e73891194b315f75ad62dec748345790a1e5d408
[linux-2.6.git] / net / netfilter / Kconfig
1 menu "Core Netfilter Configuration"
2         depends on NET && NETFILTER
3
4 config NETFILTER_NETLINK
5        tristate "Netfilter netlink interface"
6        help
7          If this option is enabled, the kernel will include support
8          for the new netfilter netlink interface.
9
10 config NETFILTER_NETLINK_QUEUE
11         tristate "Netfilter NFQUEUE over NFNETLINK interface"
12         depends on NETFILTER_NETLINK
13         help
14           If this option is enabled, the kernel will include support
15           for queueing packets via NFNETLINK.
16           
17 config NETFILTER_NETLINK_LOG
18         tristate "Netfilter LOG over NFNETLINK interface"
19         depends on NETFILTER_NETLINK
20         help
21           If this option is enabled, the kernel will include support
22           for logging packets via NFNETLINK.
23
24           This obsoletes the existing ipt_ULOG and ebg_ulog mechanisms,
25           and is also scheduled to replace the old syslog-based ipt_LOG
26           and ip6t_LOG modules.
27
28 config NF_CONNTRACK_ENABLED
29         tristate "Netfilter connection tracking support"
30         help
31           Connection tracking keeps a record of what packets have passed
32           through your machine, in order to figure out how they are related
33           into connections.
34
35           This is required to do Masquerading or other kinds of Network
36           Address Translation (except for Fast NAT).  It can also be used to
37           enhance packet filtering (see `Connection state match support'
38           below).
39
40           To compile it as a module, choose M here.  If unsure, say N.
41
42 choice
43         prompt "Netfilter connection tracking support"
44         depends on NF_CONNTRACK_ENABLED
45
46 config NF_CONNTRACK_SUPPORT
47         bool "Layer 3 Independent Connection tracking (EXPERIMENTAL)"
48         depends on EXPERIMENTAL
49         help
50           Layer 3 independent connection tracking is experimental scheme
51           which generalize ip_conntrack to support other layer 3 protocols.
52
53           This is required to do Masquerading or other kinds of Network
54           Address Translation (except for Fast NAT).  It can also be used to
55           enhance packet filtering (see `Connection state match support'
56           below).
57
58 config IP_NF_CONNTRACK_SUPPORT
59         bool "Layer 3 Dependent Connection tracking"
60         help
61           The old, Layer 3 dependent ip_conntrack subsystem of netfilter.
62
63           This is required to do Masquerading or other kinds of Network
64           Address Translation (except for Fast NAT).  It can also be used to
65           enhance packet filtering (see `Connection state match support'
66           below).
67
68 endchoice
69
70 config NF_CONNTRACK
71         tristate
72         default m if NF_CONNTRACK_SUPPORT && NF_CONNTRACK_ENABLED=m
73         default y if NF_CONNTRACK_SUPPORT && NF_CONNTRACK_ENABLED=y
74
75 config IP_NF_CONNTRACK
76         tristate
77         default m if IP_NF_CONNTRACK_SUPPORT && NF_CONNTRACK_ENABLED=m
78         default y if IP_NF_CONNTRACK_SUPPORT && NF_CONNTRACK_ENABLED=y
79
80 config NF_CT_ACCT
81         bool "Connection tracking flow accounting"
82         depends on NF_CONNTRACK
83         help
84           If this option is enabled, the connection tracking code will
85           keep per-flow packet and byte counters.
86
87           Those counters can be used for flow-based accounting or the
88           `connbytes' match.
89
90           If unsure, say `N'.
91
92 config NF_CONNTRACK_MARK
93         bool  'Connection mark tracking support'
94         depends on NF_CONNTRACK
95         help
96           This option enables support for connection marks, used by the
97           `CONNMARK' target and `connmark' match. Similar to the mark value
98           of packets, but this mark value is kept in the conntrack session
99           instead of the individual packets.
100
101 config NF_CONNTRACK_SECMARK
102         bool  'Connection tracking security mark support'
103         depends on NF_CONNTRACK && NETWORK_SECMARK
104         help
105           This option enables security markings to be applied to
106           connections.  Typically they are copied to connections from
107           packets using the CONNSECMARK target and copied back from
108           connections to packets with the same target, with the packets
109           being originally labeled via SECMARK.
110
111           If unsure, say 'N'.
112
113 config NF_CONNTRACK_EVENTS
114         bool "Connection tracking events (EXPERIMENTAL)"
115         depends on EXPERIMENTAL && NF_CONNTRACK
116         help
117           If this option is enabled, the connection tracking code will
118           provide a notifier chain that can be used by other kernel code
119           to get notified about changes in the connection tracking state.
120
121           If unsure, say `N'.
122
123 config NF_CT_PROTO_GRE
124         tristate
125         depends on EXPERIMENTAL && NF_CONNTRACK
126
127 config NF_CT_PROTO_SCTP
128         tristate 'SCTP protocol on new connection tracking support (EXPERIMENTAL)'
129         depends on EXPERIMENTAL && NF_CONNTRACK
130         default n
131         help
132           With this option enabled, the layer 3 independent connection
133           tracking code will be able to do state tracking on SCTP connections.
134
135           If you want to compile it as a module, say M here and read
136           Documentation/modules.txt.  If unsure, say `N'.
137
138 config NF_CONNTRACK_AMANDA
139         tristate "Amanda backup protocol support (EXPERIMENTAL)"
140         depends on EXPERIMENTAL && NF_CONNTRACK
141         select TEXTSEARCH
142         select TEXTSEARCH_KMP
143         help
144           If you are running the Amanda backup package <http://www.amanda.org/>
145           on this machine or machines that will be MASQUERADED through this
146           machine, then you may want to enable this feature.  This allows the
147           connection tracking and natting code to allow the sub-channels that
148           Amanda requires for communication of the backup data, messages and
149           index.
150
151           To compile it as a module, choose M here.  If unsure, say N.
152
153 config NF_CONNTRACK_FTP
154         tristate "FTP support on new connection tracking (EXPERIMENTAL)"
155         depends on EXPERIMENTAL && NF_CONNTRACK
156         help
157           Tracking FTP connections is problematic: special helpers are
158           required for tracking them, and doing masquerading and other forms
159           of Network Address Translation on them.
160
161           This is FTP support on Layer 3 independent connection tracking.
162           Layer 3 independent connection tracking is experimental scheme
163           which generalize ip_conntrack to support other layer 3 protocols.
164
165           To compile it as a module, choose M here.  If unsure, say N.
166
167 config NF_CONNTRACK_H323
168         tristate "H.323 protocol support (EXPERIMENTAL)"
169         depends on EXPERIMENTAL && NF_CONNTRACK
170         help
171           H.323 is a VoIP signalling protocol from ITU-T. As one of the most
172           important VoIP protocols, it is widely used by voice hardware and
173           software including voice gateways, IP phones, Netmeeting, OpenPhone,
174           Gnomemeeting, etc.
175
176           With this module you can support H.323 on a connection tracking/NAT
177           firewall.
178
179           This module supports RAS, Fast Start, H.245 Tunnelling, Call
180           Forwarding, RTP/RTCP and T.120 based audio, video, fax, chat,
181           whiteboard, file transfer, etc. For more information, please
182           visit http://nath323.sourceforge.net/.
183
184           To compile it as a module, choose M here.  If unsure, say N.
185
186 config NF_CONNTRACK_IRC
187         tristate "IRC protocol support (EXPERIMENTAL)"
188         depends on EXPERIMENTAL && NF_CONNTRACK
189         help
190           There is a commonly-used extension to IRC called
191           Direct Client-to-Client Protocol (DCC).  This enables users to send
192           files to each other, and also chat to each other without the need
193           of a server.  DCC Sending is used anywhere you send files over IRC,
194           and DCC Chat is most commonly used by Eggdrop bots.  If you are
195           using NAT, this extension will enable you to send files and initiate
196           chats.  Note that you do NOT need this extension to get files or
197           have others initiate chats, or everything else in IRC.
198
199           To compile it as a module, choose M here.  If unsure, say N.
200
201 config NF_CONNTRACK_NETBIOS_NS
202         tristate "NetBIOS name service protocol support (EXPERIMENTAL)"
203         depends on EXPERIMENTAL && NF_CONNTRACK
204         help
205           NetBIOS name service requests are sent as broadcast messages from an
206           unprivileged port and responded to with unicast messages to the
207           same port. This make them hard to firewall properly because connection
208           tracking doesn't deal with broadcasts. This helper tracks locally
209           originating NetBIOS name service requests and the corresponding
210           responses. It relies on correct IP address configuration, specifically
211           netmask and broadcast address. When properly configured, the output
212           of "ip address show" should look similar to this:
213
214           $ ip -4 address show eth0
215           4: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
216               inet 172.16.2.252/24 brd 172.16.2.255 scope global eth0
217
218           To compile it as a module, choose M here.  If unsure, say N.
219
220 config NF_CONNTRACK_PPTP
221         tristate "PPtP protocol support (EXPERIMENTAL)"
222         depends on EXPERIMENTAL && NF_CONNTRACK
223         select NF_CT_PROTO_GRE
224         help
225           This module adds support for PPTP (Point to Point Tunnelling
226           Protocol, RFC2637) connection tracking and NAT.
227
228           If you are running PPTP sessions over a stateful firewall or NAT
229           box, you may want to enable this feature.
230
231           Please note that not all PPTP modes of operation are supported yet.
232           Specifically these limitations exist:
233             - Blindy assumes that control connections are always established
234               in PNS->PAC direction. This is a violation of RFC2637.
235             - Only supports a single call within each session
236
237           To compile it as a module, choose M here.  If unsure, say N.
238
239 config NF_CONNTRACK_SIP
240         tristate "SIP protocol support (EXPERIMENTAL)"
241         depends on EXPERIMENTAL && NF_CONNTRACK
242         help
243           SIP is an application-layer control protocol that can establish,
244           modify, and terminate multimedia sessions (conferences) such as
245           Internet telephony calls. With the ip_conntrack_sip and
246           the nf_nat_sip modules you can support the protocol on a connection
247           tracking/NATing firewall.
248
249           To compile it as a module, choose M here.  If unsure, say N.
250
251 config NF_CT_NETLINK
252         tristate 'Connection tracking netlink interface (EXPERIMENTAL)'
253         depends on EXPERIMENTAL && NF_CONNTRACK && NETFILTER_NETLINK
254         depends on NF_CONNTRACK!=y || NETFILTER_NETLINK!=m
255         help
256           This option enables support for a netlink-based userspace interface
257
258 config NETFILTER_XTABLES
259         tristate "Netfilter Xtables support (required for ip_tables)"
260         help
261           This is required if you intend to use any of ip_tables,
262           ip6_tables or arp_tables.
263
264 # alphabetically ordered list of targets
265
266 config NETFILTER_XT_TARGET_CLASSIFY
267         tristate '"CLASSIFY" target support'
268         depends on NETFILTER_XTABLES
269         help
270           This option adds a `CLASSIFY' target, which enables the user to set
271           the priority of a packet. Some qdiscs can use this value for
272           classification, among these are:
273
274           atm, cbq, dsmark, pfifo_fast, htb, prio
275
276           To compile it as a module, choose M here.  If unsure, say N.
277
278 config NETFILTER_XT_TARGET_CONNMARK
279         tristate  '"CONNMARK" target support'
280         depends on NETFILTER_XTABLES
281         depends on IP_NF_MANGLE || IP6_NF_MANGLE
282         depends on (IP_NF_CONNTRACK && IP_NF_CONNTRACK_MARK) || (NF_CONNTRACK_MARK && NF_CONNTRACK)
283         help
284           This option adds a `CONNMARK' target, which allows one to manipulate
285           the connection mark value.  Similar to the MARK target, but
286           affects the connection mark value rather than the packet mark value.
287         
288           If you want to compile it as a module, say M here and read
289           <file:Documentation/modules.txt>.  The module will be called
290           ipt_CONNMARK.o.  If unsure, say `N'.
291
292 config NETFILTER_XT_TARGET_DSCP
293         tristate '"DSCP" target support'
294         depends on NETFILTER_XTABLES
295         depends on IP_NF_MANGLE || IP6_NF_MANGLE
296         help
297           This option adds a `DSCP' target, which allows you to manipulate
298           the IPv4/IPv6 header DSCP field (differentiated services codepoint).
299
300           The DSCP field can have any value between 0x0 and 0x3f inclusive.
301
302           To compile it as a module, choose M here.  If unsure, say N.
303
304 config NETFILTER_XT_TARGET_MARK
305         tristate '"MARK" target support'
306         depends on NETFILTER_XTABLES
307         help
308           This option adds a `MARK' target, which allows you to create rules
309           in the `mangle' table which alter the netfilter mark (nfmark) field
310           associated with the packet prior to routing. This can change
311           the routing method (see `Use netfilter MARK value as routing
312           key') and can also be used by other subsystems to change their
313           behavior.
314
315           To compile it as a module, choose M here.  If unsure, say N.
316
317 config NETFILTER_XT_TARGET_NFQUEUE
318         tristate '"NFQUEUE" target Support'
319         depends on NETFILTER_XTABLES
320         help
321           This target replaced the old obsolete QUEUE target.
322
323           As opposed to QUEUE, it supports 65535 different queues,
324           not just one.
325
326           To compile it as a module, choose M here.  If unsure, say N.
327
328 config NETFILTER_XT_TARGET_NFLOG
329         tristate '"NFLOG" target support'
330         depends on NETFILTER_XTABLES
331         help
332           This option enables the NFLOG target, which allows to LOG
333           messages through the netfilter logging API, which can use
334           either the old LOG target, the old ULOG target or nfnetlink_log
335           as backend.
336
337           To compile it as a module, choose M here.  If unsure, say N.
338
339 config NETFILTER_XT_TARGET_NOTRACK
340         tristate  '"NOTRACK" target support'
341         depends on NETFILTER_XTABLES
342         depends on IP_NF_RAW || IP6_NF_RAW
343         depends on IP_NF_CONNTRACK || NF_CONNTRACK
344         help
345           The NOTRACK target allows a select rule to specify
346           which packets *not* to enter the conntrack/NAT
347           subsystem with all the consequences (no ICMP error tracking,
348           no protocol helpers for the selected packets).
349         
350           If you want to compile it as a module, say M here and read
351           <file:Documentation/modules.txt>.  If unsure, say `N'.
352
353 config NETFILTER_XT_TARGET_SECMARK
354         tristate '"SECMARK" target support'
355         depends on NETFILTER_XTABLES && NETWORK_SECMARK
356         help
357           The SECMARK target allows security marking of network
358           packets, for use with security subsystems.
359
360           To compile it as a module, choose M here.  If unsure, say N.
361
362 config NETFILTER_XT_TARGET_CONNSECMARK
363         tristate '"CONNSECMARK" target support'
364         depends on NETFILTER_XTABLES && \
365                    ((NF_CONNTRACK && NF_CONNTRACK_SECMARK) || \
366                     (IP_NF_CONNTRACK && IP_NF_CONNTRACK_SECMARK))
367         help
368           The CONNSECMARK target copies security markings from packets
369           to connections, and restores security markings from connections
370           to packets (if the packets are not already marked).  This would
371           normally be used in conjunction with the SECMARK target.
372
373           To compile it as a module, choose M here.  If unsure, say N.
374
375 config NETFILTER_XT_MATCH_COMMENT
376         tristate  '"comment" match support'
377         depends on NETFILTER_XTABLES
378         help
379           This option adds a `comment' dummy-match, which allows you to put
380           comments in your iptables ruleset.
381
382           If you want to compile it as a module, say M here and read
383           <file:Documentation/modules.txt>.  If unsure, say `N'.
384
385 config NETFILTER_XT_MATCH_CONNBYTES
386         tristate  '"connbytes" per-connection counter match support'
387         depends on NETFILTER_XTABLES
388         depends on (IP_NF_CONNTRACK && IP_NF_CT_ACCT) || (NF_CT_ACCT && NF_CONNTRACK)
389         help
390           This option adds a `connbytes' match, which allows you to match the
391           number of bytes and/or packets for each direction within a connection.
392
393           If you want to compile it as a module, say M here and read
394           <file:Documentation/modules.txt>.  If unsure, say `N'.
395
396 config NETFILTER_XT_MATCH_CONNMARK
397         tristate  '"connmark" connection mark match support'
398         depends on NETFILTER_XTABLES
399         depends on (IP_NF_CONNTRACK && IP_NF_CONNTRACK_MARK) || (NF_CONNTRACK_MARK && NF_CONNTRACK)
400         help
401           This option adds a `connmark' match, which allows you to match the
402           connection mark value previously set for the session by `CONNMARK'. 
403         
404           If you want to compile it as a module, say M here and read
405           <file:Documentation/modules.txt>.  The module will be called
406           ipt_connmark.o.  If unsure, say `N'.
407
408 config NETFILTER_XT_MATCH_CONNTRACK
409         tristate '"conntrack" connection tracking match support'
410         depends on NETFILTER_XTABLES
411         depends on IP_NF_CONNTRACK || NF_CONNTRACK
412         help
413           This is a general conntrack match module, a superset of the state match.
414
415           It allows matching on additional conntrack information, which is
416           useful in complex configurations, such as NAT gateways with multiple
417           internet links or tunnels.
418
419           To compile it as a module, choose M here.  If unsure, say N.
420
421 config NETFILTER_XT_MATCH_DCCP
422         tristate  '"DCCP" protocol match support'
423         depends on NETFILTER_XTABLES
424         help
425           With this option enabled, you will be able to use the iptables
426           `dccp' match in order to match on DCCP source/destination ports
427           and DCCP flags.
428
429           If you want to compile it as a module, say M here and read
430           <file:Documentation/modules.txt>.  If unsure, say `N'.
431
432 config NETFILTER_XT_MATCH_DSCP
433         tristate '"DSCP" match support'
434         depends on NETFILTER_XTABLES
435         help
436           This option adds a `DSCP' match, which allows you to match against
437           the IPv4/IPv6 header DSCP field (differentiated services codepoint).
438
439           The DSCP field can have any value between 0x0 and 0x3f inclusive.
440
441           To compile it as a module, choose M here.  If unsure, say N.
442
443 config NETFILTER_XT_MATCH_ESP
444         tristate '"ESP" match support'
445         depends on NETFILTER_XTABLES
446         help
447           This match extension allows you to match a range of SPIs
448           inside ESP header of IPSec packets.
449
450           To compile it as a module, choose M here.  If unsure, say N.
451
452 config NETFILTER_XT_MATCH_HELPER
453         tristate '"helper" match support'
454         depends on NETFILTER_XTABLES
455         depends on IP_NF_CONNTRACK || NF_CONNTRACK
456         help
457           Helper matching allows you to match packets in dynamic connections
458           tracked by a conntrack-helper, ie. ip_conntrack_ftp
459
460           To compile it as a module, choose M here.  If unsure, say Y.
461
462 config NETFILTER_XT_MATCH_LENGTH
463         tristate '"length" match support'
464         depends on NETFILTER_XTABLES
465         help
466           This option allows you to match the length of a packet against a
467           specific value or range of values.
468
469           To compile it as a module, choose M here.  If unsure, say N.
470
471 config NETFILTER_XT_MATCH_LIMIT
472         tristate '"limit" match support'
473         depends on NETFILTER_XTABLES
474         help
475           limit matching allows you to control the rate at which a rule can be
476           matched: mainly useful in combination with the LOG target ("LOG
477           target support", below) and to avoid some Denial of Service attacks.
478
479           To compile it as a module, choose M here.  If unsure, say N.
480
481 config NETFILTER_XT_MATCH_MAC
482         tristate '"mac" address match support'
483         depends on NETFILTER_XTABLES
484         help
485           MAC matching allows you to match packets based on the source
486           Ethernet address of the packet.
487
488           To compile it as a module, choose M here.  If unsure, say N.
489
490 config NETFILTER_XT_MATCH_MARK
491         tristate '"mark" match support'
492         depends on NETFILTER_XTABLES
493         help
494           Netfilter mark matching allows you to match packets based on the
495           `nfmark' value in the packet.  This can be set by the MARK target
496           (see below).
497
498           To compile it as a module, choose M here.  If unsure, say N.
499
500 config NETFILTER_XT_MATCH_POLICY
501         tristate 'IPsec "policy" match support'
502         depends on NETFILTER_XTABLES && XFRM
503         help
504           Policy matching allows you to match packets based on the
505           IPsec policy that was used during decapsulation/will
506           be used during encapsulation.
507
508           To compile it as a module, choose M here.  If unsure, say N.
509
510 config NETFILTER_XT_MATCH_MULTIPORT
511         tristate "Multiple port match support"
512         depends on NETFILTER_XTABLES
513         help
514           Multiport matching allows you to match TCP or UDP packets based on
515           a series of source or destination ports: normally a rule can only
516           match a single range of ports.
517
518           To compile it as a module, choose M here.  If unsure, say N.
519
520 config NETFILTER_XT_MATCH_PHYSDEV
521         tristate '"physdev" match support'
522         depends on NETFILTER_XTABLES && BRIDGE && BRIDGE_NETFILTER
523         help
524           Physdev packet matching matches against the physical bridge ports
525           the IP packet arrived on or will leave by.
526
527           To compile it as a module, choose M here.  If unsure, say N.
528
529 config NETFILTER_XT_MATCH_PKTTYPE
530         tristate '"pkttype" packet type match support'
531         depends on NETFILTER_XTABLES
532         help
533           Packet type matching allows you to match a packet by
534           its "class", eg. BROADCAST, MULTICAST, ...
535
536           Typical usage:
537           iptables -A INPUT -m pkttype --pkt-type broadcast -j LOG
538
539           To compile it as a module, choose M here.  If unsure, say N.
540
541 config NETFILTER_XT_MATCH_QUOTA
542         tristate '"quota" match support'
543         depends on NETFILTER_XTABLES
544         help
545           This option adds a `quota' match, which allows to match on a
546           byte counter.
547
548           If you want to compile it as a module, say M here and read
549           <file:Documentation/modules.txt>.  If unsure, say `N'.
550
551 config NETFILTER_XT_MATCH_REALM
552         tristate  '"realm" match support'
553         depends on NETFILTER_XTABLES
554         select NET_CLS_ROUTE
555         help
556           This option adds a `realm' match, which allows you to use the realm
557           key from the routing subsystem inside iptables.
558         
559           This match pretty much resembles the CONFIG_NET_CLS_ROUTE4 option 
560           in tc world.
561         
562           If you want to compile it as a module, say M here and read
563           <file:Documentation/modules.txt>.  If unsure, say `N'.
564
565 config NETFILTER_XT_MATCH_SCTP
566         tristate  '"sctp" protocol match support (EXPERIMENTAL)'
567         depends on NETFILTER_XTABLES && EXPERIMENTAL
568         help
569           With this option enabled, you will be able to use the 
570           `sctp' match in order to match on SCTP source/destination ports
571           and SCTP chunk types.
572
573           If you want to compile it as a module, say M here and read
574           <file:Documentation/modules.txt>.  If unsure, say `N'.
575
576 config NETFILTER_XT_MATCH_STATE
577         tristate '"state" match support'
578         depends on NETFILTER_XTABLES
579         depends on IP_NF_CONNTRACK || NF_CONNTRACK
580         help
581           Connection state matching allows you to match packets based on their
582           relationship to a tracked connection (ie. previous packets).  This
583           is a powerful tool for packet classification.
584
585           To compile it as a module, choose M here.  If unsure, say N.
586
587 config NETFILTER_XT_MATCH_STATISTIC
588         tristate '"statistic" match support'
589         depends on NETFILTER_XTABLES
590         help
591           This option adds a `statistic' match, which allows you to match
592           on packets periodically or randomly with a given percentage.
593
594           To compile it as a module, choose M here.  If unsure, say N.
595
596 config NETFILTER_XT_MATCH_STRING
597         tristate  '"string" match support'
598         depends on NETFILTER_XTABLES
599         select TEXTSEARCH
600         select TEXTSEARCH_KMP
601         select TEXTSEARCH_BM
602         select TEXTSEARCH_FSM
603         help
604           This option adds a `string' match, which allows you to look for
605           pattern matchings in packets.
606
607           To compile it as a module, choose M here.  If unsure, say N.
608
609 config NETFILTER_XT_MATCH_TCPMSS
610         tristate '"tcpmss" match support'
611         depends on NETFILTER_XTABLES
612         help
613           This option adds a `tcpmss' match, which allows you to examine the
614           MSS value of TCP SYN packets, which control the maximum packet size
615           for that connection.
616
617           To compile it as a module, choose M here.  If unsure, say N.
618
619 config NETFILTER_XT_MATCH_HASHLIMIT
620         tristate '"hashlimit" match support'
621         depends on NETFILTER_XTABLES
622         help
623           This option adds a `hashlimit' match.
624
625           As opposed to `limit', this match dynamically creates a hash table
626           of limit buckets, based on your selection of source/destination
627           addresses and/or ports.
628
629           It enables you to express policies like `10kpps for any given
630           destination address' or `500pps from any given source address'
631           with a single rule.
632
633 endmenu
634