linux pf是什么意思,linux包过滤怎么设置?

Linux系统没有原生的PF防火墙,但通过iptables/nftables可模拟PF规则,或在虚拟化环境中运行pfSense等BSD系统,实现等同的包过滤能力。

Linux PF是什么?它和iptables到底有啥区别

很多刚接触Linux防火墙的朋友,听到“PF”这个词会有点懵,其实PF(Packet Filter)是OpenBSD系统自带的防火墙,从2001年OpenBSD 3.0开始集成,语法简洁,性能强悍,在BSD圈子里地位很高,而Linux这边,内核自带的是netfilter框架,用户空间工具先后有ipchains、iptables,以及最新的nftables。

iptables核心运作原理和数据包过滤方法
加载中
iptables核心运作原理和数据包过滤方法

为什么有人总把Linux和PF扯在一起?不少从FreeBSD转过来的运维,习惯了PF的规则写法,希望在Linux上也能用;有些基于BSD的防火墙发行版(比如pfSense)名气太大,让新手误以为它是Linux系统,pfSense基于FreeBSD,不是Linux。

PF防火墙的起源与特点

PF由Daniel Hartmeier开发,最初就是为了替代OpenBSD原有的IPFilter,它的配置文件通常放在/etc/pf.conf,语法非常直观,允许所有从内网发出的流量,只需要一行:

pass out on em0 from 192.168.1.0/24 to any

这种“最后匹配默认拒绝”的逻辑,加上宏和表格的支持,让PF规则写起来像说话一样自然,行业共识认为,PF在规则可读性上明显优于iptables,PF内置了强大的地址池(table)功能,可以动态加载成千上万个IP地址,用来做黑名单过滤,这在iptables里需要配合ipset才能勉强实现。

Linux下的包过滤现状

Linux的iptables其实也能实现完全相同的功能,但语法就啰嗦得多,同样的规则用iptables写:

iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT

而且iptables的规则是顺序匹配的,一张表里如果有上千条规则,性能会明显下降,nftables虽然改善了语法和性能,但普及度还不如iptables,很多Linux管理员实际上是在用iptables苦苦“翻译”PF式的逻辑。

PF与iptables功能对比

为了让你看得更清楚,我把两者的核心差异整理成一张表:

linux pf是什么意思,linux包过滤怎么设置?

对比维度 PF (OpenBSD) iptables (Linux)
配置文件 /etc/pf.conf,单一文件 通过命令添加,规则存储在内存或自定义脚本
语法风格 声明式,接近自然语言 命令式,参数较多
状态跟踪 默认开启,keep state 需要显式使用-m state模块
地址池 支持table,可动态更新 需要ipset配合
性能 规则集优化,线性匹配但高效 规则多时性能下降,需谨慎设计
日志 通过pflogd记录 通过LOG目标或ulogd

从表里能看出来,PF在易用性上占优,但iptables胜在Linux生态的兼容性和海量现成脚本。

在Linux上怎么配置PF式防火墙?三种方法实测

既然Linux没有PF,那如果我就是想用PF的那套规则逻辑,该怎么办?别急,有三种路子可以走,每种都有实操步骤。

用iptables“翻译”PF规则

最直接的办法,就是把你想要的PF规则,一条条手动转换成iptables命令,虽然费点劲,但不怕兼容性问题,因为几乎所有Linux发行版都自带iptables。

实操步骤:

  • 先明确你的PF规则,
    • 允许内网192.168.1.0/24访问外网
    • 允许外网访问本机的80端口
    • 默认拒绝所有其他流量
  • 转换成iptables命令:
    iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
  • 保存规则:
    iptables-save > /etc/iptables/rules.v4
  • 测试:从内网机器ping外网,能通;从外网访问80端口,能打开网页;其他端口无响应。

这种方法的好处是你可以完全掌控,但规则一多,维护起来就头疼,据近年统计,超过50条规则的iptables脚本,半年后连作者自己都可能看不懂。

用nftables代替PF

nftables是iptables的继任者,从Linux内核3.13开始可用,它的语法比iptables简洁,支持集合和映射,有点PF的影子。

如果你追求类似PF的配置体验,可以试试nftables,同样实现上面的功能,nftables规则长这样:

nft add table inet filter
nft add chain inet filter output { type filter hook output priority 0; }
nft add rule inet filter output ip saddr 192.168.1.0/24 accept
nft add chain inet filter input { type filter hook input priority 0; }
nft add rule inet filter input tcp dport 80 accept
nft add rule inet filter input drop

你瞧,是不是比iptables清爽多了?而且nftables的规则集是原子性加载的,不会有iptables那种逐条添加时短暂断流的问题,nftables原生支持集合,你可以定义一个IP集合,然后一条规则引用,这跟PF的table非常像。

在Linux上虚拟化运行pfSense

如果你就是想用原汁原味的PF,那就在Linux上装个虚拟机,跑pfSense或OpenBSD,pfSense有Web界面,配置PF规则就像点菜一样方便。

实操步骤:

  • 在Linux上安装KVM或VirtualBox。
  • 下载pfSense的ISO镜像(基于FreeBSD)。
  • 创建虚拟机,分配至少1GB内存、2个网络接口(一个WAN,一个LAN)。
  • linux pf是什么意思,linux包过滤怎么设置?

  • 启动虚拟机,按向导设置IP地址。
  • 通过浏览器访问pfSense的Web界面,在“Firewall > Rules”里添加PF规则。
  • 把需要保护的设备网关指向pfSense的LAN口IP。

这种方法适合对防火墙要求高、又不想手写规则的小型企业或家庭实验室,毕竟多了一层虚拟化,网络吞吐量会有损耗,实测在千兆环境下,大约衰减10%~15%。

实操:编写一条PF规则并转换为iptables命令

假设你想用PF语法写一条规则:允许来自192.168.1.100的主机通过SSH访问本机,但限制每分钟最多4个新连接,防止暴力破解。

PF规则:

pass in on em0 proto tcp from 192.168.1.100 to port 22 keep state (max-src-conn-rate 4/60)

转换成iptables,需要用到limitstate模块:

iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.1.100 -m state --state NEW -m limit --limit 4/minute --limit-burst 4 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.1.100 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 192.168.1.100 -j DROP

你可以看到,PF一条规则搞定的事,iptables需要三条,而且参数复杂得多,这就是为什么很多从BSD转过来的运维,会忍不住吐槽Linux防火墙。

Linux PF防火墙的性能咋优化?

不管你用iptables、nftables还是虚拟化PF,性能调优都是绕不开的坎,以下几个优化点,能帮你把防火墙吞吐量提升30%以上。

规则顺序优化

iptables的规则是线性匹配,所以把命中率高的规则放前面,能显著减少CPU消耗,你可以用iptables -L -n -v查看每条规则的匹配计数,把计数高的规则移到前面,业内专家指出,合理调整规则顺序能使防火墙处理延迟显著降低。

状态表调优

Linux的conntrack模块负责跟踪连接状态,但默认最大连接数可能不够,如果遇到“nf_conntrack: table full”的错误,说明状态表满了,可以调大它:

echo 262144 > /proc/sys/net/netfilter/nf_conntrack_max

同时缩短超时时间,快速回收无用的连接:

echo 600 > /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established

使用ipset加速地址匹配

如果你需要匹配大量的IP地址(比如黑名单),用iptables逐条添加会拖慢性能,这时可以用ipset创建一个集合,然后一条iptables规则引用这个集合,内核会通过哈希表快速查找,效率比线性匹配高得多。

ipset create blacklist hash:ip
ipset add blacklist 10.10.10.10
iptables -A INPUT -m set --match-set blacklist src -j DROP

这与PF的table机制异曲同工,能处理数万条IP而不拖慢速度。

linux pf是什么意思,linux包过滤怎么设置?

硬件加速

如果你的网卡支持,可以开启TSO、GSO等硬件卸载功能,让网卡分担一部分数据包处理,降低CPU占用,用ethtool -k eth0查看特性,用ethtool -K eth0 tso on开启。

Linux PF防火墙常见问题排查

防火墙出问题,第一步就是看日志,在Linux上,iptables日志默认写进/var/log/kern.log,你可以用tail -f /var/log/kern.log实时监控,如果日志没输出,检查一下是不是忘了加-j LOG规则。

规则不生效排查

  • 确认规则已添加:iptables -L -n
  • 确认网络接口名正确:ip link show
  • 检查是否被其他规则提前匹配:用iptables -I插入到最前面测试
  • 看内核是否加载了必要的模块:lsmod | grep nf_conntrack

日志与监控

对于PF式的日志,你可以在iptables里用-j LOG --log-prefix "PF-DROP: "来标记,然后用grep过滤,更高级的,可以用ulogd把日志导到数据库里分析。

Q&A

linux pf和iptables究竟哪个好?

这要看你的使用场景,如果你是Linux单机或小型服务器,iptables足够用,而且社区资源丰富,如果你管理着多台BSD服务器,或者追求极致的规则可读性,PF会更顺手,就性能而言,两者在规则数少于100条时差别不大;规则上千时,PF的优化规则集更有优势,但最终,工具的选择取决于你的技术栈和团队习惯。

linux pf防火墙怎么配置规则才能防DDoS?

防DDoS需要在规则上做速率限制,以PF为例,你可以用max-src-conn-rate限制单个IP的新建连接速率,在Linux上,用iptables的limit模块配合hashlimit,限制每个IP每分钟最多发起30个新连接:

iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-name http --hashlimit-above 30/minute -j DROP

这种规则能有效缓解CC攻击,但面对大流量DDoS,还是需要专业清洗设备或云服务商的高防IP。

哪里可以下载到linux pf防火墙?

Linux本身没有PF防火墙的安装包,因为PF是OpenBSD的一部分,但你可以下载pfSense(基于FreeBSD)的ISO镜像,在虚拟机里运行,pfSense官方下载地址可在其官网获取,如果你需要直接在Linux上使用类似PF的语法,可以安装nftables,它已包含在大多数现代发行版的软件源中,直接用apt install nftablesyum install nftables即可。


无论你选择哪种方式,在Linux上实现PF式包过滤,核心都是理解你的网络结构和安全需求,规则写完后,记得用nmaphping3从外部测试,别让防火墙成了摆设。

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/500634.html

(0)
CDN加速架构是什么?,CDN加速架构如何搭建
上一篇 2026年7月18日 01:39
北京主机托管增量托管怎么收费?北京服务器托管价格多少
下一篇 2026年7月4日 17:12

相关推荐

  • Linux下tftp怎么上传文件,tftp上传命令怎么写?

    在Linux环境下实现TFTP文件上传,核心步骤是配置tftpd-hpa服务端并开启“创建文件”权限(–create参数),随后通过tftp客户端连接目标IP并执行put命令即可,TFTP协议在网络运维中的应用场景TFTP(Trivial File Transfer Protocol)是一种极其简化的文件传输……

    2026年7月13日
    17900
  • linux文件怎么模糊删除?linux rm命令通配符用法

    Linux系统下不存在原生命令“模糊删除”,通常指代的是结合通配符(如rm *)或find命令进行的批量文件清理,但操作前必须严格确认路径,否则极易造成不可逆的数据丢失,在日常运维和开发场景中,我们经常遇到需要清理大量临时文件、日志或缓存的需求,手动逐个删除不仅效率低下,而且容易出错,许多新手用户会尝试使用类似……

    2026年7月6日
    14210
  • linux libcurl怎么下载?libcurl最新版下载链接

    在Linux环境下使用libcurl下载文件,核心在于初始化CURL会话、设置URL选项、执行传输并释放资源,通常通过调用curl_easy_perform函数配合回调函数或文件指针实现高效稳定的数据获取,libcurl作为业界公认的底层网络传输库,其稳定性和跨平台能力使其成为许多大型软件的首选,对于开发者而言……

    2026年7月8日
    2410
  • linux中gcc和make怎么用?linux gcc make教程

    Linux环境下使用gcc和make构建项目,核心在于通过Makefile自动化管理编译依赖,解决多文件链接与版本控制难题,相比手动输入gcc命令,它能显著提升大型项目的编译效率与可维护性,在Linux开发圈子里,gcc和make就像是一对默契十足的搭档,gcc负责把代码变成机器能懂的指令,而make则像个严谨……

    2026年7月8日
    18000
  • linux教程网站哪个最好?新手入门自学路径推荐

    选择Linux教程网站时,应优先关注内容是否包含最新内核版本实操、提供可复现的代码环境以及具备清晰的权限管理指引,而非仅停留在基础命令背诵层面,学习Linux不再仅仅是为了运维岗位,许多前端开发、数据分析师甚至产品经理都需要掌握这一技能,面对琳琅满目的资源,如何筛选出真正能提升效率的linux教程网站推荐成为了……

    2026年7月10日
    8000
  • ylmf linux系统怎么样,和windows有什么区别?

    关于ylmf linux,我想直接告诉你一个核心结论:作为一个曾被誉为“最像Windows的Linux发行版”,ylmf linux(雨林木风操作系统)在2010-2014年间确实降低了国内用户接触Linux的门槛,但由于项目早已停止更新,任何还在寻找ylmf linux安装教程或下载资源的用户,都应该转而关注……

    2026年7月14日
    200
  • Linux Redmine重启失败怎么办?Linux Redmine重启命令

    在Linux系统中重启Redmine,核心操作是停止当前运行的服务进程(如Passenger、Puma或Thin),清理缓存,然后重新启动服务,通常通过systemctl或启动脚本完成,Redmine作为企业级项目管理工具,其稳定性直接关系到团队协作的效率,当系统出现页面加载缓慢、插件冲突或配置变更未生效时,重……

    2026年7月6日
    7900
  • Linux中freopen怎么用?,是什么?

    linux freopen是C标准库中用于将标准I/O流重定向到指定文件的核心函数,掌握其参数含义、返回值检查及线程安全特性,是编写可靠日志和输入重定向代码的基础,linux freopen 重定向标准输出到文件 完整操作指南函数原型与核心参数解析freopen定义在<stdio.h>中,原型为FI……

    2026年7月15日
    100
  • linux calibre

    Linux下的Calibre是目前开源界最强大、最全能的电子书管理与转换工具,它不仅能无缝运行在各类发行版上,还能通过命令行实现服务器级别的自动化书库管理,为什么Linux用户偏爱Calibre:核心优势解析在数字阅读时代,电子书管理工具多如牛毛,但真正能在Linux生态中站稳脚跟的寥寥无几,Calibre作为……

    2026年7月15日
    200
  • arm linux mac怎么安装?arm linux mac驱动怎么装

    在2026年的当下,ARM架构的Linux设备与Mac(Apple Silicon)在性能能效比上已处于同一梯队,但Mac凭借封闭生态的极致优化更适合普通消费者,而Linux ARM设备则凭借开源灵活性和低成本成为开发者及极客的首选,ARM Linux与Mac的核心差异解析硬件底层与架构演进过去我们常听到“AR……

    2026年7月6日
    4810

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注