src

PF 4.5 on FreeBSD 9

current - FreeBSD 9-CURRENTのPFがOpenBSD 4.5由来のPF 4.5へバージョンアップされました。OpenBSDの最新版は4.9ですので最新版を移植するならPF 4.9が必要になるわけですが、従来のPFと文法に互換性があるのがこのバージョンまでであるため、既存のファイアウォール規則との互換性を損なわないこのバージョンまでのアップデートとなっています。

FreeBSDにはIPFW、IPF、PFという3つのファイアウォール実装があります。PFは後発でありOpenBSDで開発されたということもあって、比較的人気のある実装です。しかしながら4.5よりも後の実装はシンタックスに互換性がないこと、現在のPFの実装はコアに対してスケールしにくいという問題があります。コアに対してスケールするのは、FreeBSDのデフォルトのファイアウォール実装であるIPFWです。

このあたりの開発を担当しているデベロッパやpfSenseの開発者らの間で、今後PFをどのように扱っていくのか、ある程度のコンセンサスは取れているようですが、具体的な計画はまだ発表されていません。BSDCanのデベロッパーサミットでの議論が現実することになれば、すべてのファイアウォールに対応できるファイアウォールエンジンを開発し、IPFW、IPF、PF用のインタプリタをそれぞれかませるようにする、という開発が取り組まれることになりますが、どうなるかはまだわからない状況といえます。

これまでの開発の流れを見ると、FreeBSDでもっともサポートが厚いのはIPFWということになります。PF 4.5が導入されたのを機会に採用するファイアウォールを再度検討するというのは、ひとつのいいタイミングかもしれません。または、そのあたりあまり気にしなくて良いように直接FreeBSDを使うのではなく、FreeBSDベースで開発されているファイアウォール・ルータプロダクトである「pfSense」を利用するという方法もあります。pfSenceはFreeBSDプロジェクトとの関係も積極的で、今後も発展が期待できます。