Dette er det enkleste tenkbare oppsettet, for en enslig maskin som ikke skal kjøre noen tjenester, og som snakker med ett nettverk, som godt kan være Internet. Da holder det foreløpig med en /etc/pf.conf med dette innholdet:
block in all pass out all keep state
altså nekte all innkommende trafikk, tillate trafikk fra oss selv, og ta vare på tilstandsinformasjon om forbindelsene, slik at returtrafikk for forbindelsene du har startet selv, får slippe gjennom. Det er verd å merke seg at fra og med OpenBSD 4.1 er standardverdien for pass-regler at tilstandsinformasjon blir bevart[1], så det tilsvarende regelsettet i OpenBSD 4.1-stil er enda enklere,
# minimalt regelsett, OpenBSD 4.1 bevarer tilstandsinformasjon som standard block in all pass out all
Det er nokså selvsagt at å la all trafikk fra en bestemt maskin passere innebærer en ganske uvanlig grad av tillit til at den aktuelle maskinen faktisk er pålitelig. Dette gjør du hvis du vet du kan stole på maskinen. Hvis du er klar til å bruke regelsettet, laster du det med
$ sudo pfctl -e ; sudo pfctl -f /etc/pf.conf
| [1] | Faktisk tilsvarer en nye standardverdien keep state flags S/SA, noe som sikrer at bare de innledende SYN-pakkene under etablering av forbindelsen skaper ny oppføring i tilstandstabellen. Dette eliminerer enkelte ugreie feilscenarier. |