PF konfigurieren und einsetzen

Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene »ipfw« Firewall1) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, »pf« Paket Filter2) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch »pf«. Wirklich neu ist »pf« eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von »ipfw« so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu »pf« finden Sie auf den Seiten des OpenBSD Projekts3).

Wie auch »ipfw« arbeitet »pf« mit Regelsätzen. Die Stärke von »pf« bzw. der wohl signifikanteste Unterschied zu »ipfw« ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS), was jedoch die Komplexität in der Administration erheblich gesteigert.

Konfiguration

Die grundlegenden Elemente zur Steuerung von »pf« ist das Kommando »pfctl«4) und diverse Konfigurationsdateien: