IPFilter

IPFilter（通用簡稱：ipf）是一个开源的软件项目，可以为类Unix操作系统提供防火墙和网络地址转换（NAT）服务。

此條目介紹的是类Unix上的IPFilter项目。关于P2P软件和部分防火墙的IP过滤功能，请见「IPFilter (P2P)」。

IPFilter（ipf）

開發者	Darren Reed
当前版本	5.1.2（2012年7月22日）
源代码库	[cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter cvs://anonymous@ipfilter.cvs.sourceforge.net:/cvsroot/ipfilter]
操作系统	FreeBSD、NetBSD、OpenBSD、Solaris、Linux、HP-UX等
类型	过滤包
许可协议	版本4.1.35以及5.1.1之前：自己的协议，自从版本4.1.35以及5.1.1：GNU GPL v2[註 1]
网站	https://www.phildev.net/ipf/

IPFilter目前仍在一些Unix類作業系統中使用，例如illumos、NetBSD、FreeBSD。

目的

• 阻擋不安全的IP数据包。
• 標記安全的IP数据包。
• 標記可疑的IP数据包。
• 实现原則型路由。
• 提供網絡地址轉換。

格式

IPFilter的配置檔案名稱通常為 /etc/ipf.rules，是一個純文字檔案，但內容僅可使用英文、阿拉伯數字、半形標點符號。

其中的规则由 [block/pass]，[out/in]，[log] [quick] [on 網路介面]，[proto tcp/udp...]，[from 來源IP地址 to 目的IP地址] 等多個項目依序構成，分別以空格為分界。

• IP地址可使用 any 或点分十进制數字，以32位地址表示區段或單一主機，區段由小于32的前缀长度指定。
• 前缀长度僅可使用十进制數字，範圍由0到32。

範例

block in quick on em0 from 10.0.0.4/24 to any

（阻擋來源為10.0.0.4的進入封包）

pass out all

（出去封包皆不阻擋）