IPFilter

IPFilter（通用簡稱：ipf）是一個開源的軟體專案，可以為類Unix作業系統提供防火牆和網路位址轉換（NAT）服務。

此條目介紹的是類Unix上的IPFilter專案。關於P2P軟體和部分防火牆的IP過濾功能，請見「IPFilter (P2P)」。

IPFilter（ipf）

開發者	Darren Reed
目前版本	5.1.2（2012年7月22日）
原始碼庫	[cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter]
作業系統	FreeBSD、NetBSD、OpenBSD、Solaris、Linux、HP-UX等
類型	過濾包
許可協定	版本4.1.35以及5.1.1之前：自己的協定，自從版本4.1.35以及5.1.1：GNU GPL v2[註 1]
網站	https://www.phildev.net/ipf/

IPFilter目前仍在一些Unix類作業系統中使用，例如illumos、NetBSD、FreeBSD。

目的

• 阻擋不安全的IP封包。
• 標記安全的IP封包。
• 標記可疑的IP封包。
• 實現原則型路由。
• 提供網路位址轉換。

格式

IPFilter的組態檔案名稱通常為 /etc/ipf.rules，是一個純文字檔案，但內容僅可使用英文、阿拉伯數字、半形標點符號。

其中的規則由 [block/pass]，[out/in]，[log] [quick] [on 網路介面]，[proto tcp/udp...]，[from 來源IP位址 to 目的IP位址] 等多個項目依序構成，分別以空格為分界。

• IP位址可使用 any 或點分十進制數字，以32位元位址表示區段或單一主機，區段由小於32的字首長度指定。
• 字首長度僅可使用十進制數字，範圍由0到32。

範例

block in quick on em0 from 10.0.0.4/24 to any

（阻擋來源為10.0.0.4的進入封包）

pass out all

（出去封包皆不阻擋）