pf(4) é um filtro de pacotes de Internet Protocol originalmente escrito para o OpenBSD. Além de filtrar pacotes, também possui recursos de normalização de pacotes. Os estados no pf(4) permitem que os pacotes ICMP e ICMP6 passem se tiverem um pacote em sua carga correspondente a uma condição existente. pf(4) não verifica se o pacote ICMP ou ICMP6 externo possui o mesmo IP de destino que o IP de origem do pacote de protocolo interno. Um pacote ICMP/ICMP6 criado com códigos maliciosos poderia ignorar as regras de filtragem de pacotes e ser transmitido a um host que, de outra forma, estaria indisponível.