Bien, hice esta pregunta en security.stackexchange.com y superuser.com y nadie en ninguno de esos foros respondió. Esperemos que alguien aquí sepa la respuesta.
Estoy ejecutando Mac OS X. Me gustaría poder configurar pf porque parece ser más sofisticado y flexible que el firewall predeterminado de Mac OS X al que puede acceder a través de las Preferencias del Sistema. Intenté usar algunos comandos pf y obtuve algunos errores que no entiendo.
bash-3.2$ sudo pfctl -s rules
No ALTQ support in kernel
ALTQ related functions disabled
scrub-anchor "com.apple/*" all fragment reassemble
anchor "com.apple/*" all
bash-3.2$ sudo pfctl -s states
No ALTQ support in kernel
ALTQ related functions disabled
Busqué ALTQ en Wikipedia y parece ser un programa de cola que hace multiplexación estadística de paquetes a nivel de kernel. Es el módulo del núcleo que utilizan los sistemas BSD para poner en cola los paquetes. Y el kernel de Mac OS X aparentemente no lo admite.
Bueno, entonces esto realmente no tiene sentido. ¿Por qué Mac OS X incluiría el cortafuegos BSD pf pero no incluiría soporte para el software de cola necesario para que funcione ese cortafuegos? ¿No es eso algo contraproducente? Debe haber alguna forma de activar el soporte para ALTQ, pero no tengo idea de qué se trata. Ni siquiera estoy completamente seguro de qué es ALTQ. ¿Es un módulo de kernel cargable que tengo que cargar usando el kextloadcomando? ¿O el problema es que ya está allí pero el núcleo es incompatible con él? Estoy completamente confundido.
Aclaremos algunos conceptos erróneos aquí y hagamos que su PF funcione para usted. En primer lugar, la parte ALTQ de PF maneja QoS, o la funcionalidad de calidad de servicio, que solo puede ser relevante para sus necesidades si estuviera realizando un enrutamiento de red sofisticado a través de la máquina y necesitara priorizar el enrutamiento de ciertos tipos de redes sensibles a la latencia. tráfico (transmisiones de video, llamadas de teléfonos celulares, etc.) para reducir la latencia y asegurar que dicho tráfico tenga una mayor capacidad de respuesta.
No me preocuparía que la parte de QoS no se haya implementado en el puerto de Apple de lo que parece ser la versión FreeBSD de PF. Apple debe haber previsto menos un uso de enrutamiento de red de nivel empresarial de su sistema operativo y más un uso de usuario doméstico y de oficina al optar por omitir la inclusión de ALTQ.
A continuación, encuentro el siguiente comando más útil para obtener una descripción general de lo que está haciendo PF:
sudo pfctl -vvv -s all
Nuestro siguiente paso es determinar qué le gustaría que hiciera PF. La configuración de carne y papas para PF es el archivo /etc/pf.conf. ¿Hay algo específico que le gustaría que hiciera PF, o le gustaría que publique algunos archivos pf.conf de ejemplo, para darle una idea de cómo se usa?
Considerándolo todo, usted hace una sabia elección al elegir usar PF. Es una pena que Apple, por una u otra razón (pista: piense en Edward Snowden...) haya optado por implementar su sistema operativo con su firewall integrado, pero deshabilitado de manera predeterminada y sin ninguna regla de filtrado de paquetes habilitada de manera predeterminada. ..
Puertas abiertas de par en par, si me preguntas...
Espero que esto ayude.
Bueno, no soy un experto pf, pero acabo de probar los comandos pfctl -s statey pfctl -s rulesestá funcionando en mi instalación de El Capitan (tengo el firewall habilitado en Preferencias del Sistema) mientras también imprimo la advertencia para ALTQ.
Supongo que Apple portó la mayoría de las funciones, pero no todas, pfpor lo que recibe esta advertencia para ALTQ, lo que significa que pfno es compatible con la configuración del tráfico en OS X.
Como nota al margen, OpenBSD (desarrollador original de pf) en realidad eliminó la compatibilidad con ALTQ desde abril de 2014.
Espero que esto ayude.