Diferencia entre revisiones de «PF»
(→Enlaces externos) |
|||
| (No se muestran 3 ediciones intermedias de 2 usuarios) | |||
| Línea 1: | Línea 1: | ||
| − | {{ | + | {{Definición |
| − | |nombre=''' | + | |nombre='''Packet Filter''' |
|familia= | |familia= | ||
|imagen= PF.jpeg | |imagen= PF.jpeg | ||
| Línea 21: | Línea 21: | ||
|premios= | |premios= | ||
|web= | |web= | ||
| − | }}'''PF'''. | + | }} |
| + | <div align="justify"> | ||
| + | '''PF (Packet Filter)''' es el filtro de paquetes o [[cortafuegos]] basado en configuración dinámica (stateful rules) escrito originalmente por [[Daniel Hartmeier]] y actualmente desarrollado y mantenido por el equipo de desarrollo de [[OpenBSD]]. Es funcionalmente comparable a otras soluciones de filtrado de pquetes, como [[iptables]], [[ipfw]] e [[ipfilter]].''' | ||
== Introducción == | == Introducción == | ||
| − | Fue publicado a finales del 2001 en OpenBSD 3.0, como reemplazo de [[IPFilter]], el filtro de paquetes de [[Darren Reed]], debido a algunos problemas con la licencia de dicho [[software]], ya que su autor tenía que dar autorización a los desarrolladores de OpenBSD para modificar el código. | + | Fue publicado a finales del [[2001]] en [[OpenBSD 3.0]], como reemplazo de [[IPFilter]], el filtro de paquetes de [[Darren Reed]], debido a algunos problemas con la licencia de dicho [[software]], ya que su autor tenía que dar autorización a los desarrolladores de OpenBSD para modificar el código. |
PF se ha desarrollado desde entonces muy rápidamente, y en OpenBSD 3.8 ya tenía mucha ventaja sobre otras opciones de [[cortafuegos]]. La sintaxis de filtrado es muy similar a la de IPFilter, aunque se modificó para hacerla más clara y legible. | PF se ha desarrollado desde entonces muy rápidamente, y en OpenBSD 3.8 ya tenía mucha ventaja sobre otras opciones de [[cortafuegos]]. La sintaxis de filtrado es muy similar a la de IPFilter, aunque se modificó para hacerla más clara y legible. | ||
| Línea 34: | Línea 36: | ||
== Portes == | == Portes == | ||
| − | PF se desarrolla como parte del [[Sistema]] base de OpenBSD. Pese a ello, ha sido portado con éxito a otros sistemas. FreeBSD lo fue adoptando paulatinamente, primero como paquete y desde la versión FreeBSD 5.3 como una de los tres subsistemas de filtrado que ofrece el núcleo. Existe una versión de FreeBSD, denominada [[pfSense]], que incluye una sofisticada [[interfaz gráfica]] para editar relgas de PF. | + | PF se desarrolla como parte del [[Sistema]] base de OpenBSD. Pese a ello, ha sido portado con éxito a otros sistemas. FreeBSD lo fue adoptando paulatinamente, primero como paquete y desde la versión FreeBSD 5.3 como una de los tres subsistemas de filtrado que ofrece el núcleo. Existe una versión de FreeBSD, denominada [[pfSense]], que incluye una sofisticada [[Interfaz gráfica de usuario (GUI)|interfaz gráfica]] para editar relgas de PF. |
También se ha portado PF a [[NetBSD]] 3.0 por [[itojun]] y aparece en [[DragonFlyBSD]] desde la versión 1.2. Pese a algunos intentos, PF no ha podido ser portado con éxito a [[Linux]], probablemente por las profundas diferencias entre la pila de red de los núcleos [[BSD]] y el de [[Linux]]. | También se ha portado PF a [[NetBSD]] 3.0 por [[itojun]] y aparece en [[DragonFlyBSD]] desde la versión 1.2. Pese a algunos intentos, PF no ha podido ser portado con éxito a [[Linux]], probablemente por las profundas diferencias entre la pila de red de los núcleos [[BSD]] y el de [[Linux]]. | ||
| Línea 62: | Línea 64: | ||
*http://www.benzedrine.cx/pf.html | *http://www.benzedrine.cx/pf.html | ||
| − | [[ | + | [[Categoría:Redes de computadoras]] |
Revisión del 14:59 13 mar 2018
| ||||
PF (Packet Filter) es el filtro de paquetes o cortafuegos basado en configuración dinámica (stateful rules) escrito originalmente por Daniel Hartmeier y actualmente desarrollado y mantenido por el equipo de desarrollo de OpenBSD. Es funcionalmente comparable a otras soluciones de filtrado de pquetes, como iptables, ipfw e ipfilter.
Introducción
Fue publicado a finales del 2001 en OpenBSD 3.0, como reemplazo de IPFilter, el filtro de paquetes de Darren Reed, debido a algunos problemas con la licencia de dicho software, ya que su autor tenía que dar autorización a los desarrolladores de OpenBSD para modificar el código.
PF se ha desarrollado desde entonces muy rápidamente, y en OpenBSD 3.8 ya tenía mucha ventaja sobre otras opciones de cortafuegos. La sintaxis de filtrado es muy similar a la de IPFilter, aunque se modificó para hacerla más clara y legible. La traducción de direcciones de red (NAT) y calidad del servicio (QoS) se integraron perfectamente en PF, para permitir mayor flexibilidad. Se alcanzó el QoS integrando colas alternativas en el propio PF.
PF puede utilizarse para montar dispositivos cortafuegos de gran flexibilidad, ya que incluye características de Alta Disponibilidad, como pfsync y un protocolo de redundancia para direcciones comunes (CARP), authpf (Identificador de sesión), un proxy ftp y otros extras relacionados con PF.
Portes
PF se desarrolla como parte del Sistema base de OpenBSD. Pese a ello, ha sido portado con éxito a otros sistemas. FreeBSD lo fue adoptando paulatinamente, primero como paquete y desde la versión FreeBSD 5.3 como una de los tres subsistemas de filtrado que ofrece el núcleo. Existe una versión de FreeBSD, denominada pfSense, que incluye una sofisticada interfaz gráfica para editar relgas de PF.
También se ha portado PF a NetBSD 3.0 por itojun y aparece en DragonFlyBSD desde la versión 1.2. Pese a algunos intentos, PF no ha podido ser portado con éxito a Linux, probablemente por las profundas diferencias entre la pila de red de los núcleos BSD y el de Linux.
Comandos y opciones
- pfctl -e -> activa PF
- pfctl -d -> desactiva PF
- pfctl -f <archivo> -> si no aparecen errores de sintaxis en <archivo>, se cargan reglas nuevas en PF
Registro
El registro PF se configura por reglas dentro de pf.conf. Los logs se manejan en el formato binario de tcpdump/pcap.
Se puede acceder a los logs a través del pseudodispositivo de red llamado 'pflog' mediante una utilidad como tcpdump. Alternativamente la utilidad 'pflogd' puede recoger y colocar logs en el archivo binario de log /var/log/pflog, que también puede manejarse con tcpdump, Ethereal y otras aplicaciones similares.
El formato tcpdump/pcap ha sido modificado ligeramente para archivar la Estadística de regla del firewall, estados de paso/bloqueo, interfaces utilizadas, información que sólo está disponible con utilidades que tienen en cuenta esta codificación particular, incluyendo las versiones recientes de tcpdump y Ethereal.
