FreeBSD 中文社区 2025 第二季度问卷调查
FreeBSD 中文社区(CFC)
VitePress 镜像站QQ 群 787969044视频教程Ⅰ视频教程Ⅱ
  • FreeBSD 从入门到追忆
  • 中文期刊
  • 状态报告
  • 发行说明
  • 手册
  • 网络文章集锦
  • 笔记本支持报告
  • Port 开发者手册
  • 架构手册
  • 开发者手册
  • 中文 man 手册
  • 文章
  • 书籍
  • FreeBSD 从入门到追忆(第一版:草稿)
  • 编辑日志
  • 目录
  • 致谢
  • 前言
  • 第 1 章 FreeBSD 初见
    • 第 1.1 节 操作系统的历程:UNIX、Unix-like、Linux & FreeBSD
    • 第 1.2 节 FreeBSD 简史
    • 第 1.3 节 谁在使用 FreeBSD?
    • 第 1.4 节 为什么要使用 FreeBSD?
    • 第 1.5 节 Linux 用户迁移指南
    • 第 1.6 节 FreeBSD 桌面发行版
  • 第 2 章 安装 FreeBSD
    • 第 2.1 节 安装前准备(新手入门版本)
    • 第 2.2 节 FreeBSD 安装图解(新手入门版本)
    • 第 2.3 节 UNIX 基础(新手入门版本)
    • 第 2.4 节 命令行基础(新手入门版本)
    • 第 2.5 节 安装 FreeBSD——基于 VMware Workstation Pro
    • 第 2.6 节 安装 FreeBSD——基于 Virtual Box
    • 第 2.7 节 手动安装双系统(先安装 FreeBSD)
    • 第 2.8 节 手动安装双系统(后安装 FreeBSD)
    • 第 2.9 节 安装 FreeBSD——基于 Apple M1 & Parallels Desktop 20
    • 第 2.10 节 安装 FreeBSD——基于 Apple M1 & VMware Fusion Pro
    • 第 2.11 节 Qemu 安装 RISC-V FreeBSD(基于 x86 Windows)
    • 第 2.12 节 云服务器安装 FreeBSD(基于腾讯云轻量云)
    • 第 2.13 节 安装 FreeBSD——基于 Hyper-V
  • 第 3 章 包管理器与 FreeBSD 系统更新
    • 第 3.1 节 FreeBSD 镜像站现状
    • 第 3.2 节 FreeBSD 换源方式
    • 第 3.3 节 gitup 的用法
    • 第 3.4 节 通过 pkg 包管理器安装二进制包
    • 第 3.5 节 通过 Ports 以源代码方式安装软件
    • 第 3.6 节 通过 DVD 安装软件
    • 第 3.7 节 通过 freebsd-update 更新 FreeBSD
    • 第 3.8 节 通过源代码更新 FreeBSD
    • 第 3.9 节 使用 pkgbase 更新 FreeBSD
  • 第 4 章 桌面环境
    • 第 4.1 节 显卡驱动(英特尔、AMD)
    • 第 4.2 节 显卡驱动(NVIDIA)
    • 第 4.3 节 GNOME
    • 第 4.4 节 Mate
    • 第 4.5 节 Xfce
    • 第 4.6 节 Cinnamon
    • 第 4.7 节 Lumina
    • 第 4.8 节 LXQt
    • 第 4.9 节 bspwm
    • 第 4.10 节 IceWM
    • 第 4.11 节 Budgie
    • 第 4.12 节 i3wm
    • 第 4.13 节 CDE
    • 第 4.14 节 Hyprland
    • 第 4.15 节 LXDE
    • 第 4.16 节 Window Maker
    • 第 4.17 节 Fluxbox
    • 第 4.18 节 KDE6
    • 第 4.19 节 主题美化
    • 第 4.20 节 远程桌面
    • 第 4.21 节 root 登录桌面
  • 第 5 章 中文环境配置
    • 第 5.1 节 本地化环境变量
    • 第 5.2 节 Fcitx 输入法框架
    • 第 5.3 节 IBus 输入法框架
    • 第 5.4 节 五笔输入法
    • 第 5.5 节 网络浏览器
    • 第 5.6 节 QQ(Linux 版)
    • 第 5.7 节 更换字体
    • 第 5.8 节 金山 WPS(Linux 版)
    • 第 5.9 节 压缩与解压
    • 第 5.10 节 微信(Linux 版)
  • 第 6 章 多媒体与外设
    • 第 6.1 节 声卡
    • 第 6.2 节 蓝牙
    • 第 6.3 节 打印机
    • 第 6.4 节 触摸板
    • 第 6.5 节 音频播放器
    • 第 6.6 节 视频播放器
    • 第 6.7 节 音频图形图像处理
  • 第 7 章 代理服务器
    • 第 7.1 节 HTTP 代理
    • 第 7.2 节 V2ray
    • 第 7.3 节 Mihomo(原 Clash)
    • 第 7.4 节 OpenVPN
  • 第 8 章 账户与权限
    • 第 8.1 节 sudo 与 doas
    • 第 8.2 节 用户与组
    • 第 8.3 节 用户权限
  • 第 9 章 Jail
    • 第 9.1 节 Jail 配置
    • 第 9.2 节 Jail 更新
    • 第 9.3 节 使用 Qjail 管理 Jail
  • 第 10 章 虚拟化
    • 第 10.1 节 通过 BVCP 以网页管理 BHyve
    • 第 10.2 节 使用 bhyve 安装 Windows 11(vm-bhyve)
  • 第 11 章 计算机概论
    • 第 11.1 节 存储卡参数简介与测试
    • 第 11.2 节 总线接口与协议
    • 第 11.3 节 网络基础
    • 第 11.4 节 操作系统
    • 第 11.5 节 MySQL 数据库
  • 第 12 章 引导恢复与 TTY 配置
    • 第 12.1 节 单用户模式与密码重置
    • 第 12.2 节 配置 rEFInd(双系统用)
    • 第 12.3 节 FreeBSD 中文 TTY 控制台
    • 第 12.4 节 引导界面与控制台界面
    • 第 12.5 节 Grub & UEFI 与 efibootmgr
  • 第 13 章 FreeBSD 系统管理
    • 第 13.1 节 FreeBSD src 源码概览
    • 第 13.2 节 FreeBSD 系统概览
    • 第 13.3 节 bsdconfig 系统配置工具
    • 第 13.4 节 SSH 配置与相关工具
    • 第 13.5 节 BSD init 管理服务
    • 第 13.6 节 利用脚本自动生成 BSDlibc 库文本
  • 第 14 章 网络管理
    • 第 14.1 节 TCP 堆栈
    • 第 14.2 节 WiFi
    • 第 14.3 节 USB 网络共享(USB tethering)
    • 第 14.4 节 USB 网卡 & 以太网卡
  • 第 15 章 FreeBSD 防火墙
    • 第 15.1 节 网络参数配置命令
    • 第 15.2 节 Packet Filter(PF)
    • 第 15.3 节 IPFilter(IPF)
    • 第 15.4 节 ipfirewall(IPFW)
    • 第 15.5 节 Fail2Ban(基于 IPFW、PF、IPF)
  • 第 16 章 服务器
    • 第 16.1 节 FTP 服务器
    • 第 16.2 节 MinIO 对象存储服务
    • 第 16.3 节 Gitlab-EE
    • 第 16.4 节 时间服务
    • 第 16.5 节 WildFly
    • 第 16.6 节 Rsync 同步服务
    • 第 16.7 节 Samba 服务器
    • 第 16.8 节 NFS 服务器
    • 第 16.9 节 Webmin
  • 第 17 章 网络服务器
    • 第 17.1 节 Apache
    • 第 17.2 节 Nginx
    • 第 17.3 节 PHP 8.X
    • 第 17.4 节 MySQL 5.X
    • 第 17.5 节 MySQL 8.X
    • 第 17.6 节 NextCloud——基于 PostgreSQL
    • 第 17.7 节 Telegraf+InfluxDB+Grafana 监控平台
    • 第 17.8 节 PostgreSQL 与 pgAdmin4
    • 第 17.9 节 AList
    • 第 17.10 节 prometheus 监控部署
    • 第 17.11 节 MongoDB 80
    • 第 17.12 节 Tomcat
    • 第 17.13 节 Caddy
    • 第 17.14 节 OnlyOffice(基于 PostgreSQL)
    • 第 17.15 节 Zabbix 监控(基于 PostgreSQL)
  • 第 18 章 嵌入式(树莓派、RISCV)
    • 第 18.1 节 树莓派简介与配件选用
    • 第 18.2 节 树莓派安装 FreeBSD
    • 第 18.3 节 树莓派 FreeBSD 配置
    • 第 18.4 节 树莓派与 Linux 兼容层
    • 第 18.5 节 树莓派与 OpenBSD
    • 第 18.6 节 在 RISCV 开发板上安装 OpenBSD
    • 第 18.7 节 Radxa X4(x86)
  • 第 19 章 文学故事
    • 第 19.1 节 BSD 与哲学家 George Berkeley(乔治·贝克莱)
    • 第 19.2 节 加州大学伯克利分校与“Fiat Lux”(要有光)
  • 第 20 章 游戏与科学
    • 第 20.1 节 游戏
    • 第 20.5 节 科研与专业工具
    • 第 20.6 节 我的世界(Minecraft)
  • 第 21 章 Linux 兼容层
    • 第 21.1 节 Linux 兼容层实现
    • 第 21.2 节 Linux 兼容层——基于 CentOS(FreeBSD Port)
    • 第 21.3 节 Linux 兼容层——基于 Ubuntu/Debian
    • 第 21.4 节 Linux 兼容层——基于 ArchLinux bootstrap
    • 第 21.5 节 Linux 兼容层——基于 archlinux-pacman
    • 第 21.6 节 Linux 兼容层——基于 OpenSUSE
    • 第 21.7 节 Linux 兼容层——基于 Gentoo Linux
    • 第 21.8 节 Linux 兼容层——基于 Rocky Linux
    • 第 21.9 节 Linux 兼容层——基于 Slackware Linux
    • 第 21.10 节 RockyLinux 兼容层(FreeBSD Port)
    • 第 21.11 节 Linux 兼容层——基于 Deepin
    • 第 21.12 节 Linux 兼容层与 Jail
    • 第 21.13 节 Linux 兼容层故障排除与未竟事宜
  • 第 22 章 编程环境与软件开发
    • 第 22.1 节 如何报告 Bug
    • 第 22.2 节 如何开发一个 Port
    • 第 22.3 节 如何参与 FreeBSD 开发
    • 第 22.4 节 C/C++ 环境的配置
    • 第 22.5 节 Java 环境的配置
    • 第 22.6 节 QT 环境的配置
    • 第 22.7 节 Python 与 VS Code
    • 第 22.8 节 Rust/Go 环境的配置
    • 第 22.9 节 Shell
    • 第 22.10 节 通过 IDA 7 调试 FreeBSD
    • 第 22.11 节 如何订阅 FreeBSD 的邮件列表
    • 第 22.12 节 code-server 和 clangd
    • 第 22.13 节 Node.js
  • 第 23 章 文件系统与磁盘管理
    • 第 23.1 节 自动挂载文件系统
    • 第 23.2 节 ZFS
    • 第 23.3 节 磁盘扩容
    • 第 23.4 节 NTFS & Fat32
    • 第 23.5 节 Swap 交换分区的设置
    • 第 23.6 节 Linux 文件系统
    • 第 23.7 节 ZFS 磁盘加解密
  • 第 24 章 DragonFly BSD
    • 第 24.1 节 DragonFly BSD 概述
    • 第 24.2 节 安装 DragonFly BSD
    • 第 24.3 节 配置 DragonFly BSD
  • 第 25 章 TwinCAT/BSD
    • 第 25.1 节 TwinCAT/BSD 系统安装与基本配置
    • 第 25.2 节 TwinCAT/BSD 开发环境配置
  • 第 26 章 OpenBSD
    • 第 26.1 节 OpenBSD 概述
    • 第 26.2 节 安装 OpenBSD
    • 第 26.3 节 配置 OpenBSD
    • 第 26.4 节 OpenBSD 包管理器
    • 第 26.5 节 桌面与其他软件
  • 第 27 章 NetBSD
    • 第 27.1 节 NetBSD 概述
    • 第 27.2 节 NetBSD 安装图解
    • 第 27.3 节 NetBSD 换源与包管理器
    • 第 27.4 节 桌面与中文环境常用软件
由 GitBook 提供支持
LogoLogo

FreeBSD 中文社区(CFC) 2025

在本页
在GitHub上编辑
导出为 PDF
  1. 第 15 章 FreeBSD 防火墙

第 15.3 节 IPFilter(IPF)

IPF(IPFilter,IP 过滤器)是一款开源软件,作者 Darren Reed。以下仅供参考未经测试。

如果想启用 ipf,可以执行以下命令:

# 复制示例文件作为默认配置规则集文件,否则 ipfilter 启动后会没有规则。示例文件自带的规则不影响使用
# cp /usr/share/examples/ipfilter/ipf.conf.sample /etc/ipf.rules
  • 启动 ipfilter

# service ipfilter enable 
# service ipfilter start
  • 启动 ipnat

ipnat 是 IPF 的一部分,专门用于处理 NAT 规则的维护。

# 复制示例文件作为默认配置规则集文件,否则 ipnat 无法启动
# cp /usr/share/examples/ipfilter/ipnat.conf.sample /etc/ipnat.rules 
# 设置 ipnat 开机启动
# service ipnat enable 
# 启动 ipnat
# service ipnat start

注意,ipfilter 服务重启后,ipnat 也需要重启。


ipf 的管理命令主要用 ipf、ipfstat 和 ipnat,常用操作示例如下:

# 启动 ipfilter,相当于 service ipfilter start
ipf -E

# 停止 ipfilter,相当于 service ipfilter stop
ipf -D

# 加载规则集文件中的规则
ipf -f /etc/ipf.rules

# 查看所有规则
ipfstat

# 查看规则,i 表示输入规则,o 表示输出规则,h 表示通过该规则的流量,n 表示记录编号
ipfstat -iohn

# 进入监控模式,按 Q 退出
ipfstat -t

# 清理已加载的规则
ipf -Fa

# 加载规则集文件中的 NAT 规则
ipnat -f /etc/ipnat.rules

# 汇总并显示 NAT 状态
ipnat -s

# 列表显示 NAT 规则,加 h 表示同时显示通过该规则的流量
ipnat -lh

# 清理已加载的 NAT 规则
ipnat -CF

# 以上操作并没有对规则的管理,因此还需要修改规则集文件,常用示例如下:

# 拒绝所有访问
block all  # ipfilter 是默认明示禁止的防火墙,因此需要通过下列规则禁止所有访问

# 拒绝所有进入的流量
block in all  # block 是动作,block 表示拒绝,pass 表示通过;in 为数据方向,in 为入,out 为出,在 ipfilter 里数据方向是必须的

# all 是 from any to any 的简写,表示从源地址到目标地址,地址通常用网段 (如 192.168.1.0/24) 或 IP 地址 (如 192.168.1.100),any 是特殊词,表示任何地址
# 拒绝所有外部流量
block out all  # 放开回环接口的访问权限,回环接口不对外部

# 放行所有回环接口流量
pass in quick on lo0 all  # quick 关键字表示若规则匹配,就停止执行,不会再执行后续规则

# 放行所有回环接口输出流量
pass out quick on lo0 all  # 放开回环接口的访问权限,回环接口不对外部

# 允许任何设备以 TCP 协议访问本机 80 端口
pass in quick proto tcp from any to 192.168.1.184 port = 80  # proto tcp 是访问协议,常用值有 tcp、udp、tcp/udp、icmp,不写则表示支持所有协议;port = 80 是目标端口

# 允许本机向外发送回显信息
pass out quick proto tcp from 192.168.1.184 to any  # 允许回显信息给任何访问的设备

# 增加 80 端口到 8080 端口流量转发的规则
rdr em0 192.168.1.184 port 80 -> 192.168.1.184 port 8080  # 转发流量到本机的 8080 端口,通常用来进行端口映射

# 允许本机通过 ICMP 协议 ping 外部设备
pass out quick proto icmp from 192.168.1.184 to any icmp-type 8 keep state  # ICMP type 8 是查询请求,keep state 表示维持状态

# 允许外部设备通过 ICMP 协议 ping 本机
pass in quick proto icmp from any to 192.168.1.184 icmp-type 8 keep state  # 允许任何外部设备 ping 本机

# 允许本机通过 ICMP 协议进行 traceroute
pass out quick proto icmp from 192.168.1.184 to any icmp-type 0  # ICMP type 0 是回显应答

# 允许本机通过 UDP 协议进行 traceroute,端口号从 33434 开始,每转发一次端口号加 1
pass out quick proto udp from 192.168.1.184 to any port 33434 >< 34500 keep state  # traceroute 默认使用 UDP 协议,端口号从 33434 开始

常用的规则集文件 /etc/ipf.rules 如下:

# 拒绝所有进入的流量
block in all  # 拒绝任何来自外部的输入流量

# 拒绝所有外出的流量
block out all  # 拒绝任何从本机出去的流量

# 放行回环接口的所有流量
pass in quick on lo0 all  # 允许本机与回环接口之间的通信

# 放行回环接口的所有输出流量
pass out quick on lo0 all  # 允许回环接口向外发送数据

# 设置任何设备可以访问服务器的 22、80、443、4200、10000 端口
pass in quick proto tcp from any to 192.168.1.184 port = { 22,80,443,4200,10000 }  # 允许外部设备通过 TCP 协议访问本机指定端口

# 允许本机向外发送 22、80、443、4200、10000 端口的流量
pass out quick proto tcp from 192.168.1.184 port = { 22,80,443,4200,10000 } to any  # 允许本机通过 TCP 协议访问任何外部设备的这些端口

# 允许本机访问外部设备的 80 和 443 端口,并保持连接状态
pass out quick proto tcp from 192.168.1.184 to any port = { 80,443 } keep state  # 设置本机访问任何网络设备的 80、443 端口并保持连接状态

# 设置本机访问 DNS 服务器
pass out quick proto udp from any to any port = 53 keep state  # 允许本机通过 UDP 协议访问任何 DNS 服务器的 53 端口

# 设置本机访问 DHCP 服务器
pass out quick proto udp from any to any port = 67 keep state  # 允许本机通过 UDP 协议访问 DHCP 服务器的 67 端口

# 允许本机向任何外部设备发送 ICMP ping 请求
pass out quick proto icmp from 192.168.1.184 to any icmp-type 8 keep state  # ICMP type 8 表示查询请求,keep state 维护状态

# 允许外部设备向本机发送 ICMP ping 请求
pass in quick proto icmp from any to 192.168.1.184 icmp-type 8 keep state  # 允许外部设备 ping 本机

# 允许本机向任何外部设备发送 ICMP 回显应答
pass out quick proto icmp from 192.168.1.184 to any icmp-type 0  # ICMP type 0 是回显应答,允许本机响应 ping 请求

# 设置本机使用 UDP 协议进行 traceroute,端口号从 33434 开始,逐步增加
pass out quick proto udp from 192.168.1.184 to any port 33434 >< 34500 keep state  # traceroute 默认使用 UDP 协议,端口号从 33434 开始

# 数据转发前要放开相应端口,允许外部设备访问本机 8080 端口
pass in quick proto tcp from any to 192.168.1.184 port = 8080  # 允许外部设备通过 TCP 协议访问本机的 8080 端口

常用的 NAT 规则集文件 /etc/ipnat.rules 如下:

# 设置本机 8080 端口到 80 端口的流量转发
rdr on em0 proto tcp from any to 192.168.1.184 port 8080 -> 192.168.1.184 port 80 # 将来自本机 em0 网卡的 8080 端口流量转发到本机的 80 端口

保存文件,接下来在终端执行命令:

# 清理已加载的所有规则,并加载 /etc/ipf.rules 文件中的规则
ipf -Fa -f /etc/ipf.rules  # -Fa 清理所有规则,-f 用来加载指定的规则文件

# 清理已加载的所有 NAT 规则,并加载 /etc/ipnat.rules 文件中的 NAT 规则
ipnat -CF -f /etc/ipnat.rules  # -CF 清理 NAT 规则,-f 用来加载指定的 NAT 规则文件
上一页第 15.2 节 Packet Filter(PF)下一页第 15.4 节 ipfirewall(IPFW)

最后更新于29天前