全部博文(13)
分类: LINUX
2008-04-13 09:34:07
Linux -2.6内核编译配置选项简介(二)
Security
Marking
对网络包进行安全标记,类似于nfmark,但主要是为安全目的而设计,如果你不明白的话就别选
Network
packet filtering (replaces
ipchains)
Netfilter可以对数据包进行过滤和修改,可以作为防火墙("packet
filter"或"proxy-based")或网关(NAT)或代理(proxy)或网桥使用.选中此选项后必须将"Fast
switching"关闭,否则将前功尽弃
Network
packet filtering debugging
仅供开发者调试Netfilter使用
Bridged
IP/ARP packets filtering
如果你希望使用一个针对桥接的防火墙就打开它
Core
Netfilter
Configuration
核心Netfilter配置(当包流过Chain时如果match某个规则那么将由该规则的target来处理,否则将由同一个Chain中的下一个规则进行匹配,若不match所有规则那么最终将由该Chain的policy进行处理)
Netfilter netlink
interface
允许Netfilter在与用户空间通信时使用新的netlink接口.netlink
Socket是Linux用户态与内核态交流的主要方法之一,且越来越被重视.
Netfilter NFQUEUE over NFNETLINK interface
通过NFNETLINK接口对包进行排队
Netfilter
LOG over NFNETLINK
interface
通过NFNETLINK接口对包记录.该选项废弃了ipt_ULOG和ebg_ulog机制,并打算在将来废弃基于syslog的ipt_LOG和ip6t_LOG模块
Layer
3 Independent Connection
tracking
独立于第三层的链接跟踪,通过广义化的ip_conntrack支持其它非IP协议的第三层协议
Netfilter
Xtables support
如果你打算使用ip_tables,ip6_tables,arp_tables之一就必须选上
"CLASSIFY"
target
support
允许为包设置优先级,一些排队规则(atm,cbq,dsmark,pfifo_fast,htb,prio)需要使用它
"CONNMARK"
target support
类似于"MARK",但影响的是连接标记的值
"DSCP"
target support
允许对ip包头部的DSCP(Differentiated
Services Codepoint)字段进行修改,该字段常用于Qos
"MARK" target
support
允许对包进行标记(通常配合ip命令使用),这样就可以改变路由策略或者被其它子系统用来改变其行为
"NFQUEUE"
target
Support
用于替代老旧的QUEUE(iptables内建的target之一),因为NFQUEUE能支持最多65535个队列,而QUEUE只能支持一个
"NOTRACK"
target support
允许规则指定哪些包不进入链接跟踪/NAT子系统
"SECMARK"
target support
允许对包进行安全标记,用于安全子系统
"CONNSECMARK"
target
support
针对链接进行安全标记,同时还会将连接上的标记还原到包上(如果链接中的包尚未进行安全标记),通常与SECMARK
target联合使用
"comment"
match support
允许你在iptables规则集中加入注释
"connbytes"
per-connection counter match support
允许针对单个连接内部每个方向(进/出)匹配已经传送的字节数/包数
"connmark"
connection mark match support
允许针对每个会话匹配先前由"CONNMARK"设置的标记值
"conntrack"
connection tracking match
support
连接跟踪匹配,是"state"的超集,它允许额外的链接跟踪信息,在需要设置一些复杂的规则(比如网关)时很有用
"DCCP"
protocol match
support
DCCP是打算取代UDP的新传输协议,它在UDP的基础上增加了流控和拥塞控制机制,面向实时业务
"DSCP"
match support
允许对IP包头的DSCP字段进行匹配
"ESP"
match support
允许对IPSec包中的ESP头进行匹配,使用IPsec的话就选上吧
"helper"
match support
加载特定协议的连接跟踪辅助模块,由该模块过滤所跟踪的连接类型的包,比如ip_conntrack_ftp模块
"length"
match support
允许对包的长度进行匹配
"limit"
match support
允许根据包的进出速率进行规则匹配,常和"LOG
target"配合使用以抵抗某些Dos攻击
"mac"
address match support
允许根据以太网的MAC进行匹配,常用于无线网络环境
"mark"
match support
允许对先前由"MARK"标记的特定标记值进行匹配
IPsec
"policy" match support
使用IPsec就选上吧
Multiple
port match support
允许对TCP或UDP包同时匹配多个端口(通常情况下只能匹配一个端口)
"physdev" match support
允许对到达的或将要离开的物理桥端口进行匹配
"pkttype"
packet type match support
允许对封包目的地址类别(广播/群播/直播)进行匹配
"quota"
match support
允许对总字节数的限额值进行匹配
"realm"
match support
允许对iptables中的路由子系统中的realm值进行匹配
"sctp"
protocol match support
流控制传输协议(SCTP),十年以后也许能够普及的东西
"state"
match support
这是对包进行分类的有力工具,它允许利用连接跟踪信息对连接中处于特定状态的包进行匹配
"statistic"
match support
允许根据一个给定的百分率对包进行周期性的或随机性的匹配
"string"
match support
允许根据包所承载的数据中包含的特定字符串进行匹配
"tcpmss"
match support
允许根据TCP
SYN包头中的MSS(最大分段长度)选项的值进行匹配
IP:
Netfilter Configuration
针对IPv4的Netfilter配置
Connection
tracking (required for masq/NAT)
链接跟踪.可用于报文伪装或地址转换,也可用于增强包过滤能力
Connection
tracking flow accounting
允许针对每个连接记录已经传送的字节/包数,常用于connbytes
match
Connection mark tracking
support
允许对连接进行标记,与针对单独的包进行标记的不同之处在于它是针对连接流的.CONNMARK
target和connmark
match需要它的支持
Connection
tracking security mark
support
允许对连接进行安全标记,通常这些标记包(SECMARK)复制到其所属连接(CONNSECMARK),再从连接复制到其关联的包(SECMARK)
Connection tracking
events
连接跟踪事件支持.如果启用这个选项,连接跟踪代码将提供一个notifier链,它可以被其它内核代码用来获知连接跟踪状态的改变
Connection
tracking netlink interface
支持基于netlink的用户空间接口
SCTP
protocol connection tracking support
SCTP是IP网面向多媒体通信的新一代的流控制传输协议
FTP
protocol support
FTP协议
IRC
protocol support
IRC协议是一种用来实时聊天协议,用过mIRC的人应当不陌生
NetBIOS
name service protocol support
NetBIOS名字服务协议
TFTP
protocol support
TFTP是基于UDP的比FTP简单的文件传输协议
Amanda
backup protocol support
Amanda备份协议
PPTP
protocol support
点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术,ADSL用户对它应该很熟悉
H.323
protocol support
ITU-T提出的用于IP电话的协议
SIP
protocol support
IETE提出的用于IP电话的协议
IP
Userspace queueing via NETLINK
已废弃
IP
tables support (required for filtering/masq/NAT)
要用iptables就肯定要选上
IP
range match support
允许对ip地址的范围进行匹配
TOS
match support
允许对ip包头的TOS(Type
Of Service)字段进行匹配
recent
match support
可以创建一个或多个刚刚使用过的ip地址列表,然后根据这些列表进行匹配
ECN
match support
允
许对TCP/IP包头的ECN(Explicit
Congestion
Notification)字段进行匹配.ECN是一种显式拥塞通知技术,它不但要求路由器支持而且要求端到端主机的支持,其基本思想是当路由器发生早期
拥塞时不是丢弃包而是尽量对包进行标记,接收方接到带有ECN提示的包时,通知发送方网络即将发生拥塞,也就是它通过对包的标记提示TCP源即将发生拥
塞,从而引发拥塞避免算法
AH
match support
允许对IPSec包头的AH字段进行匹配
TTL
match support
允许对ip包头的TTL(生存期)字段进行匹配
Owner
match support
允许对本地生成的包按照其宿主(user,group,process,session)进行匹配
address
type match support
允许对地址类型(单播,本地,广播)进行匹配
hashlimit
match
support
是limit的升级,它基于你选择的ip地址与/或端口动态的创建以limit为桶(bucket)的哈希表.它可以创建诸如"为每个特定的目标IP分配10kpps"或"允许每个特定的源IP分配500pps"之类的规则
Packet
filtering
定义filter表以允许对包进行过滤
REJECT
target support
允许返回一个ICMP错误而不是简单的丢弃包
LOG
target support
允许将符合条件的包头信息通过syslog进行记录
ULOG
target support
透过netlink
socket将符合条件的封包交给用户空间的ulogd守护进程.反对使用该选项,因为它已经被NETFILTER_NETLINK_LOG代替
TCPMSS
target support
允许修改TCP包头中的MSS(最大分段长度)选项值
Full
NAT
允许进行伪装/端口转发以及其它的NAT功能,仅在你需要使用iptables中的nat表时才需要选择
Packet
mangling
在iptables中启用mangle表以便对包进行各种修改,常用于改变包的路由
raw
table support (required for
NOTRACK/TRACE)
在iptables中添加一个'raw'表,该表在netfilter框架中非常靠前,并在PREROUTING和OUTPUT链上有钩子,从而可以对收到的数据包在连接跟踪前进行处理
ARP
tables support
ARP表支持.只有在局域网中才有ARP欺骗问题,另外路由器也会遭到ARP欺骗
ARP
packet
filtering
ARP包过滤.对于进入和离开本地的ARP包定义一个filter表,在桥接的情况下还可以应用于被转发ARP包
ARP
payload mangling
允许对ARP包的荷载部分进行修改,比如修改源和目标物理地址
IPv6:
Netfilter
Configuration
针对IPv6的Netfilter配置,需要的话可以参考前面IPv4的Netfilter配置进行选择
DECnet:
Netfilter Configuration
针对DECnet的Netfilter配置
Bridge:
Netfilter Configuration
针对桥接的Netfilter配置
DCCP
Configuration
数据报拥塞控制协议在UDP的基础上增加了流控和拥塞控制机制,使数据报协议能够更好地用于流媒体业务的传输
SCTP
Configuration
流控制传输协议是一种新兴的传输层协议.TCP协议一次只能连接一个IP地址而在SCTP协议一次可以连接多个IP地址且可以自动平衡网络负载,一旦某一个IP地址失效会自动将网络负载转移到其他IP地址上
TIPC
Configuration
透明内部进程间通信协议,以共享内存为基础实现任务和资源的调度,专门用于内部集群通信
Asynchronous
Transfer Mode (ATM)
异步传输模式(ATM)支持
802.1d
Ethernet Bridging
802.1d以太网桥
802.1Q
VLAN Support
802.1Q虚拟局域网
DECnet
Support
DECnet是一种很生僻的协议
ANSI/IEEE
802.2 LLC type 2 Support
看不懂可以不选
The
IPX protocol
IPX协议
Appletalk
protocol support
与Mac机器通信的协议
CCITT
X.25 Packet Layer
大约没人需要这东西
LAPB
Data Link Driver
大约没人需要这东西
Acorn
Econet/AUN protocols
一种被Acorn计算机使用的又老又慢的协议
WAN
router
广域网路由
QoS
and/or fair queueing
如果你需要Qos或公平队列就选吧
Network
testing
网络测试,仅供调试使用
Amateur
Radio support
业余无线电支持
IrDA
(infrared) subsystem support
红外线支持,比如无线鼠标或无线键盘
Bluetooth
subsystem support
蓝牙支持
Generic
IEEE 802.11 Networking Stack
通用无线局域网(IEEE
802.11系列协议)支持
Device
Drivers
设备驱动程序
Generic
Driver Options
驱动程序通用选项
Select
only drivers that don't need compile-time external
firmware
只显示那些不需要内核对外部设备的固件作map支持的驱动程序,除非你有某些怪异硬件,否则请选上
Prevent
firmware from being
built
不编译固件.固件一般是随硬件的驱动程序提供的,仅在更新固件的时候才需要重新编译.建议选上
Userspace
firmware loading support
提供某些内核之外的模块需要的用户空间固件加载支持,在内核树之外编译的模块可能需要它
Driver
Core verbose debug messages
让驱动程序核心在系统日志中产生冗长的调试信息,仅供调试
Connector
- unified userspace <-> kernelspace
linker
统一的用户空间和内核空间连接器,工作在netlink
socket协议的顶层.不确定可以不选
Report
process events to userspace
向用户空间报告进程事件(fork,exec,id变化(uid,gid,suid)
Memory Technology Devices (MTD)
特殊的存储技术装置,如常用于数码相机或嵌入式系统的闪存卡
Parallel
port support
并口支持(传统的打印机接口)
Plug and Play support
即插即用支持,若未选则应当在BIOS中关闭"PnP
OS".这里的选项与PCI设备无关
PnP
Debug Messages
该选项仅供调试使用
ISA
Plug and Play support
ISA设备即插即用支持
Plug
and Play BIOS support
Linux 使用"Plug
and Play
BIOS"规范v1.0A(1994年)中定义的PNPBIOS自动检测主板上的资源和设备,但是其中的某些特性目前尚未实现,比如:事件通知/扩展坞
(Docking
Station)信息/ISAPNP服务.如果你希望由内核检测主板上的设备并为其分配资源(此时BIOS中的"PnP
OS"必须开启)可以选上,此外,PNPBIOS还有助于防止主板上的设备与其他总线设备冲突.不过需要注意的是ACPI将会逐渐取代PNPBIOS(虽
然目前两者可以共存),所以如果你的系统不使用ISA设备并且支持ACPI,建议你不要选中该选项并将BIOS中的"PnP
OS"关闭
Plug
and Play BIOS /proc interface
该选项仅供调试使用
Plug
and Play ACPI
support
让Linux使用PNPACPI自动检测主板上内建的设备并为其分配资源(即使这些设备已被BIOS禁用),它有助于避免设备之间的资源(如中断)冲突
Block
devices
块设备
Normal
floppy disk support
通用软驱支持
XT
hard disk support
古董级产品
Parallel
port IDE device support
通过并口与计算机连接的IDE设备,比如某些老旧的外接光驱或硬盘之类
Compaq
SMART2 support
基于Compaq
SMART2控制器的磁盘阵列卡
Compaq
Smart Array 5xxx support
基于Compaq
SMART控制器的磁盘阵列卡
Mylex
DAC960/DAC1100 PCI RAID Controller support
古董级产品
Micro
Memory MM5415 Battery Backed RAM support
一种使用电池做后备电源的内存
Loopback
device support
Loopback是指拿文件来模拟块设备,比如可以将一个iso9660镜像文件挂成一个文件系统
Cryptoloop
Support
使用系统提供的加密API对Loopback设备加密,但不能用于日志型文件系统
Network
block device support
让你的电脑成为网络块设备的客户端
Promise
SATA SX8 support
基于Promise公司的SATA
SX8控制器的RAID卡
Low
Performance USB Block driver
它不是用来支持U盘的,不懂的就别选