1、方法1

　　要阻止从 IP 地址 192.168.1.0/16 传入的流量，需要在规则列表中包括以下规则：

　　block in quick from 192.168.1.0/16 to any

　　下面的例子阻止来自b类网络148．126．0.0的任何数据包：

　　block in quick from 148．126．0.0/16 to any

　　2、方法2

　　通俗来说就是：禁止是block ，通过是pass ，进入流量是in，出去流量是out 。然后配合起来使用就行了，再加上可以指定在哪个网卡上使用，也就是再加个on pcn0，另外还有一个关键字就是all，这是匹配(禁止或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式：

　　block in quick on hme0 from 192.168.0.14 to any

　　block in quick on hme0 from 132.16.0.0/16 to any

　　pass in all

　　应用此规则将阻止通过hme0口来自于192.168.0.14和132.16.0.0网段的所有包的进入，但是允许其他网段的包进入到防火墙，同时对出去的包不作任何限制。

　　3、方法3：基于IP地址和防火墙接口的完全双向过滤方式：

　　block out quick on hme0 from any to 192.168.0.0/24

　　block out quick on hme0 from any to 172.16.0.0/16

　　block in quick on hme0 from 192.168.0.0/24 to any

　　block in quick on hme0 from 172.16.0.0/16 to any

　　pass in all

　　应用此规则后将阻止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出，但是允许其他网段的包进入到防火墙，同时对出去的包不作任何限制。

　　4、方法4

　　使用“port关键字对TCP和UDP的端口进行过滤：

　　block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513

标签： 防火墙