https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Pf_%28Paketfilter%29Pf (Paketfilter) - Versionsgeschichte2026-06-06T21:08:20ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Pf_(Paketfilter)&diff=260027&oldid=previmported>Prüm: /* Weblinks */2022-09-10T09:49:58Z<p><span class="autocomment">Weblinks</span></p>
<p><b>Neue Seite</b></p><div>{{SEITENTITEL:pf (Paketfilter)}}<br />
'''pf''' – eine Abkürzung von ''packet filter'' (deutsch: Paketfilter) – ist eine [[Firewall]]-[[Software]], die ursprünglich für das Betriebssystem [[OpenBSD]] geschrieben wurde.<br />
<br />
pf dient neben seiner Funktion als [[Paketfilter]] auch als [[Network Address Translation|NAT]]-Software, d.&nbsp;h. zum Übersetzen von Internetadressen eines privaten Netzwerks in das [[Internet]], und kann außerdem die [[Datenübertragungsrate]]n des gefilterten bzw. übersetzten Netzverkehrs regulieren (siehe [[QoS]]).<br />
Des Weiteren bietet pf eine Filterung anhand des Betriebssystems, erweiterte Paketbehandlung (Zusammenbau fragmentierter Pakete) und einen Authentifizierungsmodus namens pf-auth.<br />
<br />
== Geschichte ==<br />
pf entstand, als das OpenBSD-Projekt aufgrund von Lizenzproblemen den bis dahin enthaltenen Paketfilter [[IPFilter]] entfernte und einen Ersatz benötigte. Er wurde im Juni 2001 von [[Daniel Hartmeier]] ins Leben gerufen und ist seit OpenBSD 3.0 (veröffentlicht am 1. Dezember 2001) Bestandteil von [[OpenBSD]]. Inzwischen wurde pf auch auf [[FreeBSD]], [[NetBSD]], [[DragonFly BSD]] und [[Mac OS X]] portiert.<br />
<br />
== Beispiel ==<br />
<!-- so auch zu finden in [[OpenBSD-Sicherheitsmerkmale]], beides von [[User:Der Messer]] --><br />
PF lässt sich mit (im Vergleich zu [[iptables]]) einfach zu lesenden Regeln konfigurieren, die in etwa der folgenden Syntax folgen. Dabei stellen runde Klammern <code>(…|…)</code> notwendige Elemente, eckige Klammern <code>[…|…]</code> optionale Elemente dar:<br />
<pre><br />
(pass|block [drop|return|return-icmp|return-icmp6|return-rst]|match) [in|out] [log] [quick]<br />
[on <interface>] [on rdomain <number>] [inet|inet6] [proto (tcp|udp|icmp|icmp6)]<br />
([from <src> [port <src>][os <src>]|to <dest> [port <dest>]]|all) [flags <a>/&lt;b&gt;]<br />
[icmp-type <type> code &lt;code>|icmp6-type <type> code &lt;code>] [probability <number>]<br />
[user <user>] [nat-to <src>|rdr-to <dst>]<br />
</pre><br />
<br />
Die folgenden Regeln blockieren alle Pakete von Hosts, die keine Mails einliefern dürfen (blocked_hosts), und erlauben es für alle anderen:<br />
<pre><br />
blocked_hosts = { 223.33.14.23, 34.12.34.0/24, 17.0.0.0/8 }<br />
<br />
pass in on em0 inet proto tcp from any to self port 25,587<br />
block in on em0 inet proto tcp from $blocked_hosts to self port 25,587<br />
</pre><br />
Dabei ist em0 das Netzwerkinterface, auf dem die Filterung stattfindet, ''in'' die Richtung (eingehend), ''inet'' steht für [[IPv4]]-Pakete, ''proto tcp'' trifft auf [[Transmission Control Protocol|TCP]]-Pakete zu, die symbolische Konstante ''any'' trifft auf alle Hosts zu (IP-Schreibweise ''0.0.0.0''), und ''self'' ist die eigene IP-Adresse des jeweiligen Interfaces.<br />
<br />
Eine Besonderheit von PF ist, dass immer die letzte passende Regel zutrifft, also normalerweise unten die spezialisiertesten Regeln stehen und oben die allgemeinsten ([[Blacklisting]]). [[Whitelisting]] wird durch eine alles verbietende Regel am Anfang und folgende, erlaubende Regeln realisiert.<br />
<br />
Daher würde die '''umgekehrte''' Reihenfolge der hier beschriebenen Regeln dazu führen, dass jeder Mails einliefern dürfte, da die in der ersten Regel blockierten Hosts in der zweiten Regel durchgelassen würden.<br />
<br />
Das nächste Beispiel zeigt eine exemplarische [[Network Address Translation|NAT]]-Lösung, die z.&nbsp;B. auf einem Router laufen kann:<br />
<pre><br />
ext_schnittstelle = em0<br />
intern_netz = 192.168.0.0/16<br />
<br />
match out on $ext_schnittstelle inet from $intern_netz to any nat-to $ext_schnittstelle<br />
</pre><br />
<br />
''match'' trifft hierbei auf Pakete zu, entscheidet aber nicht über Durchlassen oder Blockieren. Alle Pakete, die die Firewall über die Schnittstelle ''$ext_schnittstelle'' verlassen und IPv4-Pakete (''inet'') aus dem eigenen (internen) Netz ''$intern_netz'' sind, werden mit der Absenderadresse von ''$ext_schnittstelle'' versehen. Weitere Regeln für eine funktionierende NAT-Firewall sind nicht mehr nötig.<br />
<br />
Außerdem ist PF in der Lage, als TCP-Proxy zu fungieren, somit die eingehenden TCP-Verbindungen zu bestätigen und erst danach an die Anwendungen weiterzureichen. Dies verhindert [[SYN-Flood]]s.<br />
<br />
== Siehe auch ==<br />
* [[ipfw]], [[iptables]] (Paketfilter anderer Betriebssysteme)<br />
* [[pfSense]] – eine Firewall-/Routerdistribution mit pf und einer Web-GUI<br />
* [[OPNsense]] – stateful Firewalldistribution mit pf und Web-GUI, basierend auf FreeBSD 10.1-RELEASE<br />
<br />
== Literatur ==<br />
* {{Literatur<br />
|Autor=Peter N.M. Hansteen<br />
|Titel=The Book of PF: A No-Nonsense Guide to the OpenBSD Firewall<br />
|Auflage=3.<br />
|Verlag=No Starch Press<br />
|Datum=2014<br />
|ISBN=978-1-59327-589-1}}<br />
<br />
== Weblinks ==<br />
* [http://www.openbsd.org/ Website von OpenBSD]<br />
* [http://www.openbsd.org/faq/pf/ Englischsprachige Anleitung zu pf vom OpenBSD-Projekt] mit Beispielen<br />
<br />
[[Kategorie:Paketfilter]]<br />
[[Kategorie:Freie Sicherheitssoftware]]<br />
[[Kategorie:BSD-Software]]</div>imported>Prüm