UPD ebt: redirect target support

2023-12-30 13:06:15 +01:00
parent bee8e34c3f
commit 6dd64cde32
2 changed files with 300 additions and 1 deletions
--- a/documentation/linux_configuration.pdf
+++ b/documentation/linux_configuration.pdf
--- a/documentation/linux_configuration.tex
+++ b/documentation/linux_configuration.tex
@@ -6540,7 +6540,7 @@ Mit dieser Match-Erweiterung können Sie einen Bereich von SPIs im AH-Header von
 Um sie als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.

 \subsubparagraph{``ecn'' match support}$~$\\
-CONFIG\_IP\_NF\_MATCH\_AH [=m] \textbf{[M]}\\
+CONFIG\_IP\_NF\_MATCH\_ECN [=m] \textbf{[M]}\\
 Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
 (z.~B. bei der Ausführung von oldconfig). Sie wählt CONFIG\_NETFILTER\_XT\_MATCH\_ECN aus.

@@ -6656,6 +6656,305 @@ Ermöglicht die Änderung der ARP-Paket-Nutzlast: Quell- und Ziel-Hardware- und
 \paragraph{IPv6: Netfilter Configuration \texorpdfstring{$\rightarrow$}{->}}$~$\\
 \textit{IPv6: Netzfilter-Konfiguration}

+\subparagraph{IPv6 socket lookup support}$~$\\
+CONFIG\_NF\_SOCKET\_IPV6 [=m] \textbf{[M]}\\
+Diese Option aktiviert die IPv6-Socket-Lookup-Infrastruktur. Dies ist für die
+Socket-Übereinstimmung \{ip6,nf\}tables erforderlich.

+\subparagraph{IPv6 tproxy support}$~$\\
+CONFIG\_NF\_TPROXY\_IPV6 [=m] \textbf{[M]}\\
+\textit{Für diese Option gibt es keine Hilfe.}
+
+\subparagraph{IPv6 nf\_tables support}$~$\\
+CONFIG\_NF\_TABLES\_IPV6 [=y] \textbf{[Y]}\\
+Diese Option aktiviert die IPv6-Unterstützung für nf\_tables.
+
+\subsubparagraph{IPv6 nf\_tables packet duplication support}$~$\\
+CONFIG\_NFT\_DUP\_IPV6 [=y] \textbf{[Y]}\\
+Dieses Modul ermöglicht die Unterstützung der IPv6-Paketduplikation für nf\_tables.
+
+\subsubparagraph{nf\_tables fib / ipv6 route lookup support}$~$\\
+CONFIG\_NFT\_FIB\_IPV6 [=m] \textbf{[M]}\\
+Dieses Modul ermöglicht IPv6-FIB-Lookups, z.~B. für Reverse Path Filtering.
+Es ermöglicht auch die Abfrage der FIB nach dem Routentyp, z.~B. lokal, Unicast,
+Multicast oder Blackhole.
+
+\subparagraph{Netfilter IPv6 packet duplication to alternate destination}$~$\\
+CONFIG\_NF\_DUP\_IPV6 [=m] \textbf{[M]}\\
+Diese Option aktiviert den nf\_dup\_ipv6"=Kern, der ein IPv6"=Paket dupliziert,
+um es an ein anderes Ziel umzuleiten.
+
+\subparagraph{IPv6 packet rejection}$~$\\
+CONFIG\_NF\_REJECT\_IPV6 [=m] \textbf{[M]}\\
+\textit{Für diese Option gibt es keine Hilfe.}
+
+\subparagraph{IPv6 packet logging}$~$\\
+CONFIG\_NF\_LOG\_IPV6 [=m] \textbf{[M]}\\
+Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
+(z.~B. bei der Ausführung von oldconfig). Sie wählt CONFIG\_NF\_LOG\_SYSLOG aus.
+
+\subparagraph{IP6 tables support (required for filtering)}$~$\\
+CONFIG\_IP6\_NF\_IPTABLES [=m] \textbf{[M]}\\
+ip6tables ist ein allgemeines, erweiterbares Framework zur Paketidentifizierung.
+Derzeit nutzen nur das Paketfilter- und Paketmangling-Subsystem für IPv6 dieses System,
+aber die Verbindungsverfolgung wird folgen.
+Sagen Sie hier Y oder M, wenn Sie eines dieser Systeme verwenden wollen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``ah'' match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_AH [=m] \textbf{[M]}\\
+Mit diesem Modul kann man AH-Pakete abgleichen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``eui64'' address check}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_EUI64 [=m] \textbf{[M]}\\
+Dieses Modul führt eine Überprüfung der IPv6-Quelladresse durch und vergleicht die letzten
+64~Bits mit der EUI64"=Adresse (die von der MAC"=Adresse geliefert wird)\\
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``frag'' Fragmentation header match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_FRAG [=m] \textbf{[M]}\\
+Mit dem Fragmentierungsabgleich können Sie Pakete auf der Grundlage des Fragmentierungsheaders
+des Pakets abgleichen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``hbh'' hop-by-hop and ``dst'' opts header match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_OPTS [=m] \textbf{[M]}\\
+Dies ermöglicht es, Pakete auf der Grundlage der Hop-by-Hop- und Zieloptions-Header eines
+Pakets abzugleichen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``hl'' hoplimit match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_HL [=m] \textbf{[M]}\\
+Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
+(z.~B. bei der Ausführung von oldconfig). Sie wählt CONFIG\_NETFILTER\_XT\_MATCH\_HL aus.
+
+\subsubparagraph{``ipv6header'' IPv6 Extension Headers Match}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_IPV6HEADER [=m] \textbf{[M]}\\
+Dieses Modul ermöglicht es, Pakete auf der Grundlage der ipv6-Erweiterungsheader abzugleichen.
+
+\subsubparagraph{``mh'' match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_MH [=m] \textbf{[M]}\\
+Mit diesem Modul kann man MH-Pakete abgleichen. 
+
+\subsubparagraph{``rpfilter'' reverse path filter match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_RPFILTER [=m] \textbf{[M]}\\
+Mit dieser Option können Sie Pakete abgleichen, deren Antworten über die Schnittstelle
+hinausgehen würden, über die das Paket eingegangen ist.
+Um es als Modul zu kompilieren, wählen Sie hier M.
+Wenn Sie unsicher sind, sagen Sie N. Das Modul wird \texttt{ip6t\_rpfilter} heißen.
+
+\subsubparagraph{``rt'' Routing header match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_RT [=m] \textbf{[M]}\\
+Mit dem rt-Matching können Sie Pakete auf der Grundlage des Routing-Headers des Pakets abgleichen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``srh'' Segment Routing header match support}$~$\\
+CONFIG\_IP6\_NF\_MATCH\_SRH [=m] \textbf{[M]}\\
+Mit dem srh-Abgleich können Sie Pakete auf der Grundlage des Segment"=Routing"=Headers des
+Pakets abgleichen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{``HL'' hoplimit target support}$~$\\
+CONFIG\_IP6\_NF\_TARGET\_HL [=m] \textbf{[M]}\\
+Dies ist eine rückwärtskompatible Option, die dem Benutzer die Arbeit erleichtert
+(z.~B. wenn er oldconfig verwendet). Sie wählt CONFIG\_NETFILTER\_XT\_TARGET\_HL.
+
+\subsubparagraph{Packet filtering}$~$\\
+CONFIG\_IP6\_NF\_FILTER [=m] \textbf{[M]}\\
+Paketfilterung definiert eine Tabelle \texttt{filter}, die eine Reihe von Regeln für einfache
+Paketfilterung bei der lokalen Eingabe, Weiterleitung und lokalen Ausgabe enthält. Siehe die Manpage
+für iptables(8).\\
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubsubparagraph{REJECT target support}$~$\\
+CONFIG\_IP6\_NF\_TARGET\_REJECT [=m] \textbf{[M]}\\
+Mit dem REJECT-Ziel kann eine Filterregel angeben, dass als Antwort auf ein eingehendes Paket
+ein ICMPv6"=Fehler ausgegeben werden soll, anstatt es stillschweigend zu verwerfen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{SYNPROXY target support}$~$\\
+CONFIG\_IP6\_NF\_TARGET\_SYNPROXY [=m] \textbf{[M]}\\
+Das SYNPROXY-Ziel ermöglicht es Ihnen, TCP-Verbindungen abzufangen und sie unter Verwendung von
+Syncookies aufzubauen, bevor sie an den Server weitergeleitet werden. Auf diese Weise können Sie
+die Verfolgung von Verbindungen und die Nutzung von Serverressourcen bei SYN-Flood-Angriffen vermeiden.\\
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{Packet mangling}$~$\\
+CONFIG\_IP6\_NF\_MANGLE [=m] \textbf{[M]}\\
+Diese Option fügt eine \glqq mangle\grqq{}-Tabelle zu iptables hinzu: siehe die Manpage für
+iptables(8).
+Diese Tabelle wird fuer verschiedene Paketveraenderungen benutzt, die beeinflussen koennen,
+wie das Paket weitergeleitet wird.
+Um sie als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{raw table support (required for TRACE)}$~$\\
+CONFIG\_IP6\_NF\_RAW [=m] \textbf{[M]}\\
+Diese Option fügt eine "rohe" Tabelle zu ip6tables hinzu. Diese Tabelle ist die allererste im
+Netfilter-Framework und hakt sich bei den PREROUTING- und OUTPUT"=Ketten ein.
+Wenn Sie sie als Modul kompilieren wollen, sagen Sie hier M und lesen Sie
+$<$file:Documentation/kbuild/modules.rst$>$.
+Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{Security table}$~$\\
+CONFIG\_IP6\_NF\_SECURITY [=m] \textbf{[M]}\\
+Diese Option fügt eine \glqq Security\grqq{}-Tabelle zu iptables hinzu, für die Verwendung
+mit der Mandatory Access Control (MAC) Richtlinie.
+Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubparagraph{ip6tables NAT support}$~$\\
+CONFIG\_IP6\_NF\_NAT [=m] \textbf{[M]}\\
+Dies aktiviert die \texttt{nat}-Tabelle in ip6tables. Dies ermöglicht Masquerading,
+Portweiterleitung und andere Formen der vollständigen Network Address Port Translation.
+Um es als Modul zu kompilieren, wähle hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subsubsubparagraph{MASQUERADE target support}$~$\\
+CONFIG\_IP6\_NF\_TARGET\_MASQUERADE [=m] \textbf{[M]}\\
+Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers
+(z. B. bei der Ausführung von oldconfig). Sie wählt NETFILTER\_XT\_TARGET\_MASQUERADE aus.
+
+\subsubsubparagraph{NPT (Network Prefix translation) target support}$~$\\
+CONFIG\_IP6\_NF\_TARGET\_NPT [=m] \textbf{[M]}\\
+Diese Option fügt die Ziele \texttt{SNPT} und \texttt{DNPT} hinzu,
+die eine zustandslose IPv6-zu-IPv6"=Netzwerk"-präfix"-übersetzung gemäß RFC~6296 durchführen.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\paragraph{Ethernet Bridge nf\_tables support \texorpdfstring{$\rightarrow$}{->}}$~$\\
+CONFIG\_NF\_TABLES\_BRIDGE [=m] \textbf{[M]}\\
+\textit{Für diese Option gibt es keine Hilfe.}
+
+\paragraph{Netfilter nf\_table bridge meta support}$~$\\
+CONFIG\_NFT\_BRIDGE\_META [=m] \textbf{[M]}\\
+Hinzufügen der Unterstützung für den Meta-Schlüssel der Bridge.
+
+\paragraph{Netfilter nf\_table bridge reject support}$~$\\
+CONFIG\_NFT\_BRIDGE\_REJECT [=m] \textbf{[M]}\\
+Hinzufügen der Unterstützung für das Zurückweisen von Paketen.
+
+\paragraph{IPv4/IPV6 bridge connection tracking support}$~$\\
+CONFIG\_NF\_CONNTRACK\_BRIDGE [=m] \textbf{[M]}\\
+Die Verbindungsverfolgung zeichnet auf, welche Pakete Ihren Rechner durchlaufen haben, um
+herauszufinden, wie sie zu Verbindungen zusammenhängen. Dies wird verwendet, um die Paketfilterung
+über zustandsabhängige Richtlinien zu verbessern. Aktivieren Sie dies, wenn Sie ein natives
+Tracking durch die Bridge wünschen. Dies ist ein Ersatz für die
+\glqq br\_netfilter\grqq{}"=Infrastruktur.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\paragraph{Ethernet Bridge tables (ebtables) support \texorpdfstring{$\rightarrow$}{->}}$~$\\
+CONFIG\_BRIDGE\_NF\_EBTABLES [=m] \textbf{[M]}\\
+ebtables ist ein allgemeines, erweiterbares Rahmenwerk zur Identifizierung von Frames/Paketen.
+Sagen Sie hier Y oder M, wenn Sie Ethernet-Filterung/NAT/Brouting auf der Ethernet-Bridge
+durchführen wollen.
+
+\subparagraph{ebt: broute table support}$~$\\
+CONFIG\_BRIDGE\_EBT\_BROUTE [=m] \textbf{[M]}\\
+Die ebtables-Broutetabelle wird verwendet, um Regeln zu definieren, die zwischen Bridging- und
+Routing-Frames entscheiden und Linux die Funktionalität eines Brouters verleihen.
+Siehe die Manpage für ebtables(8) und Beispiele auf der ebtables-Website.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: filter table support}$~$\\
+CONFIG\_BRIDGE\_EBT\_T\_FILTER [=m] \textbf{[M]}\\
+Die ebtables-Filtertabelle wird verwendet, um Regeln für die Filterung von Frames am lokalen
+Eingang, an der Weiterleitung und am lokalen Ausgang festzulegen. Siehe die Manpage für ebtables(8).
+Um sie als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: nat table support}$~$\\
+CONFIG\_BRIDGE\_EBT\_T\_NAT [=m] \textbf{[M]}\\
+Die Tabelle ebtables nat wird verwendet, um Regeln zu definieren, die die MAC-Quelladresse
+(MAC SNAT) oder die MAC-Zieladresse (MAC DNAT) ändern. Siehe die Manpage für ebtables(8).
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: 802.3 filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_T\_NAT [=m] \textbf{[M]}\\
+Mit dieser Option wird die Unterstützung für 802.3-Ethernet-Frames hinzugefügt.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: among filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_AMONG [=m] \textbf{[M]}\\
+Diese Option fügt die Option \glqq among match\grqq{} hinzu, die den Abgleich der
+MAC-Quell- und/oder Zieladresse mit einer Liste von Adressen ermöglicht. Optional können
+auch MAC/IP"=Adresspaare abgeglichen werden, z.~B. für Anti-Spoofing-Regeln.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: ARP filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_ARP [=m] \textbf{[M]}\\
+Diese Option fügt die ARP-Übereinstimmung hinzu, die das Filtern von ARP- und
+RARP-Headerfeldern ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: IP filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_IP [=m] \textbf{[M]}\\
+Diese Option fügt den IP"=Abgleich hinzu, der eine grundlegende Filterung der
+IP"=Header"=Felder er"-mög"-licht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: IP6 filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_IP6 [=m] \textbf{[M]}\\
+Diese Option fügt die IP6-Übereinstimmung hinzu, die eine grundlegende Filterung
+von IPV6"=Header"=feldern ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: limit match support}$~$\\
+CONFIG\_BRIDGE\_EBT\_LIMIT [=m] \textbf{[M]}\\
+Diese Option fügt die Grenzübereinstimmung hinzu, mit der Sie die Rate kontrollieren können,
+mit der eine Regel übereinstimmen kann. Diese Übereinstimmung ist das Äquivalent der
+iptables"=Limit"=Übereinstimmung.
+Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und lesen Sie\\
+$<$file:Documentation/kbuild/modules.rst$>$.
+Wenn Sie unsicher sind, sagen Sie "N".
+
+\subparagraph{ebt: mark filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_MARK [=m] \textbf{[M]}\\
+Diese Option fügt die Markierungsübereinstimmung hinzu, die den Abgleich von Frames auf
+der Grundlage des \glqq nfmark\grqq{}-Wertes im Frame ermöglicht. Dieser kann durch das
+Markierungsziel gesetzt werden. Dieser Wert ist derselbe wie der, der in
+iptables mark match und target verwendet wird.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: packet type filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_PKTTYPE [=m] \textbf{[M]}\\
+Diese Option fügt den Pakettyp-Match hinzu, der einen Abgleich des Pakettyps auf der
+Grundlage seiner Ethernet-\glqq Klasse\grqq{}
+(wie vom generischen Netzwerkcode bestimmt) ermöglicht:
+Broadcast, Multicast, für diesen Host allein oder für einen anderen Host.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: STP filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_STP [=m] \textbf{[M]}\\
+Diese Option fügt die Spanning Tree Protocol-Übereinstimmung hinzu, die das Filtern
+von STP-Header-Feldern ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: 802.1Q VLAN filter support}$~$\\
+CONFIG\_BRIDGE\_EBT\_VLAN [=m] \textbf{[M]}\\
+Diese Option fügt die 802.1Q-Vlan-Übereinstimmung hinzu, die die Filterung von
+802.1Q-Vlan-Feldern ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M.  Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: arp reply target support}$~$\\
+CONFIG\_BRIDGE\_EBT\_ARPREPLY [=m] \textbf{[M]}\\
+Diese Option fügt das arp-Antwort-Ziel hinzu, das das automatische Senden von arp-Antworten
+auf arp-Anfragen ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: dnet target support}$~$\\
+CONFIG\_BRIDGE\_EBT\_DNET [=m] \textbf{[M]}\\
+Diese Option fügt das Ziel MAC DNAT hinzu, das die Änderung der MAC-Zieladresse
+von Frames ermöglicht.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: mark target support}$~$\\
+CONFIG\_BRIDGE\_EBT\_MARK\_T [=m] \textbf{[M]}\\
+Diese Option fügt das Markierungsziel hinzu, das die Markierung von Rahmen durch Setzen
+des Wertes \glqq nfmark\grqq{} im Rahmen ermöglicht. Dieser Wert ist derselbe wie der,
+der in iptables mark match and target verwendet wird.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
+
+\subparagraph{ebt: redirect target support}$~$\\
+CONFIG\_BRIDGE\_EBT\_REDIRECT [=m] \textbf{[M]}\\
+Diese Option fügt das MAC-Redirect-Ziel hinzu, das es ermöglicht, die MAC-Zieladresse
+eines Frames in die des Geräts zu ändern, auf dem er angekommen ist.
+Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, wählen Sie N.

 \end{document}