PF El Kitabı 4. Baskı (The Book of PF, 4th Edition)

 (nostarch.com)
3 puan yazan GN⁺ 2026-02-03 | 1 yorum | WhatsApp'ta paylaş
  • OpenBSD'nin paket filtresi PF merkezli güvenlik duvarı kurulumu ve ağ güvenliğini ele alan uygulamalı bir rehber
  • En güncel baskı, IPv6, dual-stack yapılandırma, traffic shaping, NAT, kablosuz ağ iletişimi, spam engelleme, failover, logging gibi modern özellikleri içeriyor
  • IPv4·IPv6 kural seti yazımı, kablosuz ağ güvenliği, CARP·relayd ile erişilebilirliği artırma, uyarlanabilir güvenlik duvarı kurma gibi somut yapılandırma yöntemleri sunuyor
  • OpenBSD'nin en yeni trafik kontrol sistemi ile FreeBSD'deki ALTQ, Dummynet kullanımını birlikte ele alıyor
  • OpenBSD 7.x, FreeBSD 14.x, NetBSD 10.x ortamlarında kararlı ve esnek ağ işletimi için temel bir başvuru kaynağı

PF ve ağ yönetimine genel bakış

  • PF(Packet Filter), OpenBSD ve FreeBSD'nin temel ağ araçlarından biri olarak, modern internet ortamında vazgeçilmez bir güvenlik duvarı bileşeni olarak açıklanıyor
    • Bant genişliği gereksinimlerinin artması ve güvenlik tehditlerinin büyümesi karşısında sistem yöneticileri için PF uzmanlığı kritik önem taşıyor
  • Bu kitap, PF'nin en güncel özelliklerini ve yapılandırma yöntemlerini kapsamlı biçimde ele alırken uygulama odaklı bir yaklaşım sunuyor

4. baskıdaki başlıca güncellemeler

    1. baskıda IPv6 ve dual-stack yapılandırmalar, kuyruk ve öncelik tabanlı traffic shaping sistemi, NAT ve yönlendirme, kablosuz ağlar, spam engelleme, failover, logging gibi güncel konular yer alıyor
  • OpenBSD 7.x, FreeBSD 14.x, NetBSD 10.x sürümlerini hedefliyor

Öğrenilebilecek başlıca teknolojiler

  • IPv4 ve IPv6 trafik kural seti yazımı: LAN, NAT, DMZ, bridge gibi çeşitli ağ ortamlarında yapılandırma yöntemleri sunuluyor
  • Kablosuz ağ kurulumu ve güvenliği güçlendirme: access point yapılandırması, authpf ve erişim kısıtlama özelliklerinin kullanımı
  • Hizmet erişilebilirliğini en üst düzeye çıkarma: CARP, relayd ve yönlendirme yoluyla esnek hizmet işletimi
  • Uyarlanabilir güvenlik duvarı kurma: saldırganlara ve spam göndericilerine karşı proaktif savunma işlevleri uygulama
  • Trafik kontrolü ve izleme: OpenBSD'nin en yeni traffic shaping sistemi, FreeBSD'nin ALTQ·Dummynet yapılandırması ve NetFlow tabanlı görselleştirme araçlarının kullanımı

Kitabın yapısı

  • Toplam 10 bölüm ve 2 ekten oluşuyor
    • Bölüm 1: Ağ kurulumu
    • Bölüm 2: PF yapılandırmasının temelleri
    • Bölüm 3: Gerçek ortamlarda uygulama
    • Bölüm 4: Kablosuz ağlar
    • Bölüm 5: Karmaşık ağlar
    • Bölüm 6: Etkin savunma
    • Bölüm 7: Traffic shaping
    • Bölüm 8: Yedeklilik ve kaynak erişilebilirliği
    • Bölüm 9: Logging, izleme ve istatistikler
    • Bölüm 10: Yapılandırma optimizasyonu
    • Ek A: Başvuru kaynakları / Ek B: Donanım desteği

Yazar hakkında

  • Peter N.M. Hansteen, Norveç'in Bergen kentinde yaşayan bir DevOps danışmanı ve yazar olup OpenBSD ve FreeBSD üzerine çok sayıda konuşma ve yazı yayımladı
  • Freenix topluluğunda aktif olup, bu kitabı PF çevrimiçi eğitimlerinin genişletilmiş sürümü olarak kaleme aldı
  • Kişisel blogunda (bsdly.blogspot.com) ağ teknolojileri üzerine yazılar yayımlıyor ve RFC 1149 uygulama ekibinin bir parçası olarak görev yaptı

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-03
Hacker News yorumları

  • Bu aralar PF(Packet Filter)’ı gerçek üretim ortamında kullananların deneyiminin nasıl olduğunu merak ediyorum.
    Sadece nftables kullandım; PF tarafının nasıl hissettirdiğini bilmek istiyorum.

    • Ben yaklaşık 12 VLAN’a yayılmış, 400 kadar kural içeren bir pf.conf yönetiyorum.
      Yapısı kod düzenliyormuş gibi hissettiriyor; oldukça sezgisel ve keyifli.
      Üst kısımda host, network ve port tanımları var; ardından NAT/egress bölümü ve VLAN başına pass in/out kural bölümleri geliyor.
      tmux içinde pflog0 arayüzünü tail ederek trafiği izliyorum; ayrıca .profile dosyama PF ayarlarını kolayca düzenleyip uygulayabilen bir fonksiyon da ekledim. 
      function pfedit {
    vi /etc/pf.conf && \
    pfctl -f /etc/pf.conf && \
    { c=`pfctl -s rules | wc -l | tr -d ' '`; printf 'loaded %s rules\n' "$c"; }
}
      Dosyayı açıp düzenliyor, doğruladıktan sonra kuralları yeniden yüklüyor ve başarılı olursa kural sayısını yazdırıyor.
    • Benim deneyimime göre PF, filtreleme ve NAT düşünme biçimi açısından ticari güvenlik duvarlarına benziyor.
      Linux’taki nftables ise hâlâ eski ipchains kavramındaki “chain” yapısını koruduğu için sezgisel gelmiyor.
      PF’de yalnızca in/out ve arayüz temelli politikalar kurmanız yeterli.
      nftables’ın komut tabanlı politika ekleme/silme yaklaşımına kıyasla yapılandırma dosyası merkezli yönetim çok daha temiz hissettiriyor.
    • pf ile iptables’ı karşılaştırınca, kural uygulama biçimi ve log işleme en büyük farklar.
      pf’de paket tüm kurallardan geçer ve son eşleşen kural uygulanır (“quick” ile erkenden sonlandırılabilir).
      Log’lar syslog’a otomatik entegre olmaz; ayrıca yapılandırma gerekir.
      Kişisel olarak pf’yi tercih ediyorum ama yeni başlayanlara önermem.
    • Yalnızca basit paket filtreleme gerekiyorsa PF yeterli, ancak günümüzde tehdit istihbaratı ve protokol analizi gibi özellikler çoğu zaman zorunlu oluyor.
      Bunları pf ile script yazarak yapmak mümkün ama verimsiz.
      Gerçek üretim ortamında IPS veya Layer 7 güvenlik duvarı düzeyinde özellikler gerekir.
      Yine de basit filtreleme için iyi bir seçim.
    • Artık iptables kullanmak zorunda olmamak gerçekten harika.
      Ama sayısız eğitimde ve LLM modellerinde hâlâ iptables -A sözdizimi yer ettiği için, uzun süre daha akılda tutmak gerekecek gibi görünüyor.

  • Eskiden bu kitaba sahiptim; güvenlik duvarı yapılandırması, yük dengeleme ve trafik şekillendirme gibi konularda çok yardımcı olmuştu.
    FreeBSD rootkit tasarımıyla ilgili kitap da çok faydalıydı.
    Şimdi minimalizm için hepsini elden çıkarıp dijital bilgilere bel bağladım; bu yüzden biraz buruk hissediyorum.

    • Ben de benzer şekilde kitapları azaltmayı düşündüm ama hâlâ yapamadım.
      OpenBSD öğrendiğim dönemde aldığım kitaplar hâlâ duruyor, ama artık neredeyse hiç başvurmuyorum.
      Yine de kitaplığın bir köşesindeki OpenBSD bölümü oldukça hoş görünüyor.
    • E-kitap okuyucu ve DRM-free dijital kütüphane bir alternatif olabilir.

  • No Starch Press’e büyük saygı duyuyorum. Kitaplarının kalitesi gerçekten çok iyi.

    • Dr. Marshall Kirk McKusick’in yakın zamanda bir BSD konferansında söylediği gibi, No Starch bu yıl içinde 『Design and Implementation of the FreeBSD Operating System』 3. baskısını yayımlamayı planlıyor.
    • Kişisel olarak en sevdiğim kitaplar, Nora Sandler’ın Writing a C Compiler ve Sy Brand’in Building a Debugger kitapları gibi karmaşık sistemleri bizzat inşa ettiren türden olanlar.
      Keşke bu tür kitaplardan daha fazla olsa.
    • No Starch veya Leanpub gibi yayınevlerinden doğrudan DRM-free e-kitap satın alıyorum.
      Okura saygı göstermeyen satış kanallarından kaçınıyorum.
      Tüketiciler daha iyi koşullar talep etmezse, bir gün satın alınmış kitapları keyfince silebilen tekelci bir yapı ortaya çıkabilir.
    • Basılı kitabın dokusunu sevdiğim için gerçek kağıt kitaplardan oluşan küçük bir kütüphane tutuyorum.
      No Starch’ın cilt kalitesi hâlâ harika, ama O’Reilly’nin son dönemdeki POD(Print on Demand) kitapları pahalı ve kalite olarak hayal kırıklığı yaratıyor.
    • No Starch bir numara. Kitaplarından gerçekten çok şey öğrendim.

  • PF, Packet Filter’ın kısaltmasıdır.

    • Başlığı görünce bir an Pathfinder’ın yeni sürümü çıktı sandım.

  • Bu arada, bu kitap FreeBSD 14’ü ele alıyor; ancak FreeBSD 15’te (Aralık çıkışlı) PF büyük bir güncelleme alıyor.
    Ayrıntılar için Netgate blogundaki güncelleme yazısına bakabilirsiniz.

  • Keşke nftables merkezli, benzer kapsamda bir kitap olsa.
    No Starch’ın Linux Firewall kitabı 2008 baskısı olduğu için iptables tabanlı.

    • nftables’ın resmi dokümantasyon sitesi çok iyi hazırlanmış.
      En doğrusu nftables wiki’ye bakmak.
    • Steve Suehring’in 『Linux Firewalls』 kitabı nftables’ı ele alıyor.
      Temel kavramları öğrenmek için iyi bir kitap.