PF Manualbook, 4. Auflage (The Book of PF, 4th Edition)

 (nostarch.com)
3 Punkte von GN⁺ 2026-02-03 | 1 Kommentare | Auf WhatsApp teilen
  • Praxisorientierter Leitfaden zum Aufbau von Firewalls und zur Netzwerksicherheit mit dem Paketfilter PF von OpenBSD im Mittelpunkt
  • Die neueste Auflage umfasst aktuelle Funktionen wie IPv6, Dual-Stack-Konfigurationen, Traffic Shaping, NAT, Wireless Networking, Spam-Blockierung, Failover und Logging
  • Stellt konkrete Konfigurationsmethoden vor, darunter das Schreiben von IPv4-/IPv6-Regelsätzen, die Absicherung drahtloser Netzwerke, die Verbesserung der Verfügbarkeit mit CARP und relayd sowie der Aufbau adaptiver Firewalls
  • Behandelt sowohl das aktuelle Traffic-Control-System von OpenBSD als auch die Nutzung von ALTQ und Dummynet unter FreeBSD
  • Zentrale Referenz für einen stabilen und flexiblen Netzwerkbetrieb unter OpenBSD 7.x, FreeBSD 14.x und NetBSD 10.x

Überblick über PF und Netzwerkverwaltung

  • PF (Packet Filter) wird als zentrales Netzwerkwerkzeug von OpenBSD und FreeBSD beschrieben und gilt in modernen Internetumgebungen als unverzichtbarer Bestandteil der Firewall-Konfiguration
    • Angesichts steigender Bandbreitenanforderungen und wachsender Sicherheitsbedrohungen ist fundiertes PF-Fachwissen für Systemadministratoren unerlässlich
  • Das Buch behandelt die neuesten Funktionen und Konfigurationsmethoden von PF umfassend und verfolgt einen praxisnahen Ansatz

Wichtige Updates der 4. Auflage

  • Die 4. Auflage enthält aktuelle Inhalte zu IPv6 und Dual-Stack-Konfigurationen, warteschlangen- und prioritätsbasierten Traffic-Shaping-Systemen, NAT und Redirects, drahtlosen Netzwerken, Spam-Blockierung, Failover und Logging
  • Behandelt die Versionen OpenBSD 7.x, FreeBSD 14.x und NetBSD 10.x
Anzeige

Wichtige erlernbare Technologien

  • Erstellung von Regelsätzen für IPv4- und IPv6-Traffic: Konfigurationsmethoden für verschiedene Netzwerkumgebungen wie LAN, NAT, DMZ und Bridges
  • Aufbau und Absicherung drahtloser Netzwerke: Konfiguration von Access Points sowie Nutzung von authpf und Zugriffsbeschränkungen
  • Maximierung der Service-Verfügbarkeit: Flexibler Service-Betrieb mit CARP, relayd und Redirects
  • Aufbau adaptiver Firewalls: Umsetzung proaktiver Schutzmechanismen gegen Angreifer und Spammer
  • Traffic-Steuerung und Monitoring: Einsatz des aktuellen Traffic-Shaping-Systems von OpenBSD, Konfiguration von ALTQ und Dummynet unter FreeBSD sowie Nutzung von Visualisierungstools auf NetFlow-Basis

Aufbau des Buchs

  • Besteht aus insgesamt 10 Kapiteln und 2 Anhängen
    • Kapitel 1: Netzwerkaufbau
    • Kapitel 2: Grundlagen der PF-Konfiguration
    • Kapitel 3: Einsatz in realen Umgebungen
    • Kapitel 4: Drahtlose Netzwerke
    • Kapitel 5: Komplexe Netzwerke
    • Kapitel 6: Proaktive Verteidigung
    • Kapitel 7: Traffic Shaping
    • Kapitel 8: Redundanz und Ressourcenverfügbarkeit
    • Kapitel 9: Logging, Monitoring und Statistiken
    • Kapitel 10: Konfigurationsoptimierung
    • Anhang A: Referenzmaterial / Anhang B: Hardware-Unterstützung

Zum Autor

  • Peter N.M. Hansteen ist ein in Bergen, Norwegen, ansässiger DevOps-Berater und Autor und hat zahlreiche Vorträge und Beiträge zu OpenBSD und FreeBSD veröffentlicht
  • Er ist Aktivist in der Freenix-Community und schrieb dieses Buch als erweiterte Fassung seines Online-Tutorials zu PF
  • In seinem persönlichen Blog (bsdly.blogspot.com) veröffentlicht er Beiträge zum Thema Networking und war Mitglied des RFC-1149-Implementierungsteams

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-03
Hacker-News-Kommentare

  • Mich würde interessieren, wie die aktuellen Erfahrungen mit PF (Packet Filter) in echten Produktionsumgebungen sind
    Ich habe bisher nur nftables verwendet und würde gern wissen, wie sich PF anfühlt

    • Ich verwalte eine pf.conf mit etwa 400 Regeln über rund 12 VLANs hinweg
      Die Struktur fühlt sich ein bisschen wie das Bearbeiten von Code an, daher ist sie ziemlich intuitiv und angenehm
      Oben stehen Host-, Netzwerk- und Port-Deklarationen, dann ein NAT-/Egress-Abschnitt und danach Abschnitte mit pass-in-/pass-out-Regeln pro VLAN
      In tmux verfolge ich das Interface pflog0 per tail, um den Traffic zu überwachen, und ich habe mir auch eine Funktion in .profile gebaut, um PF-Konfigurationen einfach zu ändern und anzuwenden 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      Das öffnet die Datei zur Bearbeitung, lädt nach der Prüfung die Regeln neu und gibt bei Erfolg die Anzahl der Regeln aus
    • Meiner Erfahrung nach ähnelt PF in der Denkweise bei Filterung und NAT kommerziellen Firewalls
      Linux-nftables hält weiterhin an der alten „chain“-Struktur aus ipchains-Zeiten fest, was nicht besonders intuitiv ist
      Bei PF legt man Richtlinien einfach anhand von in/out und Interfaces fest
      Im Vergleich zum kommandoorientierten Hinzufügen/Entfernen von Richtlinien bei nftables wirkt die verwaltung über Konfigurationsdateien deutlich sauberer
    • Vergleicht man pf und iptables, unterscheiden sie sich vor allem in der Art, wie Regeln angewendet werden, und bei der Log-Verarbeitung
      Bei pf durchläuft ein Paket den gesamten Regelsatz, und die letzte passende Regel wird angewendet (mit „quick“ kann man das abkürzen)
      Logs werden nicht automatisch in syslog integriert, dafür ist eine separate Konfiguration nötig
      Ich persönlich bevorzuge pf, würde es Anfängern aber nicht empfehlen
    • Wenn man nur einfache Paketfilterung braucht, ist PF völlig ausreichend, aber heute sind Funktionen wie Threat Intelligence und Protokollanalyse oft unverzichtbar
      Mit pf lässt sich das zwar per Skript umsetzen, aber ineffizient
      In echten Produktionsumgebungen braucht man eher Funktionen auf IPS- oder Layer-7-Firewall-Niveau
      Trotzdem ist es für einfache Filterung eine gute Wahl
    • Es ist wirklich schön, dass man iptables nicht mehr verwenden muss
      Aber unzählige Tutorials und LLM-Modelle haben weiterhin die Syntax iptables -A eingebrannt, also wird man sich wohl noch lange daran erinnern müssen

  • Ich hatte dieses Buch früher einmal und es hat mir bei Firewall-Konfiguration, Load Balancing, Traffic Shaping und Ähnlichem sehr geholfen
    Das Buch über das Design von FreeBSD-Rootkits war ebenfalls sehr aufschlussreich
    Aus Minimalismusgründen habe ich inzwischen alles aussortiert und verlasse mich nur noch auf digitale Informationen, was mich ein wenig wehmütig macht

    • Bei mir ähnlich: Ich wollte meine Bücher auch ausmisten, habe es aber noch nicht geschafft
      Aus meiner früheren OpenBSD-Lernphase stehen noch einige Bücher herum, aber inzwischen schaue ich fast nie mehr hinein
      Trotzdem sieht die OpenBSD-Ecke im Regal ziemlich gut aus
    • Ein E-Book-Reader und eine DRM-freie digitale Bibliothek könnten eine Alternative sein

  • Ich habe großen Respekt vor No Starch Press. Die Qualität ihrer Bücher ist wirklich hervorragend

    • Wie Dr. Marshall Kirk McKusick kürzlich auf einer BSD-Konferenz sagte, will No Starch noch dieses Jahr die 3. Auflage von Design and Implementation of the FreeBSD Operating System veröffentlichen
    • Meine Lieblingsbücher sind persönlich solche wie Nora Sandlers Writing a C Compiler oder Sy Brands Building a Debugger, die einen komplexe Systeme selbst implementieren lassen
      Ich wünschte, es gäbe mehr Bücher dieser Art
    • Ich kaufe DRM-freie E-Books direkt bei Verlagen wie No Starch oder Leanpub
      Verkaufsstellen, die ihre Leser nicht respektieren, meide ich
      Wenn Verbraucher keine besseren Bedingungen einfordern, könnte irgendwann eine monopolartige Struktur entstehen, in der gekaufte Bücher nach Belieben gelöscht werden
    • Ich mag die Haptik von Papierbüchern und halte deshalb eine kleine physische Bibliothek vor
      Die Bindungsqualität von No Starch ist weiterhin großartig, aber die neueren **POD-(Print-on-Demand-)**Bücher von O’Reilly sind teuer und qualitativ enttäuschend
    • No Starch ist spitze. Ich habe aus ihren Büchern wirklich viel gelernt

  • PF steht für Packet Filter

    • Als ich den Titel gesehen habe, dachte ich kurz, es sei eine neue Version von Pathfinder erschienen

  • Zur Information: Dieses Buch behandelt FreeBSD 14, aber in FreeBSD 15 (Release im Dezember) wird PF umfassend aktualisiert
    Details dazu stehen im Update-Beitrag im Netgate-Blog

  • Ich fände es gut, wenn es ein ähnlich umfassendes Buch mit Fokus auf nftables gäbe
    Das Linux-Firewall-Buch von No Starch stammt aus dem Jahr 2008 und basiert auf iptables

    • nftables hat eine sehr gute offizielle Dokumentationsseite
      Am besten schaut man ins nftables-Wiki
    • Steve Suehrings Linux Firewalls behandelt nftables
      Es ist ein gutes Buch, um die Grundkonzepte zu lernen