Опция Netfilter netlink interface (NETFILTER_NETLINK) управляет поддержкой ядром нового интерфейса netfilter netlink¹ (NFNETLINK). Опция может принимать значения Y, N и M (модуль).

Опция Netfilter NFQUEUE over NFNETLINK interface (NETFILTER_NETLINK_QUEUE) определяет возможность управления очередями пакетов через интерфейс NETFILTER. Опция может принимать значения Y, N и M (модуль).

С помощью опции Netfilter LOG over NFNETLINK interface (NETFILTER_NETLINK_LOG) можно управлять записью информации о пакетах в журнальные файлы системы через интерфейс NFNETLINK. Новая опция используется взамен устаревших механизмов ipt_ULOG и ebg_ulog. В будущем планируется также замена модулей ipt_LOG и ip6t_LOG, работающих через syslog. Опция может принимать значения Y, N и M (модуль).

Опция Connection tracking events (IP_NF_CONNTRACK_EVENTS) используется для управления для включения или выключения в коде контроля соединений ядра функций поддержки цепочек уведомлений, которые позволяют передавать информацию о смене состояния соединений в другие компоненты ядра. Опция может принимать значения Y и N.

Экспериментальная опция NetBIOS name service protocol support (IP_NF_NETBIOS_NS) служит для управления поддержкой сервиса имен NetBIOS и может принимать значения Y, N и M (модуль).

Запросы к службе имен NetBIOS передаются в форме широковещательных сообщений через непривилегированный порт, а отклики передаются в форме unicast-сообщений, направленных в тот же порт. Это может затруднять работу межсетевых экранов, поскольку система контроля соединений в Linux не принимает во внимание широковещательные сообщения. С помощью нового модуля можно локально контролировать исходящие широковещательные запросы к службе имен NetBIOS и отклики на такие запросы. Корректность работы функций контроля соединений в данном случае зависит от настройки IP (в частности, для нормальной работы требуется задать для интерфейса правильные значения маски подсети и широковещательного адреса). При корректных настройках команда ip address show будет выводить примерно такой результат:

ip -4 address show eth0

2: eth0: mtu 1500 qdisc pfifo_fast qlen 1000

inet 212.48.200.33/27 brd 212.48.200.63 scope global eth0

Опция PPTP protocol support (IP_NF_PPTP) управляет поддержкой контроля соединений и трансляции адресов для пакетов протокола туннелирования PPTP (Point to Point Tunnelling Protocol, RFC2637). В настоящее время модуль поддерживает лишь часть режимов и операций PPTP (дополнительную информацию можно найти в файле net/ipv4/netfilter/ip_conntrack_pptp.c). Опция может принимать значения Y, N и M (модуль).

Опция DCCP protocol match support (IP_NF_MATCH_DCCP) управляет поддержкой в цепочках iptables условий соответствия для протокола DCCP. При включенной опции вы сможете включать в правила iptables условия dccp, позволяющие управлять пакетами в зависимости от номеров портов отправителя/получателя DCCP, а также флагов DCCP. Опция может принимать значения Y, N и M (модуль).

Опция Connection byte/packet counter match support (IP_NF_MATCH_CONNBYTES) управляет поддержкой для правил iptables условия connbytes, которое позволяет создавать правила для управления пакетами в зависимости от числа байтов или пакетов, переданных через соединение в каждом из направлений. Опция может принимать значения Y, N и M (модуль).

Опция string match support (IP_NF_MATCH_STRING) управляет возможностью использования в правилах iptables условия string, позволяющего проверять наличие в пакетах заданной последовательности байтов (строки). Опция может принимать значения Y, N и M (модуль).

Опция NFQUEUE Target Support (IP_NF_TARGET_NFQUEUE) определяет поддержку в правилах iptables операции NFQUEUE, используемой взамен устаревшей операции QUEUE. В отличие от своего предшественника операция NFQUEUE поддерживает до 65535 различных очередей. Опция может принимать значения Y, N и M (модуль).