常用

block drop in quick on eth0 from 127.0.0.1 port 80 to any

# 屏蔽所有在eth0 上的 80 端口 向外连接

block out all

# 屏蔽所有出口


pass in all

# 允许所有进入

pass out on all proto { udp, icmp } all keep state

# 允许所有网卡上的 udp,icmp 向外连接

简化

block in all
block out all

# 这可以简化为:

block all

# 如果没有指定方向,PF会认为规则适用于数据包传递的进、出2个方向。

# 同样的, "from any to any" 和 "all" 子句可以在规则中省略,例如

block in on rl0 all
pass in quick log on rl0 proto tcp from any to any port 22 keep state

# 可以简化为:

block in on rl0
pass in quick log on rl0 proto tcp to port 22 keep state

# 第一条规则阻塞rl0上从任意到任意的进入数据包
# 第二条规则允许rl0上端口22的TCP流量通过。