4 votos

snowBlind avatar

Necesito ayuda para conseguir que el firewall pf funcione

Preguntado el 27 de Diciembre, 2015
Cuando se hizo la pregunta
5244 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Bien, hice esta pregunta en security.stackexchange.com y en superuser.com y nadie en ninguno de esos foros respondió. Esperemos que alguien aquí sepa la respuesta.

Estoy ejecutando Mac OS X. Me gustaría poder configurar pf porque parece ser más sofisticado y flexible que el firewall por defecto de Mac OS X al que puedes acceder a través de las Preferencias del Sistema. Intenté usar algunos comandos de pf y obtuve algunos errores que no entiendo.

bash-3.2$ sudo pfctl -s rules
No ALTQ support in kernel
ALTQ related functions disabled
scrub-anchor "com.apple/*" all fragment reassemble
anchor "com.apple/*" all
bash-3.2$ sudo pfctl -s states
No ALTQ support in kernel
ALTQ related functions disabled

Busqué ALTQ en Wikipedia y parece ser un programa de colas que hace multiplexación estadística de paquetes a nivel del kernel. Es el módulo del kernel que los sistemas BSD utilizan para poner en cola los paquetes. Y el kernel de Mac OS X aparentemente no lo soporta.

Vale, esto no tiene mucho sentido. ¿Por qué Mac OS X incluye el cortafuegos BSD pf pero no incluye soporte para el software de colas necesario para que ese cortafuegos funcione? ¿No es eso contraproducente? Debe haber alguna forma de activar el soporte para ALTQ, pero no tengo ni idea de cuál es. Ni siquiera estoy totalmente seguro de lo que es ALTQ. ¿Es un módulo del kernel cargable que tengo que cargar usando el kextload ¿es un comando? O el problema es que ya está ahí pero el kernel es simplemente incompatible con él. Estoy totalmente confundido.

Preguntado el 27 de Diciembre, 2015 por snowBlind

Respuestas

¿Demasiados anuncios?

2voto

12padams avatar
12padams Puntos 36

Aclaremos algunos conceptos erróneos y hagamos que su FP trabaje para usted. En primer lugar, la porción ALTQ de PF maneja la funcionalidad QoS, o Calidad de Servicio, que sólo podría ser relevante para sus necesidades si estuviera haciendo algún enrutamiento de red sofisticado a través de la máquina y necesitara priorizar el enrutamiento de ciertos tipos de tráfico de red sensibles a la latencia - flujos de vídeo, llamadas de teléfono celular, etc - con el fin de reducir la latencia y asegurar que dicho tráfico tenga una mayor capacidad de respuesta.

Yo no me preocuparía de que la parte de QoS no haya sido implementada en el port de Apple de lo que parece ser la versión FreeBSD de PF. Apple debe haber previsto menos un uso de enrutamiento de red a nivel empresarial de su sistema operativo y más un uso de usuario doméstico y de oficina al optar por omitir la inclusión de ALTQ.

A continuación, me parece más útil el siguiente comando para tener una visión general de lo que está haciendo PF:

sudo pfctl -vvv -s all

Nuestro siguiente paso es determinar qué quiere que haga PF. La configuración de PF es el archivo /etc/pf.conf. ¿Hay algo específico que le gustaría que hiciera PF, o quiere que publique algunos archivos pf.conf de ejemplo, para darle una idea de cómo se usa?

En definitiva, has hecho una sabia elección al optar por la FP. Es una pena que Apple, por una u otra razón ( pista -- piense en Edward Snowden...) haya optado por desplegar su sistema operativo con su cortafuegos a bordo, pero desactivado por defecto, y sin ninguna regla de filtrado de paquetes activada por defecto...

Puertas abiertas de par en par, si me preguntas...

Espero que esto ayude.

Respondido el 9 de Agosto, 2017 por 12padams (36 Puntos )

0voto

Angelos avatar
Angelos Puntos 51

Bueno, no soy un experto en pf pero acabo de probar los comandos pfctl -s state y pfctl -s rules y funciona en mi instalación de El Capitán (tengo el cortafuegos activado en las Preferencias del Sistema), a la vez que imprime el aviso de ALTQ.

Mi opinión es que Apple portó la mayoría de las funciones de pf por lo que se obtiene esta advertencia para ALTQ, lo que significa pf no admite la conformación del tráfico en OS X.

Como nota al margen, OpenBSD (desarrollador original de pf ) en realidad eliminó el soporte de ALTQ desde abril de 2014.

Espero que esto ayude.

Respondido el 27 de Diciembre, 2015 por Angelos (51 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X