A ação padrão é passar o pacote se nenhuma regra for correspondida.
Se você não quiser isso, a primeira regra de filtragem de pacotes deverá ser
block all
Se você quiser regular o tráfego de saída, você deve especificá-lo como tal:
# Block by default. (pass rules should follow later).
block out log on $ext_if all label "outblock"
# What to pass
client_out_tcp = "{ http, https}"
client_out_udp = "{ 53 }"
pass out inet proto tcp from $localnet to port $client_out_tcp
pass out inet proto tcp from $localnet to port $client_out_udp