tom/kernel_dell_tom
1
0
Fork 0
Code Issues Pull Requests Projects Releases Wiki Activity

UPD IP set support ff

Browse Source
This commit is contained in:
Thomas Kuschel
2023-12-24 23:34:10 +01:00
parent 18fc1d1258
commit 8fe6273b31
2 changed files with 220 additions and 6 deletions
Download Patch File Download Diff File Expand all files Collapse all files

BIN
documentation/linux_configuration.pdf
View File

Binary file not shown.

226
documentation/linux_configuration.tex
View File

@@ -314,7 +314,7 @@ Der Standardwert basiert auf einem Watchdog-Intervall von einer halben
Sekunde und der maximalen Frequenzdrift von NTP von 500 Teilen pro Million. Sekunde und der maximalen Frequenzdrift von NTP von 500 Teilen pro Million.
Wenn die Clocksource gut genug für NTP ist, ist sie auch gut genug Wenn die Clocksource gut genug für NTP ist, ist sie auch gut genug
für den Watchdog der Clocksource!\\ für den Watchdog der Clocksource!\\
Range: 50 -- 1000 Bereich (Range): 50 -- 1000
\subsection{BPF subsystem \texorpdfstring{$\rightarrow$}{->}} \subsection{BPF subsystem \texorpdfstring{$\rightarrow$}{->}}
Berkeley Packet Filter, Firewall-Filtertechnik im Kernel Berkeley Packet Filter, Firewall-Filtertechnik im Kernel
@@ -606,7 +606,7 @@ Wählen Sie eine bestimmte Zahl, wenn Sie RCU selbst testen.
Nehmen Sie den Standardwert, wenn Sie unsicher sind.\\ Nehmen Sie den Standardwert, wenn Sie unsicher sind.\\
Symbol: RCU\_FANOUT [=64]\\ Symbol: RCU\_FANOUT [=64]\\
Type : integer (Ganzzahl)\\ Type : integer (Ganzzahl)\\
Range : [2 64] Bereich (range) : [2 64]
\subsubsection{Tree-based hierarchical RCU leaf-level fanout value} \subsubsection{Tree-based hierarchical RCU leaf-level fanout value}
CONFIG\_RCU\_FANOUT\_LEAF [=16] \textbf{[16]}\\ CONFIG\_RCU\_FANOUT\_LEAF [=16] \textbf{[16]}\\
@@ -633,7 +633,7 @@ müssen, um Konflikte bei den Sperren der rcu\_node-Strukturen zu vermeiden.
Nehmen Sie den Standardwert, wenn Sie unsicher sind.\\ Nehmen Sie den Standardwert, wenn Sie unsicher sind.\\
Symbol: RCU\_FANOUT\_LEAF [=64]\\ Symbol: RCU\_FANOUT\_LEAF [=64]\\
Type : integer (Ganzzahl)\\ Type : integer (Ganzzahl)\\
Range : [2 64] Bereich (range) : [2 64]
\subsubsection{Enable RCU priority boosting} \subsubsection{Enable RCU priority boosting}
CONFIG\_RCU\_BOOST [=y] \textbf{[Y]}\\ CONFIG\_RCU\_BOOST [=y] \textbf{[Y]}\\
@@ -780,7 +780,7 @@ Beispiele:\\
\indent 12 $\Rightarrow$ 4 KB\\ \indent 12 $\Rightarrow$ 4 KB\\
Symbol: LOG\_BUF\_SHIFT\\ Symbol: LOG\_BUF\_SHIFT\\
Type: Integer (Ganzzahl)\\ Type: Integer (Ganzzahl)\\
Range: [12 25] Bereich (range): [12 25]
\subsection{CPU kernel log buffer size contribution (13 \texorpdfstring{$\Rightarrow$}{=>} 8 KB, 17 \texorpdfstring{$\Rightarrow$}{=>} 128KB)} \subsection{CPU kernel log buffer size contribution (13 \texorpdfstring{$\Rightarrow$}{=>} 8 KB, 17 \texorpdfstring{$\Rightarrow$}{=>} 128KB)}
CONFIG\_LOG\_BUF\_SHIFT [=12] \textbf{[12]}\\ CONFIG\_LOG\_BUF\_SHIFT [=12] \textbf{[12]}\\
Diese Option ermöglicht es, die Standardgröße des Ringpuffers entsprechend der Anzahl Diese Option ermöglicht es, die Standardgröße des Ringpuffers entsprechend der Anzahl
@@ -806,7 +806,7 @@ werden kann. Beispiele für Verschiebungswerte und ihre Bedeutung:\\
\indent 12 $\Rightarrow$ 4 KB für jede CPU\\ \indent 12 $\Rightarrow$ 4 KB für jede CPU\\
Symbol: LOG\_CPU\_MAX\_BUF\_SHIFT\\ Symbol: LOG\_CPU\_MAX\_BUF\_SHIFT\\
Type: Integer (Ganzzahl)\\ Type: Integer (Ganzzahl)\\
Range: [0 21] Bereich (range): [0 21]
\subsection{Printk indexing debugfs interface)} \subsection{Printk indexing debugfs interface)}
CONFIG\_PRINTK\_INDEX [=y] \textbf{[Y]}\\ CONFIG\_PRINTK\_INDEX [=y] \textbf{[Y]}\\
@@ -2926,7 +2926,7 @@ Der eingestellte Wert hat die folgenden Bedeutungen:
Für Details, siehe: $<$file:Documentation/admin-guide/pm/amd-pstate.rst$>$.\\ Für Details, siehe: $<$file:Documentation/admin-guide/pm/amd-pstate.rst$>$.\\
Symbol: X86\_AMD\_PSTATE\_DEFAULT\_MODE [=3]\\ Symbol: X86\_AMD\_PSTATE\_DEFAULT\_MODE [=3]\\
Type : Ganzzahl (integer)\\ Type : Ganzzahl (integer)\\
Range : [1 4] Bereich (range): [1 4]
\subsubsection{selftest for AMD Processor P-State driver} \subsubsection{selftest for AMD Processor P-State driver}
CONFIG\_X86\_AMD\_PSTATE\_UT [=m] \textbf{[M]}\\ CONFIG\_X86\_AMD\_PSTATE\_UT [=m] \textbf{[M]}\\
@@ -5884,4 +5884,218 @@ Sie ermöglicht es Ihnen, Richtlinien wie
\glqq 10kpps für eine bestimmte Zieladresse\grqq{} oder \glqq 500pps von einer \glqq 10kpps für eine bestimmte Zieladresse\grqq{} oder \glqq 500pps von einer
bestimmten Quelladresse\grqq{} mit einer einzigen Regel auszudrücken. bestimmten Quelladresse\grqq{} mit einer einzigen Regel auszudrücken.
\subsubparagraph{``helper'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_HASHLIMIT [=m] \textbf{[M]}\\*
Helper Matching ermöglicht es Ihnen, Pakete in dynamischen Verbindungen, die von einem
conntrack-Helper verfolgt werden, anzupassen, z.~B. nf\_conntrack\_ftp\\
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie Y.
\subsubparagraph{``hl'' hoplimit/TTL match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_HL [=m] \textbf{[M]}\\*
Mit dem HL-Matching können Sie Pakete basierend auf dem Hoplimit im IPv6-Header oder dem
Time-to-Live-Feld im IPv4-Header des Pakets abgleichen.
\subsubparagraph{``ipcomp'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_IPCOMP [=m] \textbf{[M]}\\*
Mit dieser Match-Erweiterung können Sie einen Bereich von CPIs (16 Bits) im IPComp"=Header
von IPSec"=Paketen abgleichen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``iprange'' address range match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_IPRANGE [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq iprange\grqq{}-Übereinstimmung hinzu, die es Ihnen ermöglicht,
eine Übereinstimmung auf der Grundlage eines IP-Adressbereichs zu erzielen.
(Normalerweise passt iptables nur auf einzelne Adressen mit einer optionalen Maske.)
Wenn Sie unsicher sind, sagen Sie M.
\subsubparagraph{``ipvs'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_IPVS [=m] \textbf{[M]}\\*
Mit dieser Option können Sie die IPVS-Eigenschaften eines Pakets abgleichen.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``l2tp'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_L2TP [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq L2TP\grqq{}-Übereinstimmung hinzu, die es Ihnen ermöglicht,
die Header"=Felder des L2TP"=Protokolls abzugleichen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``length'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_LENGTH [=m] \textbf{[M]}\\*
Mit dieser Option können Sie die Länge eines Pakets mit einem bestimmten Wert oder einer
Reihe von Werten vergleichen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``limit'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_LIMIT [=m] \textbf{[M]}\\*
Mit dem Limit-Matching können Sie die Rate kontrollieren, mit der eine Regel abgeglichen
werden kann: Dies ist vor allem in Kombination mit dem LOG-Target (\glqq LOG-Target-Unterstützung\grqq{},
unten) und zur Vermeidung einiger Denial-of-Service-Angriffe nützlich.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``mac'' address match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_MAC [=m] \textbf{[M]}\\*
Mit dem MAC-Abgleich können Sie Pakete auf der Grundlage der Ethernet-Quelladresse des Pakets
abgleichen. Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``mark'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_MARK [=m] \textbf{[M]}\\*
Dies ist eine rückwärtskompatible Option zur Bequemlichkeit des Benutzers (z. B. bei der Ausführung
von oldconfig). Sie wählt CONFIG\_NETFILTER\_XT\_MARK (kombiniertes Mark/MARK-Modul).
\subsubparagraph{``multiport'' Multiple port match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_MULTIPORT [=m] \textbf{[M]}\\*
Mit dem Multiport-Matching können Sie TCP- oder UDP-Pakete auf der Grundlage einer Reihe von Quell-
oder Zielports abgleichen: Normalerweise kann eine Regel nur einen einzigen Bereich von Ports
abgleichen. Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``nfacct'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_NFACCT [=m] \textbf{[M]}\\*
Mit dieser Option können Sie die erweiterte Buchhaltung über nfnetlink\_acct verwenden. Um es als
Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``osf'' Passive OS fingerprint match}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_OSF [=m] \textbf{[M]}\\*
Mit dieser Option wird das Modul Passive OS Fingerprinting ausgewählt, das einen passiven Abgleich
des entfernten Betriebssystems durch die Analyse eingehender TCP SYN-Pakete ermöglicht. Die Regeln
und die Ladesoftware können von der Website \url{http://www.ioremap.net/projects/osf}
heruntergeladen werden.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``owner'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_OWNER [=m] \textbf{[M]}\\*
Mit dem Socket-Eigentümer-Abgleich können Sie lokal erzeugte Pakete danach abgleichen, wer den
Socket erstellt hat: der Benutzer oder die Gruppe. Es ist auch möglich, zu prüfen, ob ein Socket
tatsächlich existiert.
\subsubparagraph{IPSEC ``policy'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_POLICY [=m] \textbf{[M]}\\*
Der Richtlinienabgleich ermöglicht es Ihnen, Pakete auf der Grundlage der IPsec-Richtlinie
abzugleichen, die bei der Entkapselung verwendet wurde bzw. bei der Einkapselung verwendet
werden wird.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``physdev'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_PHYSDEV [=m] \textbf{[M]}\\*
Der Physdev-Paketabgleich gleicht die physischen Bridge-Ports ab, an denen das IP-Paket angekommen
ist oder die es verlassen wird. Um es als Modul zu kompilieren, wählen Sie hier M.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``pkttype'' packet type match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_PKTTYPE [=m] \textbf{[M]}\\*
Der Pakettyp-Abgleich ermöglicht es Ihnen, ein Paket anhand seiner \glqq Klasse\grqq{} abzugleichen,
z.~B. BROADCAST, MULTICAST, ...\\
Typische Verwendung:\\[.5em]
\texttt{iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG}\\[.5em]
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``quota'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_QUOTA [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq quota\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung mit
einem Byte-Zähler ermöglicht. Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und
lesen Sie\\
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``rateest'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_RATEEST [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq Rateest\grqq{}-Übereinstimmung hinzu, die eine Übereinstimmung mit
der durch das RATEEST-Ziel geschätzten Rate ermöglicht.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``realm'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_REALM [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq realm\grqq{}-Übereinstimmung hinzu, die es Ihnen erlaubt, den
Realm-Schlüssel aus dem Routing-Subsystem innerhalb von iptables zu verwenden. Diese
Übereinstimmung ähnelt ziemlich genau der Option CONFIG\_NET\_CLS\_ROUTE4 in tc world.
Wenn Du es als Modul kompilieren willst, sage hier M und lies
$<$file:Documentation/kbuild/modules.rst$>$. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``recent'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_RECENT [=m] \textbf{[M]}\\*
Dieser Abgleich wird verwendet, um eine oder mehrere Listen mit kürzlich verwendeten Adressen
zu erstellen und dann einen Abgleich mit dieser Liste bzw. diesen Listen durchzuführen.
Kurze Optionen sind verfügbar, indem man \texttt{iptables -m recent -h} verwendet.
Offizielle Website: \url{http://snowman.net/projects/ipt_recent/}
\subsubparagraph{``sctp'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_SCTP [=m] \textbf{[M]}\\*
Wenn diese Option aktiviert ist, können Sie die \glqq sctp\grqq{}-Übereinstimmung verwenden,
um auf SCTP"=Quell\mbox{-/}Zielports und SCTP"=Chunk"=Typen abzustimmen.
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M und
lesen Sie $<$file:Documentation/kbuild/modules.rst$>$.
Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``socket'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_SOCKET [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq Socket\grqq{}-Übereinstimmung hinzu, die verwendet werden kann,
um Pakete zu finden, für die ein TCP- oder UDP-Socket-Lookup einen gültigen Socket findet.
Sie kann in Kombination mit dem MARK-Ziel und dem Policy-Routing verwendet werden, um voll
funktionsfähige, nicht ortsgebundene Sockets zu implementieren.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``state'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_STATE [=m] \textbf{[M]}\\*
Mit dem Verbindungsstatusabgleich können Sie Pakete auf der Grundlage ihrer Beziehung
zu einer verfolgten Verbindung (d.~h. früheren Paketen) abgleichen. Dies ist ein
leistungsfähiges Werkzeug zur Klassifizierung von Paketen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``statistic'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_STATISTIC [=m] \textbf{[M]}\\*
Diese Option fügt einen \glqq statistischen\grqq{} Abgleich hinzu, der es ermöglicht,
Pakete periodisch oder zufällig mit einem bestimmten Prozentsatz abzugleichen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``string'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_STRING [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq String\grqq{}-Übereinstimmung hinzu, die es Ihnen ermöglicht,
nach Musterübereinstimmungen in Paketen zu suchen.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``tcpmss'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_TCPMSS [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq tcpmss\grqq{}-Übereinstimmung hinzu, die es Ihnen ermöglicht,
den MSS-Wert von TCP SYN-Paketen zu untersuchen, der die maximale Paketgröße für diese
Verbindung kontrolliert.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``time'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_TIME [=m] \textbf{[M]}\\*
Diese Option fügt eine \glqq Zeit\grqq{}-Übereinstimmung hinzu, die es Ihnen ermöglicht,
eine Übereinstimmung auf der Grundlage der Ankunftszeit des Pakets
(auf dem Rechner, auf dem der Netfilter läuft) oder der Abfahrtszeit/des Abfahrtsdatums
(für lokal erzeugte Pakete) zu erzielen. Wenn Du hier Y für Ja sagst, versuche
\texttt{iptables -m time --help} für weitere Informationen.
Wenn Sie es als Modul kompilieren wollen, sagen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subsubparagraph{``u32'' match support}$~$\\
CONFIG\_NETFILTER\_XT\_MATCH\_U32 [=m] \textbf{[M]}\\*
u32 ermöglicht es Ihnen, Mengen von bis zu 4 Bytes aus einem Paket zu extrahieren, sie mit
bestimmten Masken mit UND zu verknüpfen, sie um bestimmte Beträge zu verschieben und zu prüfen,
ob die Ergebnisse in einem der angegebenen Bereiche liegen.
Die Angabe, was extrahiert werden soll, ist allgemein genug, um Header mit im Paket
gespeicherten Längen, wie z.~B. IP- oder TCP-Header-Längen, zu überspringen.
Details und Beispiele sind im Quelltext des Kernelmoduls zu finden.
\paragraph{IP set support}$~$\\
CONFIG\_IP\_SET [=m] \textbf{[M]}\\*
Diese Option erweitert den Kernel um die Unterstützung von IP-Sets. Um die Sets zu definieren
und zu verwenden, benötigen Sie das Userspace-Dienstprogramm ipset(8). Sie können die Sets in
netfilter über die \glqq set\grqq{}-Übereinstimmung und das \glqq SET\grqq{}-Ziel verwenden.
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\subparagraph{Maximum number of IP sets}$~$\\
CONFIG\_IP\_SET\_MAX [=256] \textbf{[256]}\\
Sie können hier den Standardwert für die maximale Anzahl von IP-Sets für den Kernel festlegen.
Der Wert kann durch den Modulparameter \glqq max\_sets\grqq{} des Moduls \glqq ip\_set\grqq{}
überschrieben werden.\\[.5em]
Symbol: IP\_SET\_MAX [=256]\\
Type : Ganzzahl (integer)\\
Bereich: [2 65534]
\subparagraph{bitmap:ip set support}$~$\\
CONFIG\_IP\_SET\_BITMAP\_IP [=m] \textbf{[M]}\\
Diese Option fügt die Unterstützung des Typs bitmap:ip set hinzu, mit dem man IPv4-Adressen
(oder Netzwerkadressen) aus einem Bereich speichern kann.\\
Um es als Modul zu kompilieren, wählen Sie hier M. Wenn Sie unsicher sind, sagen Sie N.
\end{document} \end{document}