Linux 2.6内核配置说明(Networking网络)
Networking options
網(wǎng)絡選項
Network packet debugging
在調試不合格的包時加上額外的附加信息,但在遇到Dos攻擊時你可能會被日志淹沒
Packet socket
這種Socket可以讓應用程序(比如tcpdump,iptables)直接與網(wǎng)絡設備通訊,而不通過內核中的其它中介協(xié)議
Packet socket: mmapped IO
讓Packet socket驅動程序使用IO映射機制以使連接速度更快
Unix domain sockets
一種僅運行于本機上的效率高于TCP/IP的Socket,簡稱Unix socket.許多程序都使用它在操作系統(tǒng)內部進行進程間通信(IPC),比如X Window和syslog
Transformation user configuration interface
為IPsec(可在ip層加密)之類的工具提供XFRM用戶配置接口支持
Transformation sub policy support
XFRM子策略支持,僅供開發(fā)者使用
PF_KEY sockets
用于可信任的密鑰管理程序和操作系統(tǒng)內核內部的密鑰管理進行通信,IPsec依賴于它
TCP/IP networking
TCP/IP協(xié)議當然要選
IP: multicasting
群組廣播,似乎與網(wǎng)格計算有關,僅在使用MBONE的時候才需要
IP: advanced router
高級路由,如果想做一個路由器就選吧
IP: policy routing
策略路由
IP: equal cost multipath
用于路由的基于目的地址的負載均衡
IP: verbose route monitoring
顯示冗余的路由監(jiān)控信息
IP: kernel level autoconfiguration
在內核啟動時自動配置ip地址/路由表等,需要從網(wǎng)絡啟動的無盤工作站才需要這個東西
IP: tunneling
IP隧道,將一個IP報文封裝在另一個IP報文內的技術
IP: GRE tunnels over IP
基于IP的GRE(通用路由封裝)隧道
IP: multicast routing
多重傳播路由
IP: ARP daemon support
這東西尚處于試驗階段就已經(jīng)被廢棄了
IP: TCP syncookie support
抵抗SYN flood攻擊的好東西,要啟用它必須同時啟用/proc文件系統(tǒng)和"Sysctl support",然后在系統(tǒng)啟動并掛載了/proc之后執(zhí)行"echo 1 >/proc/sys/net/ipv4/tcp_syncookies"命令
IP: AH transformation
IPsec驗證頭(AH)實現(xiàn)了數(shù)據(jù)發(fā)送方的驗證處理,可確保數(shù)據(jù)既對于未經(jīng)驗證的站點不可用也不能在路由過程中更改
IP: ESP transformation
IPsec封閉安全負載(ESP)實現(xiàn)了發(fā)送方的驗證處理和數(shù)據(jù)加密處理,用以確保數(shù)據(jù)不會被攔截/查看或復制
IP: IPComp transformation
IPComp(IP靜荷載壓縮協(xié)議),用于支持IPsec
IP: IPsec transport mode
IPsec傳輸模式,常用于對等通信,用以提供內網(wǎng)安全.數(shù)據(jù)包經(jīng)過了加密但IP頭沒有加密,因此任何標準設備或軟件都可查看和使用IP頭
IP: IPsec tunnel mode
IPsec隧道模式,用于提供外網(wǎng)安全(包括虛擬專用網(wǎng)絡).整個數(shù)據(jù)包(數(shù)據(jù)頭和負載)都已經(jīng)過加密處理且分配有新的ESP頭/IP頭和驗證尾,從而能夠隱藏受保護站點的拓撲結構
IP: IPsec BEET mode
IPsec BEET模式
INET: socket monitoring interface
socket監(jiān)視接口,一些Linux本地工具(如:包含ss的iproute2)需要使用它
TCP: advanced congestion control
高級擁塞控制,如果沒有特殊需求(比如無線網(wǎng)絡)就別選了,內核會自動將默認的擁塞控制設為"Cubic"并將"Reno"作為候補
IP: Virtual Server Configuration
IP虛擬服務器允許你基于多臺物理機器構建一臺高性能的虛擬服務器,不玩集群就別選了
The IPv6 protocol
你要是需要IPv6就選吧
NetLabel subsystem support
NetLabel子系統(tǒng)為諸如CIPSO與RIPSO之類能夠在分組信息上添加標簽的協(xié)議提供支持,如果你看不懂就別選了
Security Marking
對網(wǎng)絡包進行安全標記,類似于nfmark,但主要是為安全目的而設計,如果你不明白的話就別選
Network packet filtering (replaces ipchains)
Netfilter可以對數(shù)據(jù)包進行過濾和修改,可以作為防火墻("packet filter"或"proxy-based")或網(wǎng)關(NAT)或代理(proxy)或網(wǎng)橋使用.選中此選項后必須將"Fast switching"關閉,否則將前功盡棄
Network packet filtering debugging
僅供開發(fā)者調試Netfilter使用
Bridged IP/ARP packets filtering
如果你希望使用一個針對橋接的防火墻就打開它
Core Netfilter Configuration
核心Netfilter配置(當包流過Chain時如果match某個規(guī)則那么將由該規(guī)則的target來處理,否則將由同一個Chain中的下一個規(guī)則進行匹配,若不match所有規(guī)則那么最終將由該Chain的policy進行處理)
Netfilter netlink interface
允許Netfilter在與用戶空間通信時使用新的netlink接口.netlink Socket是Linux用戶態(tài)與內核態(tài)交流的主要方法之一,且越來越被重視.
Netfilter NFQUEUE over NFNETLINK interface
通過NFNETLINK接口對包進行排隊
Netfilter LOG over NFNETLINK interface
通過NFNETLINK接口對包記錄.該選項廢棄了ipt_ULOG和ebg_ulog機制,并打算在將來廢棄基于syslog的ipt_LOG和ip6t_LOG模塊
Layer 3 Independent Connection tracking
獨立于第三層的鏈接跟蹤,通過廣義化的ip_conntrack支持其它非IP協(xié)議的第三層協(xié)議
Netfilter Xtables support
如果你打算使用ip_tables,ip6_tables,arp_tables之一就必須選上
"CLASSIFY" target support
允許為包設置優(yōu)先級,一些排隊規(guī)則(atm,cbq,dsmark,pfifo_fast,htb,prio)需要使用它
"CONNMARK" target support
類似于"MARK",但影響的是連接標記的值
"DSCP" target support
允許對ip包頭部的DSCP(Differentiated Services Codepoint)字段進行修改,該字段常用于Qos
"MARK" target support
允許對包進行標記(通常配合ip命令使用),這樣就可以改變路由策略或者被其它子系統(tǒng)用來改變其行為
"NFQUEUE" target Support
用于替代老舊的QUEUE(iptables內建的target之一),因為NFQUEUE能支持最多65535個隊列,而QUEUE只能支持一個
"NOTRACK" target support
允許規(guī)則指定哪些包不進入鏈接跟蹤/NAT子系統(tǒng)
"SECMARK" target support
允許對包進行安全標記,用于安全子系統(tǒng)
"CONNSECMARK" target support
針對鏈接進行安全標記,同時還會將連接上的標記還原到包上(如果鏈接中的包尚未進行安全標記),通常與SECMARK target聯(lián)合使用
"comment" match support
允許你在iptables規(guī)則集中加入注釋
"connbytes" per-connection counter match support
允許針對單個連接內部每個方向(進/出)匹配已經(jīng)傳送的字節(jié)數(shù)/包數(shù)
"connmark" connection mark match support
允許針對每個會話匹配先前由"CONNMARK"設置的標記值
"conntrack" connection tracking match support
連接跟蹤匹配,是"state"的超集,它允許額外的鏈接跟蹤信息,在需要設置一些復雜的規(guī)則(比如網(wǎng)關)時很有用
"DCCP" protocol match support
DCCP是打算取代UDP的新傳輸協(xié)議,它在UDP的基礎上增加了流控和擁塞控制機制,面向實時業(yè)務
"DSCP" match support
允許對IP包頭的DSCP字段進行匹配
"ESP" match support
允許對IPSec包中的ESP頭進行匹配,使用IPsec的話就選上吧
"helper" match support
加載特定協(xié)議的連接跟蹤輔助模塊,由該模塊過濾所跟蹤的連接類型的包,比如ip_conntrack_ftp模塊
"length" match support
允許對包的長度進行匹配
"limit" match support
允許根據(jù)包的進出速率進行規(guī)則匹配,常和"LOG target"配合使用以抵抗某些Dos攻擊
"mac" address match support
允許根據(jù)以太網(wǎng)的MAC進行匹配,常用于無線網(wǎng)絡環(huán)境
"mark" match support
允許對先前由"MARK"標記的特定標記值進行匹配
IPsec "policy" match support
使用IPsec就選上吧
Multiple port match support
允許對TCP或UDP包同時匹配多個端口(通常情況下只能匹配一個端口)
"physdev" match support
允許對到達的或將要離開的物理橋端口進行匹配
"pkttype" packet type match support
允許對封包目的地址類別(廣播/群播/直播)進行匹配
"quota" match support
允許對總字節(jié)數(shù)的限額值進行匹配
"realm" match support
允許對iptables中的路由子系統(tǒng)中的realm值進行匹配
"sctp" protocol match support
流控制傳輸協(xié)議(SCTP),十年以后也許能夠普及的東西
"state" match support
這是對包進行分類的有力工具,它允許利用連接跟蹤信息對連接中處于特定狀態(tài)的包進行匹配
"statistic" match support
允許根據(jù)一個給定的百分率對包進行周期性的或隨機性的匹配
sring" match support
允許根據(jù)包所承載的數(shù)據(jù)中包含的特定字符串進行匹配
?
Connection tracking (required for masq/NAT)
鏈接跟蹤.可用于報文偽裝或地址轉換,也可用于增強包過濾能力
Connection tracking flow accounting
允許針對每個連接記錄已經(jīng)傳送的字節(jié)/包數(shù),常用于connbytes match
Connection mark tracking support
允許對連接進行標記,與針對單獨的包進行標記的不同之處在于它是針對連接流的.CONNMARK target和connmark match需要它的支持
Connection tracking security mark support
允許對連接進行安全標記,通常這些標記包(SECMARK)復制到其所屬連接(CONNSECMARK),再從連接復制到其關聯(lián)的包(SECMARK)
Connection tracking events
連接跟蹤事件支持.如果啟用這個選項,連接跟蹤代碼將提供一個notifier鏈,它可以被其它內核代碼用來獲知連接跟蹤狀態(tài)的改變
Connection tracking netlink interface
支持基于netlink的用戶空間接口
SCTP protocol connection tracking support
SCTP是IP網(wǎng)面向多媒體通信的新一代的流控制傳輸協(xié)議
FTP protocol support
FTP協(xié)議
IRC protocol support
IRC協(xié)議是一種用來實時聊天協(xié)議,用過mIRC的人應當不陌生
NetBIOS name service protocol support
NetBIOS名字服務協(xié)議
TFTP protocol support
TFTP是基于UDP的比FTP簡單的文件傳輸協(xié)議
Amanda backup protocol support
Amanda備份協(xié)議
PPTP protocol support
點對點隧道協(xié)議(PPTP)是一種支持多協(xié)議虛擬專用網(wǎng)絡的網(wǎng)絡技術,ADSL用戶對它應該很熟悉
H.323 protocol support
ITU-T提出的用于IP電話的協(xié)議
SIP protocol support
IETE提出的用于IP電話的協(xié)議
IP Userspace queueing via NETLINK
已廢棄
IP tables support (required for filtering/masq/NAT)
要用iptables就肯定要選上
IP range match support
允許對ip地址的范圍進行匹配
TOS match support
允許對ip包頭的TOS(Type Of Service)字段進行匹配
recent match support
可以創(chuàng)建一個或多個剛剛使用過的ip地址列表,然后根據(jù)這些列表進行匹配
ECN match support
允許對TCP/IP包頭的ECN(Explicit Congestion Notification)字段進行匹配.ECN是一種顯式擁塞通知技術,它不但要求路由器支持而且要求端到端主機的支持,其基本思想是當路由器發(fā)生早期擁塞時不是丟棄包而是盡量對包進行標記,接收方接到帶有ECN提示的包時,通知發(fā)送方網(wǎng)絡即將發(fā)生擁塞,也就是它通過對包的標記提示TCP源即將發(fā)生擁塞,從而引發(fā)擁塞避免算法
AH match support
允許對IPSec包頭的AH字段進行匹配
TTL match support
允許對ip包頭的TTL(生存期)字段進行匹配
Owner match support
允許對本地生成的包按照其宿主(user,group,process,session)進行匹配
address type match support
允許對地址類型(單播,本地,廣播)進行匹配
hashlimit match support
是limit的升級,它基于你選擇的ip地址與/或端口動態(tài)的創(chuàng)建以limit為桶(bucket)的哈希表.它可以創(chuàng)建諸如"為每個特定的目標IP分配10kpps"或"允許每個特定的源IP分配500pps"之類的規(guī)則
Packet filtering
定義filter表以允許對包進行過濾
REJECT target support
允許返回一個ICMP錯誤而不是簡單的丟棄包
LOG target support
允許將符合條件的包頭信息通過syslog進行記錄
ULOG target support
透過netlink socket將符合條件的封包交給用戶空間的ulogd守護進程.反對使用該選項,因為它已經(jīng)被NETFILTER_NETLINK_LOG代替
TCPMSS target support
允許修改TCP包頭中的MSS(最大分段長度)選項值
Full NAT
允許進行偽裝/端口轉發(fā)以及其它的NAT功能,僅在你需要使用iptables中的nat表時才需要選擇
Packet mangling
在iptables中啟用mangle表以便對包進行各種修改,常用于改變包的路由
raw table support (required for NOTRACK/TRACE)
在iptables中添加一個'raw'表,該表在netfilter框架中非常靠前,并在PREROUTING和OUTPUT鏈上有鉤子,從而可以對收到的數(shù)據(jù)包在連接跟蹤前進行處理
ARP tables support
ARP表支持.只有在局域網(wǎng)中才有ARP欺騙問題,另外路由器也會遭到ARP欺騙
ARP packet filtering
ARP包過濾.對于進入和離開本地的ARP包定義一個filter表,在橋接的情況下還可以應用于被轉發(fā)ARP包
ARP payload mangling
允許對ARP包的荷載部分進行修改,比如修改源和目標物理地址
IPv6: Netfilter Configuration
針對IPv6的Netfilter配置,需要的話可以參考前面IPv4的Netfilter配置進行選擇
DECnet: Netfilter Configuration
針對DECnet的Netfilter配置
Bridge: Netfilter Configuration
針對橋接的Netfilter配置
DCCP Configuration
數(shù)據(jù)報擁塞控制協(xié)議在UDP的基礎上增加了流控和擁塞控制機制,使數(shù)據(jù)報協(xié)議能夠更好地用于流媒體業(yè)務的傳輸
SCTP Configuration
流控制傳輸協(xié)議是一種新興的傳輸層協(xié)議.TCP協(xié)議一次只能連接一個IP地址而在SCTP協(xié)議一次可以連接多個IP地址且可以自動平衡網(wǎng)絡負載,一旦某一個IP地址失效會自動將網(wǎng)絡負載轉移到其他IP地址上
TIPC Configuration
透明內部進程間通信協(xié)議,以共享內存為基礎實現(xiàn)任務和資源的調度,專門用于內部集群通信
Asynchronous Transfer Mode (ATM)
異步傳輸模式(ATM)支持
802.1d Ethernet Bridging
802.1d以太網(wǎng)橋
802.1Q VLAN Support
802.1Q虛擬局域網(wǎng)
DECnet Support
DECnet是一種很生僻的協(xié)議
ANSI/IEEE 802.2 LLC type 2 Support
看不懂可以不選
The IPX protocol
IPX協(xié)議
Appletalk protocol support
與Mac機器通信的協(xié)議
CCITT X.25 Packet Layer
大約沒人需要這東西
LAPB Data Link Driver
大約沒人需要這東西
Acorn Econet/AUN protocols
一種被Acorn計算機使用的又老又慢的協(xié)議
WAN router
廣域網(wǎng)路由
QoS and/or fair queueing
如果你需要Qos或公平隊列就選吧
Network testing
網(wǎng)絡測試,僅供調試使用
Amateur Radio support
業(yè)余無線電支持
IrDA (infrared) subsystem support
紅外線支持,比如無線鼠標或無線鍵盤
Bluetooth subsystem support
藍牙支持
Generic IEEE 802.11 Networking Stack
通用無線局域網(wǎng)(IEEE 802.11系列協(xié)議)支持
總結
以上是生活随笔為你收集整理的Linux 2.6内核配置说明(Networking网络)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Network device suppo
- 下一篇: Linux 2.6内核配置说明(File