Estou tentando entender o problema com o pf no OS X 10.10 El Capitan.
Eu instalei o sshguard e tente fazê-lo funcionar adicionando
table <sshguard> persist
block in quick proto tcp from <sshguard>
em /etc/pf.conf.
O problema aqui é que, enquanto o pf reconhece que a tabela e os endereços IP são adicionados à tabela enquanto o sshguard está sendo executado, eles nunca estão sendo bloqueados.
Ele costumava funcionar bem antes, mas não consigo me lembrar se foi em 10.9 ou 10.10 antes de alguma atualização.
A saída de pfctl -t sshguard -T mostra com um IP "falso":
No ALTQ support in kernel
ALTQ related functions disabled
10.20.30.40
Mensagens do syslog repetindo:
sshd[818]: error: PAM: authentication error for admin from 10.20.30.40 via 192.168.1.2
sshguard[799]: 10.20.30.40 has already been blocked
Tags mac-osx-server pf