Manual de PF, 4.ª edición (The Book of PF, 4th Edition)

 (nostarch.com)
3 puntos por GN⁺ 2026-02-03 | 1 comentarios | Compartir por WhatsApp
  • Guía práctica sobre construcción de firewalls y seguridad de red centrada en PF, el filtro de paquetes de OpenBSD
  • En esta edición más reciente se incluyen funciones actuales como IPv6, configuración dual stack, traffic shaping, NAT, redes inalámbricas, bloqueo de spam, failover y logging
  • Presenta métodos de configuración concretos como creación de conjuntos de reglas IPv4 e IPv6, seguridad de redes inalámbricas, mejora de disponibilidad mediante CARP y relayd y construcción de firewalls adaptativos
  • También aborda el sistema más reciente de control de tráfico de OpenBSD y el uso de ALTQ y Dummynet en FreeBSD
  • Referencia clave para una operación de red estable y flexible en entornos OpenBSD 7.x, FreeBSD 14.x y NetBSD 10.x

Resumen de PF y la administración de redes

  • PF (Packet Filter) se describe como una herramienta de red central de OpenBSD y FreeBSD, y como un componente esencial de firewall en el entorno moderno de Internet
    • En un contexto donde aumentan las exigencias de ancho de banda y las amenazas de seguridad, el conocimiento especializado de PF es indispensable para los administradores de sistemas
  • Este libro cubre de forma integral las funciones más recientes de PF y sus métodos de configuración, con un enfoque orientado a la práctica

Principales actualizaciones de la 4.ª edición

  • La 4.ª edición incluye contenidos actuales como IPv6 y configuraciones dual stack, sistemas de traffic shaping basados en colas y prioridades, NAT y redirección, redes inalámbricas, bloqueo de spam, failover y logging
  • Está dirigida a las versiones OpenBSD 7.x, FreeBSD 14.x y NetBSD 10.x

Principales tecnologías que se pueden aprender

  • Creación de conjuntos de reglas para tráfico IPv4 e IPv6: presenta métodos de configuración para diversos entornos de red como LAN, NAT, DMZ y puentes
  • Implementación y refuerzo de seguridad en redes inalámbricas: uso de configuración de access points, authpf y funciones de restricción de acceso
  • Maximización de la disponibilidad de servicios: operación flexible de servicios mediante CARP, relayd y redirección
  • Construcción de firewalls adaptativos: implementación de funciones de defensa proactiva contra atacantes y spammers
  • Control y monitoreo de tráfico: uso del sistema más reciente de traffic shaping de OpenBSD, configuración de ALTQ y Dummynet en FreeBSD y herramientas de visualización basadas en NetFlow

Estructura del libro

  • Consta de 10 capítulos y 2 apéndices
    • Capítulo 1: Construcción de redes
    • Capítulo 2: Fundamentos de configuración de PF
    • Capítulo 3: Aplicación en entornos reales
    • Capítulo 4: Redes inalámbricas
    • Capítulo 5: Redes complejas
    • Capítulo 6: Defensa activa
    • Capítulo 7: Traffic shaping
    • Capítulo 8: Redundancia y disponibilidad de recursos
    • Capítulo 9: Logging, monitoreo y estadísticas
    • Capítulo 10: Optimización de configuración
    • Apéndice A: Materiales de referencia / Apéndice B: Soporte de hardware

Sobre el autor

  • Peter N.M. Hansteen es un consultor DevOps y escritor radicado en Bergen, Noruega, con numerosas charlas y publicaciones sobre OpenBSD y FreeBSD
  • Es activista de la comunidad Freenix y escribió este libro como una versión ampliada de su tutorial en línea sobre PF
  • Publica textos sobre networking en su blog personal (bsdly.blogspot.com) y cuenta con experiencia como integrante del equipo de implementación de RFC 1149

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-03
Comentarios en Hacker News

  • Me da curiosidad cómo ha sido la experiencia reciente de usar PF(Packet Filter) en entornos reales de operación
    Solo he usado nftables, así que me gustaría saber qué tal se siente PF

    • Yo administro un pf.conf con unas 400 reglas repartidas en alrededor de 12 VLAN
      La estructura se siente bastante intuitiva y agradable, casi como editar código
      Arriba van las declaraciones de hosts, redes y puertos, luego la sección de NAT/egress, y después las secciones de reglas pass in/out por VLAN
      En tmux voy haciendo tail de la interfaz pflog0 para monitorear el tráfico, y también dejé en .profile una función para editar y aplicar fácilmente la configuración de pf 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      Abre el archivo para editarlo, vuelve a cargar las reglas tras validarlas y, si todo sale bien, muestra la cantidad de reglas
    • En mi experiencia, PF se parece bastante a los firewalls comerciales en su forma de pensar el filtrado y el NAT
      Linux nftables sigue arrastrando la vieja estructura de “chains” de ipchains, así que no se siente tan intuitivo
      En PF simplemente defines la política según in/out y la interfaz
      Frente al enfoque de nftables de agregar/eliminar políticas con comandos, siento que una administración centrada en archivos de configuración es mucho más limpia
    • Si comparas pf con iptables, la mayor diferencia está en cómo se aplican las reglas y en el manejo de logs
      En pf, el paquete recorre todas las reglas y se aplica la última coincidencia (aunque se puede acortar con “quick”)
      Los logs no se integran automáticamente con syslog, así que hace falta configuración adicional
      En lo personal prefiero pf, pero no se lo recomendaría a principiantes
    • Si solo necesitas filtrado simple de paquetes, PF es suficiente, pero hoy en día muchas veces hacen falta funciones como inteligencia de amenazas y análisis de protocolo
      Con pf se puede implementar por scripts, pero es ineficiente
      En un entorno de operación real, necesitas funciones al nivel de un IPS o de un firewall Layer 7
      Aun así, para filtrado simple sigue siendo una buena opción
    • Es buenísimo no tener que usar iptables nunca más
      Pero todavía hay montones de tutoriales y modelos LLM con la sintaxis iptables -A grabada, así que parece que la vamos a tener que recordar por mucho tiempo

  • Antes tenía este libro, y me ayudó muchísimo con configuración de firewalls, balanceo de carga, traffic shaping y más
    El libro sobre diseño de rootkits en FreeBSD también fue muy útil
    Ahora, por minimalismo, me deshice de todo y dependo de información digital, así que me queda una pequeña sensación de nostalgia

    • Yo también quise ordenar mis libros de forma parecida, pero todavía no lo he hecho
      Aún conservo libros que compré cuando estaba aprendiendo OpenBSD, aunque ya casi no los consulto
      Aun así, el rincón de OpenBSD en el librero se ve bastante bien
    • Un lector de libros electrónicos y una biblioteca digital sin DRM pueden ser una alternativa

  • Tengo mucho respeto por No Starch Press. La calidad de sus libros es realmente muy buena

    • Como comentó recientemente Dr. Marshall Kirk McKusick en una conferencia de BSD, No Starch planea publicar este año la 3.ª edición de Design and Implementation of the FreeBSD Operating System
    • Personalmente me encantan libros como Writing a C Compiler de Nora Sandler y Building a Debugger de Sy Brand, que te hacen implementar sistemas complejos por tu cuenta
      Ojalá hubiera más libros de ese tipo
    • Yo compro directamente ebooks sin DRM en editoriales como No Starch o Leanpub
      Evito los vendedores que no respetan a los lectores
      Si los consumidores no exigimos mejores condiciones, algún día podríamos terminar con una estructura monopólica donde borren libros que ya compraste cuando quieran
    • Me gusta la textura de los libros físicos, así que mantengo una pequeña biblioteca en papel
      La calidad de encuadernación de No Starch sigue siendo excelente, pero últimamente los libros POD(Print on Demand) de O’Reilly son caros y su calidad decepciona
    • No Starch es de lo mejor. De verdad he aprendido muchísimo con sus libros

  • PF significa Packet Filter

    • Al ver el título, por un momento pensé que había salido una nueva versión de Pathfinder

  • Como referencia, este libro cubre FreeBSD 14, pero en FreeBSD 15 (lanzamiento en diciembre) PF recibe una actualización importante
    Para más detalles, revisa la publicación de actualización en el blog de Netgate

  • Estaría bien que existiera un libro similar, con un alcance parecido, pero centrado en nftables
    El libro de Linux Firewall de No Starch es de 2008, así que está basado en iptables

    • nftables tiene un sitio oficial de documentación muy bien hecho
      Lo mejor es consultar la wiki de nftables
    • Linux Firewalls de Steve Suehring cubre nftables
      Es un buen libro para aprender los conceptos básicos