He encontrado un sitio web que dispone de un asistente para generar reglas para el firewall APF. Concretamente se centra en las reglas de denegación de servicio, las cuales incluimos en el fichero deny_host.rules.
Bien es cierto, que denegar una IP (para todos los servicios) es tan simple como añadir la IP en dicho fichero, pero como en todo, podemos ir un poco más allá.
Por ejemplo, queremos denegar a una IP o rango IP el acceso de entrada al puerto 80 y 25. Pues simplemente indicando la IP, los puertos, y si es de entrada/salida en el asistente, recibiremos las reglas a añadir en el fichero deny_host.rules, ejemplo indicado:
tcp:in:d=80:s=217.174.32.0/20 tcp:in:d=25:s=217.174.32.0/20