Okay, also habe ich diese Frage auf security.stackexchange.com und superuser.com gestellt und niemand in einem dieser Foren hat geantwortet. Hoffentlich weiß hier jemand die Antwort.
Ich verwende Mac OS X. Ich würde gerne pf konfigurieren können, da es anspruchsvoller und flexibler zu sein scheint als die Standard-Firewall von Mac OS X, auf die Sie über die Systemeinstellungen zugreifen können. Ich habe versucht, einige pf-Befehle zu verwenden, und habe einige Fehler erhalten, die ich nicht verstehe.
bash-3.2$ sudo pfctl -s rules
No ALTQ support in kernel
ALTQ related functions disabled
scrub-anchor "com.apple/*" all fragment reassemble
anchor "com.apple/*" all
bash-3.2$ sudo pfctl -s states
No ALTQ support in kernel
ALTQ related functions disabled
Ich habe ALTQ auf Wikipedia nachgeschlagen und es scheint ein Warteschlangenprogramm zu sein, das statistisches Multiplexing von Paketen auf Kernelebene durchführt. Es ist das Kernelmodul, das BSD-Systeme zum Einreihen von Paketen in die Warteschlange verwenden. Und der Kernel von Mac OS X unterstützt es anscheinend nicht.
Okay, das macht also nicht wirklich Sinn. Warum sollte Mac OS X die BSD-PF-Firewall enthalten, aber keine Unterstützung für die Warteschlangensoftware, die erforderlich ist, damit diese Firewall funktioniert? Ist das nicht kontraproduktiv? Es muss eine Möglichkeit geben, die Unterstützung für ALTQ einzuschalten, aber ich habe keine Ahnung, was das ist. Ich bin mir nicht einmal ganz sicher, was ALTQ ist. Ist es ein ladbares Kernelmodul, das ich mit dem kextloadBefehl laden muss? Oder ist das Problem, dass es bereits vorhanden ist, aber der Kernel einfach nicht damit kompatibel ist. Ich bin völlig verwirrt.
Lassen Sie uns hier ein paar Missverständnisse aufklären und Ihren PF für sich arbeiten lassen. Erstens verarbeitet der ALTQ-Teil von PF die QoS- oder Quality of Service-Funktionalität, die möglicherweise nur dann für Ihre Anforderungen relevant ist, wenn Sie ein ausgeklügeltes Netzwerk-Routing durch die Maschine durchführen und das Routing bestimmter Arten von latenzempfindlichen Netzwerken priorisieren müssen Datenverkehr -- Videostreams, Handyanrufe usw. -- um die Latenz zu reduzieren und sicherzustellen, dass dieser Datenverkehr besser reagiert.
Ich würde mir keine Sorgen darüber machen, dass der QoS-Teil nicht in Apples Portierung der scheinbar FreeBSD-Version von PF implementiert wurde. Apple muss sich bei der Entscheidung, die ALTQ-Integration zu überspringen, weniger eine Netzwerk-Routing-Nutzung ihres Betriebssystems auf Unternehmensebene als vielmehr eine Nutzung durch Heim- und Bürobenutzer vorgestellt haben.
Als nächstes finde ich den folgenden Befehl nützlicher für einen Überblick darüber, was PF tut:
sudo pfctl -vvv -s all
Unser nächster Schritt besteht darin, zu bestimmen, was PF tun soll. Die Fleisch-und-Kartoffel-Konfiguration für PF ist die Datei /etc/pf.conf. Möchten Sie, dass PF etwas Bestimmtes tut, oder möchten Sie, dass ich einige pf.conf-Beispieldateien poste, um Ihnen eine Vorstellung davon zu geben, wie es verwendet wird?
Alles in allem treffen Sie mit der Wahl von PF eine kluge Wahl. Es ist eine Schande, dass Apple sich aus dem einen oder anderen Grund (Tipp – denken Sie an Edward Snowden …) dafür entschieden hat, sein Betriebssystem mit integrierter Firewall bereitzustellen, die jedoch standardmäßig deaktiviert ist, und ohne standardmäßig aktivierte Paketfilterregeln. ..
Türen weit offen, wenn du mich fragst...
Hoffe, dass dies hilft.
Nun, ich bin kein Experte, pfaber ich habe gerade die Befehle ausprobiert pfctl -s stateund pfctl -s ruleses funktioniert auf meiner El Capitan-Installation (ich habe die Firewall in den Systemeinstellungen aktiviert), während auch die Warnung für ALTQ gedruckt wird.
Meine Vermutung ist, dass Apple die meisten, aber nicht alle Funktionen portiert hat, pfsodass Sie diese Warnung für ALTQ erhalten, was bedeutet, dass pfTraffic Shaping in OS X nicht unterstützt wird.
Nebenbei bemerkt, OpenBSD (ursprünglicher Entwickler von pf) hat die ALTQ-Unterstützung seit April 2014 entfernt.
Hoffe das hilft.