[[:mac|{{ :Apple.png?40|}}]]
===== PF konfigurieren und einsetzen =====

Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene >><fc #008000>ipfw</fc><< Firewall((https://de.wikipedia.org/wiki/Ipfw)) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, >><fc #008000>pf</fc><< Paket Filter((https://de.wikipedia.org/wiki/Pf_%28Paketfilter%29)) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch >><fc #008000>pf</fc><<. Wirklich neu ist >><fc #008000>pf</fc><< eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von >><fc #008000>ipfw</fc><< so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu >><fc #008000>pf</fc><< finden Sie auf den Seiten des OpenBSD Projekts((http://www.openbsd.org/faq/pf/)).

Wie auch >><fc #008000>ipfw</fc><< arbeitet >><fc #008000>pf</fc><< mit Regelsätzen. Die Stärke von >><fc #008000>pf</fc><< bzw. der wohl signifikanteste Unterschied zu >><fc #008000>ipfw</fc><< ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS), was jedoch die Komplexität in der Administration erheblich gesteigert.

==== Konfiguration ====

Die grundlegenden Elemente zur Steuerung von >><fc #008000>pf</fc><< ist das Kommando >><fc #008000>pfctl</fc><<((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/pfctl.8.html)) und diverse Konfigurationsdateien:

  * >><fc #008000>/etc/pf.conf</fc><<:((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/pf.conf.5.html)) Wird beim Systemstart geladen wird und beinhaltet uA die Regeln bzw. die Regelsatzdateien.
  * >><fc #008000>/etc/pf.anchors/com.apple</fc><<:((http://www.openbsd.org/faq/pf/anchors.html)) Das Default >><fc #008000>Anchor</fc><< File, welches in der Konfigurationsdatei >><fc #008000>/etc/pf.conf</fc><< aufgerufen wird. Standardmäßig ist diese Datei erst mal ohne Regeln. >><fc #008000>Anchors</fc><< sind Dateien die eine Sammlung von Regeln oder weitere >><fc #008000>Anchors</fc><< enthalten.
  * >><fc #008000>/etc/pf.os</fc><<:((http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-4.2/cat5/pf.os.0?query=pf.os&sec=5&manpath=OpenBSD-4.2)) Beinhaltet die Fingerprints etlicher Betriebssysteme um diese ggf zu identifizieren.