Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
|
mac:pf [2015/09/24 09:56] pronto [PF konfigurieren und einsetzen] |
mac:pf [2015/09/24 11:53] (aktuell) pronto [Internetverkehr virtueller Maschinen einschränken] |
||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| ===== PF konfigurieren und einsetzen ===== | ===== PF konfigurieren und einsetzen ===== | ||
| - | Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene >><fc #008000>ipfw</fc><< Firewall((https://de.wikipedia.org/wiki/Ipfw)) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, >><fc #008000>pf</fc><< Paket Filter((https://de.wikipedia.org/wiki/Pf_%28Paketfilter%29)) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch >><fc #008000>pf</fc><<. Wirklich neu ist >><fc #008000>pf</fc><< eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von >><fc #008000>ipfw</fc><< so richtig in den Fokus der Aufmerksamkeit. Ein ausführliches Tutorial zu >><fc #008000>pf</fc><< finden Sie auf den Seiten des OpenBSD Projekts((http://www.openbsd.org/faq/pf/)). | + | Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene >><fc #008000>ipfw</fc><< Firewall((https://de.wikipedia.org/wiki/Ipfw)) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, >><fc #008000>pf</fc><< Paket Filter((https://de.wikipedia.org/wiki/Pf_%28Paketfilter%29)) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch >><fc #008000>pf</fc><<. Wirklich neu ist >><fc #008000>pf</fc><< eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von >><fc #008000>ipfw</fc><< so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu >><fc #008000>pf</fc><< finden Sie auf den Seiten des OpenBSD Projekts((http://www.openbsd.org/faq/pf/)). |
| + | |||
| + | Wie auch >><fc #008000>ipfw</fc><< arbeitet >><fc #008000>pf</fc><< mit Regelsätzen. Die Stärke von >><fc #008000>pf</fc><< bzw. der wohl signifikanteste Unterschied zu >><fc #008000>ipfw</fc><< ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS), was jedoch die Komplexität in der Administration erheblich gesteigert. | ||
| + | |||
| + | ==== Konfiguration ==== | ||
| + | |||
| + | Die grundlegenden Elemente zur Steuerung von >><fc #008000>pf</fc><< ist das Kommando >><fc #008000>pfctl</fc><<((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/pfctl.8.html)) und diverse Konfigurationsdateien: | ||
| + | |||
| + | * >><fc #008000>/etc/pf.conf</fc><<:((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/pf.conf.5.html)) Wird beim Systemstart geladen wird und beinhaltet uA die Regeln bzw. die Regelsatzdateien. | ||
| + | * >><fc #008000>/etc/pf.anchors/com.apple</fc><<:((http://www.openbsd.org/faq/pf/anchors.html)) Das Default >><fc #008000>Anchor</fc><< File, welches in der Konfigurationsdatei >><fc #008000>/etc/pf.conf</fc><< aufgerufen wird. Standardmäßig ist diese Datei erst mal ohne Regeln. >><fc #008000>Anchors</fc><< sind Dateien die eine Sammlung von Regeln oder weitere >><fc #008000>Anchors</fc><< enthalten. | ||
| + | * >><fc #008000>/etc/pf.os</fc><<:((http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-4.2/cat5/pf.os.0?query=pf.os&sec=5&manpath=OpenBSD-4.2)) Beinhaltet die Fingerprints etlicher Betriebssysteme um diese ggf zu identifizieren. | ||
| + | |||
| + | |||
