# макроимя сетевого интерфейса
int_if="fxp0"
# нормализовать все пакеты
scrub in all
# блокировать всё, что не разрешено
block in on $int_if
# пространство адресов внутренней сети
int_net="192.168.1.0/24"
# разрешенные типы icmp сообщений
allowed_icmp_types="{ echoreq, unreach }"
table <nfs> const { $int_net }
# пропустить трафик обратной петли без правил
pass quick on lo0 all
# разрешить входящий ICMP (ping)
pass in on $int_if inet proto icmp all icmp-type $allowed_icmp_types
# разрешить запросы к серверу SSH откуда угодно
pass in on $int_if proto tcp from any to $int_if port ssh
# разрешить запросы к серверу POP3 только из локальной сети
pass in on $int_if proto tcp from $int_net to $int_if port pop3
# разрешить запросы к серверу SMTP
pass in on $int_if proto tcp from any to $int_if port smtp
# разрешить запросы к серверу HTTP/HTTPS
pass in on $int_if proto tcp from any to $int_if port { http, https, 8080 }
# разрешить запросы к серверу DNS
pass in on $int_if proto { tcp, udp } from any to $int_if port domain
# разрешить запросы к серверу NFS и RPCBIND
pass in on $int_if proto { tcp, udp } from <nfs> to port { nfsd, rpcbind } modulate state
# mountd -p 883
pass in on $int_if proto { tcp, udp } from <nfs> to port 883 modulate state
# rpc.lockd -p 884
pass in on $int_if proto { tcp, udp } from <nfs> to port 884 modulate state
# rpc.statd -p 885
pass in on $int_if proto { tcp, udp } from <nfs> to port 885 modulate state
# разрешить исходящий трафик
pass out on $int_if proto { tcp, udp, icmp } all keep state