UPD Connection tracking labels

documentation/linux_configuration.tex

@@ -5004,4 +5004,195 @@ CONFIG\_IPV6\_IOAM6\_LWTUNNEL [=y] \textbf{[Y]}\\*
 Unterstützung für das Einfügen von IOAM Pre-allocated Trace Header unter Verwendung des Lightweight"=Tunnel"=Mechanismus.
 Wenn Sie unsicher sind, sagen Sie N.
 
+\paragraph{NetLabel subsystem support}$~$\\
+CONFIG\_NETLABEL [=y] \textbf{Y}\\*
+NetLabel bietet Unterstützung für explizite Netzwerk-Paketkennzeichnungsprotokolle wie CIPSO und RIPSO. Weitere
+Informationen finden Sie unter Documentation/netlabel sowie im NetLabel SourceForge-Projekt für Konfigurationswerkzeuge
+und zusätzliche Dokumentation.\\
+$*$ \url{https://github.com/netlabel/netlabel\_tools}
+Wenn Sie unsicher sind, sagen Sie N.
+
+\paragraph{MPTCP: Multipath TCP}$~$\\
+CONFIG\_MPTCP [=y] \textbf{Y}\\*
+Multipath TCP (MPTCP)-Verbindungen senden und empfangen Daten über mehrere Subflows, um mehrere
+Netzwerkpfade zu nutzen. Jeder Subflow verwendet das TCP-Protokoll, und die TCP-Optionen enthalten
+Header-Informationen für MPTCP.
+
+\subparagraph{MPTCP: IPv6 support for Multipath TCP}$~$\\
+CONFIG\_MPTCP\_IPV6 [=y] \textbf{[Y]}\\*
+Für diese Option gibt es keine Hilfe.
+
+\subsubsection{Security Marking}
+CONFIG\_NETWORK\_SECMARK [=y] \textbf{[Y]}\\*
+Dies ermöglicht die Sicherheitsmarkierung von Netzwerkpaketen, ähnlich wie bei nfmark, aber für
+Sicherheitszwecke. Wenn Sie unsicher sind, wie Sie diese Frage beantworten sollen, antworten Sie
+mit N.
+
+\subsubsection{Timestamping in PHY devices}
+CONFIG\_NETWORK\_PHY\_TIMESTAMPING [=y] \textbf{[Y]}\\*
+Dies ermöglicht die Zeitstempelung von Netzwerkpaketen durch PHYs (oder andere
+MII-Bus-Snooping-Geräte) mit Hardware-Zeitstempelfunktionen. Diese Option fügt einen gewissen
+Overhead in den Sende- und Empfangswegen hinzu. Wenn Sie unsicher sind, wie Sie diese Frage
+beantworten sollen, antworten Sie mit N.
+
+\subsubsection{Network packet filtering framework (Netfilter) \texorpdfstring{$\rightarrow$}{->}}
+CONFIG\_NETFILTER [=y] \textbf{[Y]}\\*
+Netfilter ist ein Framework zum Filtern und Verarbeiten von Netzwerkpaketen, die Ihren Linux-Rechner
+durchlaufen. Die häufigste Anwendung der Paketfilterung ist der Einsatz Ihres Linux-Rechners als
+Firewall zum Schutz eines lokalen Netzwerks vor dem Internet. Die Art von Firewall, die durch diese
+Kernelunterstützung bereitgestellt wird, wird als \glqq Paketfilter\grqq{} bezeichnet, was bedeutet,
+dass sie einzelne Netzwerkpakete auf der Grundlage von Typ, Quelle, Ziel usw. zurückweisen kann.
+Die andere Art von Firewall, eine \glqq proxy-basierte\grqq{} Firewall, ist sicherer, aber
+aufdringlicher und mühsamer einzurichten; sie untersucht den Netzwerkverkehr viel genauer,
+verändert ihn und hat Kenntnisse über die höheren Protokolle, die ein Paketfilter nicht hat.
+Außerdem erfordern proxy-basierte Firewalls oft Änderungen an den Programmen, die auf den lokalen
+Clients laufen. Proxy-basierte Firewalls brauchen keine Unterstützung durch den Kernel, aber sie
+werden oft mit einem Paketfilter kombiniert, der nur funktioniert, wenn man hier Y sagt.\\
+Sie sollten hier auch Y angeben, wenn Sie Ihren Linux-Rechner als Gateway zum Internet für ein
+lokales Netzwerk von Rechnern ohne global gültige IP-Adresse verwenden wollen. Dies nennt man
+\glqq masquerading\grqq{}: Wenn einer der Computer in Ihrem lokalen Netzwerk etwas nach außen
+senden möchte, kann sich Ihre Box als dieser Computer \glqq maskieren\grqq{}, d. h. sie leitet
+den Datenverkehr an das vorgesehene Ziel nach außen weiter, verändert aber die Pakete so, dass
+es so aussieht, als kämen sie von der Firewall-Box selbst. Das funktioniert in beide Richtungen:
+Wenn der externe Rechner antwortet, leitet die Linux-Box den Datenverkehr stillschweigend an den
+richtigen lokalen Rechner weiter.\\
+Auf diese Weise sind die Computer in Ihrem lokalen Netz für die Außenwelt völlig unsichtbar,
+obwohl sie die Außenwelt erreichen und Antworten empfangen können. Es ist sogar möglich, global
+sichtbare Server von einem maskierten lokalen Netzwerk aus zu betreiben, indem man einen
+Mechanismus namens Portforwarding verwendet. Masquerading wird oft auch als NAT
+(Network Address Translation) bezeichnet.\\
+Eine weitere Anwendung von Netfilter ist das transparente Proxying: Wenn ein Rechner im lokalen
+Netzwerk versucht, eine Verbindung zu einem externen Host herzustellen, kann Ihr Linux-System den
+Datenverkehr transparent an einen lokalen Server weiterleiten, in der Regel einen
+Caching-Proxy-Server. Eine weitere Verwendung von Netfilter ist der Aufbau einer Bridging-Firewall.
+Wenn Sie eine Bridge mit aktivierter Netzwerk-Paketfilterung verwenden, kann iptables den
+überbrückten Verkehr \glqq sehen\grqq{}. Für die Filterung des unteren Netzwerks und der
+Ethernet-Protokolle über die Brücke, verwenden Sie ebtables (unter bridge netfilter configuration).
+Für netfilter gibt es verschiedene Module, die die bisherigen Mechanismen Masquerading (ipmasqadm),
+Paketfilterung (ipchains), transparentes Proxying und Portforwarding ersetzen.
+Bitte sehen Sie $<$file:Documentation/Changes$>$ unter \glqq iptables\grqq{} nach, wo diese Pakete
+zu finden sind.
+
+\paragraph{Advanced netfilter configuration}$~$\\
+CONFIG\_NETFILTER\_ADVANCED [=y] \textbf{[Y]}\\*
+Wenn Sie hier Y angeben, können Sie zwischen allen Netzfiltermodulen wählen. Wenn Sie N sagen,
+werden die ungewöhnlicheren nicht angezeigt, und die grundlegenden Module, die von den meisten
+Benutzern benötigt werden, werden standardmäßig mit \glqq M\grqq{} angezeigt. Wenn Sie unsicher
+sind, sagen Sie Y.
+
+\subparagraph{Bridged IP/ARP packets filtering}$~$\\
+CONFIG\_BRIDGE\_NETFILTER [=m] \textbf{[M]}\\*
+Wenn Sie diese Option aktivieren, kann arptables bzw. iptables überbrückten ARP- bzw. IP-Verkehr
+sehen. Wenn Sie eine Bridging-Firewall wollen, sollten Sie diese Option aktivieren.
+Durch das Aktivieren oder Deaktivieren dieser Option wird ebtables nicht aktiviert oder
+deaktiviert.\\
+Wenn Sie unsicher sind, sagen Sie N.
+
+\paragraph{Core Netfilter Configuration \texorpdfstring{$\rightarrow$}{->}}$~$\\
+(Kern-Netfilter-Konfiguration)
+
+\subparagraph{Netfilter ingress support}$~$\\
+CONFIG\_NETFILTER\_INGRESS [=y] \textbf{[Y]}\\*
+Damit können Sie Pakete bereits am Eingang über die Netfilter-Infrastruktur klassifizieren.
+
+\subparagraph{Netfilter egress support}$~$\\
+CONFIG\_NETFILTER\_EGRESS [=y] \textbf{[Y]}\\*
+Damit können Sie Pakete vor der Übertragung über die Netfilter-Infrastruktur klassifizieren.
+
+\subparagraph{Netfilter base hook dump support}$~$\\
+CONFIG\_NETFILTER\_NETLINK\_HOOK [=m] \textbf{[M]}\\*
+Wenn diese Option aktiviert ist, unterstützt der Kernel die Auflistung der
+Basis-Netzfilter-Hooks über NFNETLINK. Dies ist hilfreich für die Fehlersuche.
+
+\subparagraph{Netfilter NFACCT over NFNETLINK interface}$~$\\
+CONFIG\_NETFILTER\_NETLINK\_ACCT [=m] \textbf{[M]}\\*
+Wenn diese Option aktiviert ist, unterstützt der Kernel die erweiterte Abrechnung über NFNETLINK.
+
+\subparagraph{Netfilter NFQUEUE over NFNETLINK interface}$~$\\
+CONFIG\_NETFILTER\_NETLINK\_QUEUE [=m] \textbf{[M]}\\*
+Wenn diese Option aktiviert ist, unterstützt der Kernel die Warteschlangenbildung für
+Pakete über NFNETLINK.
+
+\subparagraph{Netfilter LOG over NFNETLINK interface}$~$\\
+CONFIG\_NETFILTER\_NETLINK\_LOG [=m] \textbf{[M]}\\*
+Wenn diese Option aktiviert ist, bietet der Kernel Unterstützung für die Protokollierung von
+Paketen über NFNETLINK. Dadurch werden die bestehenden ipt\_ULOG- und ebg\_ulog-Mechanismen
+überflüssig und es ist auch geplant, die alten syslog-basierten ipt\_LOG- und
+ip6t\_LOG-Module zu ersetzen.
+
+\subparagraph{Netfilter OSF over NFNETLINK interface}$~$\\
+CONFIG\_NETFILTER\_NETLINK\_OSF [=m] \textbf{[M]}\\*
+Wenn diese Option aktiviert ist, unterstützt der Kernel den passiven OS-Fingerprint über NFNETLINK.
+
+\subparagraph{Netfilter connection tracking support}$~$\\
+CONFIG\_NF\_CONNTRACK [=m] \textbf{[M]}\\*
+Die Verbindungsverfolgung zeichnet auf, welche Pakete Ihren Rechner durchlaufen haben, um
+herauszufinden, wie sie zu Verbindungen zusammenhängen.
+Dies ist erforderlich, um Masquerading oder andere Arten der Netzwerkadressübersetzung
+durchzuführen. Es kann auch verwendet werden, um die Paketfilterung zu verbessern
+(siehe \glqq Unterstützung von Verbindungsstatusübereinstimmungen\grqq{} unten).
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{Syslog packet logging}$~$\\
+CONFIG\_NF\_LOG\_SYSLOG [=m] \textbf{[M]}\\*
+Diese Option aktiviert die Unterstützung für die Paketprotokollierung über Syslog. Sie
+unterstützt IPv4, IPV6, ARP und gängige Transportprotokolle wie TCP und UDP. Dies ist eine
+einfachere, aber weniger flexible Protokollierungsmethode im Vergleich zu
+CONFIG\_NETFILTER\_NETLINK\_LOG. Wenn beide aktiviert sind, kann das zu verwendende Backend
+zur Laufzeit mit Hilfe von sysctl-Tunables pro Adressfamilie konfiguriert werden.
+
+\subparagraph{Connection mark tracking support}$~$\\
+CONFIG\_NF\_CONNTRACK\_MARK [=y] \textbf{[Y]}\\*
+Diese Option aktiviert die Unterstützung für Verbindungsmarkierungen, die vom Ziel
+\glqq CONNMARK\grqq{} und der Übereinstimmung \glqq connmark\grqq{} verwendet werden.
+Ähnlich wie der Markierungswert von Paketen, aber dieser Markierungswert wird in der
+conntrack-Sitzung statt in den einzelnen Paketen gespeichert.
+
+\subparagraph{Connection tracking security mark support}$~$\\
+CONFIG\_NF\_CONNTRACK\_SECMARK [=y] \textbf{[Y]}\\*
+Mit dieser Option können Sicherheitsmarkierungen auf Verbindungen angewendet werden. Normalerweise
+werden sie von Paketen, die das CONNSECMARK-Ziel verwenden, auf Verbindungen kopiert und von
+Verbindungen auf Pakete mit demselben Ziel zurückkopiert, wobei die Pakete ursprünglich über
+SECMARK gekennzeichnet wurden.\\
+Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{Connection tracking zones}$~$\\
+CONFIG\_NF\_CONNTRACK\_ZONES [=y] \textbf{[Y]}\\*
+Mit dieser Option wird die Unterstützung für Zonen zur Verfolgung von Verbindungen aktiviert.
+Normalerweise muss jede Verbindung eine eindeutige systemweite Identität haben. Zonen für die
+Verbindungsverfolgung ermöglichen es, dass mehrere Verbindungen dieselbe Identität verwenden,
+solange sie in verschiedenen Zonen enthalten sind. Wenn Sie unsicher sind, sagen Sie `N'.
+
+\subparagraph{Supply CT list in procfs (OBSOLETE)}$~$\\
+CONFIG\_NF\_CONNTRACK\_PROCFS [=y] \textbf{[Y]}\\*
+Mit dieser Option kann die Liste der bekannten Conntrack-Einträge in procfs unter\\
+net/netfilter/nf\_conntrack angezeigt werden. Diese Option wird als veraltet betrachtet,
+da das Werkzeug conntrack(8), das Netlink benutzt, verwendet wird.
+
+\subparagraph{Connection tracking events}$~$\\
+CONFIG\_NF\_CONNTRACK\_EVENTS [=y] \textbf{[Y]}\\*
+Wenn diese Option aktiviert ist, stellt der Code für die Verbindungsüberwachung eine
+Benachrichtigungskette zur Verfügung, die von anderem Kernel-Code verwendet werden kann,
+um über Änderungen im Status der Verbindungsüberwachung informiert zu werden.\\
+Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{Connection tracking timeout}$~$\\
+CONFIG\_NF\_CONNTRACK\_TIMEOUT [=y] \textbf{[Y]}\\*
+Diese Option aktiviert die Unterstützung für die Timeout-Erweiterung der Verbindungsverfolgung.
+Damit können Sie Zeitüberschreitungsrichtlinien an den Datenfluss über das CT-Ziel anhängen.\\
+Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{Connection tracking timestamping}$~$\\
+CONFIG\_NF\_CONNTRACK\_TIMESTAMP [=y] \textbf{[Y]}\\*
+Diese Option aktiviert die Unterstützung für die Zeitstempelung der Verbindungsverfolgung.
+Dadurch können Sie die Startzeit des Datenflusses speichern und die Zeit für die Beendigung des
+Datenflusses (nach dessen Zerstörung) über Ereignisse der Verbindungsverfolgung abrufen. Wenn
+Sie unsicher sind, sagen Sie N.
+
+\subparagraph{Connection tracking labels}$~$\\
+CONFIG\_NF\_CONNTRACK\_LABELS [=y] \textbf{[Y]}\\*
+Diese Option ermöglicht die Zuweisung von benutzerdefinierten Flaggenbits zu Einträgen der
+Verbindungsverfolgung. Sie kann mit xtables connlabel match und dem nftables ct Ausdruck
+verwendet werden.
+
 \end{document}