pf (Paketfilter)

pf (Paketfilter)

pf – eine Abkürzung von packet filter (deutsch: Paketfilter) – ist eine Firewall-Software, die ursprünglich für das Betriebssystem OpenBSD geschrieben wurde.

pf dient neben seiner Funktion als Paketfilter auch als NAT-Software, d. h. zum Übersetzen von Internetadressen eines privaten Netzwerks in das Internet, und kann außerdem die Datenübertragungsraten des gefilterten bzw. übersetzten Netzverkehrs regulieren (siehe QoS). Des Weiteren bietet pf eine Filterung anhand des Betriebssystems, erweiterte Paketbehandlung (Zusammenbau fragmentierter Pakete) und einen Authentifizierungsmodus namens pf-auth.

Inhaltsverzeichnis

Filterung anhand des Betriebssystems

Normalerweise können Firewalls nur folgende Regeln handhaben:

Erlaube Kommunikation von Computer A [von Quell-Port X] zu Computer B [zu Ziel-Port Y]

Eine Filterung anhand des Betriebssystem könnte so aussehen:

Erlaube Kommunikation von Computer A [von Quell-Port X, wenn Betriebssystem=*BSD] zu Computer B [zu Ziel-Port Y]

Diese Filterung ist möglich da der IP-Stack von verschiedenen Herstellern unterschiedlich implementiert wurde. Zur Filterung werden daher Eigenheiten der jeweiligen Implementierung herangezogen, siehe OS-Fingerprinting.

Authpf

Authpf ist eine Kombination aus ssh und pf, welche eine wesentlich bessere Zugangskontrolle ermöglicht. Wie oben bereits erläutert, können Firewalls normalerweise nur nach Quelle/Ziel filtern. Wenn aber mehrere Personen Zugriff auf einen Computer haben, kann dies problematisch werden, da eventuell nur gewisse Benutzer Zugriff auf interne Server oder das Internet haben sollen. Für diesen Fall wurde von OpenBSD Authpf entwickelt.

Bei pf-auth wird einem Benutzer ein Account ohne Berechtigung (außer zum Einloggen) auf der Firewall gegeben. Sofern sich der Benutzer dann eingeloggt hat, kann pf Regelsätze (z. B. das Routing betreffend) ändern. Diese Änderungen werden nach dem Ausloggen des Benutzer wieder rückgängig gemacht und erlauben somit eine Filterung auf Benutzerebene.

Geschichte

pf entstand, als das OpenBSD-Projekt aufgrund von Lizenzproblemen den bis dahin enthaltenen Paketfilter IPFilter entfernte und einen Ersatz benötigte. Er wurde im Juni 2001 von Daniel Hartmeier ins Leben gerufen und ist seit OpenBSD 3.0 (veröffentlicht am 1. Dezember 2001) Bestandteil von OpenBSD. Inzwischen wurde pf auch auf FreeBSD, NetBSD und DragonFly BSD portiert.

Siehe auch

  • ipfw, iptables (Paketfilter anderer Betriebssysteme)
  • pfSense − eine Firewall-/Routerdistribution mit pf und einer Web-GUI

Literatur

Peter N.M. Hansteen: The Book of PF: A No-Nonsense Guide to the OpenBSD Firewall. 2. Auflage. No Starch Press, 2010, ISBN 978-1593272746.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужна курсовая?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Paketfilter —   [engl. screening router], frühe Version einer Firewall. Ein Paketfilter ist ein Router, der Datenpakete zwischen internen und externen Hosts nicht nur weiterleitet, sondern auch untersucht. Dabei unterscheidet er zwischen gemäß den… …   Universal-Lexikon

  • Paketfilter — Ein Paketfilter ist eine Software, die den ein und ausgehenden Datenverkehr in einem Computernetz filtert. Dies dient in der Regel dem Schutz des Netzes vor Angreifern. Ebenso wichtig wie der Schutz gegen Angreifer von Außen ist der Schutz gegen… …   Deutsch Wikipedia

  • Pf (Paketfilter) — pf – eine Abkürzung von packet filter (deutsch: Paketfilter) – ist eine Firewall Software, die ursprünglich für das Betriebssystem OpenBSD geschrieben wurde. pf dient neben seiner Funktion als Paketfilter auch als NAT Software, d. h. zum… …   Deutsch Wikipedia

  • Desktop Firewall — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

  • Personal-Firewall — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

  • Software Firewall — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

  • ZoneLabs — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

  • Personal Firewall — Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand, „Brandmauer“) ist eine Software, die den ein und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers …   Deutsch Wikipedia

  • Firewall — Eine Firewall (von englisch firewall [ˈfaɪəwɔːl] „die Brandmauer“) ist eine Software, weiter gefasst auch ein System mit einer bestimmten Funktion[1] und ein Teilaspekt[2] eines Sicherheitskonzepts. Die Firewall Software dient dazu, den… …   Deutsch Wikipedia

  • Application Gateway — Eine externe (Netzwerk oder Hardware ) Firewall (von engl. firewall [ˈfaɪəwɔːl] „die Brandwand“) stellt eine kontrollierte Verbindung zwischen zwei Netzen her. Das könnten z. B. ein privates Netz (LAN) und das Internet (WAN) sein; möglich ist… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”