PFマニュアルブック 第4版 (The Book of PF, 4th Edition)

 (nostarch.com)
3 ポイント 投稿者 GN⁺ 2026-02-03 | 1件のコメント | WhatsAppで共有
  • OpenBSDのパケットフィルタ PFを中心としたファイアウォール構築とネットワークセキュリティを扱う実務ガイド
  • 最新版では IPv6、デュアルスタック構成、トラフィックシェーピング、NAT、無線ネットワーキング、スパム対策、フェイルオーバー、ロギング などの最新機能を収録
  • IPv4・IPv6ルールセット作成無線ネットワークのセキュリティCARP・relaydによる可用性向上適応型ファイアウォール構築 などの具体的な設定方法を提示
  • OpenBSDの最新トラフィック制御システムと、FreeBSDの ALTQ、Dummynet の活用方法もあわせて解説
  • OpenBSD 7.x、FreeBSD 14.x、NetBSD 10.x 環境で 安定的かつ柔軟なネットワーク運用 を行うための重要な参考書

PFとネットワーク管理の概要

  • PF(Packet Filter)は OpenBSDとFreeBSDの中核的なネットワークツール であり、現代のインターネット環境で不可欠なファイアウォール構成要素として説明されている
    • 帯域幅要求の増加とセキュリティ脅威が高まる状況において、システム管理者にはPFの専門知識が必須
  • 本書は PF の 最新機能と設定方法 を包括的に扱い、実務中心のアプローチを提供

第4版の主な更新点

  • 第4版では IPv6およびデュアルスタック構成キューと優先度ベースのトラフィックシェーピングシステムNATおよびリダイレクト無線ネットワークスパム対策フェイルオーバーロギング などの最新内容を収録
  • OpenBSD 7.x、FreeBSD 14.x、NetBSD 10.x を対象としている

学べる主な技術

  • IPv4とIPv6のトラフィックルールセット作成: LAN、NAT、DMZ、ブリッジなど多様なネットワーク環境での設定方法を提示
  • 無線ネットワーク構築とセキュリティ強化: アクセスポイント設定、authpf およびアクセス制限機能の活用
  • サービス可用性の最大化: CARP、relayd、リダイレクトによる柔軟なサービス運用
  • 適応型ファイアウォール構築: 攻撃者やスパマーに対する先制的防御機能を実装
  • トラフィック制御とモニタリング: OpenBSDの最新トラフィックシェーピングシステム、FreeBSDの ALTQ・Dummynet 構成、NetFlowベースの可視化ツール活用

本書の構成

  • 全10章と2つの付録で構成
    • 第1章: ネットワーク構築
    • 第2章: PF設定の基本
    • 第3章: 実環境への適用
    • 第4章: 無線ネットワーク
    • 第5章: 複雑なネットワーク
    • 第6章: 能動的防御
    • 第7章: トラフィックシェーピング
    • 第8章: 冗長性とリソース可用性
    • 第9章: ロギング・モニタリング・統計
    • 第10章: 設定の最適化
    • 付録A: 参考資料 / 付録B: ハードウェアサポート

著者紹介

  • Peter N.M. Hansteen はノルウェーのベルゲンを拠点とする DevOpsコンサルタント兼作家 で、OpenBSDおよびFreeBSD関連の講演や執筆を多数行っている
  • Freenixコミュニティの活動家 であり、PFオンラインチュートリアルの拡張版として本書を執筆
  • 個人ブログ(bsdly.blogspot.com)でネットワーキング関連の文章を公開しており、RFC 1149実装チーム の一員として参加した経歴を持つ

関連記事

1件のコメント

 
GN⁺ 2026-02-03
Hacker Newsのコメント

  • 最近、PF(Packet Filter) を実運用環境で使った経験がどんなものか気になっている
    nftables しか使ったことがないので、PF の使い心地がどんな感じか知りたい

    • 私は約12個の VLAN にまたがる、400個ほどのルールを持つ pf.conf を管理している
      構造がコードを編集している感覚に近く、かなり直感的で楽しい
      上部には host、network、port の宣言があり、NAT/egress セクション、そして VLAN ごとの pass in/out ルールのセクションがある
      tmuxpflog0 インターフェースを tail しながらトラフィックを監視し、.profile には pf の設定を簡単に編集・適用できる関数も作ってある 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      ファイルを開いて修正し、検証後にルールを再読み込みし、成功したらルール数を表示する
    • 私の経験では、PF は商用ファイアウォールにおける フィルタリングと NAT の考え方に近い
      Linux の nftables は、今でも古い ipchains の「chain」概念を引きずっていて、直感的ではない
      PF は単純に in/out とインターフェースを基準にポリシーを立てればよい
      nftables の「コマンドベースでポリシーを追加・削除する」方式より、設定ファイル中心の管理のほうがずっとすっきりしていると感じる
    • pf と iptables を比べると、ルール適用の方式と ログ処理が最も違う
      pf ではパケットがルール全体を通過し、最後にマッチしたルールが適用される(quick で短絡可能)
      ログは syslog に自動統合されないため、別途設定が必要になる
      個人的には pf のほうが好みだが、初心者には勧めない
    • 単純なパケットフィルタリングだけが必要なら PF で十分だが、今では 脅威インテリジェンスやプロトコル解析のような機能が必須になることも多い
      pf でスクリプト実装することは可能だが非効率だ
      本当の運用環境なら、IPS や Layer 7 ファイアウォール級の機能が必要になる
      それでも単純なフィルタリング用途としては良い選択だ
    • iptables をもう使わなくてよいという点が本当に素晴らしい
      ただし、無数のチュートリアルや LLM モデルには今も iptables -A 構文が染みついているので、これからも長く覚えておく必要がありそうだ

  • 以前この本を持っていたが、ファイアウォール設定、ロードバランシング、トラフィックシェーピングなどで大いに役立った
    FreeBSD ルートキット設計に関する本も非常に有益だった
    今はミニマリズムのために全部手放し、デジタル情報に頼っているので、少し惜しい気持ちがある

    • 私も似たような感じで本を整理しようと思いつつ、まだできていない
      昔 OpenBSD を学んでいた時期に買った本がまだ残っているが、今ではほとんど参照していない
      それでも本棚の一角にある OpenBSD コーナーはかなり格好いい
    • 電子書籍リーダー と DRM-free の電子書籍ライブラリが代替案になりうる

  • No Starch Press への敬意は大きい。本の品質が本当に良い

    • Dr. Marshall Kirk McKusick が最近の BSD カンファレンスで発表したように、No Starch は今年中に『Design and Implementation of the FreeBSD Operating System』第3版を刊行予定だ
    • 個人的に好きなのは、Nora Sandler の Writing a C Compiler や Sy Brand の Building a Debugger のように、複雑なシステムを自分で実装させてくれる本だ
      こういう種類の本がもっと増えてほしい
    • 私は No Starch や Leanpub のような出版社から直接 DRM-free 電子書籍を購入している
      読者を尊重しない販売元は避けている
      消費者がより良い条件を求めなければ、いつか購入した本を勝手に削除できるような独占構造が生まれるかもしれない
    • 紙の本の手触りが好きなので、実際の紙の小さな図書館を維持している
      No Starch の製本品質は今でも素晴らしいが、最近の O’Reilly の POD(Print on Demand) 本は高価なうえ品質が落ちていて残念だ
    • No Starch は最高だ。彼らの本から本当に多くを学んだ

  • PF は Packet Filter の略だ

    • タイトルを見て、一瞬 Pathfinder の新バージョンが出たのかと勘違いした

  • 参考までに、この本は FreeBSD 14 を扱っているが、FreeBSD 15(12月リリース)では PF が大幅に更新される
    詳しくは Netgate ブログの更新記事 を参照

  • nftables 中心で同じような範囲を扱う本があるといいと思う
    No Starch の Linux Firewall 本は 2008 年版なので iptables ベースだ

    • nftables は公式ドキュメントサイトが非常によくできている
      nftables wiki を参照するのが一番よい
    • Steve Suehring の『Linux Firewalls』は nftables を扱っている
      基本概念を学ぶのに良い本だ