Manual do PF, 4ª edição (The Book of PF, 4th Edition)

 (nostarch.com)
3 pontos por GN⁺ 2026-02-03 | 1 comentários | Compartilhar no WhatsApp
  • Guia prático para construção de firewalls e segurança de rede com foco no PF, o filtro de pacotes do OpenBSD
  • A edição mais recente inclui recursos atuais como IPv6, configuração dual stack, traffic shaping, NAT, redes sem fio, bloqueio de spam, failover e logging
  • Apresenta métodos concretos de configuração para criação de conjuntos de regras IPv4·IPv6, segurança de redes sem fio, aumento de disponibilidade com CARP·relayd e construção de firewalls adaptativos
  • Também aborda o sistema mais recente de controle de tráfego do OpenBSD e o uso de ALTQ e Dummynet no FreeBSD
  • Referência essencial para operação de rede estável e flexível em ambientes OpenBSD 7.x, FreeBSD 14.x e NetBSD 10.x

Visão geral do PF e da administração de redes

  • O PF (Packet Filter) é descrito como uma ferramenta central de rede no OpenBSD e no FreeBSD e como um componente essencial de firewall no ambiente moderno da internet
    • Em um cenário de aumento de demanda por largura de banda e de ameaças de segurança, administradores de sistemas precisam dominar o PF
  • Este livro cobre de forma abrangente os recursos mais recentes e os métodos de configuração do PF, com uma abordagem voltada à prática

Principais atualizações da 4ª edição

  • A 4ª edição inclui conteúdos atuais como IPv6 e configuração dual stack, sistema de traffic shaping com filas e prioridades, NAT e redirecionamento, redes sem fio, bloqueio de spam, failover e logging
  • O conteúdo é direcionado às versões OpenBSD 7.x, FreeBSD 14.x e NetBSD 10.x

Principais tecnologias que podem ser aprendidas

  • Criação de conjuntos de regras para tráfego IPv4 e IPv6: métodos de configuração para diversos ambientes de rede, como LAN, NAT, DMZ e bridge
  • Implantação e reforço de segurança de redes sem fio: configuração de access points, uso de authpf e recursos de restrição de acesso
  • Maximização da disponibilidade de serviços: operação flexível de serviços por meio de CARP, relayd e redirecionamento
  • Construção de firewalls adaptativos: implementação de funções de defesa proativa contra atacantes e spammers
  • Controle e monitoramento de tráfego: uso do sistema mais recente de traffic shaping do OpenBSD, configuração de ALTQ·Dummynet no FreeBSD e ferramentas de visualização baseadas em NetFlow

Estrutura do livro

  • Composto por 10 capítulos e 2 apêndices
    • Capítulo 1: Construção de redes
    • Capítulo 2: Fundamentos da configuração do PF
    • Capítulo 3: Aplicação em ambientes reais
    • Capítulo 4: Redes sem fio
    • Capítulo 5: Redes complexas
    • Capítulo 6: Defesa ativa
    • Capítulo 7: Traffic shaping
    • Capítulo 8: Redundância e disponibilidade de recursos
    • Capítulo 9: Logging, monitoramento e estatísticas
    • Capítulo 10: Otimização de configuração
    • Apêndice A: Materiais de referência / Apêndice B: Suporte a hardware

Sobre o autor

  • Peter N.M. Hansteen é um consultor DevOps e escritor baseado em Bergen, na Noruega, com diversas palestras e textos sobre OpenBSD e FreeBSD
  • É ativo na comunidade Freenix e escreveu esta obra como uma versão expandida do tutorial online sobre PF
  • Publica textos sobre redes em seu blog pessoal (bsdly.blogspot.com) e tem experiência como integrante da equipe de implementação da RFC 1149

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-03
Comentários no Hacker News

  • Tenho curiosidade sobre como tem sido a experiência de usar PF(Packet Filter) em ambientes de produção hoje em dia
    Só usei nftables, então queria saber como é o lado do PF

    • Eu administro um pf.conf com cerca de 400 regras distribuídas por uns 12 VLANs
      A estrutura parece edição de código, então é bem intuitiva e agradável
      No topo ficam as declarações de host, rede e porta, depois a seção de NAT/egress, e então as seções de regras pass in/out por VLAN
      Fico monitorando o tráfego dando tail na interface pflog0 no tmux, e também deixei na .profile uma função para editar e aplicar a configuração do pf com facilidade 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      Ela abre o arquivo para edição, valida, recarrega as regras e, se der certo, mostra a quantidade de regras
    • Na minha experiência, o PF tem uma lógica de filtragem e NAT parecida com a de firewalls comerciais
      O nftables no Linux ainda mantém a velha estrutura de “chains” do ipchains, então não é tão intuitivo
      No PF, basta definir a política com base em in/out e na interface
      Acho a abordagem de gestão centrada em arquivo de configuração muito mais limpa do que o modelo do nftables de “adicionar/remover políticas por comando”
    • Comparando pf e iptables, as maiores diferenças estão na forma de aplicar regras e no tratamento de logs
      No pf, o pacote passa pelo conjunto inteiro de regras e a última regra correspondente é aplicada (dá para encurtar com quick)
      Os logs não se integram automaticamente ao syslog, então é preciso configuração separada
      Pessoalmente prefiro pf, mas não o recomendaria para iniciantes
    • Se você só precisa de filtragem simples de pacotes, o PF dá conta, mas hoje em dia muitas vezes são essenciais recursos como inteligência de ameaças e análise de protocolo
      Dá para implementar isso com scripts em pf, mas é ineficiente
      Em um ambiente realmente de produção, você vai precisar de funcionalidades no nível de IPS ou firewall de Layer 7
      Ainda assim, para filtragem simples ele continua sendo uma boa escolha
    • É muito bom não precisar mais usar iptables
      Mas ainda existem inúmeros tutoriais e modelos de LLM com sintaxe iptables -A gravada neles, então provavelmente vamos ter que lembrar disso por muito tempo

  • Eu tinha esse livro antigamente, e ele me ajudou muito com configuração de firewall, load balancing, traffic shaping e afins
    Um livro sobre design de rootkits em FreeBSD também foi muito útil
    Hoje me desfiz de tudo em nome do minimalismo e dependo de informação digital, então bate até um certo arrependimento

    • Estou numa situação parecida: penso em me desfazer dos livros, mas ainda não consegui
      Ainda tenho livros comprados na época em que estava aprendendo OpenBSD, mas hoje quase nunca consulto
      Mesmo assim, a seção de OpenBSD na estante ficou bem bonita
    • Um leitor de e-books e uma biblioteca digital sem DRM podem ser uma alternativa

  • Tenho grande respeito pela No Starch Press. A qualidade dos livros é realmente muito boa

    • Como o Dr. Marshall Kirk McKusick apresentou recentemente em uma conferência BSD, a No Starch deve lançar ainda este ano a 3ª edição de Design and Implementation of the FreeBSD Operating System
    • Pessoalmente, gosto de livros como Writing a C Compiler, da Nora Sandler, e Building a Debugger, do Sy Brand, que fazem você implementar sistemas complexos por conta própria
      Queria que existissem mais livros desse tipo
    • Eu compro e-books sem DRM diretamente de editoras como No Starch e Leanpub
      Evito vendedores que não respeitam o leitor
      Se os consumidores não passarem a exigir condições melhores, pode surgir uma estrutura monopolista em que livros comprados sejam apagados à vontade algum dia
    • Gosto da textura dos livros físicos, então mantenho uma pequena biblioteca de papel
      A qualidade da encadernação da No Starch continua excelente, mas os livros recentes da O’Reilly em POD(Print on Demand) são caros e deixam a desejar na qualidade
    • A No Starch é excelente. Aprendi muita coisa com os livros deles

  • PF significa Packet Filter

    • Quando vi o título, por um instante achei que tinha saído uma nova versão de Pathfinder

  • Como referência, este livro cobre o FreeBSD 14, mas no FreeBSD 15 (lançamento em dezembro) o PF foi bastante atualizado
    Para mais detalhes, veja o post de atualização no blog da Netgate

  • Acho que seria bom existir um livro de escopo semelhante, mas focado em nftables
    O livro de Linux Firewall da No Starch é de 2008, então é baseado em iptables

    • O site oficial de documentação do nftables é muito bom
      O melhor é consultar a wiki do nftables
    • Linux Firewalls, de Steve Suehring, cobre nftables
      É um bom livro para aprender os conceitos básicos