Bloqueando o acesso à LAN : Se pf.conf
souber qual é a sua sub-rede da LAN, você pode bloquear seletivamente o tráfego dela. Usando seu exemplo:
block in all
pass out all keep state
lan_subnet = "10.0.0.0/24"
block in quick proto tcp from $lan_subnet to any port 22
pass in proto tcp from any to any port 22
WAN limitadora de taxa, mas não LAN : Digamos, por exemplo, que você queira limitar o tráfego da Internet nas portas 80 e 8080, mas não imponha limitação de taxa da LAN nessas portas. Este snippet rastrearia e bloquearia hosts WAN abusivos enquanto permitia o acesso da LAN:
table <http_abuse> persist
http_ports = "{ 80 8080 }"
pass in quick proto tcp from $lan_subnet to any port $http_ports
block in quick proto tcp from <http_abuse> to any port $http_ports
pass in proto tcp from any to any port $http_ports \
flags S/SA keep state \
(source-track rule, max-src-conn 50, max-src-conn-rate 25/2, \
overload <http_abuse> flush)
Para um bloqueio e limitação de taxa mais flexível, você pode usar uma ferramenta como sshguard , que está convenientemente disponível em portas e pacotes .