Buku Manual PF Edisi 4 (The Book of PF, 4th Edition)

 (nostarch.com)
3 poin oleh GN⁺ 2026-02-03 | 1 komentar | Bagikan ke WhatsApp
  • Panduan praktis tentang pembangunan firewall dan keamanan jaringan yang berfokus pada PF, packet filter milik OpenBSD
  • Edisi terbaru mencakup fitur-fitur mutakhir seperti IPv6, konfigurasi dual stack, traffic shaping, NAT, jaringan nirkabel, pemblokiran spam, failover, dan logging
  • Menyajikan metode konfigurasi yang konkret seperti penulisan rule set IPv4·IPv6, keamanan jaringan nirkabel, peningkatan ketersediaan dengan CARP·relayd, dan pembangunan firewall adaptif
  • Juga membahas sistem kontrol trafik terbaru di OpenBSD serta pemanfaatan ALTQ dan Dummynet di FreeBSD
  • Referensi penting untuk operasi jaringan yang stabil dan fleksibel di lingkungan OpenBSD 7.x, FreeBSD 14.x, dan NetBSD 10.x

Ikhtisar PF dan manajemen jaringan

  • PF(Packet Filter) dijelaskan sebagai alat jaringan inti di OpenBSD dan FreeBSD, serta komponen firewall yang esensial di lingkungan internet modern
    • Di tengah meningkatnya kebutuhan bandwidth dan ancaman keamanan, administrator sistem wajib memiliki keahlian PF
  • Buku ini membahas secara menyeluruh fitur terbaru PF dan metode konfigurasinya, dengan pendekatan yang berfokus pada praktik

Pembaruan utama di edisi ke-4

  • Edisi ke-4 mencakup topik terbaru seperti IPv6 dan konfigurasi dual stack, sistem traffic shaping berbasis queue dan prioritas, NAT dan redirection, jaringan nirkabel, pemblokiran spam, failover, dan logging
  • Ditujukan untuk versi OpenBSD 7.x, FreeBSD 14.x, dan NetBSD 10.x
Iklan

Teknologi utama yang dapat dipelajari

  • Menulis rule set trafik IPv4 dan IPv6: Menyajikan metode konfigurasi untuk berbagai lingkungan jaringan seperti LAN, NAT, DMZ, dan bridge
  • Membangun dan memperkuat keamanan jaringan nirkabel: Pengaturan access point, pemanfaatan authpf, dan fitur pembatasan akses
  • Memaksimalkan ketersediaan layanan: Operasi layanan yang fleksibel melalui CARP, relayd, dan redirection
  • Membangun firewall adaptif: Menerapkan fungsi pertahanan proaktif terhadap penyerang dan spammer
  • Kontrol dan pemantauan trafik: Memanfaatkan sistem traffic shaping terbaru di OpenBSD, konfigurasi ALTQ·Dummynet di FreeBSD, dan alat visualisasi berbasis NetFlow

Struktur buku

  • Terdiri dari total 10 bab dan 2 lampiran
    • Bab 1: Membangun jaringan
    • Bab 2: Dasar-dasar konfigurasi PF
    • Bab 3: Penerapan di lingkungan nyata
    • Bab 4: Jaringan nirkabel
    • Bab 5: Jaringan kompleks
    • Bab 6: Pertahanan aktif
    • Bab 7: Traffic shaping
    • Bab 8: Redundansi dan ketersediaan sumber daya
    • Bab 9: Logging, pemantauan, dan statistik
    • Bab 10: Optimasi konfigurasi
    • Lampiran A: Referensi / Lampiran B: Dukungan perangkat keras

Tentang penulis

  • Peter N.M. Hansteen adalah konsultan DevOps dan penulis yang berbasis di Bergen, Norwegia, dan telah banyak memberikan presentasi serta menulis tentang OpenBSD dan FreeBSD
  • Seorang aktivis komunitas Freenix, ia menulis buku ini sebagai versi yang diperluas dari tutorial PF online
  • Di blog pribadinya (bsdly.blogspot.com) ia memublikasikan tulisan seputar jaringan, dan memiliki pengalaman sebagai anggota tim implementasi RFC 1149

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-03
Komentar Hacker News

  • Saya penasaran bagaimana pengalaman menggunakan PF(Packet Filter) di lingkungan produksi belakangan ini
    Saya baru pernah memakai nftables, jadi ingin tahu seperti apa rasanya memakai PF

    • Saya mengelola pf.conf dengan sekitar 400 aturan yang tersebar di 12 VLAN
      Strukturnya terasa seperti mengedit kode, jadi cukup intuitif dan menyenangkan
      Di bagian atas ada deklarasi host, network, port, lalu bagian NAT/egress, kemudian bagian aturan pass in/out untuk tiap VLAN
      Saya memantau trafik dengan me-tail antarmuka pflog0 di tmux, dan juga membuat fungsi di .profile agar mudah mengubah dan menerapkan konfigurasi pf 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      File dibuka untuk diedit, lalu diverifikasi dan aturan dimuat ulang, kemudian jika berhasil jumlah aturannya ditampilkan
    • Dari pengalaman saya, PF punya cara berpikir filtering dan NAT yang mirip dengan firewall komersial
      nftables di Linux masih mempertahankan struktur “chain” dari konsep ipchains lama, jadi terasa kurang intuitif
      Di PF, Anda cukup menetapkan kebijakan berdasarkan in/out dan antarmuka
      Dibanding pendekatan nftables yang berupa penambahan/penghapusan kebijakan berbasis perintah, pengelolaan yang berpusat pada file konfigurasi terasa jauh lebih rapi
    • Jika membandingkan pf dan iptables, perbedaan terbesarnya ada pada cara penerapan aturan dan pemrosesan log
      Di pf, paket melewati seluruh aturan dan aturan terakhir yang cocok akan diterapkan (bisa dipersingkat dengan “quick”)
      Log tidak otomatis terintegrasi ke syslog, jadi perlu konfigurasi terpisah
      Secara pribadi saya lebih suka pf, tapi saya tidak akan merekomendasikannya untuk pemula
    • Jika hanya butuh pemfilteran paket sederhana, PF sudah memadai, tetapi sekarang intelijen ancaman dan analisis protokol sering kali menjadi fitur wajib
      Hal itu bisa diimplementasikan dengan skrip di pf, tetapi tidak efisien
      Untuk lingkungan operasional sungguhan, biasanya dibutuhkan fitur setingkat IPS atau firewall Layer 7
      Meski begitu, untuk kebutuhan filtering sederhana, ini tetap pilihan yang bagus
    • Sangat menyenangkan karena tidak perlu lagi memakai iptables
      Tapi begitu banyak tutorial dan model LLM yang masih menanamkan sintaks iptables -A, jadi sepertinya kita masih harus mengingatnya untuk waktu yang lama

  • Saya dulu punya buku ini, dan sangat terbantu untuk konfigurasi firewall, load balancing, traffic shaping, dan sebagainya
    Buku tentang desain rootkit FreeBSD juga sangat bermanfaat
    Sekarang saya sudah menyingkirkan semuanya demi minimalisme dan mengandalkan informasi digital, jadi ada sedikit rasa menyesal

    • Saya juga hampir melakukan hal yang sama dengan koleksi buku saya, tetapi belum jadi
      Buku-buku yang saya beli saat masa belajar OpenBSD masih ada, walau sekarang hampir tidak pernah saya jadikan rujukan
      Meski begitu, sudut OpenBSD di rak buku terlihat cukup keren
    • E-reader dan perpustakaan digital bebas DRM bisa menjadi alternatif

  • Saya sangat menghormati No Starch Press. Kualitas bukunya benar-benar bagus

    • Seperti dipresentasikan Dr. Marshall Kirk McKusick baru-baru ini di konferensi BSD, No Starch berencana menerbitkan edisi ke-3 dari 『Design and Implementation of the FreeBSD Operating System』 tahun ini
    • Buku yang saya sukai secara pribadi adalah buku-buku seperti Writing a C Compiler karya Nora Sandler dan Building a Debugger karya Sy Brand, yang membuat pembaca mengimplementasikan sendiri sistem yang kompleks
      Saya berharap akan ada lebih banyak buku seperti ini
    • Saya membeli ebook bebas DRM langsung dari penerbit seperti No Starch atau Leanpub
      Saya menghindari penjual yang tidak menghormati pembacanya
      Jika konsumen tidak menuntut syarat yang lebih baik, suatu hari nanti bisa muncul struktur monopoli yang memungkinkan buku yang sudah dibeli dihapus sesuka hati
    • Saya suka tekstur buku fisik, jadi saya tetap memelihara perpustakaan kecil berbentuk buku kertas sungguhan
      Kualitas jilidan No Starch masih luar biasa, tetapi buku POD(Print on Demand) dari O’Reilly belakangan ini mahal dan kualitasnya menurun, yang cukup disayangkan
    • No Starch memang yang terbaik. Saya benar-benar belajar banyak dari buku-buku mereka

  • PF adalah singkatan dari Packet Filter

    • Saat melihat judulnya, saya sempat salah paham dan mengira ada versi baru Pathfinder

  • Sebagai catatan, buku ini membahas FreeBSD 14, tetapi di FreeBSD 15 (rilis Desember) PF mendapat pembaruan besar
    Untuk detailnya, lihat tulisan pembaruan di blog Netgate

  • Saya berharap ada buku dengan cakupan serupa tetapi berfokus pada nftables
    Buku Linux Firewall dari No Starch terbitan 2008, jadi berbasis iptables

    • Situs dokumentasi resmi nftables sangat bagus
      Sebaiknya merujuk ke wiki nftables
    • 『Linux Firewalls』 karya Steve Suehring membahas nftables
      Itu buku yang bagus untuk mempelajari konsep dasarnya