Mit Mac OS 10.10 (Yosemite) hat Apple die aus dem FreeBSD Fundus übernommene »ipfw« Firewall¹⁾ endgültig gegen die neuere Version des, ebenfalls ursprünglich für OpenBSD entwickelten, »pf« Paket Filter²⁾ ersetzt. Über einige Major Releases von Mac OS konnte man sowohl die alte wie auch die neue Version benutzen, ab Mac OS 10.10 dann nur noch »pf«. Wirklich neu ist »pf« eigentlich nicht, denn es ist bereits seit 2004 Teil des BSD Projekts, kommt aber erst seit der Inkompatibilität von »ipfw« so richtig in den Fokus der Aufmerksamkeit der Mac Anwender und Administratoren. Ein ausführliches Tutorial zu »pf« finden Sie auf den Seiten des OpenBSD Projekts³⁾.

Wie auch »ipfw« arbeitet »pf« mit Regelsätzen. Die Stärke von »pf« bzw. der wohl signifikanteste Unterschied zu »ipfw« ist der zusätzliche Funktionsumfang hinsichtlich des Ausbalancieren des Datenverkehrs auf mehrere Netzwerkschnittstellen und Priorisierung von bestimmten Diensten (QoS), was jedoch die Komplexität in der Administration erheblich gesteigert.

Die grundlegenden Elemente zur Steuerung von »pf« ist das Kommando »pfctl«⁴⁾ und diverse Konfigurationsdateien:

• »/etc/pf.conf«:⁵⁾ Wird beim Systemstart geladen wird und beinhaltet uA die Regeln bzw. die Regelsatzdateien.
• »/etc/pf.anchors/com.apple«:⁶⁾ Das Default »Anchor« File, welches in der Konfigurationsdatei »/etc/pf.conf« aufgerufen wird. Standardmäßig ist diese Datei erst mal ohne Regeln. »Anchors« sind Dateien die eine Sammlung von Regeln oder weitere »Anchors« enthalten.
• »/etc/pf.os«:⁷⁾ Beinhaltet die Fingerprints etlicher Betriebssysteme um diese ggf zu identifizieren.

Der von uns erforderliche Funktionsumfang an eine Workstation Firewall umfasst derzeit lediglich das Einschränken des Netzwerkverkehrs virtueller Maschinen die auf einem Mac OS basierten VMware Fusion Host laufen. Hier soll sichergestellt werden, dass diesen Maschinen zwar die internen Netzwerke verfügbar gemacht werden aber kein Internetverkehr möglich ist.