快捷搜索:

Linux 2.6.19.x内核编译配置_Networking 网络

Networking options 收集选项 Network packet debugging 在调试分歧格的包时加上额外的附加信息,但在碰到Dos进击时你可能会被日志淹没 Packet socket 这种Socket可以让利用法度榜样(比如tcpdump,iptables)直接与收集设备通讯,而不经由过程内核中的其它中介协议 Packet socket: mmapped IO 让Packet socket驱动法度榜样应用IO映射机制以使连接速率更快 Unix domain sockets 一种仅运行于本机上的效率高于TCP/IP的Socket,简称Unix socket.许多法度榜样都应用它在操作系统内部进行进程间通信(IPC),比如X Window和syslog Transformation user configuration interface 为IPsec(可在ip层加密)之类的对象供给XFRM用户设置设置设备摆设摆设接口支持 Transformation sub policy support XFRM子策略支持,仅供开拓者应用 PF_KEY sockets 用于可托任的密钥治理法度榜样和操作系统内核内部的密钥治理进行通信,IPsec依附于它 TCP/IP networking TCP/IP协议当然要选 IP: multicasting 群组广播,彷佛与网格谋略有关,仅在应用MBONE的时刻才必要 IP: advanced router 高档路由,假如想做一个路由器就选吧 IP: policy routing 策略路由 IP: equal cost multipath 用于路由的基于目的地址的负载均衡 IP: verbose route monitoring 显示冗余的路由监控信息 IP: kernel level autoconfiguration 在内核启动时自动设置设置设备摆设摆设ip地址/路由表等,必要从收集启动的无盘事情站才必要这个器械 IP: tunneling IP地道,将一个IP报文封装在另一个IP报文内的技巧 IP: GRE tunnels over IP 基于IP的GRE(通用路由封装)地道 IP: multicast routing 多重传播路由 IP: ARP daemon support 这器械尚处于试验阶段就已经被废弃了 IP: TCP syncookie support 抵抗SYN flood进击的好器械,要启用它必须同时启用/proc文件系统和”Sysctl support”,然后在系统启动并挂载了/proc之后履行”echo 1 >/proc/sys/net/ipv4/tcp_syncookies”敕令 IP: AH transformation IPsec验证头(AH)实现了数据发送方的验证处置惩罚,可确保数据既对付未履历证的站点弗成用也不能在路由历程中变动 IP: ESP transformation IPsec封闭安然负载(ESP)实现了发送方的验证处置惩罚和数据加密处置惩罚,用以确保数据不会被拦截/查看或复制 IP: IPComp transformation IPComp(IP静荷载压缩协议),用于支持IPsec IP: IPsec transport mode IPsec传输模式,常用于对等通信,用以供给内网安然.数据包颠最后加密但IP头没有加密,是以任何标准设备或软件都可查看和应用IP头 IP: IPsec tunnel mode IPsec地道模式,用于供给外网安然(包括虚拟专用收集).全部数据包(数据头和负载)都已颠末加密处置惩罚且分配有新的ESP头/IP头和验证尾,从而能够暗藏受保护站点的拓扑布局 IP: IPsec BEET mode IPsec BEET模式 INET: socket monitoring interface socket监视接口,一些Linux本地对象(如:包孕ss的iproute2)必要应用它 TCP: advanced congestion control 高档拥塞节制,假如没有特殊需求(比如无线收集)就别选了,内核会自动将默认的拥塞节制设为”Cubic”并将”Reno”作为候补 IP: Virtual Server Configuration IP虚拟办事器容许你基于多台物理机械构建一台高机能的虚拟办事器,不玩集群就别选了 The IPv6 protocol 你如果必要IPv6就选吧 NetLabel subsystem support NetLabel子系统为诸如CIPSO与RIPSO之类能够在分组信息上添加标签的协议供给支持,假如你看不懂就别选了 Security Marking 对收集包进行安然标记,类似于nfmark,但主如果为安然目的而设计,假如你不明白的话就别选 Network packet filtering (replaces ipchains) Netfilter可以对数据包进行过滤和改动,可以作为防火墙(”packet filter”或”proxy-based”)或网关(NAT)或代理(proxy)或网桥应用.选中此选项后必须将”Fast switching”关闭,否则将功败垂成 Network packet filtering debugging 仅供开拓者调试Netfilter应用 Bridged IP/ARP packets filtering 假如你盼望应用一个针对桥接的防火墙就打开它 Core Netfilter Configuration 核心Netfilter设置设置设备摆设摆设(当包流过Chain时假如match某个规则那么将由该规则的target来处置惩罚,否则将由同一个Chain中的下一个规则进行匹配,若不match所有规则那么终极将由该Chain的policy进行处置惩罚) Netfilter netlink interface 容许Netfilter在与用户空间通信时应用新的netlink接口.netlink Socket是Linux用户态与内核态交流的主要措施之一,且越来越被注重 Netfilter NFQUEUE over NFNETLINK interface 经由过程NFNETLINK接口对包进行排队 Netfilter LOG over NFNETLINK interface 经由过程NFNETLINK接口对包记录.该选项废弃了ipt_ULOG和ebg_ulog机制,并盘算在将来废弃基于syslog的ipt_LOG和ip6t_LOG模块 Layer 3 Independent Connection tracking 自力于第三层的链接跟踪,经由过程广义化的ip_conntrack支持其它非IP协议的第三层协议 Netfilter Xtables support 假如你盘算应用ip_tables,ip6_tables,arp_tables之一就必须选上 “CLASSIFY” target support 容许为包设置优先级,一些排队规则(atm,cbq,dsmark,pfifo_fast,htb,prio)必要应用它 “CONNMARK” target support 类似于”MARK”,但影响的是连接标记的值 “DSCP” target support 容许对ip包头部的DSCP(Differentiated Services Codepoint)字段进行改动,该字段常用于Qos “MARK” target support 容许对包进行标记(平日共同ip敕令应用),这样就可以改变路由策略或者被其它子系统用来改变其行径 “NFQUEUE” target Support 用于替代老旧的QUEUE(iptables内建的target之一),由于NFQUEUE能支持最多65535个行列步队,而QUEUE只能支持一个 “NOTRACK” target support 容许规则指定哪些包不进入链接跟踪/NAT子系统 “SECMARK” target support 容许对包进行安然标记,用于安然子系统 “CONNSECMARK” target support 针对链接进行安然标记,同时还会将连接上的标记还原到包上(假如链接中的包尚未进行安然标记),平日与SECMARK target联合应用 “comment” match support 容许你在iptables规则集中加入注释 “connbytes” per-connection counter match support 容许针对单个连接内部每个偏向(进/出)匹配已经传送的字节数/包数 “connmark” connection mark match support 容许针对每个会话匹配先前由”CONNMARK”设置的标记值 “conntrack” connection tracking match support 连接跟踪匹配,是”state”的超集,它容许额外的链接跟踪信息,在必要设置一些繁杂的规则(比如网关)时很有用 “DCCP” protocol match support DCCP是盘算取代UDP的新传输协议,它在UDP的根基上增添了流控和拥塞节制机制,面向实时营业 “DSCP” match support 容许对IP包头的DSCP字段进行匹配 “ESP” match support 容许对IPSec包中的ESP头进行匹配,应用IPsec的话就选上吧 “helper” match support 加载特定协议的连接跟踪帮助模块,由该模块过滤所跟踪的连接类型的包,比如ip_conntrack_ftp模块 “length” match support 容许对包的长度进行匹配 “limit” match support 容许根据包的收支速度进行规则匹配,常和”LOG target”共同应用以抵抗某些Dos进击 “mac” address match support 容许根据以太网的MAC进行匹配,常用于无线收集情况 “mark” match support 容许对先前由”MARK”标记的特定标记值进行匹配 IPsec “policy” match support 应用IPsec就选上吧 Multiple port match support 容许对TCP或UDP包同时匹配多个端口(平日环境下只能匹配一个端口) “physdev” match support 容许对到达的或将要脱离的物理桥端口进行匹配 “pkttype” packet type match support 容许对封包目的地址种别(广播/群播/直播)进行匹配 “quota” match support 容许对总字节数的限额值进行匹配 “realm” match support 容许对iptables中的路由子系统中的realm值进行匹配 “sctp” protocol match support 流节制传输协议(SCTP),十年今后大概能够遍及的器械 “state” match support 这是对包进行分类的有力对象,它容许使用连接跟踪信息对连接中处于特定状态的包进行匹配 “statistic” match support 容许根据一个给定的百分率对包进行周期性的或随机性的匹配 “string” match support 容许根据包所承载的数据中包孕的特定字符串进行匹配 “tcpmss” match support 容许根据TCP SYN包头中的MSS(最大年夜分段长度)选项的值进行匹配 IP: Netfilter Configuration 针对IPv4的Netfilter设置设置设备摆设摆设 Connection tracking (required for masq/NAT) 链接跟踪.可用于报文冒充或地址转换,也可用于增强包过滤能力 Connection tracking flow accounting 容许针对每个连接记录已经传送的字节/包数,常用于connbytes match Connection mark tracking support 容许对连接进行标记,与针对零丁的包进行标记的不合之处在于它是针对连接流的.CONNMARK target和connmark match必要它的支持 Connection tracking security mark support 容许对连接进行安然标记,平日这些标记包(SECMARK)复制到其所属连接(CONNSECMARK),再从连接复制到其关联的包(SECMARK) Connection tracking events 连接跟踪事故支持.假如启用这个选项,连接跟踪代码将供给一个notifier链,它可以被其它内核代码用来获知连接跟踪状态的改变 Connection tracking netlink interface 支持基于netlink的用户空间接口 SCTP protocol connection tracking support SCTP是IP网面向多媒体通信的新一代的流节制传输协议 FTP protocol support FTP协议 IRC protocol support IRC协议是一种用来实时谈天协议,用过mIRC的人该当不陌生 NetBIOS name service protocol support NetBIOS名字办事协议 TFTP protocol support TFTP是基于UDP的比FTP简单的文件传输协议 Amanda backup protocol support Amanda备份协议 PPTP protocol support 点对点地道协议(PPTP)是一种支持多协议虚拟专用收集的收集技巧,ADSL用户对它应该很认识 H.323 protocol support ITU-T提出的用于IP电话的协议 SIP protocol support IETE提出的用于IP电话的协议 IP Userspace queueing via NETLINK 已废弃 IP tables support (required for filtering/masq/NAT) 要用iptables就肯定要选上 IP range match support 容许对ip地址的范围进行匹配 TOS match support 容许对ip包头的TOS(Type Of Service)字段进行匹配 recent match support 可以创建一个或多个刚刚应用过的ip地址列表,然后根据这些列表进行匹配 ECN match support 容许对TCP/IP包头的ECN(Explicit Congestion Notification)字段进行匹配.ECN是一种显式拥塞看护技巧,它不只要求路由器支持而且要求端到端主机的支持,其基础思惟是当路由器发生早期拥塞时不是丢弃包而是只管即便对包进行标记,接管方接到带有ECN提示的包时,看护发送方收集即将发生拥塞,也便是它经由过程对包的标记提示TCP源即将发生拥塞,从而激发拥塞避免算法 AH match support 容许对IPSec包头的AH字段进行匹配 TTL match support 容许对ip包头的TTL(生计期)字段进行匹配 Owner match support 容许对本地天生的包按照其宿主(user,group,process,session)进行匹配 address type match support 容许对地址类型(单播,本地,广播)进行匹配 hashlimit match support 是limit的进级,它基于你选择的ip地址与/或端口动态的创建以limit为桶(bucket)的哈希表.它可以创建诸如”为每个特定的目标IP分配10kpps”或”容许每个特定的源IP分配500pps”之类的规则 Packet filtering 定义filter表以容许对包进行过滤 REJECT target support 容许返回一个ICMP差错而不是简单的丢弃包 LOG target support 容许将相符前提的包头信息经由过程syslog进行记录 ULOG target support 透过netlink socket将相符前提的封包交给用户空间的ulogd守护进程.否决应用该选项,由于它已经被NETFILTER_NETLINK_LOG代替 TCPMSS target support 容许改动TCP包头中的MSS(最大年夜分段长度)选项值 Full NAT 容许进行冒充/端口转发以及其它的NAT功能,仅在你必要应用iptables中的nat表时才必要选择 Packet mangling 在iptables中启用mangle表以便对包进行各类改动,常用于改变包的路由 raw table support (required for NOTRACK/TRACE) 在iptables中添加一个’raw’表,该表在netfilter框架中异常靠前,并在PREROUTING和OUTPUT链上有钩子,从而可以对收到的数据包在连接跟踪提高行处置惩罚 ARP tables support ARP表支持.只有在局域网中才有ARP诈骗问题,别的路由器也会遭到ARP诈骗 ARP packet filtering ARP包过滤.对付进入和脱离本地的ARP包定义一个filter表,在桥接的环境下还可以利用于被转发ARP包 ARP payload mangling 容许对ARP包的荷载部分进行改动,比如改动源和目标物理地址 IPv6: Netfilter Configuration 针对IPv6的Netfilter设置设置设备摆设摆设,必要的话可以参考前面IPv4的Netfilter设置设置设备摆设摆设进行选择 DECnet: Netfilter Configuration 针对DECnet的Netfilter设置设置设备摆设摆设 Bridge: Netfilter Configuration 针对桥接的Netfilter设置设置设备摆设摆设 DCCP Configuration 数据报拥塞节制协议在UDP的根基上增添了流控和拥塞节制机制,使数据报协议能够更好地用于流媒体营业的传输 SCTP Configuration 流节制传输协议是一种新兴的传输层协议.TCP协议一次只能连接一个IP地址而在SCTP协议一次可以连接多个IP地址且可以自动平衡收集负载,一旦某一个IP地址掉效会自动将收集负载转移到其他IP地址上 TIPC Configuration 透明内部进程间通信协议,以共享内存为根基实现义务和资本的调整,专门用于内部集群通信 Asynchronous Transfer Mode (ATM) 异步传输模式(ATM)支持 802.1d Ethernet Bridging 802.1d以太网桥 802.1Q VLAN Support 802.1Q虚拟局域网 DECnet Support DECnet是一种很冷清的协议 ANSI/IEEE 802.2 LLC type 2 Support 看不懂可以不选 The IPX protocol IPX协议 Appletalk protocol support 与Mac机械通信的协议 CCITT X.25 Packet Layer 大年夜约没人必要这器械 LAPB Data Link Driver 大年夜约没人必要这器械 Acorn Econet/AUN protocols 一种被Acorn谋略机应用的又老又慢的协议 WAN router 广域网路由 QoS and/or fair queueing 假如你必要Qos或公道行列步队就选吧 Network testing 收集测试,仅供调试应用 Amateur Radio support 业余无线电支持 IrDA (infrared) subsystem support 红外线支持,比如无线鼠标或无线键盘 Bluetooth subsystem support 蓝牙支持 Generic IEEE 802.11 Networking Stack 通用无线局域网(IEEE 802.11系列协议)支持

您可能还会对下面的文章感兴趣: