IPFilter

IPFilter（通用简称：ipf）是一个开源的软件项目，可以为类Unix操作系统提供防火墙和网络地址转换（NAT）服务。

此条目介绍的是类Unix上的IPFilter项目。关于P2P软件和部分防火墙的IP过滤功能，请见“IPFilter (P2P)”。

IPFilter（ipf）

开发者	Darren Reed
当前版本	5.1.2（2012年7月22日）
源代码库	[cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter]
操作系统	FreeBSD、NetBSD、OpenBSD、Solaris、Linux、HP-UX等
类型	过滤包
许可协议	版本4.1.35以及5.1.1之前：自己的协议，自从版本4.1.35以及5.1.1：GNU GPL v2[注 1]
网站	https://www.phildev.net/ipf/

IPFilter目前仍在一些Unix类操作系统中使用，例如illumos、NetBSD、FreeBSD。

目的

• 阻挡不安全的IP数据包。
• 标记安全的IP数据包。
• 标记可疑的IP数据包。
• 实现原则型路由。
• 提供网络地址转换。

格式

IPFilter的配置文件名称通常为 /etc/ipf.rules，是一个纯文本文件，但内容仅可使用英文、阿拉伯数字、半角标点符号。

其中的规则由 [block/pass]，[out/in]，[log] [quick] [on 网络接口]，[proto tcp/udp...]，[from 来源IP地址 to 目的IP地址] 等多个项目依序构成，分别以空格为分界。

• IP地址可使用 any 或点分十进制数字，以32位地址表示区段或单一主机，区段由小于32的前缀长度指定。
• 前缀长度仅可使用十进制数字，范围由0到32。

示例

block in quick on em0 from 10.0.0.4/24 to any

（阻挡来源为10.0.0.4的进入数据包）

pass out all

（出去数据包皆不阻挡）