IPFilter (IPF)

IPFilter IPF 是早期跨平台开源防火墙，作者为 Darren Reed。IPF 提供 包过滤 和 网络地址转换 NAT 功能，最初被移植到多种 Unix-like 操作系统

IPFilter 的上游开发已长期停滞：最后一个正式版本 5.1.2 发布于 2012 年 7 月，此后上游再无新版本发布

OpenBSD（2001 年）、DragonFly BSD（2011 年）和 Oracle Solaris（11.4 起）已先后移除 IPFilter

FreeBSD 当前仍将 IPFilter 纳入基本系统，但其维护仅限于兼容性适配与安全修复，不再引入新功能

对于新部署的防火墙，建议优先考虑本章中的 PF 或 IPFW

IPFILTER 是一款内核级防火墙，还提供了 NAT 机制，可通过用户空间程序控制和监控

• 防火墙规则可通过 ipf 设置或删除
• NAT 规则可通过 ipnat 设置或删除
• IPFILTER 内核部分的运行时统计信息可通过 ipfstat 打印
• 而 ipmon 可将 IPFILTER 操作记录至系统日志文件。

IPF 最初采用“最后匹配规则优先”的规则处理逻辑，且仅使用无状态规则。此后，IPF 已扩展至支持 quick 和 keep state 选项。

本节重点介绍与 FreeBSD 相关的 IPF，并提供包含 quick 和 keep state 选项的规则示例