Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene »ipfw« Firewall¹⁾ endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, »pf« Paket Filter²⁾ ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch »pf«. Wirklich neu ist »pf« eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von »ipfw« so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu »pf« finden Sie auf den Seiten des OpenBSD Projekts³⁾.

Wie auch »ipfw« arbeitet »pf« mit Regelsätzen. Die Stärke von »pf« bzw. der wohl signifikanteste Unterschied zu »ipfw« ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS) und die Komplexität in der Administration ist dadurch erheblich gestiegen. Die grundlegenden Elemente zur Steuerung von »pf« ist das Kommando »pfctl« und die Konfigurationsdatei »/etc/pf.conf«.

Der von uns erforderliche Funktionsumfang an eine Workstation Firewall umfasst derzeit lediglich das Einschränken des Netzwerkverkehrs virtueller Maschinen die auf einem Mac OS basierten VMware Fusion Host laufen. Hier soll sichergestellt werden, dass diesen Maschinen zwar die internen Netzwerke verfügbar gemacht werden aber kein Internetverkehr möglich ist.