PF防火墙

PF
原作者	Daniel Hartmeier
開發者	OpenBSD 项目组
首次发布	2001年12月1日，22年前（2001-12-01）
源代码库	cvsweb.openbsd.org/src/
编程语言	C
操作系统	OpenBSD 及其他移植平台
类型	防火墙
许可协议	BSD许可证
网站	www.openbsd.org/faq/pf/index.html

PF （Packet Filter ，常缩写为 pf）是一个以 BSD 许可发布的，常被用于 BSD 系统的防火墙软件。类似于其他系统中的 netfilter (iptables)、 ipfw 或 ipfilter。

PF 起初是为 OpenBSD 开发的，但已被移植到许多其他操作系统。

历史

PF 的开发始于 OpenBSD 开发人员不满 Darren Reed 开发的 IPFilter 防火墙所用的许可证，而在 IPFilter 于 2001 年 5 月 30 日被从 OpenBSD 的 CVS 源码树中删除后，PF 被设计来取代 IPFilter。它的大部分规则语法也都源自 IPFilter。^[1]

PF 的最初版本由 Daniel Hartmeier 编写， ^[2]并随 OpenBSD 3.0 于 2001 年 12 月 1 日发布^[3]，在此后 Henning Brauer 和 Ryan McBride ^[4]对其进行了深度的重新设计，大部分代码由 Henning Brauer 编写。目前 Henning Brauer 是 PF 的主要开发者。

特征

语法方面，PF 的过滤语法与 IPFilter 类似，但进行了一些修改以使其更清晰。

功能方面，PF 支持 SMP（对称多处理）和 STO（状态跟踪选项），也集成了常见的网络地址转换 (NAT) 和服务质量 (QoS) 管理模块。在扩展方面，PF 支持用于故障转移和冗余的 pfsync 和 CARP 、用于会话身份验证的 authpf ，以及使配置复杂的 FTP 协议防火墙更容易的 ftp-proxy 等。

PF 的日志记录是众多创新功能之一。用户可在 pf.conf 中按规则进行配置 PF 的日志记录，被记录的日志会由 PF 通过名为 pflog 的伪网络接口（pseudo-network interface）向应用程序提供。这是从内核态将数据提取至用户态程序的唯一方法。记录下的日志既可以通过 tcpdump （该实用程序在 OpenBSD 中已专门为此目的进行了扩展）等常见工具来监视，也可以使用 pflogd 守护程序以 tcpdump / pcap 二进制格式保存到磁盘。

其他平台上的移植版本

除了在其开发平台 OpenBSD 上运行之外，PF 还被移植到了许多其他操作系统，但功能上存在重大差异。有些移植版的历史可以追溯到很多年前，因此与当下 OpenBSD 上拥有最多功能的最新版本差异巨大。

PF 目前被用于：

FreeBSD ^[5] 5.3 及以上版本

Snow Leopard (Mac OS X 10.6) 及以上版本的 Apple macOS ^[6]
所有 iPhone 和 iPad 使用的 Apple iOS 和 iPadOS
NetBSD 3.0 及以上版本^[7]
DragonFly BSD 1.1 及以上版本^[8]
Debian GNU/kFreeBSD
甲骨文Solaris ^[9]
QNX 及许多搭载搭载 QNX 的黑莓智能手机型号

另见

参考

^ de Raadt, Theo. CVS: cvs.openbsd.org: src; Remove ipf.. 2001-05-30 [2018-08-20]. （原始内容存档于2022-04-10）.
^ Hartmeier, Daniel. A new stateful packet filter for OpenBSD. 2017-09-26 [2018-08-20]. （原始内容存档于2023-03-25）.
^ OpenBSD 3.0. 2001-12-01 [2018-08-20]. （原始内容存档于2018-10-08）.
^ Brauer, Henning. Henning Brauer Consulting: pf. [2018-08-20]. （原始内容存档于2020-08-10）.
^ FreeBSD/amd64 5.3-RELEASE Release Notes. 2004-11-03 [2018-08-20]. （原始内容存档于2010-12-23）.
^ xnu/xnu-1456.1.26/bsd/net/pf.c.auto.html. Apple, Inc. 2008-12-05 [2018-08-20]. （原始内容存档于2023-07-16）.
^ Changes and NetBSD News in 2005: 23 Dec 2005 - NetBSD 3.0 released. [2018-08-20]. （原始内容存档于2020-01-17）.
^ pf(4) manual page. DragonFly Kernel Interfaces Manual. 2011-01-02 [2018-08-20]. （原始内容存档于2022-04-10）.
^ Introduction to Packet Filter. Securing the Network in Oracle® Solaris 11.3. Oracle Corporation. March 2018 [2018-08-20]. （原始内容存档于2022-12-22）.

图书

Hansteen, Peter N.M. Book of PF: A No-Nonsense Guide to the OpenBSD Firewall 3. No Starch Press. October 2014: 248 [2023-09-18]. ISBN 978-1-59327-589-1. （原始内容存档于2023-05-07）.

Jeremy C. Reed (编). The OpenBSD PF Packet Filter Book: PF for NetBSD, FreeBSD, DragonFly, and OpenBSD. Reed Media Services. August 2006 [2023-09-18]. ISBN 978-0-9790342-0-6. （原始内容存档于2014-05-04）.

Artymiak, Jacek. Building Firewalls with OpenBSD and pf. Selbstverlag. 2003 [2023-09-18]. ISBN 978-8391665114. （原始内容存档于2022-04-10）.

外部链接

pf(4) – OpenBSD内核接口（Kernel Interfaces）手册页
pfctl(8) – OpenBSD系统管理（System Manager's）手册页
The OpenBSD PF guide （页面存档备份，存于互联网档案馆）
Firewalling with PF （页面存档备份，存于互联网档案馆）: PF tutorial by Peter N. M. Hansteen
OpenBSD/pf Firewalling For the Less Gifted （页面存档备份，存于互联网档案馆）

查论编 OpenBSD计划

操作系统	OpenBSD 时间线（英语：Timeline of OpenBSD）安全（英语：OpenBSD security features）

相关计划	CARP LibreSSL OpenSSH OpenBGPD OpenIKED（英语：OpenIKED） OpenOSPFD OpenNTPD OpenSMTPD（英语：OpenSMTPD） PF（英语：PF (firewall)） sndio（英语：sndio） spamd（英语：spamd） Systrace（英语：Systrace） Tmux Xenocara（英语：Xenocara） cwm W^X（英语：W^X）

人物	西奥·德·若特 Niels Provos（英语：Niels Provos） OpenBSD基金会 Plaid Tongued Devils（英语：Plaid Tongued Devils）

资源	OpenBSD Journal（英语：OpenBSD Journal）

FreeBSD项目

FreeBSD

FreeBSD核心团队（英语：FreeBSD Core Team）
FreeBSD文档许可证（英语：FreeBSD Documentation License）
FreeBSD基金会（英语：FreeBSD Foundation）
FreeBSD Ports
历史（英语：History of FreeBSD）

子系统

busdma（英语：busdma）
GEOM（英语：GEOM）
Ipfirewall
FreeBSD jail
Netgraph（英语：Netgraph）
OpenPAM（英语：OpenPAM）
OpenBSM（英语：OpenBSM）
pf（英语：PF (firewall)）
Soft updates（英语：Soft updates）
ULE scheduler（英语：ULE scheduler）
bhyve（英语：bhyve）
高可用存储
portsnap（英语：portsnap）
kqueue
geom raid5（英语：geom raid5）
geli（英语：Geli (software)）
moused（英语：moused）
Vinum volume manager（英语：Vinum volume manager）

人物

Jordan Hubbard（英语：Jordan Hubbard）
Poul-Henning Kamp（英语：Poul-Henning Kamp）
Mike Karels（英语：Michael J. Karels）
Ben Laurie（英语：Ben Laurie）
Sam Leffler（英语：Samuel J Leffler）
Marshall Kirk McKusick（英语：Marshall Kirk McKusick）
Diomidis Spinellis（英语：Diomidis Spinellis）
Robert Watson（英语：Robert Watson (computer scientist)）
Dru Lavigne（英语：Dru Lavigne）

衍生品（英语：List of products based on FreeBSD）

开源软件	BSD路由器项目（英语：BSD Router Project） XNU Darwin DesktopBSD DragonFly BSD TrueNAS FreeSBIE GhostBSD 银河麒麟 MidnightBSD m0n0wall TrueOS PfSense GhostBSD FuryBSD GNU/kFreeBSD Gentoo/FreeBSD（英语：Gentoo/FreeBSD）

专有软件	Junos（英语：Junos） macOS iOS tvOS watchOS 任天堂Switch操作系统 PlayStation 3操作系统 PlayStation 4操作系统 PlayStation Vita操作系统

防火墙

應用層防火牆
- 網頁應用防火牆
服务器设备（英语：Computer appliance）
个人防火墙
狀態防火牆
virtual firewall（英语：Virtual firewall）
DMZ

Linux

应用软件	FireHOL（英语：FireHOL） Firestarter（英语：Firestarter (firewall)） firewalld Netfilter ipset iptables NuFW MoBlock（英语：MoBlock） nftables Privoxy Shorewall（英语：Shorewall） Squid Uncomplicated Firewall

发行版	Endian Firewall（英语：Endian Firewall） IPFire（英语：IPFire） LEDE OpenWrt SmoothWall（英语：SmoothWall） Zeroshell（英语：Zeroshell）

BSD

应用软件	IPFilter ipfirewall NPF（英语：NPF (firewall)） PF（英语：PF (firewall)） pfsync（英语：pfsync）

发行版	M0n0wall OPNsense pfSense SmallWall

macOS

Little Snitch（英语：Little Snitch）
NetBarrier X4（英语：NetBarrier X4）
PeerGuardian（英语：PeerGuardian）
VirusBarrier X6（英语：Intego）

Windows

商业软件	Check Point Integrity（英语：Check Point Integrity）卡巴斯基迈克菲 Microsoft Forefront Threat Management Gateway（英语：Microsoft Forefront Threat Management Gateway）諾頓360 諾頓網絡安全 Norton Personal Firewall（英语：Norton Personal Firewall） Outpost Firewall Pro 赛门铁克端点防护 Trend Micro Internet Security Windows防火墙 Windows Live OneCare WinGate（英语：WinGate） WinRoute（英语：WinRoute）

免費增值	科摩多网络安全套装 ZoneAlarm

开源软件	PeerBlock PeerGuardian（英语：PeerGuardian）