Linux 2.6.19.x内核编译配置选项简介

Transformation user configuration interface

为IPsec(可在ip层加密)之类的工具提供XFRM用户配置接口支持

Transformation sub policy support

XFRM子策略支持,仅供开发者使用

PF_KEY sockets

用于可信任的密钥管理程序和操作系统内核内部的密钥管理进行通信,IPsec依赖于它

TCP/IP networking

TCP/IP协议当然要选

IP: multicasting

群组广播,似乎与网格计算有关,仅在使用MBONE的时候才需要

IP: advanced router

高级路由,如果想做一个路由器就选吧

IP: policy routing

策略路由

IP: equal cost multipath

用于路由的基于目的地址的负载均衡

IP: verbose route monitoring

显示冗余的路由监控信息

IP: kernel level autoconfiguration

在内核启动时自动配置ip地址/路由表等,需要从网络启动的无盘工作站才需要这个东西

IP: tunneling

IP隧道,将一个IP报文封装在另一个IP报文内的技术

IP: GRE tunnels over IP

基于IP的GRE(通用路由封装)隧道

IP: multicast routing

多重传播路由

IP: ARP daemon support

这东西尚处于试验阶段就已经被废弃了

IP: TCP syncookie support

抵抗SYN flood攻击的好东西,要启用它必须同时启用/proc文件系统和"Sysctl support",然后在系统启动并挂载了/proc之后执行"echo 1 >/proc/sys/net/ipv4/tcp_syncookies"命令

IP: AH transformation

IPsec验证头(AH)实现了数据发送方的验证处理,可确保数据既对于未经验证的站点不可用也不能在路由过程中更改

IP: ESP transformation

IPsec封闭安全负载(ESP)实现了发送方的验证处理和数据加密处理,用以确保数据不会被拦截/查看或复制

IP: IPComp transformation

IPComp(IP静荷载压缩协议),用于支持IPsec

IP: IPsec transport mode

IPsec传输模式,常用于对等通信,用以提供内网安全.数据包经过了加密但IP头没有加密,因此任何标准设备或软件都可查看和使用IP头

IP: IPsec tunnel mode

IPsec隧道模式,用于提供外网安全(包括虚拟专用网络).整个数据包(数据头和负载)都已经过加密处理且分配有新的ESP头/IP头和验证尾,从而能够隐藏受保护站点的拓扑结构

IP: IPsec BEET mode

IPsec BEET模式

INET: socket monitoring interface

socket监视接口,一些Linux本地工具(如:包含ss的iproute2)需要使用它

TCP: advanced congestion control

高级拥塞控制,如果没有特殊需求(比如无线网络)就别选了,内核会自动将默认的拥塞控制设为"Cubic"并将"Reno"作为候补

IP: Virtual Server Configuration

IP虚拟服务器允许你基于多台物理机器构建一台高性能的虚拟服务器,不玩集群就别选了

The IPv6 protocol

你要是需要IPv6就选吧

NetLabel subsystem support

NetLabel子系统为诸如CIPSO与RIPSO之类能够在分组信息上添加标签的协议提供支持,如果你看不懂就别选了

Security Marking

对网络包进行安全标记,类似于nfmark,但主要是为安全目的而设计,如果你不明白的话就别选

Network packet filtering (replaces ipchains)

Netfilter可以对数据包进行过滤和修改,可以作为防火墙("packet filter"或"proxy-based")或网关(NAT)或代理(proxy)或网桥使用.选中此选项后必须将"Fast switching"关闭,否则将前功尽弃

Network packet filtering debugging

仅供开发者调试Netfilter使用

Bridged IP/ARP packets filtering

如果你希望使用一个针对桥接的防火墙就打开它

Core Netfilter Configuration

核心Netfilter配置(当包流过Chain时如果match某个规则那么将由该规则的target来处理,否则将由同一个Chain中的下一个规则进行匹配,若不match所有规则那么最终将由该Chain的policy进行处理)

Netfilter netlink interface

允许Netfilter在与用户空间通信时使用新的netlink接口.netlink Socket是Linux用户态与内核态交流的主要方法之一,且越来越被重视

Netfilter NFQUEUE over NFNETLINK interface

通过NFNETLINK接口对包进行排队

Netfilter LOG over NFNETLINK interface

通过NFNETLINK接口对包记录.该选项废弃了ipt_ULOG和ebg_ulog机制,并打算在将来废弃基于syslog的ipt_LOG和ip6t_LOG模块