Linux2.6內(nèi)核配臵說明

1、Linux 2.6內(nèi)核配置說明Code maturity level options代碼成熟度選項Prompt for development and/or incomplete code/drivers 顯示尚在開發(fā)中或尚未完成的代碼與驅(qū)動.除非你是測試人員或者開發(fā)者,否則請勿選擇 General setup常規(guī)設(shè)置 Local version - append to kernel release 在內(nèi)核版本后面加上自定義的版本字符串(小于64字符),可以用uname -a命令看到 Automatically append version information to the version

2、 string 自動在版本字符串后面添加版本信息,編譯時需要有perl以及git倉庫支持 Support for paging of anonymous memory (swap) 使用交換分區(qū)或者交換文件來做為虛擬內(nèi)存 System V IPC System V進程間通信(IPC)支持,許多程序需要這個功能.建議選 POSIX Message Queues POSIX消息隊列支持BSD Process Accounting 將進程的統(tǒng)計信息寫入文件的用戶級系統(tǒng)調(diào)用,主要包括進程的創(chuàng)建時間/創(chuàng)建者/內(nèi)存占用等信息 BSD Process Accounting version 3 file fo

3、rmat 使用新的第三版文件格式,可以包含每個進程的PID和其父進程的PID,但是不兼容老版本的文件格式 Export task/process statistics through netlink 通過netlink接口向用戶空間導(dǎo)出任務(wù)/進程的統(tǒng)計信息,與BSD Process Accounting的不同之處在于這些統(tǒng)計信息在整個任務(wù)/進程生存期都是可用的 Enable per-task delay accounting 在統(tǒng)計信息中包含進程等候系統(tǒng)資源(cpu,IO同步,內(nèi)存交換等)所花費的時間 UTS Namespaces UTS名字空間支持,不確定可以不選 Auditing supp

4、ort 審計支持,某些內(nèi)核模塊(例如SELinux)需要它,只有同時選擇其子項才能對系統(tǒng)調(diào)用進行審計 Enable system-call auditing support 支持對系統(tǒng)調(diào)用的審計 Kernel .config support 把內(nèi)核的配置信息編譯進內(nèi)核中,以后可以通過scripts/extract-ikconfig腳本來提取這些信息 Enable access to .config through /proc/config.gz 允許通過/proc/config.gz訪問內(nèi)核的配置信息 Cpuset support 只有含有大量CPU(大于16個)的SMP系統(tǒng)或NUMA(非一致

5、內(nèi)存訪問)系統(tǒng)才需要它 Kernel-user space relay support (formerly relayfs) 在某些文件系統(tǒng)上(比如debugfs)提供從內(nèi)核空間向用戶空間傳遞大量數(shù)據(jù)的接口 Initramfs source file(s) initrd已經(jīng)被initramfs取代,如果你不明白這是什么意思,請保持空白 Optimize for size (Look out for broken compilers!) 編譯時優(yōu)化內(nèi)核尺寸(使用-Os而不是-O2參數(shù)編譯),有時會產(chǎn)生錯誤的二進制代碼 Enable extended accounting over tasksta

6、ts 收集額外的進程統(tǒng)計信息并通過taskstats接口發(fā)送到用戶空間 Configure standard kernel features (for small systems) 配置標(biāo)準(zhǔn)的內(nèi)核特性(為小型系統(tǒng)) Enable 16-bit UID system calls 允許對UID系統(tǒng)調(diào)用進行過時的16-bit包裝 Sysctl syscall support 不需要重啟就能修改內(nèi)核的某些參數(shù)和變量,如果你也選擇了支持/proc,將能從/proc/sys存取可以影響內(nèi)核行為的參數(shù)或變量 Load all symbols for debugging/kksymoops 裝載所有的調(diào)試符號

7、表信息,僅供調(diào)試時選擇 Include all symbols in kallsyms 在kallsyms中包含內(nèi)核知道的所有符號,內(nèi)核將會增大300K Do an extra kallsyms pass 除非你在kallsyms中發(fā)現(xiàn)了bug并需要報告這個bug才打開該選項 Support for hot-pluggable devices 支持熱插拔設(shè)備,如usb與pc卡等,Udev也需要它 Enable support for printk 允許內(nèi)核向終端打印字符信息,在需要診斷內(nèi)核為什么不能運行時選擇 BUG() support 顯示故障和失敗條件(BUG和WARN),禁用它將可能導(dǎo)致

8、隱含的錯誤被忽略 Enable ELF core dumps 內(nèi)存轉(zhuǎn)儲支持,可以幫助調(diào)試ELF格式的程序 Enable full-sized data structures for core 在內(nèi)核中使用全尺寸的數(shù)據(jù)結(jié)構(gòu).禁用它將使得某些內(nèi)核的數(shù)據(jù)結(jié)構(gòu)減小以節(jié)約內(nèi)存,但是將會降低性能 Enable futex support 快速用戶空間互斥體可以使線程串行化以避免競態(tài)條件,也提高了響應(yīng)速度.禁用它將導(dǎo)致內(nèi)核不能正確的運行基于glibc的程序 Enable eventpoll support 支持事件輪循的系統(tǒng)調(diào)用 Use full shmem filesystem 完全使用shmem來代替r

9、amfs.shmem是基于共享內(nèi)存的文件系統(tǒng)(可能用到swap),在啟用TMPFS后可以掛載為tmpfs供用戶空間使用,它比簡單的ramfs先進許多 Use full SLAB allocator 使用SLAB完全取代SLOB進行內(nèi)存分配,SLAB是一種優(yōu)秀的內(nèi)存分配管理器,推薦使用 Enable VM event counters for /proc/vmstat 允許在/proc/vmstat中包含虛擬內(nèi)存事件記數(shù)器 Loadable module support可加載模塊支持Enable loadable module support 打開可加載模塊支持,如果打開它則必須通過make m

10、odules_install把內(nèi)核模塊安裝在/lib/modules/中 Module unloading 允許卸載已經(jīng)加載的模塊 Forced module unloading 允許強制卸載正在使用中的模塊(比較危險) Module versioning support 允許使用其他內(nèi)核版本的模塊(可能會出問題) Source checksum for all modules 為所有的模塊校驗源碼,如果你不是自己編寫內(nèi)核模塊就不需要它 Automatic kernel module loading 讓內(nèi)核通過運行modprobe來自動加載所需要的模塊,比如可以自動解決模塊的依賴關(guān)系 Bloc

11、k layer塊設(shè)備層Enable the block layer 塊設(shè)備支持,使用硬盤/USB/SCSI設(shè)備者必選 Support for Large Block Devices 僅在使用大于2TB的塊設(shè)備時需要 Support for tracing block io actions 塊隊列IO跟蹤支持,它允許用戶查看在一個塊設(shè)備隊列上發(fā)生的所有事件,可以通過blktrace程序獲得磁盤當(dāng)前的詳細(xì)統(tǒng)計數(shù)據(jù) Support for Large Single Files 僅在可能使用大于2TB的文件時需要 IO Schedulers IO調(diào)度器 Anticipatory I/O schedul

12、er 假設(shè)一個塊設(shè)備只有一個物理查找磁頭(例如一個單獨的SATA硬盤),將多個隨機的小寫入流合并成一個大寫入流,用寫入延時換取最大的寫入吞吐量.適用于大多數(shù)環(huán)境,特別是寫入較多的環(huán)境(比如文件服務(wù)器) Deadline I/O scheduler 使用輪詢的調(diào)度器,簡潔小巧,提供了最小的讀取延遲和尚佳的吞吐量,特別適合于讀取較多的環(huán)境(比如數(shù)據(jù)庫) CFQ I/O scheduler 使用QoS策略為所有任務(wù)分配等量的帶寬,避免進程被餓死并實現(xiàn)了較低的延遲,可以認(rèn)為是上述兩種調(diào)度器的折中.適用于有大量進程的多用戶系統(tǒng) Default I/O scheduler 默認(rèn)IO調(diào)度器 Processo

13、r type and features中央處理器(CPU)類型及特性Symmetric multi-processing support 對稱多處理器支持,如果你有多個CPU或者使用的是多核CPU就選上.此時Enhanced Real Time Clock Support選項必須開啟,Advanced Power Management選項必須關(guān)閉 Subarchitecture Type 處理器的子架構(gòu),大多數(shù)人都應(yīng)當(dāng)選擇PC-compatible Processor family 處理器系列,請按照你實際使用的CPU選擇 Generic x86 support 通用x86支持,如果你的CPU

14、能夠在上述Processor family中找到就別選 HPET Timer Support HPET是替代8254芯片的新一代定時器,i686及以上級別的主板都支持,可以安全的選上 Maximum number of CPUs 支持的最大CPU數(shù),每增加一個內(nèi)核將增加8K體積 SMT (Hyperthreading) scheduler support 支持Intel的超線程(HT)技術(shù) Multi-core scheduler support 針對多核CPU進行調(diào)度策略優(yōu)化 Preemption Model 內(nèi)核搶占模式 No Forced Preemption (Server) 適合服務(wù)

15、器環(huán)境的禁止內(nèi)核搶占 Voluntary Kernel Preemption (Desktop) 適合普通桌面環(huán)境的自愿內(nèi)核搶占 Preemptible Kernel (Low-Latency Desktop) 適合運行實時程序的主動內(nèi)核搶占 Preempt The Big Kernel Lock 可以搶占大內(nèi)核鎖,應(yīng)用于實時要求高的場合,不適合服務(wù)器環(huán)境 Machine Check Exception 讓CPU檢測到系統(tǒng)故障時通知內(nèi)核,以便內(nèi)核采取相應(yīng)的措施(如過熱關(guān)機等) Check for non-fatal errors on AMD Athlon/Duron / Intel Pent

16、ium 4 每5秒檢測一次這些cpu的非致命錯誤并糾正它們,同時記入日志 check for P4 thermal throttling interrupt 當(dāng)P4的cpu過熱時顯示一條警告消息 Enable VM86 support 虛擬X86支持,在DOSEMU下運行16-bit程序或XFree86通過BIOS初始化某些顯卡的時候才需要 Toshiba Laptop support Toshiba筆記本模塊支持 Dell laptop support Dell筆記本模塊支持 Enable X86 board specific fixups for reboot 修正某些舊x86主板的重起b

17、ug,這種主板基本絕種了 /dev/cpu/microcode - Intel IA32 CPU microcode support 使用不隨Linux內(nèi)核發(fā)行的IA32微代碼,你必需有IA32微代碼二進制文件,僅對Intel的CPU有效 /dev/cpu/*/msr - Model-specific register support 在多cpu系統(tǒng)中讓特權(quán)CPU訪問x86的MSR寄存器 /dev/cpu/*/cpuid - CPU information support 能從/dev/cpu/x/cpuid獲得CPU的唯一標(biāo)識符(CPUID) Firmware Drivers 固件驅(qū)動程序

18、BIOS Enhanced Disk Drive calls determine boot disk 有些BIOS支持從某塊特定的硬盤啟動(如果BIOS不支持則可能無法啟動),目前大多數(shù)BIOS還不支持 BIOS update support for DELL systems via sysfs 僅適用于DELL機器 Dell Systems Management Base Driver 僅適用于DELL機器 High Memory Support 最高內(nèi)存支持,總內(nèi)存小于等于1G的選off,大于4G的選64G Memory split 如果你不是絕對清楚自己在做什么,不要改動這個選項 Mem

19、ory model 一般選Flat Memory,其他選項涉及內(nèi)存熱插拔 64 bit Memory and IO resources 使用64位的內(nèi)存和IO資源 Allocate 3rd-level pagetables from highmem 在內(nèi)存很多(大于4G)的機器上將用戶空間的頁表放到高位內(nèi)存區(qū),以節(jié)約寶貴的低端內(nèi)存 Math emulation 數(shù)學(xué)協(xié)處理器仿真,486DX以上的cpu就不要選它了 MTRR (Memory Type Range Register) support 打開它可以提升PCI/AGP總線上的顯卡2倍以上的速度,并且可以修正某些BIOS錯誤 Boot f

20、rom EFI support EFI是一種可代替?zhèn)鹘y(tǒng)BIOS的技術(shù)(目前的Grub/LILO尚不能識別它),但是現(xiàn)在遠(yuǎn)未普及 Enable kernel irq balancing 讓內(nèi)核將irq中斷平均分配給多個CPU以進行負(fù)載均衡,但是要配合irqbanlance守護進程才行 Use register arguments 使用-mregparm=3參數(shù)編譯內(nèi)核,將前3個參數(shù)以寄存器方式進行參數(shù)調(diào)用,可以生成更緊湊和高效的代碼 Enable seccomp to safely compute untrusted bytecode 只有嵌入式系統(tǒng)可以不選 Timer frequency 內(nèi)核

21、時鐘頻率,桌面推薦1000 HZ,服務(wù)器推薦100 HZ或250 HZ kexec system call 提供kexec系統(tǒng)調(diào)用,可以不必重啟而切換到另一個內(nèi)核 kernel crash dumps 被kexec啟動后產(chǎn)生內(nèi)核崩潰轉(zhuǎn)儲 Physical address where the kernel is loaded 內(nèi)核加載的物理地址,除非你知道自己在做什么,否則不要修改.在提供kexec系統(tǒng)調(diào)用的情況下可能要修改它 Support for hot-pluggable CPUs 對熱插拔CPU提供支持 Compat VDSO support 如果Glibc版本大于等于2.3.3就不選,

22、否則就選上 Power management options電源管理選項Power Management support 電源管理有APM和ACPI兩種標(biāo)準(zhǔn)且不能同時使用.即使關(guān)閉該選項,X86上運行的Linux也會在空閑時發(fā)出HLT指令將CPU進入睡眠狀態(tài) Legacy Power Management API 傳統(tǒng)的電源管理API,比如軟關(guān)機和系統(tǒng)休眠等接口 Power Management Debug Support 僅供調(diào)試使用 Driver model /sys/devices/./power/state files 內(nèi)核幫助文檔反對使用該選項,即將被廢除 ACPI (Advance

23、d Configuration and Power Interface) Support 必須運行acpid守護程序ACPI才能起作用.ACPI是為了取代APM而設(shè)計的,因此應(yīng)該盡量使用ACPI而不是APM AC Adapter 如果你的系統(tǒng)可以在AC和電池之間轉(zhuǎn)換就可以選 Battery 通過/proc/acpi/battery向用戶提供電池狀態(tài)信息,用電池的筆記本可以選 Button 守護程序捕獲Power,Sleep,Lid按鈕事件,并根據(jù)/proc/acpi/event做相應(yīng)的動作,軟件控制的poweroff需要它 Video 僅對集成在主板上的顯卡提供ACPI2.0支持,且不是所有集

24、成顯卡都支持 Generic Hotkey 統(tǒng)一的熱鍵驅(qū)動,建議不選 Fan 允許通過用戶層的程序來對系統(tǒng)風(fēng)扇進行控制(開,關(guān),查詢狀態(tài)),支持它的硬件并不多 Dock 支持由ACPI控制的集線器(docking stations) Processor 讓ACPI處理空閑狀態(tài),并使用ACPI C2和C3處理器狀態(tài)在空閑時節(jié)省電能,同時它還被cpufreq的Performance-state drivers選項所依賴 Thermal Zone 系統(tǒng)溫度過高時可以利用ACPI thermal zone及時調(diào)整工作狀態(tài)以避免你的CPU被燒毀 ASUS/Medion Laptop Extras ASU

25、S筆記本專用,以提供額外按鈕的支持,用戶可以通過/proc/acpi/asus來打開或者關(guān)閉LCD的背光/調(diào)整亮度/定制LED的閃爍指示等功能 IBM ThinkPad Laptop Extras IBM ThinkPad專用 Toshiba Laptop Extras Toshiba筆記本專用 Disable ACPI for systems before Jan 1st this year 輸入四位數(shù)的年份,在該年的1月1日前不使用ACPI的功能(0表示一直使用) Debug Statements 詳細(xì)的ACPI調(diào)試信息,不搞開發(fā)就別選 Power Management Timer Sup

26、port 這個Timer在所有ACPI兼容的平臺上都可用,且不會受PM功能的影響,建議總是啟用它.如果你在kernel log中看到了many lost ticks那就必須啟用它 ACPI0004,PNP0A05 and PNP0A06 Container Driver 支持內(nèi)存和CPU的熱插拔 Smart Battery System 支持依賴于I2C的智能電池.這種電池非常老舊且罕見,還與當(dāng)前的ACPI標(biāo)準(zhǔn)兼容性差 APM (Advanced Power Management) BIOS Support APM在SMP機器上必須關(guān)閉,一般來說當(dāng)前的筆記本都支持ACPI,所以應(yīng)盡量關(guān)閉該該選

27、項 Ignore USER SUSPEND 只有NEC Versa M系列的筆記本才需要選擇這一項 Enable PM at boot time 系統(tǒng)啟動時即啟用APM,選上這個選項能讓系統(tǒng)自動的進行電源管理,但常常導(dǎo)致啟動時死機 Make CPU Idle calls when idle 系統(tǒng)空閑時調(diào)用空閑指令(halt),只有老式的CPU才需要選它,且對于SMP系統(tǒng)必須關(guān)閉 Enable console blanking using APM 在屏幕空白時關(guān)閉LCD背光,事實上對所有的筆記本都無效 RTC stores time in GMT 將硬件時鐘應(yīng)該設(shè)為格林威治時間,否則視為本地時間

28、.建議你使用GMT,這樣你無須為時區(qū)的改變而擔(dān)心 Allow interrupts during APM BIOS calls 允許APM的BIOS調(diào)用時中斷,IBM Thinkpad的一些新機器需要這項.如果休眠時掛機(包括睡下去就醒不來),可以試試它 Use real mode APM BIOS call to power off 此驅(qū)動為某些有Bug的BIOS準(zhǔn)備,如果你的系統(tǒng)不能正常關(guān)機或關(guān)機時崩潰,可以試試它 CPU Frequency scaling 允許動態(tài)改變CPU主頻,達到省電和降溫的目的,必須同時啟用下面的一種governor才行 Enable CPUfreq debugg

29、ing 允許對CPUfreq進行調(diào)試 CPU frequency translation statistics 通過sysfs文件系統(tǒng)輸出CPU頻率變換的統(tǒng)計信息 CPU frequency translation statistics details 輸出詳細(xì)的CPU頻率變換統(tǒng)計信息 Default CPUFreq governor 默認(rèn)的CPU頻率調(diào)節(jié)器 performance governor 性能優(yōu)先,靜態(tài)的將頻率設(shè)置為cpu支持的最高頻率 powersave governor 節(jié)能優(yōu)先,靜態(tài)的將頻率設(shè)置為cpu支持的最低頻率 userspace governor for usersp

30、ace frequency scaling 既允許手動調(diào)整cpu頻率,也允許用戶空間的程序動態(tài)的調(diào)整cpu頻率(需要額外的調(diào)頻軟件,比如cpufreqd) ondemand cpufreq policy governor 立即響應(yīng),周期性的考察CPU負(fù)載并自動的動態(tài)調(diào)整cpu頻率(不需要額外的調(diào)頻軟件),適合臺式機 conservative cpufreq governor 保守,和ondemand相似,但是頻率的升降是漸變式的(幅度不會很大),更適合用于筆記本/PDA/AMD64環(huán)境 ACPI Processor P-States driver 將ACPI2.0的處理器性能狀態(tài)報告給CPUF

31、req processor drivers以決定如何調(diào)整頻率,該選項依賴于ACPI-Processor 省略的部分請按照自己實際使用的CPU選擇 /proc/acpi/processor/./performance interface 內(nèi)核幫助文檔反對使用該選項,即將被廢除 Relaxed speedstep capability checks 放松對系統(tǒng)的speedstep兼容性檢查,僅在某些老舊的Intel系統(tǒng)上需要打開 Bus options (PCI, PCMCIA, EISA, MCA, ISA)總線選項PCI support PCI支持,如果使用了PCI或PCI Express設(shè)備

32、就必選 PCI access mode PCI訪問模式,強列建議選Any(系統(tǒng)將優(yōu)先使用MMConfig,然后使用BIOS,最后使用Direct檢測PCI設(shè)備) PCI Express support PCI Express支持(目前主要用于顯卡和千兆網(wǎng)卡) PCI Express Hotplug driver 如果你的主板和設(shè)備都支持PCI Express熱插拔就可以選上 Use polling mechanism for hot-plug events 對熱插拔事件采用輪詢機制,僅用于測試目的 Root Port Advanced Error Reporting support 由PCI

33、Express AER驅(qū)動程序處理發(fā)送到Root Port的錯誤信息 Message Signaled Interrupts (MSI and MSI-X) PCI Express支持兩類中斷:INTx使用傳統(tǒng)的IRQ中斷,可以與現(xiàn)行的PCI總線的驅(qū)動程序和操作系統(tǒng)兼容;MSI則是通過inbound Memory Write觸發(fā)和發(fā)送中斷,更適合多CPU系統(tǒng).可以使用pci=nomsi內(nèi)核引導(dǎo)參數(shù)關(guān)閉MSI PCI Debugging 將PCI調(diào)試信息輸出到系統(tǒng)日志里 Interrupts on hypertransport devices 允許本地的hypertransport設(shè)備使用中斷

34、ISA support 現(xiàn)在基本上沒有ISA的設(shè)備了,如果你有就選吧 MCA support 微通道總線,老舊的IBM的臺式機和筆記本上可能會有這種總線 NatSemi SCx200 support 在使用AMD Geode處理器的機器上才可能有 PCCARD (PCMCIA/CardBus) support PCMCIA卡(主要用于筆記本)支持 Enable PCCARD debugging 僅供調(diào)試 16-bit PCMCIA support 一些老的PCMCIA卡使用16位的CardBus 32-bit CardBus support 當(dāng)前的PCMCIA卡基本上都是32位的CardBus

35、 CardBus yenta-compatible bridge support 使用PCMCIA卡的基本上都需要選擇這一項,子項請按照自己實際使用的PCMCIA卡選擇 省略的部分請按照自己實際使用的PCMCIA卡選擇 PCI Hotplug Support PCI熱插拔支持,如果你有這樣的設(shè)備就到子項中去選吧 Executable file formats可執(zhí)行文件格式Kernel support for ELF binaries ELF是開放平臺下最常用的二進制文件格式,支持動態(tài)連接,支持不同的硬件平臺.除非你知道自己在做什么,否則必選 Kernel support for a.out a

36、nd ECOFF binaries 早期UNIX系統(tǒng)的可執(zhí)行文件格式,目前已經(jīng)被ELF格式取代 Kernel support for MISC binaries 允許插入二進制的封裝層到內(nèi)核中,使用Java,.NET,Python,Lisp等語言編寫的程序時需要它 Networking網(wǎng)絡(luò)Networking options 網(wǎng)絡(luò)選項 Network packet debugging 在調(diào)試不合格的包時加上額外的附加信息,但在遇到Dos攻擊時你可能會被日志淹沒 Packet socket 這種Socket可以讓應(yīng)用程序(比如tcpdump,iptables)直接與網(wǎng)絡(luò)設(shè)備通訊,而不通過內(nèi)核中的

37、其它中介協(xié)議 Packet socket: mmapped IO 讓Packet socket驅(qū)動程序使用IO映射機制以使連接速度更快 Unix domain sockets 一種僅運行于本機上的效率高于TCP/IP的Socket,簡稱Unix socket.許多程序都使用它在操作系統(tǒng)內(nèi)部進行進程間通信(IPC),比如X Window和syslog Transformation user configuration interface 為IPsec(可在ip層加密)之類的工具提供XFRM用戶配置接口支持 Transformation sub policy support XFRM子策略支持,僅

38、供開發(fā)者使用 PF_KEY sockets 用于可信任的密鑰管理程序和操作系統(tǒng)內(nèi)核內(nèi)部的密鑰管理進行通信,IPsec依賴于它 TCP/IP networking TCP/IP協(xié)議當(dāng)然要選 IP: multicasting 群組廣播,似乎與網(wǎng)格計算有關(guān),僅在使用MBONE的時候才需要 IP: advanced router 高級路由,如果想做一個路由器就選吧 IP: policy routing 策略路由 IP: equal cost multipath 用于路由的基于目的地址的負(fù)載均衡 IP: verbose route monitoring 顯示冗余的路由監(jiān)控信息 IP: kernel le

39、vel autoconfiguration 在內(nèi)核啟動時自動配置ip地址/路由表等,需要從網(wǎng)絡(luò)啟動的無盤工作站才需要這個東西 IP: tunneling IP隧道,將一個IP報文封裝在另一個IP報文內(nèi)的技術(shù) IP: GRE tunnels over IP 基于IP的GRE(通用路由封裝)隧道 IP: multicast routing 多重傳播路由 IP: ARP daemon support 這東西尚處于試驗階段就已經(jīng)被廢棄了 IP: TCP syncookie support 抵抗SYN flood攻擊的好東西,要啟用它必須同時啟用/proc文件系統(tǒng)和Sysctl support,然后在系

40、統(tǒng)啟動并掛載了/proc之后執(zhí)行echo 1 /proc/sys/net/ipv4/tcp_syncookies命令 IP: AH transformation IPsec驗證頭(AH)實現(xiàn)了數(shù)據(jù)發(fā)送方的驗證處理,可確保數(shù)據(jù)既對于未經(jīng)驗證的站點不可用也不能在路由過程中更改 IP: ESP transformation IPsec封閉安全負(fù)載(ESP)實現(xiàn)了發(fā)送方的驗證處理和數(shù)據(jù)加密處理,用以確保數(shù)據(jù)不會被攔截/查看或復(fù)制 IP: IPComp transformation IPComp(IP靜荷載壓縮協(xié)議),用于支持IPsec IP: IPsec transport mode IPsec傳輸模

41、式,常用于對等通信,用以提供內(nèi)網(wǎng)安全.數(shù)據(jù)包經(jīng)過了加密但IP頭沒有加密,因此任何標(biāo)準(zhǔn)設(shè)備或軟件都可查看和使用IP頭 IP: IPsec tunnel mode IPsec隧道模式,用于提供外網(wǎng)安全(包括虛擬專用網(wǎng)絡(luò)).整個數(shù)據(jù)包(數(shù)據(jù)頭和負(fù)載)都已經(jīng)過加密處理且分配有新的ESP頭/IP頭和驗證尾,從而能夠隱藏受保護站點的拓?fù)浣Y(jié)構(gòu) IP: IPsec BEET mode IPsec BEET模式 INET: socket monitoring interface socket監(jiān)視接口,一些Linux本地工具(如:包含ss的iproute2)需要使用它 TCP: advanced congesti

42、on control 高級擁塞控制,如果沒有特殊需求(比如無線網(wǎng)絡(luò))就別選了,內(nèi)核會自動將默認(rèn)的擁塞控制設(shè)為Cubic并將Reno作為候補 IP: Virtual Server Configuration IP虛擬服務(wù)器允許你基于多臺物理機器構(gòu)建一臺高性能的虛擬服務(wù)器,不玩集群就別選了 The IPv6 protocol 你要是需要IPv6就選吧 NetLabel subsystem support NetLabel子系統(tǒng)為諸如CIPSO與RIPSO之類能夠在分組信息上添加標(biāo)簽的協(xié)議提供支持,如果你看不懂就別選了 Security Marking 對網(wǎng)絡(luò)包進行安全標(biāo)記,類似于nfmark,但主

43、要是為安全目的而設(shè)計,如果你不明白的話就別選 Network packet filtering (replaces ipchains) Netfilter可以對數(shù)據(jù)包進行過濾和修改,可以作為防火墻(packet filter或proxy-based)或網(wǎng)關(guān)(NAT)或代理(proxy)或網(wǎng)橋使用.選中此選項后必須將Fast switching關(guān)閉,否則將前功盡棄 Network packet filtering debugging 僅供開發(fā)者調(diào)試Netfilter使用 Bridged IP/ARP packets filtering 如果你希望使用一個針對橋接的防火墻就打開它 Core Net

44、filter Configuration 核心Netfilter配置(當(dāng)包流過Chain時如果match某個規(guī)則那么將由該規(guī)則的target來處理,否則將由同一個Chain中的下一個規(guī)則進行匹配,若不match所有規(guī)則那么最終將由該Chain的policy進行處理) Netfilter netlink interface 允許Netfilter在與用戶空間通信時使用新的netlink接口.netlink Socket是Linux用戶態(tài)與內(nèi)核態(tài)交流的主要方法之一,且越來越被重視. Netfilter NFQUEUE over NFNETLINK interface 通過NFNETLINK接口對包

45、進行排隊 Netfilter LOG over NFNETLINK interface 通過NFNETLINK接口對包記錄.該選項廢棄了ipt_ULOG和ebg_ulog機制,并打算在將來廢棄基于syslog的ipt_LOG和ip6t_LOG模塊 Layer 3 Independent Connection tracking 獨立于第三層的鏈接跟蹤,通過廣義化的ip_conntrack支持其它非IP協(xié)議的第三層協(xié)議 Netfilter Xtables support 如果你打算使用ip_tables,ip6_tables,arp_tables之一就必須選上 CLASSIFY target su

46、pport 允許為包設(shè)置優(yōu)先級,一些排隊規(guī)則(atm,cbq,dsmark,pfifo_fast,htb,prio)需要使用它 CONNMARK target support 類似于MARK,但影響的是連接標(biāo)記的值 DSCP target support 允許對ip包頭部的DSCP(Differentiated Services Codepoint)字段進行修改,該字段常用于Qos MARK target support 允許對包進行標(biāo)記(通常配合ip命令使用),這樣就可以改變路由策略或者被其它子系統(tǒng)用來改變其行為 NFQUEUE target Support 用于替代老舊的QUEUE(ipt

47、ables內(nèi)建的target之一),因為NFQUEUE能支持最多65535個隊列,而QUEUE只能支持一個 NOTRACK target support 允許規(guī)則指定哪些包不進入鏈接跟蹤/NAT子系統(tǒng) SECMARK target support 允許對包進行安全標(biāo)記,用于安全子系統(tǒng) CONNSECMARK target support 針對鏈接進行安全標(biāo)記,同時還會將連接上的標(biāo)記還原到包上(如果鏈接中的包尚未進行安全標(biāo)記),通常與SECMARK target聯(lián)合使用 comment match support 允許你在iptables規(guī)則集中加入注釋 connbytes per-connec

48、tion counter match support 允許針對單個連接內(nèi)部每個方向(進/出)匹配已經(jīng)傳送的字節(jié)數(shù)/包數(shù) connmark connection mark match support 允許針對每個會話匹配先前由CONNMARK設(shè)置的標(biāo)記值 conntrack connection tracking match support 連接跟蹤匹配,是state的超集,它允許額外的鏈接跟蹤信息,在需要設(shè)置一些復(fù)雜的規(guī)則(比如網(wǎng)關(guān))時很有用 DCCP protocol match support DCCP是打算取代UDP的新傳輸協(xié)議,它在UDP的基礎(chǔ)上增加了流控和擁塞控制機制,面向?qū)崟r業(yè)務(wù)

49、DSCP match support 允許對IP包頭的DSCP字段進行匹配 ESP match support 允許對IPSec包中的ESP頭進行匹配,使用IPsec的話就選上吧 helper match support 加載特定協(xié)議的連接跟蹤輔助模塊,由該模塊過濾所跟蹤的連接類型的包,比如ip_conntrack_ftp模塊 length match support 允許對包的長度進行匹配 limit match support 允許根據(jù)包的進出速率進行規(guī)則匹配,常和LOG target配合使用以抵抗某些Dos攻擊 mac address match support 允許根據(jù)以太網(wǎng)的MAC進

50、行匹配,常用于無線網(wǎng)絡(luò)環(huán)境 mark match support 允許對先前由MARK標(biāo)記的特定標(biāo)記值進行匹配 IPsec policy match support 使用IPsec就選上吧 Multiple port match support 允許對TCP或UDP包同時匹配多個端口(通常情況下只能匹配一個端口) physdev match support 允許對到達的或?qū)⒁x開的物理橋端口進行匹配 pkttype packet type match support 允許對封包目的地址類別(廣播/群播/直播)進行匹配 quota match support 允許對總字節(jié)數(shù)的限額值進行匹配 re

51、alm match support 允許對iptables中的路由子系統(tǒng)中的realm值進行匹配 sctp protocol match support 流控制傳輸協(xié)議(SCTP),十年以后也許能夠普及的東西 state match support 這是對包進行分類的有力工具,它允許利用連接跟蹤信息對連接中處于特定狀態(tài)的包進行匹配 statistic match support 允許根據(jù)一個給定的百分率對包進行周期性的或隨機性的匹配 sring match support 允許根據(jù)包所承載的數(shù)據(jù)中包含的特定字符串進行匹配 Connection tracking (required for ma

52、sq/NAT) 鏈接跟蹤.可用于報文偽裝或地址轉(zhuǎn)換,也可用于增強包過濾能力 Connection tracking flow accounting 允許針對每個連接記錄已經(jīng)傳送的字節(jié)/包數(shù),常用于connbytes match Connection mark tracking support 允許對連接進行標(biāo)記,與針對單獨的包進行標(biāo)記的不同之處在于它是針對連接流的.CONNMARK target和connmark match需要它的支持 Connection tracking security mark support 允許對連接進行安全標(biāo)記,通常這些標(biāo)記包(SECMARK)復(fù)制到其所屬連接(

53、CONNSECMARK),再從連接復(fù)制到其關(guān)聯(lián)的包(SECMARK) Connection tracking events 連接跟蹤事件支持.如果啟用這個選項,連接跟蹤代碼將提供一個notifier鏈,它可以被其它內(nèi)核代碼用來獲知連接跟蹤狀態(tài)的改變 Connection tracking netlink interface 支持基于netlink的用戶空間接口 SCTP protocol connection tracking support SCTP是IP網(wǎng)面向多媒體通信的新一代的流控制傳輸協(xié)議 FTP protocol support FTP協(xié)議 IRC protocol support

54、IRC協(xié)議是一種用來實時聊天協(xié)議,用過mIRC的人應(yīng)當(dāng)不陌生 NetBIOS name service protocol support NetBIOS名字服務(wù)協(xié)議 TFTP protocol support TFTP是基于UDP的比FTP簡單的文件傳輸協(xié)議 Amanda backup protocol support Amanda備份協(xié)議 PPTP protocol support 點對點隧道協(xié)議(PPTP)是一種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù),ADSL用戶對它應(yīng)該很熟悉 H.323 protocol support ITU-T提出的用于IP電話的協(xié)議 SIP protocol suppo

55、rt IETE提出的用于IP電話的協(xié)議 IP Userspace queueing via NETLINK 已廢棄 IP tables support (required for filtering/masq/NAT) 要用iptables就肯定要選上 IP range match support 允許對ip地址的范圍進行匹配 TOS match support 允許對ip包頭的TOS(Type Of Service)字段進行匹配 recent match support 可以創(chuàng)建一個或多個剛剛使用過的ip地址列表,然后根據(jù)這些列表進行匹配 ECN match support 允許對TCP/I

56、P包頭的ECN(Explicit Congestion Notification)字段進行匹配.ECN是一種顯式擁塞通知技術(shù),它不但要求路由器支持而且要求端到端主機的支持,其基本思想是當(dāng)路由器發(fā)生早期擁塞時不是丟棄包而是盡量對包進行標(biāo)記,接收方接到帶有ECN提示的包時,通知發(fā)送方網(wǎng)絡(luò)即將發(fā)生擁塞,也就是它通過對包的標(biāo)記提示TCP源即將發(fā)生擁塞,從而引發(fā)擁塞避免算法 AH match support 允許對IPSec包頭的AH字段進行匹配 TTL match support 允許對ip包頭的TTL(生存期)字段進行匹配 Owner match support 允許對本地生成的包按照其宿主(use

57、r,group,process,session)進行匹配 address type match support 允許對地址類型(單播,本地,廣播)進行匹配 hashlimit match support 是limit的升級,它基于你選擇的ip地址與/或端口動態(tài)的創(chuàng)建以limit為桶(bucket)的哈希表.它可以創(chuàng)建諸如為每個特定的目標(biāo)IP分配10kpps或允許每個特定的源IP分配500pps之類的規(guī)則 Packet filtering 定義filter表以允許對包進行過濾 REJECT target support 允許返回一個ICMP錯誤而不是簡單的丟棄包 LOG target suppo

58、rt 允許將符合條件的包頭信息通過syslog進行記錄 ULOG target support 透過netlink socket將符合條件的封包交給用戶空間的ulogd守護進程.反對使用該選項,因為它已經(jīng)被NETFILTER_NETLINK_LOG代替 TCPMSS target support 允許修改TCP包頭中的MSS(最大分段長度)選項值 Full NAT 允許進行偽裝/端口轉(zhuǎn)發(fā)以及其它的NAT功能,僅在你需要使用iptables中的nat表時才需要選擇 Packet mangling 在iptables中啟用mangle表以便對包進行各種修改,常用于改變包的路由 raw table

59、support (required for NOTRACK/TRACE) 在iptables中添加一個raw表,該表在netfilter框架中非?？壳?并在PREROUTING和OUTPUT鏈上有鉤子,從而可以對收到的數(shù)據(jù)包在連接跟蹤前進行處理 ARP tables support ARP表支持.只有在局域網(wǎng)中才有ARP欺騙問題,另外路由器也會遭到ARP欺騙 ARP packet filtering ARP包過濾.對于進入和離開本地的ARP包定義一個filter表,在橋接的情況下還可以應(yīng)用于被轉(zhuǎn)發(fā)ARP包 ARP payload mangling 允許對ARP包的荷載部分進行修改,比如修改源和

60、目標(biāo)物理地址 IPv6: Netfilter Configuration 針對IPv6的Netfilter配置,需要的話可以參考前面IPv4的Netfilter配置進行選擇 DECnet: Netfilter Configuration 針對DECnet的Netfilter配置 Bridge: Netfilter Configuration 針對橋接的Netfilter配置 DCCP Configuration 數(shù)據(jù)報擁塞控制協(xié)議在UDP的基礎(chǔ)上增加了流控和擁塞控制機制,使數(shù)據(jù)報協(xié)議能夠更好地用于流媒體業(yè)務(wù)的傳輸 SCTP Configuration 流控制傳輸協(xié)議是一種新興的傳輸層協(xié)議.TC