Der Paketfilter PF von OpenBSD
Besser abdichten
Im Zeitalter allgegenwärtiger Hintertüren in kommerziellen Firewalls fasst der sicherheitsbewusste Systemverwalter irgendwann den Beschluss, eine eigene, quelloffene Bastion gegen die Gefahren des Internets zu errichten. Mit OpenBSD und dessen Paketfilter PF hat er das Werkzeug dazu.
OpenBSD gilt als eines der sichersten Betriebssysteme und wird unter anderem deswegen gerne für den Bau eigener Firewall-Appliances eingesetzt. Ein weiterer Pluspunkt ist der Paketfilter PF, dessen Regelsatz logisch aufgebaut und dessen Syntax relativ leicht zu verstehen ist. Der Artikel erklärt die grundlegenden Mechanismen und Techniken von PF und erstellt dazu ein einfaches Regelwerk, das als Basis für eigene Experimente dienen kann. PF-Regeln für ein einzelnes System werden dazu bis zu einem Regelwerk für eine einfache NAT-Firewall (Network Address Translation) erweitert, die ein kleines Büro- oder Zweigstellennetz (SOHO) sicher mit dem Internet verbindet. Als Grundlage dient OpenBSD 5.9. Leider lassen sich diese Regeln nicht auf FreeBSD, NetBSD, Solaris oder Apples OS X übertragen, weil diese Systeme noch mit einem von OpenBSD übernommenen Paketfilter arbeiten, dessen PF-Syntax aus OpenBSD 4.6 von 2009 stammt.