Manuel PF, 4e édition (The Book of PF, 4th Edition)

 (nostarch.com)
3 points par GN⁺ 2026-02-03 | 1 commentaires | Partager sur WhatsApp
  • Guide pratique consacré à la mise en place de pare-feu et à la sécurité réseau, centré sur PF, le filtre de paquets d’OpenBSD
  • Cette nouvelle édition inclut les fonctionnalités les plus récentes, notamment IPv6, les configurations dual stack, le traffic shaping, le NAT, les réseaux sans fil, le blocage du spam, le basculement et la journalisation
  • Présente des méthodes de configuration concrètes pour écrire des jeux de règles IPv4 et IPv6, sécuriser des réseaux sans fil, améliorer la disponibilité avec CARP et relayd et mettre en place des pare-feu adaptatifs
  • Couvre également le système de contrôle de trafic le plus récent d’OpenBSD ainsi que l’utilisation de ALTQ et Dummynet sous FreeBSD
  • Ouvrage de référence essentiel pour une exploitation réseau stable et flexible dans des environnements OpenBSD 7.x, FreeBSD 14.x et NetBSD 10.x

Vue d’ensemble de PF et de l’administration réseau

  • PF (Packet Filter) est présenté comme un outil réseau central d’OpenBSD et de FreeBSD, et comme un composant essentiel des pare-feu dans l’environnement Internet moderne
    • Alors que les besoins en bande passante augmentent et que les menaces de sécurité se renforcent, les administrateurs système doivent impérativement maîtriser PF
  • Ce livre couvre de manière complète les fonctionnalités récentes de PF et ses méthodes de configuration, avec une approche orientée pratique

Principales nouveautés de la 4e édition

  • La 4e édition inclut les sujets les plus récents, dont IPv6 et les configurations dual stack, les systèmes de traffic shaping à base de files et de priorités, le NAT et la redirection, les réseaux sans fil, le blocage du spam, le basculement (failover) et la journalisation
  • Elle vise les versions OpenBSD 7.x, FreeBSD 14.x et NetBSD 10.x

Principales techniques que l’on peut apprendre

  • Écriture de jeux de règles pour le trafic IPv4 et IPv6 : méthodes de configuration pour divers environnements réseau comme le LAN, le NAT, la DMZ ou les ponts
  • Déploiement et renforcement de la sécurité des réseaux sans fil : configuration de points d’accès, utilisation d’authpf et des fonctions de restriction d’accès
  • Maximisation de la disponibilité des services : exploitation souple des services via CARP, relayd et la redirection
  • Mise en place de pare-feu adaptatifs : implémentation de fonctions de défense proactive contre les attaquants et les spammeurs
  • Contrôle et supervision du trafic : utilisation du système de traffic shaping le plus récent d’OpenBSD, configuration d’ALTQ et de Dummynet sous FreeBSD, et outils de visualisation basés sur NetFlow

Structure du livre

  • L’ouvrage est composé de 10 chapitres et de 2 annexes
    • Chapitre 1 : Mise en place du réseau
    • Chapitre 2 : Bases de la configuration de PF
    • Chapitre 3 : Application en environnement réel
    • Chapitre 4 : Réseaux sans fil
    • Chapitre 5 : Réseaux complexes
    • Chapitre 6 : Défense active
    • Chapitre 7 : Traffic shaping
    • Chapitre 8 : Redondance et disponibilité des ressources
    • Chapitre 9 : Journalisation, supervision et statistiques
    • Chapitre 10 : Optimisation de la configuration
    • Annexe A : Références / Annexe B : Support matériel

Présentation de l’auteur

  • Peter N.M. Hansteen est un consultant DevOps et auteur basé à Bergen, en Norvège, qui a donné de nombreuses conférences et publié de nombreux écrits sur OpenBSD et FreeBSD
  • Il est membre actif de la communauté Freenix et a rédigé cet ouvrage comme version enrichie de son tutoriel PF en ligne
  • Sur son blog personnel (bsdly.blogspot.com), il publie des articles sur le réseau et a également participé à l’équipe d’implémentation de la RFC 1149

À lire aussi

1 commentaires

 
GN⁺ 2026-02-03
Avis sur Hacker News

  • Je suis curieux de savoir à quoi ressemble aujourd’hui l’expérience d’utiliser PF(Packet Filter) dans un vrai environnement de production
    Je n’ai utilisé que nftables, donc j’aimerais savoir ce que vaut PF en pratique

    • Je gère un pf.conf avec environ 400 règles réparties sur une douzaine de VLAN
      La structure donne un peu l’impression d’éditer du code, donc c’est assez intuitif et agréable
      En haut, il y a les déclarations d’hôtes, de réseaux et de ports, puis une section NAT/egress, puis des sections de règles pass in/out par VLAN
      Je surveille le trafic en suivant l’interface pflog0 dans tmux, et j’ai même ajouté dans mon .profile une fonction pour modifier et appliquer facilement la configuration pf 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      Ça ouvre le fichier pour le modifier, vérifie puis recharge les règles, et affiche le nombre de règles en cas de succès
    • D’après mon expérience, PF a une logique de filtrage et de NAT proche de celle des pare-feu commerciaux
      Le nftables de Linux conserve encore cette vieille structure en « chain » héritée d’ipchains, ce qui n’est pas très intuitif
      Avec PF, il suffit de définir les politiques selon l’entrée/sortie et l’interface
      Je trouve la gestion centrée sur un fichier de configuration bien plus propre que l’approche de nftables basée sur des « commandes d’ajout/suppression de politiques »
    • Si on compare pf et iptables, les plus grandes différences sont la manière d’appliquer les règles et la gestion des logs
      Avec pf, les paquets traversent l’ensemble des règles et c’est la dernière règle correspondante qui s’applique (on peut écourter avec « quick »)
      Les logs ne s’intègrent pas automatiquement à syslog, donc il faut une configuration séparée
      Personnellement, je préfère pf, mais je ne le recommanderais pas à un débutant
    • Si vous n’avez besoin que d’un simple filtrage de paquets, PF suffit largement, mais aujourd’hui il est souvent indispensable d’avoir des fonctions comme la threat intelligence ou l’analyse de protocole
      C’est possible à implémenter avec des scripts autour de pf, mais ce n’est pas efficace
      Dans un vrai environnement de production, il faut des capacités de type IPS ou pare-feu Layer 7
      Cela dit, pour du filtrage simple, c’est un bon choix
    • C’est vraiment agréable de ne plus avoir à utiliser iptables
      Mais comme d’innombrables tutoriels et modèles de LLM ont encore la syntaxe iptables -A gravée en eux, on va sans doute devoir s’en souvenir encore longtemps

  • J’ai eu ce livre autrefois, et il m’a beaucoup aidé pour la configuration des pare-feu, le load balancing, le traffic shaping, etc.
    Le livre sur la conception des rootkits FreeBSD était lui aussi très instructif
    Aujourd’hui, par minimalisme, je me suis séparé de tout et je dépends des informations numériques, ce qui me laisse un léger regret

    • J’ai essayé moi aussi de faire du tri dans mes livres, mais je ne l’ai pas encore fait
      J’ai encore les livres achetés à l’époque où j’apprenais OpenBSD, même si je ne les consulte presque plus
      Cela dit, mon petit coin OpenBSD dans la bibliothèque a quand même beaucoup d’allure
    • Une liseuse et une bibliothèque numérique sans DRM peuvent être une bonne alternative

  • J’ai beaucoup de respect pour No Starch Press. La qualité de leurs livres est vraiment excellente

    • Comme l’a annoncé récemment le Dr Marshall Kirk McKusick lors d’une conférence BSD, No Starch prévoit de publier cette année la 3e édition de Design and Implementation of the FreeBSD Operating System
    • Personnellement, j’aime beaucoup les livres comme Writing a C Compiler de Nora Sandler ou Building a Debugger de Sy Brand, qui font implémenter soi-même des systèmes complexes
      J’aimerais qu’il y ait davantage de livres de ce genre
    • J’achète directement des ebooks sans DRM auprès d’éditeurs comme No Starch ou Leanpub
      J’évite les vendeurs qui ne respectent pas leurs lecteurs
      Si les consommateurs n’exigent pas de meilleures conditions, on pourrait finir avec une structure monopolistique où les livres achetés peuvent être supprimés arbitrairement
    • J’aime le toucher du papier, donc je garde une petite bibliothèque physique
      La qualité de reliure de No Starch reste excellente, mais les livres POD(Print on Demand) récents d’O’Reilly sont chers et décevants en qualité, ce qui est dommage
    • No Starch, c’est le top. J’ai vraiment énormément appris grâce à leurs livres

  • PF signifie Packet Filter

    • En voyant le titre, j’ai cru un instant qu’une nouvelle version de Pathfinder était sortie

  • À noter que ce livre traite de FreeBSD 14, mais dans FreeBSD 15 (sortie en décembre), PF a été fortement mis à jour
    Voir le billet de mise à jour du blog Netgate pour plus de détails

  • Je pense qu’il serait bien d’avoir un livre comparable, mais centré sur nftables
    Le livre Linux Firewall de No Starch date de 2008 et repose encore sur iptables

    • La documentation officielle de nftables est vraiment très bien faite
      Le mieux est de consulter le wiki nftables
    • Linux Firewalls de Steve Suehring traite de nftables
      C’est un bon livre pour assimiler les concepts de base