UPD 6.14.5 linux kernel, documentation chapter 14

2025-05-09 13:14:53 +08:00
parent 4b1d3a2669
commit 3211bc441a
6 changed files with 12362 additions and 15 deletions
--- a/2
+++ b/2
@@ -2,7 +2,7 @@
 # copied from Jan Alexander Steffens (heftig) <heftig@archlinux.org>

 pkgbase=linux-tom
-pkgver=6.14.4.arch1
+pkgver=6.14.5.arch1
 pkgrel=1
 pkgdesc='Linux'
 url='https://github.com/archlinux/linux'
--- a/18
+++ b/18
@@ -1,10 +1,10 @@
 #
 # Automatically generated file; DO NOT EDIT.
-# Linux/x86 6.14.4-arch1 Kernel Configuration
+# Linux/x86 6.14.5-arch1 Kernel Configuration
 #
-CONFIG_CC_VERSION_TEXT="gcc (GCC) 14.2.1 20250207"
+CONFIG_CC_VERSION_TEXT="gcc (GCC) 15.1.1 20250425"
 CONFIG_CC_IS_GCC=y
-CONFIG_GCC_VERSION=140201
+CONFIG_GCC_VERSION=150101
 CONFIG_CLANG_VERSION=0
 CONFIG_AS_IS_GNU=y
 CONFIG_AS_VERSION=24400
@@ -21,6 +21,7 @@ CONFIG_CC_HAS_ASM_GOTO_TIED_OUTPUT=y
 CONFIG_TOOLS_SUPPORT_RELR=y
 CONFIG_CC_HAS_ASM_INLINE=y
 CONFIG_CC_HAS_NO_PROFILE_FN_ATTR=y
+CONFIG_CC_HAS_COUNTED_BY=y
 CONFIG_LD_CAN_USE_KEEP_IN_OVERLAY=y
 CONFIG_RUSTC_HAS_COERCE_POINTEE=y
 CONFIG_PAHOLE_VERSION=130
@@ -10857,7 +10858,7 @@ CONFIG_NTFS3_FS=m
 # CONFIG_NTFS3_64BIT_CLUSTER is not set
 CONFIG_NTFS3_LZX_XPRESS=y
 CONFIG_NTFS3_FS_POSIX_ACL=y
-# CONFIG_NTFS_FS is not set
+CONFIG_NTFS_FS=m
 # end of DOS/FAT/EXFAT/NT Filesystems

 #
@@ -11562,16 +11563,19 @@ CONFIG_CRYPTO_LIB_ARC4=m
 CONFIG_CRYPTO_LIB_GF128MUL=y
 CONFIG_CRYPTO_ARCH_HAVE_LIB_BLAKE2S=y
 CONFIG_CRYPTO_LIB_BLAKE2S_GENERIC=y
-CONFIG_CRYPTO_ARCH_HAVE_LIB_CHACHA=m
+CONFIG_CRYPTO_ARCH_HAVE_LIB_CHACHA=y
 CONFIG_CRYPTO_LIB_CHACHA_GENERIC=m
+CONFIG_CRYPTO_LIB_CHACHA_INTERNAL=m
 CONFIG_CRYPTO_LIB_CHACHA=m
-CONFIG_CRYPTO_ARCH_HAVE_LIB_CURVE25519=m
+CONFIG_CRYPTO_ARCH_HAVE_LIB_CURVE25519=y
 CONFIG_CRYPTO_LIB_CURVE25519_GENERIC=m
+CONFIG_CRYPTO_LIB_CURVE25519_INTERNAL=m
 CONFIG_CRYPTO_LIB_CURVE25519=m
 CONFIG_CRYPTO_LIB_DES=m
 CONFIG_CRYPTO_LIB_POLY1305_RSIZE=11
-CONFIG_CRYPTO_ARCH_HAVE_LIB_POLY1305=m
+CONFIG_CRYPTO_ARCH_HAVE_LIB_POLY1305=y
 CONFIG_CRYPTO_LIB_POLY1305_GENERIC=m
+CONFIG_CRYPTO_LIB_POLY1305_INTERNAL=m
 CONFIG_CRYPTO_LIB_POLY1305=m
 CONFIG_CRYPTO_LIB_CHACHA20POLY1305=m
 CONFIG_CRYPTO_LIB_SHA1=y
--- a/config-6.14.5
+++ b/config-6.14.5
--- a/config-6.14.5.patch
+++ b/config-6.14.5.patch
@@ -0,0 +1,20 @@
+--- ../config	2025-05-09 09:54:21.224351124 +0800
+++ .config	2025-05-09 13:09:01.673605742 +0800
+@@ -10858,7 +10858,7 @@
+ # CONFIG_NTFS3_64BIT_CLUSTER is not set
+ CONFIG_NTFS3_LZX_XPRESS=y
+ CONFIG_NTFS3_FS_POSIX_ACL=y
+-CONFIG_NTFS_FS=m
+# CONFIG_NTFS_FS is not set
+ # end of DOS/FAT/EXFAT/NT Filesystems
+ 
+ #
+@@ -11408,7 +11408,7 @@
+ #
+ # Random number generation
+ #
+-CONFIG_CRYPTO_ANSI_CPRNG=m
+CONFIG_CRYPTO_ANSI_CPRNG=y
+ CONFIG_CRYPTO_DRBG_MENU=y
+ CONFIG_CRYPTO_DRBG_HMAC=y
+ CONFIG_CRYPTO_DRBG_HASH=y
--- a/documentation/linux_configuration.pdf
+++ b/documentation/linux_configuration.pdf
@@ -1,3 +1,3 @@
 version https://git-lfs.github.com/spec/v1
-oid sha256:6ef8c6044ae51e77d2d0948dec7329456a1c8e3b0acf89d881007eef7a687c72
-size 3445553
+oid sha256:ada2cf88ef848632fea29e691f77165ad84ecdb0d58ca858f37582186b3ea71d
+size 3462205
--- a/documentation/linux_configuration_14_networking_support.tex
+++ b/documentation/linux_configuration_14_networking_support.tex
@@ -1545,7 +1545,12 @@ Dieses Hilfsprogramm verfolgt die lokalen SNMP"=Dienstanfragen und die entsprech
 Es verlässt sich auf die korrekte Konfiguration der IP"=Adresse, insbesondere der Netzmaske und
 der Broadcast-Adresse.\\
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
-\english{}
+\english{SNMP service requests are sent as broadcast messages from an unprivileged port and responded to with unicast messages
+to the same port.
+This make them hard to firewall properly because connection tracking doesn't deal with broadcasts.
+This helper tracks locally originating SNMP service requests and the corresponding responses.
+It relies on correct IP address configuration, specifically netmask and broadcast address.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subparagraph{PPtP protocol support}$~$\\
 CONFIG\_NF\_CONNTRACK\_PPTP [=m] \textbf{[M]}\\*
@@ -1560,6 +1565,14 @@ bestehen diese Einschränkungen:
 	\item[-] Unterstützt nur einen einzigen Aufruf innerhalb jeder Sitzung
 \end{itemize}
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This module adds support for PPTP (Point to Point Tunnelling Protocol, RFC2637) connection tracking and NAT.\\
+If you are running PPTP sessions over a stateful firewall or NAT box, you may want to enable this feature.\\
+Please note that not all PPTP modes of operation are supported yet.
+Specifically these limitations exist:\\
+-- Blindly assumes that control connections are always established in PNS$-\>$PAC direction.
+This is a violation of RFC2637.\\
+-- Only supports a single call within each session\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subparagraph{SANE protocol support}$~$\\
 CONFIG\_NF\_CONNTRACK\_SANE [=m] \textbf{[M]}\\*
@@ -1567,6 +1580,10 @@ SANE ist ein Protokoll für den Fernzugriff auf Scanner, das durch den Daemon \t
 implementiert wird. Wie FTP verwendet es getrennte Kontroll- und Datenverbindungen.
 Mit diesem Modul können Sie SANE auf einer Firewall mit Verbindungsverfolgung unterstützen.
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{SANE is a protocol for remote access to scanners as implemented by the `saned' daemon.
+Like FTP, it uses separate control and data connections.\\
+With this module you can support SANE on a connection tracking firewall.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subparagraph{SIP protocol support}$~$\\
 CONFIG\_NF\_CONNTRACK\_SANE [=m] \textbf{[M]}\\*
@@ -1575,17 +1592,25 @@ SIP ist ein Kontroll\-protokoll der Anwendungsschicht, mit dem Multimedia"=Sitzu
 Mit den Modulen \texttt{nf\_conntrack\_sip} und \texttt{nf\_nat\_sip} können Sie das
 Protokoll auf einer Verbindungsverfolgung/NATing"=Firewall unterstützen.
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{SIP is an application-layer control protocol that can establish, modify, and terminate multimedia sessions (conferences)
+such as Internet telephony calls.
+With the nf\_conntrack\_sip and the nf\_nat\_sip modules you can support the protocol on a connection tracking/NATing firewall.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subparagraph{TFTP protocol support}$~$\\
 CONFIG\_NF\_CONNTRACK\_TFTP [=m] \textbf{[M]}\\*
 TFTP-Verbindungsnachverfolgungshilfe; dies ist erforderlich, je nachdem, wie restriktiv
-Ihr Regelwerk ist. Wenn Sie einen tftp"=Client hinter -j SNAT oder -j MASQUERADING verwenden,
+Ihr Regelwerk ist. Wenn Sie einen tftp"=Client hinter \texttt{-j SNAT} oder \texttt{-j MASQUERADING} verwenden,
 benötigen Sie dies.
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{TFTP connection tracking helper, this is required depending on how restrictive your ruleset is.
+If you are using a tftp client behind -j SNAT or -j MASQUERADING you will need this.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subparagraph{Connection tracking netlink interface}$~$\\
 CONFIG\_NF\_CT\_NETLINK [=m] \textbf{[M]}\\*
 Diese Option aktiviert die Unterstützung für eine netlink"=basierte Benutzerschnittstelle.
+\english{This option enables support for a netlink-based userspace interface}

 \subparagraph{Connection tracking timeout tuning via Netlink}$~$\\
 CONFIG\_NF\_CT\_NETLINK\_TIMEOUT [=m] \textbf{[M]}\\*
@@ -1593,22 +1618,31 @@ Mit dieser Option wird die Unterstützung für die Feinabstimmung des Zeitlimits
 Verbindungsverfolgung aktiviert. Dies ermöglicht es Ihnen, spezifische
 Zeitüberschreitungsrichtlinien an Abläufe anzuhängen, anstatt die globale
 Zeitüberschreitungsrichtlinie zu verwenden. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option enables support for connection tracking timeout fine-grain tuning.
+This allows you to attach specific timeout policies to flows, instead of using the global timeout policy.\\
+If unsure, say `N'.}

 \subparagraph{Connection tracking helpers in user-space via Netlink}$~$\\
 CONFIG\_NF\_CT\_NETLINK\_HELPER [=m] \textbf{[M]}\\*
 Mit dieser Option wird die Infrastruktur für die Verbindungsnachverfolgung im
 Benutzerbereich aktiviert. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option enables the user-space connection tracking helpers infrastructure.\\
+If unsure, say `N'.}

 \subparagraph{NFQUEUE and NFLOG integration with Connection Tracking}$~$\\
 CONFIG\_NETFILTER\_NETLINK\_GLUE\_CT [=y] \textbf{[Y]}\\*
 Wenn diese Option aktiviert ist, können NFQUEUE und NFLOG zusammen mit dem Paket, das über
 NFNETLINK in die Warteschlange gestellt wurde, Informationen zur Verbindungsverfolgung enthalten.
+\english{If this option is enabled, NFQUEUE and NFLOG can include Connection Tracking information together with the packet is
+the enqueued via NFNETLINK.}

 \subparagraph{Network Address Translation support}$~$\\
 CONFIG\_NF\_NAT [=m] \textbf{[M]}\\*
 Die NAT"=Option ermöglicht Masquerading, Portweiterleitung und andere Formen der vollständigen
 Network Address Port Translation. Dies kann durch iptables, ip6tables oder nft kontrolliert
 werden.
+\english{The NAT option allows masquerading, port forwarding and other forms of full Network Address Port Translation.
+This can be controlled by iptables, ip6tables or nft.}

 \subparagraph{Netfilter nf\_tables support}$~$\\
 CONFIG\_NF\_TABLES [=m] \textbf{[M]}\\*
@@ -1620,117 +1654,147 @@ bekannt), den das Userspace-Dienstprogramm \texttt{nft}
 verwendet. Außerdem enthält es die generische Set-Infrastruktur, die es Ihnen
 ermöglicht, Zuordnungen zwischen Übereinstimmungen und Aktionen zu konstruieren,
 um die Leistung zu verbessern. Um es als Modul zu kompilieren, wählen Sie hier M.
+\english{nftables is the new packet classification framework that intends to replace the existing \{ip,ip6,arp,eb\}\_tables infrastructure.
+It provides a pseudo-state machine with an extensible instruction-set (also known as expressions) that the userspace `nft' utility
+(\url{https://www.netfilter.org/projects/nftables}) uses to build the rule-set.
+It also comes with the generic set infrastructure that allows you to construct mappings between matchings and actions for performance lookups.\\
+To compile it as a module, choose M here.}

 \subsubparagraph{Netfilter nf\_tables mixed IPv4/IPv6 tables support}$~$\\
 CONFIG\_NF\_TABLES\_INET [=y] \textbf{[Y]}\\*
 Diese Option aktiviert die Unterstützung für eine gemischte
 IPv4/IPv6"=\glqq inet\grqq{}"=Tabelle.
+\english{This option enables support for a mixed IPv4/IPv6 ``ìnet'' table.}

 \subsubparagraph{Netfilter nf\_tables netdev tables support}$~$\\
 CONFIG\_NF\_TABLES\_NETDEV [=y] \textbf{[Y]}\\*
 Diese Option aktiviert die Unterstützung für die Tabelle \glqq netdev\grqq{}.
+\english{This option enables support for the ``netdev'' table.}

 \subsubparagraph{Netfilter nf\_tables number generator module}$~$\\
 CONFIG\_NFT\_NUMGEN [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck für den Zahlengenerator hinzu, der zur
 Durchführung der inkrementellen Zählung und der an eine Obergrenze
 gebundenen Zufallszahlen verwendet wird.
+\english{This option adds the number generator expression used to perform incremental counting and random numbers bound to a upper limit.}

 \subsubparagraph{Netfilter nf\_tables conntrack module}$~$\\
 CONFIG\_NFT\_CT [=m] \textbf{[M]}\\*
-Diese Option fügt den Ausdruck "ct" hinzu, den Sie verwenden können, um Informationen
+Diese Option fügt den Ausdruck \glqq ct\grqq{} hinzu, den Sie verwenden können, um Informationen
 zur Verbindungsverfolgung, wie z.\,B. den Status des Datenflusses, abzugleichen.
+\english{This option adds the ``ct'' expression that you can use to match connection tracking information such as the flow state.}

 \subsubparagraph{Netfilter nf\_tables hardware flow offload module}$~$\\
 CONFIG\_NFT\_FLOW\_OFFLOAD [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq flow\_offload\grqq{} hinzu, mit dem Sie
 festlegen können, welche Datenströme in die Hardware eingespeist werden.
+\english{This option adds the ``flow\_offload'' expression that you can use to choose what flows are placed into the hardware.}

 \subsubparagraph{Netfilter nf\_tables connlimit module}$~$\\
 CONFIG\_NFT\_CONNLIMIT [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq connlimit\grqq{} hinzu, den Sie verwenden können,
 um die Übereinstimmung von Regeln pro Verbindung zu begrenzen.
+\english{This option adds the ``connlimit'' expression that you can use to ratelimit rule matchings per connections.}

 \subsubparagraph{Netfilter nf\_tables log module}$~$\\
 CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq log\grqq{} hinzu, den Sie verwenden können,
 um Pakete zu protokollieren, die bestimmten Kriterien entsprechen.
+\english{This option adds the ``log'' expression that you can use to log packets matching some criteria.}

 \subsubparagraph{Netfilter nf\_tables limit module}$~$\\
 CONFIG\_NFT\_LOG [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq limit\grqq{} hinzu, den Sie verwenden können,
 um die Übereinstimmung von Regeln zu begrenzen.
+\english{This option adds the ``limit'' expression that you can use to ratelimit rule matchings.}

 \subsubparagraph{Netfilter nf\_tables masquerade support}$~$\\
 CONFIG\_NFT\_MASQ [=m] \textbf{[M]}\\*
 Diese Option fügt den \glqq masquerade\grqq{}"=Ausdruck hinzu, den Sie verwenden
 können, um NAT im Masquerade"=Flavour durchzuführen.
+\english{This option adds the ``masquerade'' expression that you can use to perform NAT in the masquerade flavour.}

 \subsubparagraph{Netfilter nf\_tables redirect support}$~$\\
 CONFIG\_NFT\_REDIR [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq redirect\grqq{} hinzu, mit dem Sie NAT
 im Redirect"=Flavour durchführen können.
+\english{This options adds the ``redirect'' expression that you can use to perform NAT in the redirect flavour.}

 \subsubparagraph{Netfilter nf\_tables nat module}$~$\\
 CONFIG\_NFT\_NAT [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq nat\grqq{} hinzu, mit dem Sie typische
 NAT-Paketumwandlungen (Network Address Translation) durchführen können.
+\english{This option adds the ``nat'' expression that you can use to perform typical Network Address Translation (NAT)
+packet transformations.}

 \subsubparagraph{Netfilter nf\_tables tunnel module}$~$\\
 CONFIG\_NFT\_TUNNEL [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq tunnel\grqq{} hinzu, den Sie zum Festlegen von
 Tunneling-Richtlinien verwenden können.
+\english{This option adds the ``tunnel'' expression that you can use to set tunneling policies.}

 \subsubparagraph{Netfilter nf\_tables queue module}$~$\\
 CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\*
 Dies ist erforderlich, wenn Sie die Userspace"=Warteschlangen"=Infrastruktur (auch
 bekannt als NFQUEUE) von nftables verwenden wollen.
+\english{This is required if you intend to use the userspace queueing infrastructure (also known as NFQUEUE) from nftables.}

 \subsubparagraph{Netfilter nf\_tables quota module}$~$\\
 CONFIG\_NFT\_QUEUE [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq quota\grqq{} hinzu, den Sie verwenden können,
 um Byte-Quoten zu erzwingen.
+\english{This option adds the ``quota'' expression that you can use to match enforce bytes quotas.}

 \subsubparagraph{Netfilter nf\_tables reject support}$~$\\
 CONFIG\_NFT\_REJECT [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq reject\grqq{} hinzu, den Sie verwenden
 können, um nicht zugelassenen Datenverkehr explizit abzulehnen und über
 TCP-Reset/ICMP"=Informationsfehler zu benachrichtigen.
+\english{This option adds the ``reject'' expression that you can use to explicitly deny and notify via
+TCP reset/ICMP informational errors unallowed traffic.}

 \subsubparagraph{Netfilter x\_tables over nf\_tables module}$~$\\
 CONFIG\_NFT\_COMPAT [=m] \textbf{[M]}\\*
 Dies ist erforderlich, wenn Sie beabsichtigen, eine der vorhandenen x\_tables
 match/target-Erweiterungen über das nf\_tables-Framework zu verwenden.
+\english{This is required if you intend to use any of existing x\_tables match/target extensions over the nf\_tables framework.}

 \subsubparagraph{Netfilter nf\_tables hash module}$~$\\
 CONFIG\_NFT\_HASH [=m] \textbf{[M]}\\*
 Diese Option fügt den Ausdruck \glqq hash\grqq{} hinzu, mit dem Sie eine Hash"=Operation
 für Register durchführen können.
+\english{This option adds the ``hash'' expression that you can use to perform a hash operation on registers.}

 \subsubparagraph{Netfilter nf\_tables fib inet support}$~$\\
 CONFIG\_NFT\_FIB\_INET [=m] \textbf{[M]}\\*
 Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der Inet"=Tabelle.
 Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je nach dem Protokoll
 des Pakets.
+\english{This option allows using the FIB expression from the inet table.
+The lookup will be delegated to the IPv4 or IPv6 FIB depending on the protocol of the packet.}

 \subsubparagraph{Netfilter nf\_tables xfrm/IPSec security association matching}$~$\\
 CONFIG\_NFT\_XFRM [=m] \textbf{[M]}\\*
 Diese Option fügt einen Ausdruck hinzu, den Sie verwenden können, um Eigenschaften einer
 Paketsicherheitszuordnung zu extrahieren.
+\english{This option adds an expression that you can use to extract properties of a packets security association.}

 \subsubparagraph{Netfilter nf\_tables socket match support}$~$\\
 CONFIG\_NFT\_SOCKET [=m] \textbf{[M]}\\*
 Diese Option ermöglicht den Abgleich auf das Vorhandensein oder Nichtvorhandensein eines
 entsprechenden Sockets und seiner Attribute.
+\english{This option allows matching for the presence or absence of a corresponding socket and its attributes.}

 \subsubparagraph{Netfilter nf\_tables passive OS fingerprint support}$~$\\
 CONFIG\_NFT\_OSF [=m] \textbf{[M]}\\*
 Mit dieser Option können Pakete von einem bestimmten Betriebssystem abgeglichen
 werden.
+\english{This option allows matching packets from an specific OS.}

 \subsubparagraph{Netfilter nf\_tables tproxy support}$~$\\
 CONFIG\_NFT\_TPROXY [=m] \textbf{[M]}\\*
 Dadurch wird die Unterstützung für transparente Proxys in nftables verfügbar.
+\english{This makes transparent proxy support available in nftables.}

 \subsubparagraph{Netfilter nf\_tables SYNPROXY expression support}$~$\\
 CONFIG\_NFT\_SYNPROXY [=m] \textbf{[M]}\\*
@@ -1738,59 +1802,77 @@ Mit dem SYNPROXY-Ausdruck können Sie TCP-Verbindungen abfangen und mit
 Syncookies aufbauen, bevor sie an den Server weitergeleitet werden.
 Auf diese Weise können Sie die Nutzung von Verbindungen und Serverressourcen
 bei SYN"=Flood"=Angriffen vermeiden.
+\english{The SYNPROXY expression allows you to intercept TCP connections and establish them using syncookies before they
+are passed on to the server.
+This allows to avoid conntrack and server resource usage during SYN-flood attacks.}

 \subsubparagraph{Netfilter packet duplication support}$~$\\
 CONFIG\_NF\_DUP\_NETDEV [=m] \textbf{[M]}\\*
 Diese Option aktiviert die generische Infrastruktur zur Paketvervielfältigung
 für Netfilter.
+\english{This option enables the generic packet duplication infrastructure for Netfilter.}

 \subsubparagraph{Netfilter nf\_tables netdev packet duplication support}$~$\\
 CONFIG\_NFT\_DUP\_NETDEV [=m] \textbf{[M]}\\*
 Mit dieser Option wird die Paketverdopplung für die \glqq netdev\grqq{}"=Familie
 aktiviert.
+\english{This option enables packet duplication for the ``netdev'' family.}

 \subsubparagraph{Netfilter nf\_tables netdev packet forwarding support}$~$\\
 CONFIG\_NFT\_FWD\_NETDEV [=m] \textbf{[M]}\\*
 Diese Option aktiviert die Paketweiterleitung für die Familie
 \glqq netdev\grqq{}.
+\english{This option enables packet forwarding for the ``netdev'' family.}

 \subsubparagraph{Netfilter nf\_tables netdev fib lookups support}$~$\\
 CONFIG\_NFT\_FIB\_NETDEV [=m] \textbf{[M]}\\*
 Diese Option ermöglicht die Verwendung des FIB-Ausdrucks aus der
 netdev"=Tabelle. Die Suche wird an die IPv4- oder IPv6"=FIB delegiert, je
 nach dem Protokoll des Pakets.
+\english{This option allows using the FIB expression from the netdev table.
+The lookup will be delegated to the IPv4 or IPv6 FIB depending on the protocol of the packet.}

 \subsubparagraph{Netfilter nf\_tables netdev fib REJECT support}$~$\\
 CONFIG\_NFT\_REJECT\_NETDEV [=m] \textbf{[M]}\\*
 Diese Option aktiviert die REJECT-Unterstützung in der netdev-Tabelle.
 Die Erzeugung von Rück"-sende"-paketen wird an die IPv4- oder IPv6-ICMP- oder
 TCP-RST-Implementierung delegiert, je nach dem Protokoll des Pakets.
+\english{This option enables the REJECT support from the netdev table.
+The return packet generation will be delegated to the IPv4 or IPv6 ICMP or TCP RST implementation depending on the protocol of the packet.}

 \subparagraph{Netfilter flow table mixed IPv4/IPv6 module}$~$\\
 CONFIG\_NF\_FLOW\_TABLE\_INET [=m] \textbf{[M]}\\*
 Diese Option fügt die gemischte IPv4/IPv6-Unterstützung der Flow Table hinzu.
 Um sie als Modul zu kompilieren, wählen Sie hier M.
+\english{This option adds the flow table mixed IPv4/IPv6 support.\\
+To compile it as a module, choose M here.}

 \subparagraph{Netfilter flow table module}$~$\\
 CONFIG\_NF\_FLOW\_TABLE [=m] \textbf{[M]}\\*
 Diese Option fügt die Kerninfrastruktur der Ablauftabelle hinzu. Um sie als
 Modul zu kompilieren, wählen Sie hier M.
+\english{This option adds the flow table core infrastructure.\\
+To compile it as a module, choose M here.}

 \subsubparagraph{Supply flow table statistics in procfs}$~$\\
 CONFIG\_NF\_FLOW\_TABLE\_PROCFS [=y] \textbf{[Y]}\\*
 Diese Option ermöglicht die Anzeige der Flow-Table-Offload-Statistiken in
 procfs unter\\
 net/netfilter/nf\_flowtable.
+\english{This option enables for the flow table offload statistics to be shown in procfs under net/netfilter/nf\_flowtable.}

 \subparagraph{Netfilter Xtables support (required for ip\_tables)}$~$\\
 CONFIG\_NETFILTER\_XTABLES [=m] \textbf{[M]}\\*
 Dies ist erforderlich, wenn Sie eine der Tabellen ip\_tables, ip6\_tables oder
 arp\_tables verwenden wollen.
+\english{This is required if you intend to use any of ip\_tables, ip6\_tables or arp\_tables.}

 \subsubparagraph{Netfilter Xtables 32bit support}$~$\\
 CONFIG\_NETFILTER\_XTABLES\_COMPAT [=y] \textbf{[Y]}\\*
 Diese Option bietet eine Übersetzungsschicht, um 32bit arp,ip(6),ebtables-Binärdateien
 auf 64bit-Kerneln laufen zu lassen. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option provides a translation layer to run 32bit arp,ip(6),ebtable binaries on 64bit kernels.\\
+If unsure, say N.}

 \subsubparagraph*{*** Xtables combined modules ***}$~$\\
 \textit{(Xtables kombinierte Module)}
@@ -1805,6 +1887,10 @@ hinzu. Mit dem Netfilter"=Mark"=Matching können Sie Pakete auf der Grundlage de
 Feld \glqq netfilter mark\grqq{} (nfmark) ändern. Vor dem Routing kann die
 nfmark die Routing-Methode beeinflussen und kann auch von anderen Subsystemen
 verwendet werden, um ihr Verhalten zu ändern.
+\english{This option adds the ``MARK'' target and ``mark'' match.\\
+Netfilter mark matching allows you to match packets based on the ``nfmark'' value in the packet.
+The target allows you to create rules in the ``mangle'' table which alter the netfilter mark (nfmark) field associated with the packet.\\
+Prior to routing, the nfmark can influence the routing method and can also be used by other subsystems to change their behavior.}

 \subsubparagraph{ctmark target and match support}$~$\\
 CONFIG\_NETFILTER\_XT\_CONNMARK [=m] \textbf{[M]}\\*
@@ -1814,6 +1900,9 @@ Netfilter ermöglicht es Ihnen, einen Markierungswert
 pro Verbindung (auch bekannt als ctmark) zu speichern, ähnlich wie bei der
 Paketmarkierung (nfmark). Mit Hilfe dieses Ziels und der Übereinstimmung können
 Sie diese Markierung setzen und abgleichen.
+\english{This option adds the ``CONNMARK'' target and ``connmark'' match.\\
+Netfilter allows you to store a mark value per connection (a.k.a. ctmark), similarly to the packet mark (nfmark).
+Using this target and match, you can set and match on this mark.}

 \subsubparagraph{set target and match support}$~$\\
 CONFIG\_NETFILTER\_XT\_SET [=m] \textbf{[M]}\\*
@@ -1821,6 +1910,9 @@ Diese Option fügt das \glqq SET\grqq{}-Ziel und die \glqq set\grqq{}-Übereinst
 hinzu. Mit diesem Ziel und dieser Übereinstimmung können Sie Elemente in den von
 ipset(8) erstellten Sets hinzufügen/löschen und abgleichen. Um es als Modul zu
 kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds the ``SET'' target and ``set'' match.\\
+Using this target and match, you can add/delete and match elements in the sets created by ipset(8).\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph*{*** Xtables combined modules ***}$~$\\
 \textit{(Xtables kombinierte Module)}
@@ -1831,6 +1923,8 @@ Diese Option fügt ein 'AUDIT'-Ziel hinzu, das verwendet werden kann, um
 Audit"=Aufzeichnungen für verworfene/akzeptierte Pakete zu erstellen.
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
 sagen Sie N.
+\english{This option adds a `AUDIT' target, which can be used to create audit records for packets dropped/accepted.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{CHECKSUM target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_CHECKSUM [=m] \textbf{[M]}\\*
@@ -1842,15 +1936,24 @@ Hardware ausgelagert wird und daher als gültig angesehen werden sollte. Dieses
 Ziel kann verwendet werden, um die Prüfsumme mit iptables auszufüllen, wenn
 solche Pakete über ein virtuelles Netzwerkgerät gesendet werden. Um es als
 Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds a `CHECKSUM' target, which can be used in the iptables table to work around buggy DHCP clients in virtualized environments.\\
+Some old DHCP clients drop packets because they are not aware that the checksum would normally be offloaded to hardware and
+thus should be considered valid.
+This target can be used to fill in the checksum using iptables when such packets are sent via a virtual network device.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``CLASSIFY'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_CLASSIFY [=m] \textbf{[M]}\\*
 Diese Option fügt ein \glq CLASSIFY\grq{}-Ziel hinzu, das es dem Benutzer
 ermöglicht, die Priorität eines Pakets festzulegen. Einige qdiscs können
 diesen Wert zur Klassifizierung verwenden, darunter sind:\\[.5em]
-atm, cbq, dsmark, pfifo\_fast, htb, prio\\[0.5em]
+\texttt{atm}, \texttt{cbq}, \texttt{dsmark}, \texttt{pfifo\_fast}, \texttt{htb}, \texttt{prio}\\[0.5em]
 Um es als Modul zu kompilieren, wählen Sie hier M.
 Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds a `CLASSIFY' target, which enables the user to set the priority of a packet.
+Some qdiscs can use this value for classification, among these are:\\
+\texttt{atm}, \texttt{cbq}, \texttt{dsmark}, \texttt{pfifo\_fast}, \texttt{htb}, \texttt{prio}\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``CONNMARK'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_CONNMARK [=m] \textbf{[M]}\\*
@@ -1859,6 +1962,8 @@ Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
 Mit ihr wird
 CONFIG\_NETFILTER\_XT\_CONNMARK (kombiniertes connmark/CONNMARK"=Modul)
 ausgewählt.
+\english{This is a backwards-compat option for the user's convenience (e.g. when running oldconfig).
+It selects CONFIG\_NETFILTER\_XT\_CONNMARK (combined connmark/CONNMARK module).}

 \subsubparagraph{``CONNSECMARK'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_CONNSECMARK [=m] \textbf{[M]}\\*
@@ -1868,6 +1973,10 @@ wieder her (wenn die Pakete nicht bereits markiert sind).
 Er wird normalerweise in Verbindung mit dem SECMARK"=Ziel verwendet.\\
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
 sagen Sie N.
+\english{The CONNSECMARK target copies security markings from packets to connections, and restores security markings from
+connections to packets (if the packets are not already marked).
+This would normally be used in conjunction with the SECMARK target.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``CT'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_CT [=m] \textbf{[M]}\\*
@@ -1875,6 +1984,9 @@ Diese Option fügt ein \glq CT\grq{}-Ziel hinzu, das es ermöglicht, anfänglich
 Parameter für die Verbindungsverfolgung wie zu übermittelnde Ereignisse
 und den zu verwendenden Helfer anzugeben.\\Um es als Modul zu kompilieren,
 wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This options adds a `CT' target, which allows to specify initial connection tracking parameters
+like events to be delivered and the helper to be used.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``DSCP'' and ``TOS'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_DSCP [=m] \textbf{[M]}\\*
@@ -1887,6 +1999,12 @@ Service\grqq{}-Feld eines IPv4- oder das Prioritätsfeld eines IPv6-Pakets
 vor dem Routing ändern.\\
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind,
 wählen Sie N.
+\english{This option adds a `DSCP' target, which allows you to manipulate the IPv4/IPv6 header DSCP field
+(differentiated services codepoint).\\
+The DSCP field can have any value between 0x0 and 0x3f inclusive.\\
+It also adds the ``TOS'' target, which allows you to create rules in the ``mangle'' table which alter the Type Of Service field
+of an IPv4 or the Priority field of an IPv6 packet, prior to routing.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``HL'' hoplimit target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_HL [=m] \textbf{[M]}\\*
@@ -1897,6 +2015,11 @@ den Hoplimit/TTL-Wert zu dekrementieren, erlauben die Module auch, den
 Hoplimit-Wert des Headers zu erhöhen und auf beliebige Werte zu setzen.
 Dies ist EXTREM GEFÄHRLICH, da man leicht unsterbliche Pakete erzeugen kann,
 die sich ewig im Netz drehen.
+\english{This option adds the ``HL'' (for IPv6) and ``TTL'' (for IPv4) targets, which enable the user to change the
+hoplimit/time-to-live value of the IP header.
+While it is safe to decrement the hoplimit/TTL value, the modules also allow to increment and set the hoplimit value of
+the header to arbitrary values.
+This is EXTREMELY DANGEROUS since you can easily create immortal packets that loop forever on the network.}

 \subsubparagraph{``HMARK'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_HMARK [=m] \textbf{[M]}\\*
@@ -1907,6 +2030,11 @@ Bereichs setzen. Die nfmark kann die Routing-Methode beeinflussen und kann
 auch von anderen Teilsystemen verwendet werden, um deren Verhalten zu ändern.
 Um es als Modul zu kompilieren, wählen Sie hier M.
 Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds the ``HMARK'' target.\\
+The target allows you to create rules in the ``raw'' and ``mangle'' tables which set the skbuff mark by means of hash calculation
+within a given range.
+The nfmark can influence the routing method and can also be used by other subsystems to change their behaviour.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{IDLETIMER target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_IDLETIMER [=m] \textbf{[M]}\\*
@@ -1916,6 +2044,11 @@ verbunden ist, das beim Hinzufügen der Regel angegeben wurde. Wenn der
 Timer abläuft, löst er eine sysfs-Benachrichtigung aus. Die verbleibende
 Zeit bis zum Ablauf kann über sysfs ausgelesen werden. Um es als Modul zu
 kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds the `IDLETIMER' target.
+Each matching packet resets the timer associated with label specified when the rule is added.
+When the timer expires, it triggers a sysfs notification.
+The remaining time for expiration can be read via sysfs.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``LED'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_LED [=m] \textbf{[M]}\\*
@@ -1932,44 +2065,69 @@ Verbinden Sie dann den neuen Auslöser mit einer LED auf Ihrem System:\\[.5em]
 \texttt{echo netfilter-ssh $>$ /sys/class/leds/$<$ledname$>$/trigger}\\[.5em]
 Weitere Informationen zu den auf Ihrem System verfügbaren LEDs finden Sie unter\\
 Documentation/leds/leds-class.rst
+\english{This option adds a `LED' target, which allows you to blink LEDs in response to particular packets passing through your machine.\\
+This can be used to turn a spare LED into a network activity LED, which only flashes in response to FTP transfers, for example.
+Or you could have an LED which lights up for a minute or two every time somebody connects to your machine via SSH.\\
+You will need support for the ``led'' class to make this work.\\
+To create an LED trigger for incoming SSH traffic:\\
+\texttt{iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh --led-delay 1000}\\
+Then attach the new trigger to an LED on your system:\\
+\texttt{echo netfilter-ssh $>$ /sys/class/leds/$<$ledname$>$/trigger}\\
+For more information on the LEDs available on your system, see Documentation/leds/leds-class.rst}

 \subsubparagraph{LOG target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_LOG [=m] \textbf{[M]}\\*
 Diese Option fügt ein \glq LOG\grq{}-Ziel hinzu, das es Ihnen erlaubt, Regeln in
 jeder iptables-Tabelle zu erstellen, die den Paket-Header im Syslog aufzeichnen.
 Um es als Modul zu kompilieren, wähle hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds a `LOG' target, which allows you to create rules in any iptables table which records the packet header
+to the syslog.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``MARK'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_MARK [=m] \textbf{[M]}\\*
 Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
 (z.\,B. bei der Ausführung von oldconfig). Mit ihr wird
 CONFIG\_NETFILTER\_XT\_MARK (kombiniertes Mark/MARK-Modul) ausgewählt.
+\english{This is a backwards-compat option for the user's convenience (e.g. when running oldconfig).
+It selects CONFIG\_NETFILTER\_XT\_MARK (combined mark/MARK module).}

 \subsubparagraph{``SNAT and DNAT'' targets support}$~$\\
 CONFIG\_NETFILTER\_XT\_NAT [=m] \textbf{[M]}\\*
 Mit dieser Option werden die Ziele SNAT und DNAT aktiviert. Um es als Modul zu
 kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option enables the SNAT and DNAT targets.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``NETMAP'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_NETMAP [=m] \textbf{[M]}\\*
 NETMAP ist eine Implementierung der statischen 1:1-NAT-Zuordnung von Netzwerkadressen.
 Sie bildet den Teil der Netzwerkadresse ab, während der Teil der Hostadresse intakt bleibt.
+\english{NETMAP is an implementation of static 1:1 NAT mapping of network addresses.
+It maps the network address part, while keeping the host address part intact.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``NFLOG'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_NFLOG [=m] \textbf{[M]}\\*
 Diese Option aktiviert das NFLOG-Ziel, das es ermöglicht, Nachrichten über nfnetlink\_log
 zu protokollieren. Um es als Modul zu kompilieren, wählen Sie hier M.
 Wenn Sie unsicher sind, sagen Sie N.
+\english{This option enables the NFLOG target, which allows to LOG messages through nfnetlink\_log.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``NFQUEUE'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_NFQUEUE [=m] \textbf{[M]}\\*
 Dieses Ziel hat das alte, veraltete QUEUE-Ziel ersetzt. Im Gegensatz zu QUEUE unterstützt
-es 65535 verschiedene Warteschlangen, nicht nur eine. Um es als Modul zu kompilieren,
+es \num{65535} verschiedene Warteschlangen, nicht nur eine. Um es als Modul zu kompilieren,
 wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This target replaced the old obsolete QUEUE target.\\
+As opposed to QUEUE, it supports 65535 different queues, not just one.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``NOTRACK'' target support (DEPRECATED)}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_NFQUEUE [=m] \textbf{[M]}\\*
 \textit{Für diese Option gibt es keine Hilfe.}
+\english{There is no help available for this option.}

 \subsubparagraph{``RATEEST'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_RATEEST [=m] \textbf{[M]}\\*
@@ -1977,6 +2135,9 @@ Diese Option fügt ein \glq RATEEST\grq{}-Ziel hinzu, das es ermöglicht, Raten
 bei TC-Schätzern zu messen. Die \glq Rateest\grq{}-Übereinstimmung kann zum Abgleich mit den
 gemessenen Raten verwendet werden. Um es als Modul zu kompilieren, wählen Sie hier M.
 Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds a `RATEEST' target, which allows to measure rates similar to TC estimators.
+The `rateest' match can be used to match on the measured rates.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{REDIRECT target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_REDIRECT [=m] \textbf{[M]}\\*
@@ -1984,6 +2145,10 @@ REDIRECT ist ein Spezialfall von NAT: Alle eingehenden Verbindungen werden auf d
 der eingehenden Schnittstelle abgebildet, so dass die Pakete zum lokalen Rechner gelangen,
 anstatt durchzugehen. Dies ist nützlich für transparente Proxies. Um es als Modul zu kompilieren,
 wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{REDIRECT is a special case of NAT: all incoming connections are mapped onto the incoming interface's address,
+causing the packets to come to the local machine instead of passing through.
+This is useful for transparent proxies.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{MASQUERADE target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_MASQUERADE [=m] \textbf{[M]}\\*
@@ -1992,11 +2157,17 @@ dass sie von einer bestimmten Schnittstellenadresse zu kommen scheinen, und wenn
 ausfällt, gehen diese Verbindungen verloren. Dies ist nur für Einwahlkonten mit dynamischer
 IP-Adresse nützlich (d.\,h. Ihre IP-Adresse wird bei der nächsten Einwahl eine andere sein).
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{Masquerading is a special case of NAT:
+all outgoing connections are changed to seem to come from a particular interface's address, and if the interface goes down,
+those connections are lost.
+This is only useful for dialup accounts with dynamic IP address (ie. your IP address will be different on next dialup).\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``TEE'' -- packet cloning to alternate destination}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_TEE [=m] \textbf{[M]}\\*
 Diese Option fügt ein \glqq TEE\grqq{}-Ziel hinzu, mit dem ein Paket geklont werden kann und dieser
 Klon zu einem anderen Nexthop umgeleitet wird.
+\english{This option adds a ``TEE'' target with which a packet can be cloned and this clone be rerouted to another nexthop.}

 \subsubparagraph{``TPROXY'' target transparent proxying support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_TPROXY [=m] \textbf{[M]}\\*
@@ -2008,6 +2179,12 @@ iptables-Regeln konfigurieren und Policy-Routing verwenden. Weitere Informatione
 finden Sie unter\\
 Documentation/networking/tproxy.rst.\\
 Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+\english{This option adds a `TPROXY' target, which is somewhat similar to REDIRECT.
+It can only be used in the mangle table and is useful to redirect traffic to a transparent proxy.
+It does \_not\_ depend on Netfilter connection tracking and NAT, unlike REDIRECT.
+For it to work you will have to configure certain iptables rules and use policy routing.
+For more information on how to set it up see Documentation/networking/tproxy.rst.\\
+To compile it as a module, choose M here. If unsure, say N.}

 \subsubparagraph{``TRACE'' target support}$~$\\
 CONFIG\_NETFILTER\_XT\_TARGET\_TRACE [=m] \textbf{[M]}\\*