Изначально подход не совсем правильный..
Уже человек тебе писал!Нужно ВСЕ закрывать по умолчанию,а все нужное потом открывать!
Если твои юзера ходят только стандартные сервисы,то это оч.просто,а все остальные порты будешь открывтать по мере надобности!
примерно так:
divert 8668 ip from any to any via "внешний интерфейс"
deny ip from "внетрення сеть" to any via "внешний интерфейс"
allow ip from any to any via lo0
allow ip from any to any via "внутренний интерфейс"
allow ip from "твой адрес" to any
тут натычешь разрешений дя юзеров
и последним
deny ip from any to any