte bereitstellt.
|
||||
Wie 6to4 verwendet es zustandsloses IPv6 in einer IPv4"=Kapselung, um eine reine IPv4"=Netz"-infra"-struktur zu durch"-queren.
|
||||
Im Gegensatz zu 6to4 verwendet ein 6rd"=Dienstanbieter ein eigenes IPv6"=Präfix anstelle des festen 6to4"=Präfixes.
|
||||
Wenn diese Option aktiviert ist, bietet der SIT"=Treiber 6rd"=Funktionalität, indem er eine zusätzliche ioctl"=API zur Konfiguration
|
||||
des IPv6-Präfixes anstelle des statischen 2002::/16 für 6to4 bereitstellt.\\*
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip0em
|
||||
|
||||
\subparagraph{IPv6: IP-in-IPv6 tunnel (RFC~2473)}$~$\\
|
||||
CONFIG\_IPV6\_TUNNEL [=m] \textbf{[M]}\\*
|
||||
Unterstützung für IPv6-in-IPv6- und IPv4-in-IPv6-Tunnel, beschrieben in RFC~2473.
|
||||
@@ -4953,36 +4954,30 @@ Wenn Sie hier M sagen, wird ein Modul namens \texttt{ip6\_gre} erzeugt. Wenn Sie
|
||||
CONFIG\_IPV6\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\*
|
||||
Unterstützung mehrerer Routing-Tabellen.
|
||||
|
||||
\leftskip3em
|
||||
\subparagraph*{IPv6: source address based routing}$~$\\
|
||||
\subsubparagraph{IPv6: source address based routing}$~$\\
|
||||
CONFIG\_IPV6\_SUBTREES [=y] \textbf{[Y]}\\*
|
||||
Aktivieren Sie das Routing nach Quelladresse oder Präfix.\\
|
||||
Die Zieladresse ist immer noch der primäre Routing-Schlüssel, so dass das Mischen von normalen und quellpräfixspezifischen Routen
|
||||
in derselben Routing-Tabelle manchmal zu einem unbeabsichtigten Routing-Verhalten führen kann. Dies kann vermieden werden,
|
||||
indem unterschiedliche Routing-Tabellen für die normalen und die quellpräfixspezifischen Routen definiert werden.
|
||||
Die Zieladresse ist immer noch der primäre Routing"=Schlüssel, so dass das Mischen von normalen und quell"-präfix"-spezifischen Routen
|
||||
in derselben Routing"=Tabelle manchmal zu einem unbeabsichtigten Routing"=Verhalten führen kann. Dies kann vermieden werden,
|
||||
indem unterschiedliche Routing"=Tabellen für die normalen und die quellpräfixspezifischen Routen definiert werden.\\
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip0em
|
||||
|
||||
\subparagraph{IPv6: multicast routing}$~$\\
|
||||
CONFIG\_IPV6\_MROUTE [=y] \textbf{[Y]}\\*
|
||||
Unterstützung der IPv6-Multicast-Weiterleitung.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip3em
|
||||
\subparagraph*{IPv6: multicast policy routing}S~S\\
|
||||
\subsubparagraph{IPv6: multicast policy routing}S~S\\
|
||||
CONFIG\_IPV6\_MROUTE\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\*
|
||||
Normalerweise führt ein Multicast-Router einen Userspace-Daemon aus und entscheidet auf der Grundlage der Quell- und Zieladressen,
|
||||
was mit einem Multicast-Paket geschehen soll. Wenn Sie hier Y angeben, kann der Multicast-Router auch Schnittstellen und
|
||||
Paketmarkierungen berück"-sichtigen und mehrere Instanzen von Userspace-Dämonen gleichzeitig laufen lassen, von denen jeder eine
|
||||
einzelne Tabelle bearbeitet. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subparagraph*{IPv6: multicast policy routing}S~S\\
|
||||
\subsubparagraph{IPv6: multicast policy routing}S~S\\
|
||||
CONFIG\_IPV6\_MROUTE\_MULTIPLE\_TABLES [=y] \textbf{[Y]}\\*
|
||||
Unterstützung für das IPv6-PIM-Multicast-Routing-Protokoll PIM-SMv2. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\leftskip0em
|
||||
|
||||
\subparagraph{IPv6: Segment Routing Header encapsulation support}$~$\\
|
||||
CONFIG\_IPV6\_SEG6\_LWTUNNEL [=y] \textbf{[Y]}\\*
|
||||
Unterstützung für die Einkapselung von Paketen in einen äußeren IPv6-Header und einen Segment-Routing-Header
|
||||
@@ -5330,5 +5325,343 @@ CONFIG\_NETFILTER\_NETLINK\_GLUE\_CT [=y] \textbf{[Y]}\\*
|
||||
Wenn diese Option aktiviert ist, können NFQUEUE und NFLOG zusammen mit dem Paket, das über
|
||||
NFNETLINK in die Warteschlange gestellt wurde, Informationen zur Verbindungsverfolgung enthalten.
|
||||
|
||||
\subparagraph{Network Address Translation support}$~$\\
|
||||
CONFIG\_NF\_NAT [=m] \textbf{[M]}\\*
|
||||
Die NAT"=Option ermöglicht Masquerading, Portweiterleitung und andere Formen der vollständigen
|
||||
Network Address Port Translation. Dies kann durch iptables, ip6tables oder nft kontrolliert
|
||||
werden.
|
||||
|
||||
\subparagraph{Netfilter nf\_tables support}$~$\\
|
||||
CONFIG\_NF\_TABLES [=m] \textbf{[M]}\\*
|
||||
nftables ist das neue Rahmenwerk zur Paketklassifizierung, das die bestehende
|
||||
\{ip,ip6,arp,eb\}\_tables-Infrastruktur ersetzen soll. Es bietet eine
|
||||
Pseudo-Zustandsmaschine mit einem erweiterbaren Befehlssatz (auch als Ausdrücke
|
||||
bekannt), den das Userspace-Dienstprogramm \texttt{nft}
|
||||
(\url{https://www.netfilter.org/projects/nftables}) zum Aufbau des Regelsatzes
|
||||
verwendet. Außerdem enthält es die generische Set-Infrastruktur, die es Ihnen
|
||||
ermöglicht, Zuordnungen zwischen Übereinstimmungen und Aktionen zu konstruieren,
|
||||
um die Leistung zu verbessern. Um es als Modul zu kompilieren, wählen Sie hier M.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables mixed IPv4/IPv6 tables support}$~$\\
|
||||
CONFIG\_NF\_TABLES\_INET [=y] \textbf{[Y]}\\*
|
||||
Diese Option aktiviert die Unterstützung für eine gemischte
|
||||
IPv4/IPv6"=\glqq inet\grqq{}"=Tabelle.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables netdev tables support}$~$\\
|
||||
CONFIG\_NF\_TABLES\_NETDEV [=y] \textbf{[Y]}\\*
|
||||
Diese Option aktiviert die Unterstützung für die Tabelle \glqq netdev\grqq{}.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables number generator module}$~$\\
|
||||
CONFIG\_NFT\_NUMGEN [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck für den Zahlengenerator hinzu, der zur
|
||||
Durchführung der inkrementellen Zählung und der an eine Obergrenze
|
||||
gebundenen Zufallszahlen verwendet wird.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables conntrack module}$~$\\
|
||||
CONFIG\_NFT\_CT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck "ct" hinzu, den Sie verwenden können, um Informationen
|
||||
zur Verbindungsverfolgung, wie z.~B. den Status des Datenflusses, abzugleichen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables hardware flow offload module}$~$\\
|
||||
CONFIG\_NFT\_FLOW\_OFFLOAD [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq flow\_offload\grqq{} hinzu, mit dem Sie
|
||||
festlegen können, welche Datenströme in die Hardware eingespeist werden.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables connlimit module}$~$\\
|
||||
CONFIG\_NFT\_CONNLIMIT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq connlimit\grqq{} hinzu, den Sie verwenden können,
|
||||
um die Übereinstimmung von Regeln pro Verbindung zu begrenzen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables log module}$~$\\
|
||||
CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq log\grqq{} hinzu, den Sie verwenden können,
|
||||
um Pakete zu protokollieren, die bestimmten Kriterien entsprechen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables limit module}$~$\\
|
||||
CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq limit\grqq{} hinzu, den Sie verwenden können,
|
||||
um die Übereinstimmung von Regeln zu begrenzen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables masquerade support}$~$\\
|
||||
CONFIG\_NFT\_MASQ [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den \glqq masquerade\grqq{}"=Ausdruck hinzu, den Sie verwenden
|
||||
können, um NAT im Masquerade"=Flavour durchzuführen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables redirect support}$~$\\
|
||||
CONFIG\_NFT\_REDIR [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq redirect\grqq{} hinzu, mit dem Sie NAT
|
||||
im Redirect"=Flavour durchführen können.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables nat module}$~$\\
|
||||
CONFIG\_NFT\_NAT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq nat\grqq{} hinzu, mit dem Sie typische
|
||||
NAT-Paketumwandlungen (Network Address Translation) durchführen können.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables tunnel module}$~$\\
|
||||
CONFIG\_NFT\_TUNNEL [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq tunnel\grqq{} hinzu, den Sie zum Festlegen von
|
||||
Tunneling-Richtlinien verwenden können.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables queue module}$~$\\
|
||||
CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\*
|
||||
Dies ist erforderlich, wenn Sie die Userspace"=Warteschlangen"=Infrastruktur (auch
|
||||
bekannt als NFQUEUE) von nftables verwenden wollen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables quota module}$~$\\
|
||||
CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq quota\grqq{} hinzu, den Sie verwenden können,
|
||||
um Byte-Quoten zu erzwingen.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables reject support}$~$\\
|
||||
CONFIG\_NFT\_REJECT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck \glqq reject\grqq{} hinzu, den Sie verwenden
|
||||
können, um nicht zugelassenen Datenverkehr explizit abzulehnen und über
|
||||
TCP-Reset/ICMP"=Informationsfehler zu benachrichtigen.
|
||||
|
||||
\subsubparagraph{Netfilter x\_tables over nf\_tables module}$~$\\
|
||||
CONFIG\_NFT\_COMPAT [=m] \textbf{[M]}\\*
|
||||
Dies ist erforderlich, wenn Sie beabsichtigen, eine der vorhandenen x\_tables
|
||||
match/target-Erweiterungen über das nf\_tables-Framework zu verwenden.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables hash module}$~$\\
|
||||
CONFIG\_NFT\_HASH [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt den Ausdruck glqq hash\grqq{} hinzu, mit dem Sie eine Hash-Operation für
|
||||
Register durchführen können.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables fib inet support}$~$\\
|
||||
CONFIG\_NFT\_FIB\_INET [=m] \textbf{[M]}\\*
|
||||
Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der Inet"=Tabelle.
|
||||
Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je nach dem Protokoll
|
||||
des Pakets.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables xfrm/IPSec security association matching}$~$\\
|
||||
CONFIG\_NFT\_XFRM [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt einen Ausdruck hinzu, den Sie verwenden können, um Eigenschaften einer
|
||||
Paketsicherheitszuordnung zu extrahieren.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables socket match support}$~$\\
|
||||
CONFIG\_NFT\_SOCKET [=m] \textbf{[M]}\\*
|
||||
Diese Option ermöglicht den Abgleich auf das Vorhandensein oder Nichtvorhandensein eines
|
||||
entsprechenden Sockets und seiner Attribute.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables passive OS fingerprint support}$~$\\
|
||||
CONFIG\_NFT\_OSF [=m] \textbf{[M]}\\*
|
||||
Mit dieser Option können Pakete von einem bestimmten Betriebssystem abgeglichen
|
||||
werden.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables tproxy support}$~$\\
|
||||
CONFIG\_NFT\_TPROXY [=m] \textbf{[M]}\\*
|
||||
Dadurch wird die Unterstützung für transparente Proxys in nftables verfügbar.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables SYNPROXY expression support}$~$\\
|
||||
CONFIG\_NFT\_SYNPROXY [=m] \textbf{[M]}\\*
|
||||
Mit dem SYNPROXY-Ausdruck können Sie TCP-Verbindungen abfangen und mit
|
||||
Syncookies aufbauen, bevor sie an den Server weitergeleitet werden.
|
||||
Auf diese Weise können Sie die Nutzung von Verbindungen und Serverressourcen
|
||||
bei SYN"=Flood"=Angriffen vermeiden.
|
||||
|
||||
\subsubparagraph{Netfilter packet duplication support}$~$\\
|
||||
CONFIG\_NF\_DUP\_NETDEV [=m] \textbf{[M]}\\*
|
||||
Diese Option aktiviert die generische Infrastruktur zur Paketvervielfältigung
|
||||
für Netfilter.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables netdev packet duplication support}$~$\\
|
||||
CONFIG\_NFT\_DUP\_NETDEV [=m] \textbf{[M]}\\*
|
||||
Mit dieser Option wird die Paketverdopplung für die \glqq netdev\grqq{}"=Familie
|
||||
aktiviert.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables netdev packet forwarding support}$~$\\
|
||||
CONFIG\_NFT\_FWD\_NETDEV [=m] \textbf{[M]}\\*
|
||||
Diese Option aktiviert die Paketweiterleitung für die Familie
|
||||
\glqq netdev\grqq{}.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables netdev fib lookups support}$~$\\
|
||||
CONFIG\_NFT\_FIB\_NETDEV [=m] \textbf{[M]}\\*
|
||||
Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der
|
||||
netdev"=Tabelle. Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je
|
||||
nach dem Protokoll des Pakets.
|
||||
|
||||
\subsubparagraph{Netfilter nf\_tables netdev fib REJECT support}$~$\\
|
||||
CONFIG\_NFT\_REJECT\_NETDEV [=m] \textbf{[M]}\\*
|
||||
Diese Option aktiviert die REJECT-Unterstützung in der netdev-Tabelle.
|
||||
Die Erzeugung von Rück"-sende"-paketen wird an die IPv4- oder IPv6-ICMP- oder
|
||||
TCP-RST-Implementierung delegiert, je nach dem Protokoll des Pakets.
|
||||
|
||||
\subparagraph{Netfilter flow table mixed IPv4/IPv6 module}$~$\\
|
||||
CONFIG\_NF\_FLOW\_TABLE\_INET [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt die gemischte IPv4/IPv6-Unterstützung der Flow Table hinzu.
|
||||
Um sie als Modul zu kompilieren, wählen Sie hier M.
|
||||
|
||||
\subparagraph{Netfilter flow table module}$~$\\
|
||||
CONFIG\_NF\_FLOW\_TABLE [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt die Kerninfrastruktur der Ablauftabelle hinzu. Um sie als
|
||||
Modul zu kompilieren, wählen Sie hier M.
|
||||
|
||||
\subsubparagraph{Supply flow table statistics in procfs}$~$\\
|
||||
CONFIG\_NF\_FLOW\_TABLE\_PROCFS [=y] \textbf{[Y]}\\*
|
||||
Diese Option ermöglicht die Anzeige der Flow-Table-Offload-Statistiken in
|
||||
procfs unter\\
|
||||
net/netfilter/nf\_flowtable.
|
||||
|
||||
\subparagraph{Netfilter Xtables support (required for ip\_tables)}$~$\\
|
||||
CONFIG\_NETFILTER\_XTABLES [=m] \textbf{[M]}\\*
|
||||
Dies ist erforderlich, wenn Sie eine der Tabellen ip\_tables, ip6\_tables oder
|
||||
arp\_tables verwenden wollen.
|
||||
|
||||
\subsubparagraph{Netfilter Xtables 32bit support}$~$\\
|
||||
CONFIG\_NETFILTER\_XTABLES\_COMPAT [=y] \textbf{[Y]}\\*
|
||||
Diese Option bietet eine Übersetzungsschicht, um 32bit arp,ip(6),ebtables-Binärdateien
|
||||
auf 64bit-Kerneln laufen zu lassen. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph*{*** Xtables combined modules ***}$~$\\
|
||||
(Xtables kombinierte Module)
|
||||
|
||||
\subsubparagraph{nfmark target and match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_MARK [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt das \glqq MARK\grqq{}-Ziel und die \glqq mark\grqq{}-Übereinstimmung
|
||||
hinzu. Mit dem Netfilter-Mark-Matching können Sie Pakete auf der Grundlage des
|
||||
\glqq nfmark\grqq{}-Werts im Paket abgleichen. Mit dem Ziel können Sie in der
|
||||
\glqq mangle\grqq{}-Tabelle Regeln erstellen, die das mit dem Paket verbundene
|
||||
Feld \glqq netfilter mark\grqq{} (nfmark) ändern. Vor dem Routing kann die
|
||||
nfmark die Routing-Methode beeinflussen und kann auch von anderen Subsystemen
|
||||
verwendet werden, um ihr Verhalten zu ändern.
|
||||
|
||||
\subsubparagraph{ctmark target and match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_CONNMARK [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt das Ziel \glqq CONNMARK\grqq{} und die Übereinstimmung
|
||||
\glqq connmark\grqq{} hinzu. Netfilter ermöglicht es Ihnen, einen Markierungswert
|
||||
pro Verbindung (auch bekannt als ctmark) zu speichern, ähnlich wie bei der
|
||||
Paketmarkierung (nfmark). Mit Hilfe dieses Ziels und der Übereinstimmung können
|
||||
Sie diese Markierung setzen und abgleichen.
|
||||
|
||||
\subsubparagraph{set target and match support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_SET [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt das \glqq SET\grqq{}-Ziel und die \glqq set\grqq{}-Übereinstimmung
|
||||
hinzu. Mit diesem Ziel und dieser Übereinstimmung können Sie Elemente in den von
|
||||
ipset(8) erstellten Sets hinzufügen/löschen und abgleichen. Um es als Modul zu
|
||||
kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph*{*** Xtables combined modules ***}$~$\\
|
||||
(Xtables kombinierte Module)
|
||||
|
||||
\subsubparagraph{AUDIT target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_AUDIT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein 'AUDIT'-Ziel hinzu, das verwendet werden kann, um
|
||||
Audit"=Aufzeichnungen für verworfene/akzeptierte Pakete zu erstellen.
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
|
||||
sagen Sie N.
|
||||
|
||||
\subsubparagraph{CHECKSUM target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_CHECKSUM [=m] \textbf{[M]}\\*
|
||||
Diese Option fuegt ein \glq CHECKSUM\grq{}-Ziel hinzu, das in der iptables
|
||||
Mangle-Tabelle verwendet werden kann, um fehlerhafte DHCP"=Clients in
|
||||
virtualisierten Umgebungen zu umgehen. Einige alte DHCP"=Clients lassen Pakete
|
||||
fallen, weil sie nicht wissen, dass die Prüfsumme normalerweise auf die
|
||||
Hardware ausgelagert wird und daher als gültig angesehen werden sollte. Dieses
|
||||
Ziel kann verwendet werden, um die Prüfsumme mit iptables auszufüllen, wenn
|
||||
solche Pakete über ein virtuelles Netzwerkgerät gesendet werden. Um es als
|
||||
Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``CLASSIFY'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_CLASSIFY [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein \glq CLASSIFY\grq{}-Ziel hinzu, das es dem Benutzer
|
||||
ermöglicht, die Priorität eines Pakets festzulegen. Einige qdiscs können
|
||||
diesen Wert zur Klassifizierung verwenden, darunter sind:\\[.5em]
|
||||
atm, cbq, dsmark, pfifo\_fast, htb, prio\\[0.5em]
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``CONNMARK'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_CONNMARK [=m] \textbf{[M]}\\*
|
||||
Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
|
||||
(z.~B. bei der Ausführung von oldconfig).\\
|
||||
Mit ihr wird
|
||||
CONFIG\_NETFILTER\_XT\_CONNMARK (kombiniertes connmark/CONNMARK"=Modul)
|
||||
ausgewählt.
|
||||
|
||||
\subsubparagraph{``CONNSECMARK'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_CONNSECMARK [=m] \textbf{[M]}\\*
|
||||
Die Zielvorgabe CONNSECMARK kopiert Sicherheitsmarkierungen von Paketen auf
|
||||
Verbindungen und stellt Sicherheitsmarkierungen von Verbindungen auf Pakete
|
||||
wieder her (wenn die Pakete nicht bereits markiert sind).
|
||||
Er wird normalerweise in Verbindung mit dem SECMARK"=Ziel verwendet.\\
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
|
||||
sagen Sie N.
|
||||
|
||||
\subsubparagraph{``CT'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_CT [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein \glq CT\grq{}-Ziel hinzu, das es ermöglicht, anfängliche
|
||||
Parameter für die Verbindungsverfolgung wie zu übermittelnde Ereignisse
|
||||
und den zu verwendenden Helfer anzugeben.\\Um es als Modul zu kompilieren,
|
||||
wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``DSCP'' and ``TOS'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_DSCP [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein \glq DSCP\grq{}-Ziel hinzu, mit dem Sie das DSCP-Feld
|
||||
(Differentiated Services Codepoint) des IPv4/IPv6-Headers manipulieren können.
|
||||
Das DSCP-Feld kann einen beliebigen Wert zwischen 0x0 und einschließlich 0x3f
|
||||
haben. Es fügt auch das \glqq TOS\grqq{}-Ziel hinzu, mit dem Sie Regeln in
|
||||
der \glqq Mangle\grqq{}-Tabelle erstellen können, die das \glqq Type Of
|
||||
Service\grqq{}-Feld eines IPv4- oder das Prioritätsfeld eines IPv6-Pakets
|
||||
vor dem Routing ändern.\\
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
|
||||
wählen Sie N.
|
||||
|
||||
\subsubparagraph{``HL'' hoplimit target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_HL [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt die Ziele \glqq HL\grqq{} (für IPv6) und \glqq TTL\grqq{}
|
||||
(für IPv4) hinzu, die es dem Benutzer ermöglichen, den
|
||||
Hoplimit-/Time-to-live-Wert des IP-Headers zu ändern. Während es sicher ist,
|
||||
den Hoplimit/TTL-Wert zu dekrementieren, erlauben die Module auch, den
|
||||
Hoplimit-Wert des Headers zu erhöhen und auf beliebige Werte zu setzen.
|
||||
Dies ist EXTREM GEFÄHRLICH, da man leicht unsterbliche Pakete erzeugen kann,
|
||||
die sich ewig im Netz drehen.
|
||||
|
||||
\subsubparagraph{``HMARK'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_HMARK [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt das Ziel \glqq HMARK\grqq{} hinzu. Mit diesem Ziel können Sie
|
||||
in den Tabellen \glqq raw\grqq{} und \glqq mangle\grqq{} Regeln erstellen,
|
||||
die die skbuff-Marke mittels Hash-Berechnung innerhalb eines bestimmten
|
||||
Bereichs setzen. Die nfmark kann die Routing-Methode beeinflussen und kann
|
||||
auch von anderen Teilsystemen verwendet werden, um deren Verhalten zu ändern.
|
||||
Um es als Modul zu kompilieren, wählen Sie hier M.
|
||||
Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{IDLETIMER target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_IDLETIMER [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt das Ziel \glqq IDLETIMER\grqq{} hinzu.
|
||||
Jedes übereinstimmende Paket setzt den Timer zurück, der mit dem Label
|
||||
verbunden ist, das beim Hinzufügen der Regel angegeben wurde. Wenn der
|
||||
Timer abläuft, löst er eine sysfs-Benachrichtigung aus. Die verbleibende
|
||||
Zeit bis zum Ablauf kann über sysfs ausgelesen werden. Um es als Modul zu
|
||||
kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``LED'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_LED [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein `LED'-Ziel hinzu, mit dem Sie LEDs als Reaktion auf
|
||||
bestimmte Pakete, die Ihren Rechner passieren, blinken lassen können.
|
||||
Dies kann dazu verwendet werden, eine freie LED in eine Netzwerkaktivitäts-LED
|
||||
zu verwandeln, die z.~B. nur bei FTP-Übertragungen blinkt.
|
||||
Oder Sie könnten eine LED haben, die jedes Mal für ein oder zwei Minuten
|
||||
aufleuchtet, wenn sich jemand über SSH mit Ihrem Rechner verbindet. Damit dies
|
||||
funktioniert, benötigen Sie Unterstützung für die Klasse \glqq led\grqq{}. So
|
||||
erstellen Sie einen LED-Auslöser für eingehenden SSH-Verkehr:\\[.5em]
|
||||
\texttt{iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000}\\[.5em]
|
||||
Verbinden Sie dann den neuen Auslöser mit einer LED auf Ihrem System:\\[.5em]
|
||||
\texttt{echo netfilter-ssh $>$ /sys/class/leds/$<$ledname$>$/trigger}\\[.5em]
|
||||
Weitere Informationen zu den auf Ihrem System verfügbaren LEDs finden Sie unter\\
|
||||
Documentation/leds/leds-class.rst
|
||||
|
||||
\subsubparagraph{LOG target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_LOG [=m] \textbf{[M]}\\*
|
||||
Diese Option fügt ein \glq LOG\grq{}-Ziel hinzu, das es Ihnen erlaubt, Regeln in
|
||||
jeder iptables-Tabelle zu erstellen, die den Paket-Header im Syslog aufzeichnen.
|
||||
Um es als Modul zu kompilieren, wähle hier M. Wenn Sie unsicher sind, sagen Sie N.
|
||||
|
||||
\subsubparagraph{``MARK'' target support}$~$\\
|
||||
CONFIG\_NETFILTER\_XT\_TARGET\_MARK [=m] \textbf{[M]}\\*
|
||||
Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
|
||||
(z.~B. bei der Ausführung von oldconfig). Mit ihr wird
|
||||
CONFIG\_NETFILTER\_XT\_MARK (kombiniertes Mark/MARK-Modul) ausgewählt.
|
||||
|
||||
\end{document}
|
||||
|
||||
Reference in New Issue
Block a user