Полезная статья.
Хотя к сожалению автор не проверял вживую то, о чем написал ибо советует использовать две в принципе не совместимые настройки:

в разделе "Демонов - под контроль" - автор рекомендует использовать hosts.allow для ограничения доступа к отдельным службам... после чего автор благополучно отключает inetd (без оговорок того, что hosts.allow при выключенном inetd - РАБОТАТЬ НЕ БУДЕТ)

В остальном все очень даже ничего. Хотя можно добавить в раздел сетевой защиты:

net.inet.udp.blackhole=1 - отбрасывать пакеты для закрытых портов

В rc.conf - log_in_vain="YES" - я бы включил только при условии что есть ограничение на размер логг файла - ибо в противном случае - эта строчка создает предпосылку Dos путем переполнения log. (Как возможный вариант решения ядро собираем с options IPFIREWALL_VERBOSE_LIMIT=100)