IPFILTER 的作者是 Darren Reed。 IPFILTER 是独立于操作系统的: 它是一个开放源代码的应用, 并且已经被移植到了 FreeBSD、 NetBSD、 OpenBSD、 SunOS、 HP/UX, 以及 Solaris 操作系统上。 IPFILTER 的支持和维护都相当活跃, 并且有规律地发布更新版本。
IPF 最初是使用一组 “以最后匹配的规则为准” 的策略来实现的, 这种方式只能支持无状态的规则。随着时代的进步, IPF 被逐渐增强, 并加入了 “quick” 选项, 以及支持状态的 “keep state” 选项, 这使得规则处理逻辑变得更富有现代气息。IPF 的官方文档只介绍了传统的规则编写方法和文件处理逻辑。 新增的功能只是作为一些附加的选项出现, 如果能完全理解这些功能, 则对于建立更安全的防火墙就很有好处。
IPF 作为 FreeBSD 基本安装的一部分, 以一个独立的内核模块的形式提供。如果在 rc.conf 中配置了 ipfilter_enable="YES", 系统就会自动地动态加载 IPF 内核模块。这个内核模块在创建时启用了日志支持, 并加入了 default pass all 选项。如果只是需要把默认的规则设置为block all 的话, 就不需要把 IPF 编译到内核中。 简单地通过把 block all 这条规则加入自己的规则集来达到同样的目的。
http://www.freebsd.org/doc/zh_CN/books/handbook/firewalls-ipf.html