深入了解PF:功能、配置与应用
1. PF概述
PF(Packet Filter)作为一种数据包过滤系统,从版本5.3开始以包的形式被纳入基础系统。它也被包含在NetBSD和DragonFly BSD中。本文主要聚焦于OpenBSD 4.2中可用的最新PF版本。
PF是一种数据包过滤器,其代码主要在协议和端口层面检查网络数据包,进而决定如何处理这些数据包。此代码大多在网络代码内部的内核空间中运行。PF的运行环境包含数据包、协议、连接、端口和服务等元素。它能依据数据包的来源、去向、所属协议或连接以及端口等信息,决定数据包的流向或是否允许其通过。不过,PF并不基于数据包内容来引导网络流量(通常称为应用层过滤)。
PF和类似软件的一个重要特性是能够识别并阻止那些不希望进入本地网络或流出到外部世界的流量。虽然“防火墙”这个术语或许带有一些极客幽默,但由于数据包过滤概念与防火墙概念紧密相连,所以在合适的场景下,本文也会使用“防火墙”这一术语。
2. 网络地址转换(NAT)
NAT(Network Address Translation),即网络地址转换,有时也被称为IP伪装。它与防火墙或数据包过滤并无直接关联,但在当今网络环境中是一个重要的概念。
在20世纪90年代初,互联网商业化刚刚起步,人们开始意识到原有的32位IP地址空间无法满足大量计算机连接互联网的需求。于是,聪明的人们开始研究基于更大地址空间的解决方案,即IPv6,它使用128位地址。不过,将全球网络迁移到IPv6预计需要数年时间,因此需要一个临时解决方案。
NAT就是这个临时解决方案,它由两部分组成:
- 网络网关可以重写数据包地址,
