- 论坛徽章:
- 0
|
[color="#000000"] Linux -2.6内核编译配置选项简介(二)
Security
Marking
[color="#000000"]对网络包进行安全标记,[color="#000000"]类似于nfmark,[color="#000000"]但主要是为安全目的而设计,如果你不明白的话就别选
Network
packet filtering (replaces
ipchains)
Netfilter[color="#000000"]可以对数据包进行过滤和修改,[color="#000000"]可以作为防火墙("packet
filter"[color="#000000"]或"proxy-based")[color="#000000"]或网关(NAT)[color="#000000"]或代理(proxy)[color="#000000"]或网桥使用.[color="#000000"]选中此选项后必须将"Fast
switching"[color="#000000"]关闭,否则将前功尽弃
Network
packet filtering debugging
[color="#000000"]仅供开发者调试Netfilter使用
Bridged
IP/ARP packets filtering
如果你希望使用一个针对桥接的防火墙就打开它
Core
Netfilter
Configuration
[color="#000000"]核心Netfilter[color="#000000"]配置([color="#000000"]当包流过Chain[color="#000000"]时如果match[color="#000000"]某个规则那么将由该规则的target[color="#000000"]来处理,[color="#000000"]否则将由同一个Chain[color="#000000"]中的下一个规则进行匹配,[color="#000000"]若不match[color="#000000"]所有规则那么最终将由该Chain[color="#000000"]的policy[color="#000000"]进行处理)
Netfilter netlink
interface
[color="#000000"]允许Netfilter[color="#000000"]在与用户空间通信时使用新的netlink[color="#000000"]接口.netlink
Socket[color="#000000"]是Linux[color="#000000"]用户态与内核态交流的主要方法之一,[color="#000000"]且越来越被重视.
Netfilter NFQUEUE over NFNETLINK interface
[color="#000000"]通过NFNETLINK接口对包进行排队
Netfilter
LOG over NFNETLINK
interface
[color="#000000"]通过NFNETLINK[color="#000000"]接口对包记录.[color="#000000"]该选项废弃了ipt_ULOG[color="#000000"]和ebg_ulog[color="#000000"]机制,[color="#000000"]并打算在将来废弃基于syslog[color="#000000"]的ipt_LOG[color="#000000"]和ip6t_LOG模块
Layer
3 Independent Connection
tracking
[color="#000000"]独立于第三层的链接跟踪,[color="#000000"]通过广义化的ip_conntrack[color="#000000"]支持其它非IP协议的第三层协议
Netfilter
Xtables support
[color="#000000"]如果你打算使用ip_tables,ip6_tables,arp_tables之一就必须选上
"CLASSIFY"
target
support
[color="#000000"]允许为包设置优先级,[color="#000000"]一些排队规则(atm,cbq,dsmark,pfifo_fast,htb,prio)需要使用它
"CONNMARK"
target support
[color="#000000"]类似于"MARK",但影响的是连接标记的值
"DSCP"
target support
[color="#000000"]允许对ip[color="#000000"]包头部的DSCP(Differentiated
Services Codepoint)[color="#000000"]字段进行修改,[color="#000000"]该字段常用于Qos
"MARK" target
support
[color="#000000"]允许对包进行标记([color="#000000"]通常配合ip[color="#000000"]命令使用),这样就可以改变路由策略或者被其它子系统用来改变其行为
"NFQUEUE"
target
Support
[color="#000000"]用于替代老旧的QUEUE(iptables[color="#000000"]内建的target[color="#000000"]之一),[color="#000000"]因为NFQUEUE[color="#000000"]能支持最多65535[color="#000000"]个队列,[color="#000000"]而QUEUE只能支持一个
"NOTRACK"
target support
[color="#000000"]允许规则指定哪些包不进入链接跟踪/NAT子系统
"SECMARK"
target support
[color="#000000"]允许对包进行安全标记,用于安全子系统
"CONNSECMARK"
target
support
[color="#000000"]针对链接进行安全标记,[color="#000000"]同时还会将连接上的标记还原到包上([color="#000000"]如果链接中的包尚未进行安全标记),[color="#000000"]通常与SECMARK
target联合使用
"comment"
match support
[color="#000000"]允许你在iptables规则集中加入注释
"connbytes"
per-connection counter match support
[color="#000000"]允许针对单个连接内部每个方向([color="#000000"]进/[color="#000000"]出)[color="#000000"]匹配已经传送的字节数/包数
"connmark"
connection mark match support
[color="#000000"]允许针对每个会话匹配先前由"CONNMARK"设置的标记值
"conntrack"
connection tracking match
support
[color="#000000"]连接跟踪匹配,[color="#000000"]是"state"[color="#000000"]的超集,[color="#000000"]它允许额外的链接跟踪信息,[color="#000000"]在需要设置一些复杂的规则([color="#000000"]比如网关)时很有用
"DCCP"
protocol match
support
DCCP[color="#000000"]是打算取代UDP[color="#000000"]的新传输协议,[color="#000000"]它在UDP[color="#000000"]的基础上增加了流控和拥塞控制机制,面向实时业务
"DSCP"
match support
[color="#000000"]允许对IP[color="#000000"]包头的DSCP字段进行匹配
"ESP"
match support
[color="#000000"]允许对IPSec[color="#000000"]包中的ESP[color="#000000"]头进行匹配,[color="#000000"]使用IPsec的话就选上吧
"helper"
match support
[color="#000000"]加载特定协议的连接跟踪辅助模块,[color="#000000"]由该模块过滤所跟踪的连接类型的包,[color="#000000"]比如ip_conntrack_ftp模块
"length"
match support
允许对包的长度进行匹配
"limit"
match support
[color="#000000"]允许根据包的进出速率进行规则匹配,[color="#000000"]常和"LOG
target"[color="#000000"]配合使用以抵抗某些Dos攻击
"mac"
address match support
[color="#000000"]允许根据以太网的MAC[color="#000000"]进行匹配,常用于无线网络环境
"mark"
match support
[color="#000000"]允许对先前由"MARK"标记的特定标记值进行匹配
IPsec
"policy" match support
[color="#000000"]使用IPsec就选上吧
Multiple
port match support
[color="#000000"]允许对TCP[color="#000000"]或UDP[color="#000000"]包同时匹配多个端口([color="#000000"]通常情况下只能匹配一个端口)
"physdev" match support
允许对到达的或将要离开的物理桥端口进行匹配
"pkttype"
packet type match support
[color="#000000"]允许对封包目的地址类别([color="#000000"]广播/[color="#000000"]群播/[color="#000000"]直播)进行匹配
"quota"
match support
允许对总字节数的限额值进行匹配
"realm"
match support
[color="#000000"]允许对iptables[color="#000000"]中的路由子系统中的realm值进行匹配
"sctp"
protocol match support
[color="#000000"]流控制传输协议(SCTP),十年以后也许能够普及的东西
"state"
match support
[color="#000000"]这是对包进行分类的有力工具,它允许利用连接跟踪信息对连接中处于特定状态的包进行匹配
"statistic"
match support
允许根据一个给定的百分率对包进行周期性的或随机性的匹配
"string"
match support
允许根据包所承载的数据中包含的特定字符串进行匹配
"tcpmss"
match support
[color="#000000"]允许根据TCP
SYN[color="#000000"]包头中的MSS([color="#000000"]最大分段长度)选项的值进行匹配
IP:
Netfilter Configuration
[color="#000000"]针对IPv4[color="#000000"]的Netfilter配置
Connection
tracking (required for masq/NAT)
[color="#000000"]链接跟踪.[color="#000000"]可用于报文伪装或地址转换,也可用于增强包过滤能力
Connection
tracking flow accounting
[color="#000000"]允许针对每个连接记录已经传送的字节/[color="#000000"]包数,[color="#000000"]常用于connbytes
match
Connection mark tracking
support
[color="#000000"]允许对连接进行标记,[color="#000000"]与针对单独的包进行标记的不同之处在于它是针对连接流的.CONNMARK
target[color="#000000"]和connmark
match需要它的支持
Connection
tracking security mark
support
[color="#000000"]允许对连接进行安全标记,[color="#000000"]通常这些标记包(SECMARK)[color="#000000"]复制到其所属连接(CONNSECMARK),[color="#000000"]再从连接复制到其关联的包(SECMARK)
Connection tracking
events
[color="#000000"]连接跟踪事件支持.[color="#000000"]如果启用这个选项,[color="#000000"]连接跟踪代码将提供一个notifier[color="#000000"]链,它可以被其它内核代码用来获知连接跟踪状态的改变
Connection
tracking netlink interface
[color="#000000"]支持基于netlink的用户空间接口
SCTP
protocol connection tracking support
SCTP[color="#000000"]是IP网面向多媒体通信的新一代的流控制传输协议
FTP
protocol support
FTP协议
IRC
protocol support
IRC[color="#000000"]协议是一种用来实时聊天协议,[color="#000000"]用过mIRC的人应当不陌生
NetBIOS
name service protocol support
NetBIOS名字服务协议
TFTP
protocol support
TFTP[color="#000000"]是基于UDP[color="#000000"]的比FTP简单的文件传输协议
Amanda
backup protocol support
Amanda备份协议
PPTP
protocol support
[color="#000000"]点对点隧道协议(PPTP)[color="#000000"]是一种支持多协议虚拟专用网络的网络技术,ADSL用户对它应该很熟悉
H.323
protocol support
ITU-T[color="#000000"]提出的用于IP电话的协议
SIP
protocol support
IETE[color="#000000"]提出的用于IP电话的协议
IP
Userspace queueing via NETLINK
已废弃
IP
tables support (required for filtering/masq/NAT)
[color="#000000"]要用iptables就肯定要选上
IP
range match support
[color="#000000"]允许对ip地址的范围进行匹配
TOS
match support
[color="#000000"]允许对ip[color="#000000"]包头的TOS(Type
Of Service)字段进行匹配
recent
match support
[color="#000000"]可以创建一个或多个刚刚使用过的ip[color="#000000"]地址列表,然后根据这些列表进行匹配
ECN
match support
允
许对TCP/IP[color="#000000"]包头的ECN(Explicit
Congestion
Notification)[color="#000000"]字段进行匹配.ECN[color="#000000"]是一种显式拥塞通知技术,[color="#000000"]它不但要求路由器支持而且要求端到端主机的支持,其基本思想是当路由器发生早期
拥塞时不是丢弃包而是尽量对包进行标记,[color="#000000"]接收方接到带有ECN[color="#000000"]提示的包时,[color="#000000"]通知发送方网络即将发生拥塞,[color="#000000"]也就是它通过对包的标记提示TCP源即将发生拥
塞,从而引发拥塞避免算法
AH
match support
[color="#000000"]允许对IPSec[color="#000000"]包头的AH字段进行匹配
TTL
match support
[color="#000000"]允许对ip[color="#000000"]包头的TTL([color="#000000"]生存期)字段进行匹配
Owner
match support
[color="#000000"]允许对本地生成的包按照其宿主(user,group,process,session)进行匹配
address
type match support
[color="#000000"]允许对地址类型([color="#000000"]单播,[color="#000000"]本地,[color="#000000"]广播)进行匹配
hashlimit
match
support
[color="#000000"]是limit[color="#000000"]的升级,[color="#000000"]它基于你选择的ip[color="#000000"]地址与/[color="#000000"]或端口动态的创建以limit[color="#000000"]为桶(bucket)[color="#000000"]的哈希表.[color="#000000"]它可以创建诸如"[color="#000000"]为每个特定的目标IP[color="#000000"]分配10kpps"[color="#000000"]或"[color="#000000"]允许每个特定的源IP[color="#000000"]分配500pps"之类的规则
Packet
filtering
[color="#000000"]定义filter表以允许对包进行过滤
REJECT
target support
[color="#000000"]允许返回一个ICMP错误而不是简单的丢弃包
LOG
target support
[color="#000000"]允许将符合条件的包头信息通过syslog进行记录
ULOG
target support
[color="#000000"]透过netlink
socket[color="#000000"]将符合条件的封包交给用户空间的ulogd[color="#000000"]守护进程.[color="#000000"]反对使用该选项,[color="#000000"]因为它已经被NETFILTER_NETLINK_LOG代替
TCPMSS
target support
[color="#000000"]允许修改TCP[color="#000000"]包头中的MSS([color="#000000"]最大分段长度)选项值
Full
NAT
[color="#000000"]允许进行伪装/[color="#000000"]端口转发以及其它的NAT[color="#000000"]功能,[color="#000000"]仅在你需要使用iptables[color="#000000"]中的nat表时才需要选择
Packet
mangling
[color="#000000"]在iptables[color="#000000"]中启用mangle[color="#000000"]表以便对包进行各种修改,常用于改变包的路由
raw
table support (required for
NOTRACK/TRACE)
[color="#000000"]在iptables[color="#000000"]中添加一个'raw'[color="#000000"]表,[color="#000000"]该表在netfilter[color="#000000"]框架中非常靠前,[color="#000000"]并在PREROUTING[color="#000000"]和OUTPUT[color="#000000"]链上有钩子,从而可以对收到的数据包在连接跟踪前进行处理
ARP
tables support
ARP[color="#000000"]表支持.[color="#000000"]只有在局域网中才有ARP[color="#000000"]欺骗问题,[color="#000000"]另外路由器也会遭到ARP欺骗
ARP
packet
filtering
ARP[color="#000000"]包过滤.[color="#000000"]对于进入和离开本地的ARP[color="#000000"]包定义一个filter[color="#000000"]表,[color="#000000"]在桥接的情况下还可以应用于被转发ARP包
ARP
payload mangling
[color="#000000"]允许对ARP[color="#000000"]包的荷载部分进行修改,比如修改源和目标物理地址
IPv6:
Netfilter
Configuration
[color="#000000"]针对IPv6[color="#000000"]的Netfilter[color="#000000"]配置,[color="#000000"]需要的话可以参考前面IPv4[color="#000000"]的Netfilter配置进行选择
DECnet:
Netfilter Configuration
[color="#000000"]针对DECnet[color="#000000"]的Netfilter配置
Bridge:
Netfilter Configuration
[color="#000000"]针对桥接的Netfilter配置
DCCP
Configuration
[color="#000000"]数据报拥塞控制协议在UDP[color="#000000"]的基础上增加了流控和拥塞控制机制,使数据报协议能够更好地用于流媒体业务的传输
SCTP
Configuration
[color="#000000"]流控制传输协议是一种新兴的传输层协议.TCP[color="#000000"]协议一次只能连接一个IP[color="#000000"]地址而在SCTP[color="#000000"]协议一次可以连接多个IP[color="#000000"]地址且可以自动平衡网络负载,[color="#000000"]一旦某一个IP[color="#000000"]地址失效会自动将网络负载转移到其他IP地址上
TIPC
Configuration
[color="#000000"]透明内部进程间通信协议,[color="#000000"]以共享内存为基础实现任务和资源的调度,专门用于内部集群通信
Asynchronous
Transfer Mode (ATM)
[color="#000000"]异步传输模式(ATM)支持
802.1d
Ethernet Bridging
802.1d以太网桥
802.1Q
VLAN Support
802.1Q虚拟局域网
DECnet
Support
DECnet是一种很生僻的协议
ANSI/IEEE
802.2 LLC type 2 Support
看不懂可以不选
The
IPX protocol
IPX协议
Appletalk
protocol support
[color="#000000"]与Mac机器通信的协议
CCITT
X.25 Packet Layer
大约没人需要这东西
LAPB
Data Link Driver
大约没人需要这东西
Acorn
Econet/AUN protocols
[color="#000000"]一种被Acorn计算机使用的又老又慢的协议
WAN
router
广域网路由
QoS
and/or fair queueing
[color="#000000"]如果你需要Qos或公平队列就选吧
Network
testing
[color="#000000"]网络测试,仅供调试使用
Amateur
Radio support
业余无线电支持
IrDA
(infrared) subsystem support
[color="#000000"]红外线支持,比如无线鼠标或无线键盘
Bluetooth
subsystem support
蓝牙支持
Generic
IEEE 802.11 Networking Stack
[color="#000000"]通用无线局域网(IEEE
802.11[color="#000000"]系列协议)支持
Device
Drivers
[color="#000000"]设备驱动程序
Generic
Driver Options
驱动程序通用选项
Select
only drivers that don't need compile-time external
firmware
[color="#000000"]只显示那些不需要内核对外部设备的固件作map[color="#000000"]支持的驱动程序,[color="#000000"]除非你有某些怪异硬件,否则请选上
Prevent
firmware from being
built
[color="#000000"]不编译固件.[color="#000000"]固件一般是随硬件的驱动程序提供的,[color="#000000"]仅在更新固件的时候才需要重新编译.建议选上
Userspace
firmware loading support
[color="#000000"]提供某些内核之外的模块需要的用户空间固件加载支持,在内核树之外编译的模块可能需要它
Driver
Core verbose debug messages
[color="#000000"]让驱动程序核心在系统日志中产生冗长的调试信息,仅供调试
Connector
- unified userspace kernelspace
linker
[color="#000000"]统一的用户空间和内核空间连接器,[color="#000000"]工作在netlink
socket[color="#000000"]协议的顶层.不确定可以不选
Report
process events to userspace
[color="#000000"]向用户空间报告进程事件(fork,exec,id[color="#000000"]变化(uid,gid,suid)
Memory Technology Devices (MTD)
[color="#000000"]特殊的存储技术装置,如常用于数码相机或嵌入式系统的闪存卡
Parallel
port support
[color="#000000"]并口支持([color="#000000"]传统的打印机接口)
Plug and Play support
[color="#000000"]即插即用支持,[color="#000000"]若未选则应当在BIOS[color="#000000"]中关闭"PnP
OS".[color="#000000"]这里的选项与PCI设备无关
PnP
Debug Messages
该选项仅供调试使用
ISA
Plug and Play support
ISA设备即插即用支持
Plug
and Play BIOS support
Linux [color="#000000"]使用"Plug
and Play
BIOS"[color="#000000"]规范v1.0A(1994[color="#000000"]年)[color="#000000"]中定义的PNPBIOS[color="#000000"]自动检测主板上的资源和设备,[color="#000000"]但是其中的某些特性目前尚未实现,[color="#000000"]比如:[color="#000000"]事件通知/扩展坞
(Docking
Station)[color="#000000"]信息/ISAPNP[color="#000000"]服务.[color="#000000"]如果你希望由内核检测主板上的设备并为其分配资源([color="#000000"]此时BIOS[color="#000000"]中的"PnP
OS"[color="#000000"]必须开启)[color="#000000"]可以选上,[color="#000000"]此外,PNPBIOS[color="#000000"]还有助于防止主板上的设备与其他总线设备冲突.[color="#000000"]不过需要注意的是ACPI[color="#000000"]将会逐渐取代PNPBIOS(虽
然目前两者可以共存),[color="#000000"]所以如果你的系统不使用ISA[color="#000000"]设备并且支持ACPI,[color="#000000"]建议你不要选中该选项并将BIOS[color="#000000"]中的"PnP
OS"关闭
Plug
and Play BIOS /proc interface
该选项仅供调试使用
Plug
and Play ACPI
support
[color="#000000"]让Linux[color="#000000"]使用PNPACPI[color="#000000"]自动检测主板上内建的设备并为其分配资源([color="#000000"]即使这些设备已被BIOS[color="#000000"]禁用),[color="#000000"]它有助于避免设备之间的资源([color="#000000"]如中断)冲突
Block
devices
块设备
Normal
floppy disk support
通用软驱支持
XT
hard disk support
古董级产品
Parallel
port IDE device support
[color="#000000"]通过并口与计算机连接的IDE[color="#000000"]设备,比如某些老旧的外接光驱或硬盘之类
Compaq
SMART2 support
[color="#000000"]基于Compaq
SMART2控制器的磁盘阵列卡
Compaq
Smart Array 5xxx support
[color="#000000"]基于Compaq
SMART控制器的磁盘阵列卡
Mylex
DAC960/DAC1100 PCI RAID Controller support
古董级产品
Micro
Memory MM5415 Battery Backed RAM support
一种使用电池做后备电源的内存
Loopback
device support
Loopback[color="#000000"]是指拿文件来模拟块设备,[color="#000000"]比如可以将一个iso9660镜像文件挂成一个文件系统
Cryptoloop
Support
[color="#000000"]使用系统提供的加密API[color="#000000"]对Loopback[color="#000000"]设备加密,但不能用于日志型文件系统
Network
block device support
让你的电脑成为网络块设备的客户端
Promise
SATA SX8 support
[color="#000000"]基于Promise[color="#000000"]公司的SATA
SX8[color="#000000"]控制器的RAID卡
Low
Performance USB Block driver
[color="#000000"]它不是用来支持U[color="#000000"]盘的,不懂的就别选
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u2/66249/showart_529139.html |
|
免费注册
发表于 2008-04-13 09:34