15.3 IPFilter（IPF）

IPFilter（IPF）作为早期跨平台防火墙解决方案，在网络安全发展史上具有重要地位。其设计体现了早期防火墙技术的基本架构思想，为后续防火墙系统的演进提供了参考。

警告
本文所述内容建议读者在测试环境中先行验证后再用于生产部署。验证方法通常包括：测试环境构建、功能测试集、性能基准测试等环节。

IPF（IPFilter，IP 过滤器）是一款开源软件，作者为 Darren Reed。以下内容建议在测试环境中先行验证后再用于生产部署。

启用 IPF 防火墙

IPF 防火墙的启用需要准备配置文件并启动相关服务，具体步骤如下。

启用 IPF 之前，需要先准备配置文件，然后启动相关服务，可按以下步骤操作。

如需启用 IPF，可执行以下命令：

# 复制示例文件作为默认配置规则集文件，否则 ipfilter 启动后会没有规则。示例文件自带的规则不影响使用
# cp /usr/share/examples/ipfilter/ipf.conf.sample /etc/ipf.rules

启动 IPF 防火墙：

# service ipfilter enable   # 设置 ipfilter 在系统启动时自动启动
# service ipfilter start    # 启动 ipfilter 服务

启动 ipnat：

ipnat 是 IPF 的一部分，专门用于处理 NAT 规则的维护。

# cp /usr/share/examples/ipfilter/ipnat.conf.sample /etc/ipnat.rules   # 复制示例文件作为默认配置规则集，否则 ipnat 无法启动
# service ipnat enable   # 设置 ipnat 在系统启动时自动启动
# service ipnat start    # 启动 ipnat 服务

注意
ipfilter 服务重启后，ipnat 也需要重启。

IPF 的管理命令主要有 ipf、ipfstat 和 ipnat，常用操作示例如下：

IPF 命令操作

IPF 提供了一系列命令用于管理防火墙的运行状态和规则。

启动 IPF 防火墙

ipf -E

相当于 service ipfilter start。

停止 IPF

ipf -D

相当于 service ipfilter stop。

加载规则集文件

ipf -f /etc/ipf.rules

从指定文件加载防火墙规则。

查看所有规则

ipfstat

显示当前加载的所有规则。

查看详细规则信息

ipfstat -iohn

参数说明：

i：显示输入规则
o：显示输出规则
h：显示通过该规则的流量
n：显示规则编号

显示状态表

ipfstat -t

实时监控 IPF 流量，按 Q 退出。

清理已加载规则

ipf -Fa

删除所有已加载的规则。

NAT 操作命令

NAT 规则的管理需要使用 ipnat 命令，常用操作如下。

加载 NAT 规则

ipnat -f /etc/ipnat.rules

加载 NAT 规则文件。

汇总 NAT 状态

ipnat -s

显示 NAT 的运行状态汇总。

列表显示 NAT 规则

ipnat -lh

列出 NAT 规则，h 表示显示通过该规则的流量。

清理 NAT 规则

ipnat -CF

删除已加载的 NAT 规则。

IPF 规则说明

以下是一些常用的 IPF 规则示例，可根据实际需求调整。

拒绝所有访问

block all

阻止所有流量。

说明：IPF 默认是明示禁止的防火墙，需要明确写规则以阻止访问。

拒绝所有进入流量

block in all

阻止所有入站流量。

参数说明：

block：拒绝
pass：允许
in：入站（out 表示出站）
all：等价于 from any to any

地址表示：

IP 或网段：如 192.168.1.100 或 192.168.1.0/24
any：任意地址

阻止与放行流量

流量控制是防火墙的核心功能，以下是相关规则示例。

拒绝所有外部流量

block out all

阻止所有从本机发出的外部流量。

放行回环接口输入流量

pass in quick on lo0 all

允许本机回环接口（lo0）的所有输入流量。

说明：quick 表示匹配规则后立即停止，不再匹配后续规则。

放行回环接口输出流量

pass out quick on lo0 all

允许本机回环接口的所有输出流量。

TCP/UDP 访问控制

针对 TCP 和 UDP 协议的访问控制规则如下。

允许访问服务器特定端口

pass in quick proto tcp from any to 192.168.1.184 port = { 22,80,443,4200,10000 }

允许任意外部设备通过 TCP 访问服务器指定端口（SSH、HTTP、HTTPS 等）。

允许本机访问外部设备特定端口

pass out quick proto tcp from 192.168.1.184 port = { 22,80,443,4200,10000 } to any

允许服务器向外访问这些端口。

允许本机访问 HTTP/HTTPS 并保持状态

pass out quick proto tcp from 192.168.1.184 to any port = { 80,443 } keep state

访问外部 HTTP/HTTPS 服务，并跟踪连接状态。

DNS/UDP 访问

pass out quick proto udp from any to any port = 53 keep state
pass out quick proto udp from any to any port = 67 keep state

允许服务器访问 DNS（53 端口）和 DHCP（67 端口）服务器，并保持状态。

ICMP 流量控制

ICMP 协议用于网络诊断和错误报告，相关规则如下。

本机发送 ping 请求

pass out quick proto icmp from 192.168.1.184 to any icmp-type 8 keep state

允许本机向外发送 ICMP 回显请求（ping）。

外部设备 ping 本机

pass in quick proto icmp from any to 192.168.1.184 icmp-type 8 keep state

允许外部设备 ping 本机。

本机 ICMP 回显应答

pass out quick proto icmp from 192.168.1.184 to any icmp-type 0

允许本机回应 ping 请求。

Traceroute 流量

Traceroute 用于网络路径诊断，需要开放特定的 ICMP 和 UDP 流量。

通过 ICMP traceroute

pass out quick proto icmp from 192.168.1.184 to any icmp-type 0

允许 ICMP 回显应答用于 traceroute。

通过 UDP traceroute

pass out quick proto udp from 192.168.1.184 to any port 33434 <> 34500 keep state

放行从 192.168.1.184 发出的 UDP 流量，源端口范围 33434-34500，快速处理并保持状态。

端口转发规则（NAT）

NAT（网络地址转换）可用于端口转发，以下是相关规则示例。

本机端口映射 8080 → 80

rdr on em0 proto tcp from any to 192.168.1.184 port 8080 -> 192.168.1.184 port 80

将本机 em0 网卡的 8080 端口流量转发到本机 80 端口。

加载规则命令

规则编辑完成后，需要执行以下命令使其生效。

清理并加载防火墙规则

ipf -Fa -f /etc/ipf.rules

参数说明：

-Fa：清除所有已加载规则
-f：加载指定规则文件

清理并加载 NAT 规则

ipnat -CF -f /etc/ipnat.rules

参数说明：

-CF：清除 NAT 规则
-f：加载指定 NAT 规则文件

上一页15.2 Packet Filter（PF）下一页15.4 ipfirewall（IPFW）

最后更新于36分钟前

晚安

hashtag启用 IPF 防火墙

hashtagIPF 命令操作

hashtagNAT 操作命令

hashtagIPF 规则说明

hashtag阻止与放行流量

hashtagTCP/UDP 访问控制

hashtagICMP 流量控制

hashtagTraceroute 流量

hashtag端口转发规则（NAT）

hashtag加载规则命令

启用 IPF 防火墙

IPF 命令操作

NAT 操作命令

IPF 规则说明

阻止与放行流量

TCP/UDP 访问控制

ICMP 流量控制

Traceroute 流量

端口转发规则（NAT）

加载规则命令