adicione outra interface à sua instalação do pf-sense. ou se um switch com capacidade para VLAN estiver disponível, ele fornecerá interfaces virtuais adicionais em pf-sense.
você colocaria seu compartilhamento samba em uma segunda interface, dando a ele uma nova sub-rede (algo como 10.10.10.0 / 24). Qualquer coisa funcionará, você só precisa dela para ser uma sub-rede diferente dos usuários de lan que você deseja controlar.
agora configure regras para o que os usuários podem acessar a segunda sub-rede da LAN. ou especificamente quais usuários têm acesso ao seu compartilhamento de samba por ip.
EDIT: em PF (Filtering) para fazer isso: depois de uma regra de bloqueio padrão >
Agora, o tráfego deve passar explicitamente pelo firewall ou será descartado pela política de negação padrão. É aqui que entram os critérios de pacote, como porta de origem / destino, endereço de origem / destino e protocolo. Sempre que o tráfego tiver permissão para passar pelo firewall, a (s) regra (s) deve (m) ser escrita (s) para ser o mais restritiva possível. Isso é para garantir que o tráfego pretendido e somente o tráfego pretendido seja permitido.
"# Passa o tráfego no dc0 da rede local, 192.168.0.0/24, para o OpenBSD"
"# endereço IP da máquina 192.168.0.1. Além disso, passe o tráfego de retorno para fora em dc0."
passar em dc0 de 192.168.0.0/24 para 192.168.0.1
desmaia no dc0 de 192.168.0.1 para 192.168.0.0/24
"# Passa o tráfego TCP para o servidor web rodando na máquina do OpenBSD."
transmita o protot tcp de egresso de qualquer para a porta de saída www
use o nome da sua interface, adicione suas sub-redes e você deve estar pronto, use as regras do ip. isso tornará isso muito mais fácil.
Eu só vejo duas regras de aprovação no seu post, acredito que você precisaria de uma entrada / saída com o tcp e o udp.