Você pode, mas não precisa banir nomes de host com pfctl.
Você pode fazer isso usando / etc / hosts. Na verdade, é assim que faço há anos. É mais leve em recursos que pfctl, desde que você não precise resolver os nomes, nem inspecionar o tráfego. Ele também tem a vantagem de bloquear todas as instâncias de um nome conhecido, já que os nomes de sites podem resolver vários endereços IP hoje em dia.
$ dig A cnn.com
; <<>> DiG 9.8.3-P1 <<>> A cnn.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22656
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 4, ADDITIONAL: 2
;; QUESTION SECTION:
;cnn.com. IN A
;; ANSWER SECTION:
cnn.com. 242 IN A 157.166.226.26
cnn.com. 242 IN A 157.166.226.25
;; AUTHORITY SECTION:
cnn.com. 172707 IN NS ns3.timewarner.net.
cnn.com. 172707 IN NS ns2.p42.dynect.net.
cnn.com. 172707 IN NS ns1.timewarner.net.
cnn.com. 172707 IN NS ns1.p42.dynect.net.
;; ADDITIONAL SECTION:
ns1.timewarner.net. 172707 IN A 204.74.108.238
ns3.timewarner.net. 172707 IN A 199.7.68.238
;; Query time: 5 msec
;; SERVER: 192.168.201.1#53(192.168.201.1)
;; WHEN: Sun Nov 22 07:35:00 2015
;; MSG SIZE rcvd: 186
A maneira de fazer isso é editando hosts
sudo /etc/hosts
e preenchendo-o com o endereço 0.0.0.0 seguido do nome do site que você deseja bloquear. As pessoas costumavam usar 127.0.0.1 em vez disso, no entanto, devido a problemas de compatibilidade do Windows, e devido à sinalização 0.0.0.0 você não tem sequer para tentar abrir a conexão, 0.0.0.0 é usado hoje em dia.
Se suas preocupações forem mal-intencionadas, além de adicionar suas próprias, você pode usar essa lista como ponto de partida, que é um dos mais conhecidos.
"Bloqueando conexões indesejadas com um arquivo de hosts"
Aqui está um exemplo de algumas das minhas entradas em / etc / hosts
0.0.0.0 youtu.be
0.0.0.0 allsrtfree.com
0.0.0.0 serve.adplxmd.com
0.0.0.0 www.subtitlseex.xyz
0.0.0.0 fukizi.com
0.0.0.0 www.themoviesarea.com
0.0.0.0 www.dream-marriage.com
0.0.0.0 system-protection.6offers.com
0.0.0.0 adstrx.com
0.0.0.0 mackeeperapp3.mackeeper.com
0.0.0.0 www.download-genius.com
0.0.0.0 cdn.myfreesoftwarehub.com
0.0.0.0 cdn.freefairs.com
0.0.0.0 piratetorrents.net
Se você ainda quiser usar o pf, parece que você tem que usá-lo junto com o relayd, para não bloquear endereços IP, mas para bloquear sites.
Encontrei um slide falando sobre isso:
Como nota de rodapé, se você quiser um bom firewall gráfico no OS / X, o Little Snitch é excelente e também bloqueia no nível do aplicativo.