Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
mac:pf [2015/09/24 10:06] pronto [PF konfigurieren und einsetzen] |
mac:pf [2015/09/24 11:53] (aktuell) pronto [Internetverkehr virtueller Maschinen einschränken] |
||
---|---|---|---|
Zeile 4: | Zeile 4: | ||
Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene >><fc #008000>ipfw</fc><< Firewall((https://de.wikipedia.org/wiki/Ipfw)) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, >><fc #008000>pf</fc><< Paket Filter((https://de.wikipedia.org/wiki/Pf_%28Paketfilter%29)) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch >><fc #008000>pf</fc><<. Wirklich neu ist >><fc #008000>pf</fc><< eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von >><fc #008000>ipfw</fc><< so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu >><fc #008000>pf</fc><< finden Sie auf den Seiten des OpenBSD Projekts((http://www.openbsd.org/faq/pf/)). | Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene >><fc #008000>ipfw</fc><< Firewall((https://de.wikipedia.org/wiki/Ipfw)) endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, >><fc #008000>pf</fc><< Paket Filter((https://de.wikipedia.org/wiki/Pf_%28Paketfilter%29)) ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch >><fc #008000>pf</fc><<. Wirklich neu ist >><fc #008000>pf</fc><< eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von >><fc #008000>ipfw</fc><< so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu >><fc #008000>pf</fc><< finden Sie auf den Seiten des OpenBSD Projekts((http://www.openbsd.org/faq/pf/)). | ||
- | Die grundlegenden Elemente zur Steuerung von >><fc #008000>pf</fc><< ist das Kommando >><fc #008000>pfctl</fc><< und die Konfigurationsdatei >><fc #008000>/etc/pf.conf</fc><<. Wie auch >><fc #008000>ipfw</fc><< arbeitet >><fc #008000>pf</fc><< mit Regelsätzen. Die Stärke von >><fc #008000>pf</fc><< bzw. der wohl signifikanteste Unterschied zu >><fc #008000>ipfw</fc><< ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS). | + | Wie auch >><fc #008000>ipfw</fc><< arbeitet >><fc #008000>pf</fc><< mit Regelsätzen. Die Stärke von >><fc #008000>pf</fc><< bzw. der wohl signifikanteste Unterschied zu >><fc #008000>ipfw</fc><< ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS), was jedoch die Komplexität in der Administration erheblich gesteigert. |
+ | |||
+ | ==== Konfiguration ==== | ||
+ | |||
+ | Die grundlegenden Elemente zur Steuerung von >><fc #008000>pf</fc><< ist das Kommando >><fc #008000>pfctl</fc><<((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man8/pfctl.8.html)) und diverse Konfigurationsdateien: | ||
+ | |||
+ | * >><fc #008000>/etc/pf.conf</fc><<:((https://developer.apple.com/library/mac/documentation/Darwin/Reference/ManPages/man5/pf.conf.5.html)) Wird beim Systemstart geladen wird und beinhaltet uA die Regeln bzw. die Regelsatzdateien. | ||
+ | * >><fc #008000>/etc/pf.anchors/com.apple</fc><<:((http://www.openbsd.org/faq/pf/anchors.html)) Das Default >><fc #008000>Anchor</fc><< File, welches in der Konfigurationsdatei >><fc #008000>/etc/pf.conf</fc><< aufgerufen wird. Standardmäßig ist diese Datei erst mal ohne Regeln. >><fc #008000>Anchors</fc><< sind Dateien die eine Sammlung von Regeln oder weitere >><fc #008000>Anchors</fc><< enthalten. | ||
+ | * >><fc #008000>/etc/pf.os</fc><<:((http://www.openbsd.org/cgi-bin/man.cgi/OpenBSD-4.2/cat5/pf.os.0?query=pf.os&sec=5&manpath=OpenBSD-4.2)) Beinhaltet die Fingerprints etlicher Betriebssysteme um diese ggf zu identifizieren. | ||
+ | |||
+ |