系统偏好设置里的防火墙只能拦截incoming链接

系统自带的PF防火墙配合icefloor或pflist这样的图形前端也只能实现基于地址规则的outcoming链接

而可以根据不同应用程序定制拦截规则的Little Snitch 或 Hands Off 都是商业软件

最近发现了这个集两类防火墙之所长的轻量级免费防火墙 —— TCPBlock

这个使用的是自己的内核模块来实现的匹配/拦截，没有用到PF，所以即使你用到了PF的其他功能，同时使用也应该不会有冲突

ystem Preferences里会有设置选项

规则是这样，以斜线作为分割(/)，

第一例是要拦截的程序名称，可以通过按加号选取，星号表示拦截所有程序（如果后面配置具体IP的话就相当于PF）

第二列是要拦截的地址，如果用星号表示拦截该软件的所有网络连接，因为已经用斜线作为分割了，所以显然没法再用斜线设置变长子网了，设置网段只能用-或*来设置

（例如 192.168.0.16/28 要写成 192.168.0.16-31
192.168.1.0/24 要写成 192.168.1.*
）

第三列是要拦截的端口号，一般来说对于outcoming拦截没必要设置具体端口，直接用星号就可以了。

后面的四、五列是可选项，可以给出程序的hash和路径，因为mac的内核识别程序名只截取前16个字符，因此从内核角度不排除会有不同程序“重名”问题，而用这个可选项来确定唯一性。

该软件的官网在wordpress，所以你懂得，因此我还是上传到百毒盘上吧

http://pan.baidu.com/s/1bnF1duv