O conjunto de regras para bloquear todas as conexões de saída, exceto para o acesso VPN, pode ser assim:
block drop all
pass on lo0
pass on utun0
pass out proto udp from any to xxx.yyy.zzz.ttt port pppp
Isso funciona bem. No entanto, eu “esqueci” que eu ainda quero ter acesso à LAN também. Eu pensei então que eu poderia simplesmente adicionar essas regras "em algum lugar", mas eu não sei realmente onde ... Eu sei que a ordem é importante.
pass in on en4 from 192.168.0.0/24 to any
pass out on en4 from any to 192.168.0.0/24
Sem sucesso ... tenho certeza de que acertei, mas não sei o layout exato.
Eu suspeitava que, se você tentasse algo assim, poderia ter mais sorte:
block drop all
pass on lo0
pass on utun0
pass out proto udp from any to xxx.yyy.zzz.ttt port pppp
pass in on en4 from 192.168.0.0/24
pass out on en4 to 192.168.0.0/24
NOTA: Por favor, note que eu não tenho um firewall PF para confirmar estes trabalhos.