net/netfilter/Kconfig

   1 menu "Core Netfilter Configuration"
   2         depends on NET && NETFILTER
   3
   4 config NETFILTER_NETLINK
   5        tristate "Netfilter netlink interface"
   6        help
   7          If this option is enabled, the kernel will include support
   8          for the new netfilter netlink interface.
   9
  10 config NETFILTER_NETLINK_QUEUE
  11         tristate "Netfilter NFQUEUE over NFNETLINK interface"
  12         depends on NETFILTER_NETLINK
  13         help
  14           If this option isenabled, the kernel will include support
  15           for queueing packets via NFNETLINK.
  16
  17 config NETFILTER_NETLINK_LOG
  18         tristate "Netfilter LOG over NFNETLINK interface"
  19         depends on NETFILTER_NETLINK
  20         help
  21           If this option is enabled, the kernel will include support
  22           for logging packets via NFNETLINK.
  23
  24           This obsoletes the existing ipt_ULOG and ebg_ulog mechanisms,
  25           and is also scheduled to replace the old syslog-based ipt_LOG
  26           and ip6t_LOG modules.
  27
  28 config NF_CONNTRACK
  29         tristate "Layer 3 Independent Connection tracking (EXPERIMENTAL)"
  30         depends on EXPERIMENTAL && IP_NF_CONNTRACK=n
  31         default n
  32         ---help---
  33           Connection tracking keeps a record of what packets have passed
  34           through your machine, in order to figure out how they are related
  35           into connections.
  36
  37           Layer 3 independent connection tracking is experimental scheme
  38           which generalize ip_conntrack to support other layer 3 protocols.
  39
  40           To compile it as a module, choose M here.  If unsure, say N.
  41
  42 config NF_CT_ACCT
  43         bool "Connection tracking flow accounting"
  44         depends on NF_CONNTRACK
  45         help
  46           If this option is enabled, the connection tracking code will
  47           keep per-flow packet and byte counters.
  48
  49           Those counters can be used for flow-based accounting or the
  50           `connbytes' match.
  51
  52           If unsure, say `N'.
  53
  54 config NF_CONNTRACK_MARK
  55         bool  'Connection mark tracking support'
  56         depends on NF_CONNTRACK
  57         help
  58           This option enables support for connection marks, used by the
  59           `CONNMARK' target and `connmark' match. Similar to the mark value
  60           of packets, but this mark value is kept in the conntrack session
  61           instead of the individual packets.
  62
  63 config NF_CONNTRACK_EVENTS
  64         bool "Connection tracking events (EXPERIMENTAL)"
  65         depends on EXPERIMENTAL && NF_CONNTRACK
  66         help
  67           If this option is enabled, the connection tracking code will
  68           provide a notifier chain that can be used by other kernel code
  69           to get notified aboutchanges in the connection tracking state.
  70
  71           If unsure, say `N'.
  72
  73 config NF_CT_PROTO_SCTP
  74         tristate 'SCTP protocol on new connection tracking support (EXPERIMENTAL)'
  75         depends on EXPERIMENTAL && NF_CONNTRACK
  76         default n
  77         help
  78           With this option enabled, the layer 3 independent connection
  79           tracking code will be able to do state tracking on SCTP connections.
  80
  81           If you want to compile it as a module, say M here and read
  82           Documentation/modules.txt.  If unsure, say `N'.
  83
  84 config NF_CONNTRACK_FTP
  85         tristate "FTP support on new connection tracking (EXPERIMENTAL)"
  86         depends on EXPERIMENTAL && NF_CONNTRACK
  87         help
  88           Tracking FTP connections is problematic: special helpers are
  89           required for tracking them, and doing masquerading and other forms
  90           of Network Address Translation on them.
  91
  92           This is FTP support on Layer 3 independent connection tracking.
  93           Layer 3 independent connection tracking is experimental scheme
  94           which generalize ip_conntrack to support other layer 3 protocols.
  95
  96           To compile it as a module, choose M here.  If unsure, say N.
  97
  98 config NF_CT_NETLINK
  99         tristate 'Connection tracking netlink interface (EXPERIMENTAL)'
 100         depends on EXPERIMENTAL && NF_CONNTRACK && NETFILTER_NETLINK
 101         depends on NF_CONNTRACK!=y || NETFILTER_NETLINK!=m
 102         help
 103           This option enables support for a netlink-based userspace interface
 104
 105 config NETFILTER_XTABLES
 106         tristate "Netfilter Xtables support (required for ip_tables)"
 107         help
 108           This is required if you intend to use any of ip_tables,
 109           ip6_tables or arp_tables.
 110
 111 # alphabetically ordered list of targets
 112
 113 config NETFILTER_XT_TARGET_CLASSIFY
 114         tristate '"CLASSIFY" target support'
 115         depends on NETFILTER_XTABLES
 116         help
 117           This option adds a `CLASSIFY' target, which enables the user to set
 118           the priority of a packet. Some qdiscs can use this value for
 119           classification, among these are:
 120
 121           atm, cbq, dsmark, pfifo_fast, htb, prio
 122
 123           To compile it as a module, choose M here.  If unsure, say N.
 124
 125 config NETFILTER_XT_TARGET_CONNMARK
 126         tristate  '"CONNMARK" target support'
 127         depends on NETFILTER_XTABLES
 128         depends on IP_NF_MANGLE || IP6_NF_MANGLE
 129         depends on (IP_NF_CONNTRACK && IP_NF_CONNTRACK_MARK) || (NF_CONNTRACK_MARK && NF_CONNTRACK)
 130         help
 131           This option adds a `CONNMARK' target, which allows one to manipulate
 132           the connection mark value.  Similar to the MARK target, but
 133           affects the connection mark value rather than the packet mark value.
 134
 135           If you want to compile it as a module, say M here and read
 136           <file:Documentation/modules.txt>.  The module will be called
 137           ipt_CONNMARK.o.  If unsure, say `N'.
 138
 139 config NETFILTER_XT_TARGET_MARK
 140         tristate '"MARK" target support'
 141         depends on NETFILTER_XTABLES
 142         help
 143           This option adds a `MARK' target, which allows you to create rules
 144           in the `mangle' table which alter the netfilter mark (nfmark) field
 145           associated with the packet prior to routing. This can change
 146           the routing method (see `Use netfilter MARK value as routing
 147           key') and can also be used by other subsystems to change their
 148           behavior.
 149
 150           To compile it as a module, choose M here.  If unsure, say N.
 151
 152 config NETFILTER_XT_TARGET_NFQUEUE
 153         tristate '"NFQUEUE" target Support'
 154         depends on NETFILTER_XTABLES
 155         help
 156           This Target replaced the old obsolete QUEUE target.
 157
 158           As opposed to QUEUE, it supports 65535 different queues,
 159           not just one.
 160
 161           To compile it as a module, choose M here.  If unsure, say N.
 162
 163 config NETFILTER_XT_TARGET_NOTRACK
 164         tristate  '"NOTRACK" target support'
 165         depends on NETFILTER_XTABLES
 166         depends on IP_NF_RAW || IP6_NF_RAW
 167         depends on IP_NF_CONNTRACK || NF_CONNTRACK
 168         help
 169           The NOTRACK target allows a select rule to specify
 170           which packets *not* to enter the conntrack/NAT
 171           subsystem with all the consequences (no ICMP error tracking,
 172           no protocol helpers for the selected packets).
 173
 174           If you want to compile it as a module, say M here and read
 175           <file:Documentation/modules.txt>.  If unsure, say `N'.
 176
 177 config NETFILTER_XT_MATCH_COMMENT
 178         tristate  '"comment" match support'
 179         depends on NETFILTER_XTABLES
 180         help
 181           This option adds a `comment' dummy-match, which allows you to put
 182           comments in your iptables ruleset.
 183
 184           If you want to compile it as a module, say M here and read
 185           <file:Documentation/modules.txt>.  If unsure, say `N'.
 186
 187 config NETFILTER_XT_MATCH_CONNBYTES
 188         tristate  '"connbytes" per-connection counter match support'
 189         depends on NETFILTER_XTABLES
 190         depends on (IP_NF_CONNTRACK && IP_NF_CT_ACCT) || (NF_CT_ACCT && NF_CONNTRACK)
 191         help
 192           This option adds a `connbytes' match, which allows you to match the
 193           number of bytes and/or packets for each direction within a connection.
 194
 195           If you want to compile it as a module, say M here and read
 196           <file:Documentation/modules.txt>.  If unsure, say `N'.
 197
 198 config NETFILTER_XT_MATCH_CONNMARK
 199         tristate  '"connmark" connection mark match support'
 200         depends on NETFILTER_XTABLES
 201         depends on (IP_NF_CONNTRACK && IP_NF_CONNTRACK_MARK) || (NF_CONNTRACK_MARK && NF_CONNTRACK)
 202         help
 203           This option adds a `connmark' match, which allows you to match the
 204           connection mark value previously set for the session by `CONNMARK'.
 205
 206           If you want to compile it as a module, say M here and read
 207           <file:Documentation/modules.txt>.  The module will be called
 208           ipt_connmark.o.  If unsure, say `N'.
 209
 210 config NETFILTER_XT_MATCH_CONNTRACK
 211         tristate '"conntrack" connection tracking match support'
 212         depends on NETFILTER_XTABLES
 213         depends on IP_NF_CONNTRACK || NF_CONNTRACK
 214         help
 215           This is a general conntrack match module, a superset of the state match.
 216
 217           It allows matching on additional conntrack information, which is
 218           useful in complex configurations, such as NAT gateways with multiple
 219           internet links or tunnels.
 220
 221           To compile it as a module, choose M here.  If unsure, say N.
 222
 223 config NETFILTER_XT_MATCH_DCCP
 224         tristate  '"DCCP" protocol match support'
 225         depends on NETFILTER_XTABLES
 226         help
 227           With this option enabled, you will be able to use the iptables
 228           `dccp' match in order to match on DCCP source/destination ports
 229           and DCCP flags.
 230
 231           If you want to compile it as a module, say M here and read
 232           <file:Documentation/modules.txt>.  If unsure, say `N'.
 233
 234 config NETFILTER_XT_MATCH_HELPER
 235         tristate '"helper" match support'
 236         depends on NETFILTER_XTABLES
 237         depends on IP_NF_CONNTRACK || NF_CONNTRACK
 238         help
 239           Helper matching allows you to match packets in dynamic connections
 240           tracked by a conntrack-helper, ie. ip_conntrack_ftp
 241
 242           To compile it as a module, choose M here.  If unsure, say Y.
 243
 244 config NETFILTER_XT_MATCH_LENGTH
 245         tristate '"length" match support'
 246         depends on NETFILTER_XTABLES
 247         help
 248           This option allows you to match the length of a packet against a
 249           specific value or range of values.
 250
 251           To compile it as a module, choose M here.  If unsure, say N.
 252
 253 config NETFILTER_XT_MATCH_LIMIT
 254         tristate '"limit" match support'
 255         depends on NETFILTER_XTABLES
 256         help
 257           limit matching allows you to control the rate at which a rule can be
 258           matched: mainly useful in combination with the LOG target ("LOG
 259           target support", below) and to avoid some Denial of Service attacks.
 260
 261           To compile it as a module, choose M here.  If unsure, say N.
 262
 263 config NETFILTER_XT_MATCH_MAC
 264         tristate '"mac" address match support'
 265         depends on NETFILTER_XTABLES
 266         help
 267           MAC matching allows you to match packets based on the source
 268           Ethernet address of the packet.
 269
 270           To compile it as a module, choose M here.  If unsure, say N.
 271
 272 config NETFILTER_XT_MATCH_MARK
 273         tristate '"mark" match support'
 274         depends on NETFILTER_XTABLES
 275         help
 276           Netfilter mark matching allows you to match packets based on the
 277           `nfmark' value in the packet.  This can be set by the MARK target
 278           (see below).
 279
 280           To compile it as a module, choose M here.  If unsure, say N.
 281
 282 config NETFILTER_XT_MATCH_PHYSDEV
 283         tristate '"physdev" match support'
 284         depends on NETFILTER_XTABLES && BRIDGE_NETFILTER
 285         help
 286           Physdev packet matching matches against the physical bridge ports
 287           the IP packet arrived on or will leave by.
 288
 289           To compile it as a module, choose M here.  If unsure, say N.
 290
 291 config NETFILTER_XT_MATCH_PKTTYPE
 292         tristate '"pkttype" packet type match support'
 293         depends on NETFILTER_XTABLES
 294         help
 295           Packet type matching allows you to match a packet by
 296           its "class", eg. BROADCAST, MULTICAST, ...
 297
 298           Typical usage:
 299           iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG
 300
 301           To compile it as a module, choose M here.  If unsure, say N.
 302
 303 config NETFILTER_XT_MATCH_REALM
 304         tristate  '"realm" match support'
 305         depends on NETFILTER_XTABLES
 306         select NET_CLS_ROUTE
 307         help
 308           This option adds a `realm' match, which allows you to use the realm
 309           key from the routing subsystem inside iptables.
 310
 311           This match pretty much resembles the CONFIG_NET_CLS_ROUTE4 option
 312           in tc world.
 313
 314           If you want to compile it as a module, say M here and read
 315           <file:Documentation/modules.txt>.  If unsure, say `N'.
 316
 317 config NETFILTER_XT_MATCH_SCTP
 318         tristate  '"sctp" protocol match support'
 319         depends on NETFILTER_XTABLES
 320         help
 321           With this option enabled, you will be able to use the
 322           `sctp' match in order to match on SCTP source/destination ports
 323           and SCTP chunk types.
 324
 325           If you want to compile it as a module, say M here and read
 326           <file:Documentation/modules.txt>.  If unsure, say `N'.
 327
 328 config NETFILTER_XT_MATCH_STATE
 329         tristate '"state" match support'
 330         depends on NETFILTER_XTABLES
 331         depends on IP_NF_CONNTRACK || NF_CONNTRACK
 332         help
 333           Connection state matching allows you to match packets based on their
 334           relationship to a tracked connection (ie. previous packets).  This
 335           is a powerful tool for packet classification.
 336
 337           To compile it as a module, choose M here.  If unsure, say N.
 338
 339 config NETFILTER_XT_MATCH_STRING
 340         tristate  '"string" match support'
 341         depends on NETFILTER_XTABLES
 342         select TEXTSEARCH
 343         select TEXTSEARCH_KMP
 344         select TEXTSEARCH_BM
 345         select TEXTSEARCH_FSM
 346         help
 347           This option adds a `string' match, which allows you to look for
 348           pattern matchings in packets.
 349
 350           To compile it as a module, choose M here.  If unsure, say N.
 351
 352 config NETFILTER_XT_MATCH_TCPMSS
 353         tristate '"tcpmss" match support'
 354         depends on NETFILTER_XTABLES
 355         help
 356           This option adds a `tcpmss' match, which allows you to examine the
 357           MSS value of TCP SYN packets, which control the maximum packet size
 358           for that connection.
 359
 360           To compile it as a module, choose M here.  If unsure, say N.
 361
 362 endmenu
 363