根据这个表，软件更新通过与 HTTP 协议相同的端口，所以你真的只需要打开端口 80。除了端口 80，我建议如下：

• 443 -> HTTPS
• 22 -> SSH
• 115 -> SFTP（如果可以的话，不要使用常规的 FTP。如果你是那种偏执狂，坚持使用 SFTP。否则，使用 20*）
• 587 -> 已验证的 SMTP（如果不适用，则启用 25*）
• 993 -> SSL IMAP（如果不适用，则启用 143*）
• 995 -> SSL POP（如果不适用，则启用 110*）

*这些是同一协议的不安全版本的端口

如果您也不使用 Mail，您可以从列表中删除 25、143、110、587、993 和 995。如果不使用SSH，也可以去掉22。

关于 iTunes：

iTunes 本身使用端口 80，所以它已经设置好了。iTunes 商店使用 SSL（即 443），它已经打开 Airplay 也经过 80。如果您使用这些功能中的任何一个，以下端口也需要打开

• 3689 -> iTunes 音乐分享
• 8000-8999；42000-42999 -> iTunes 电台流

关于Skype：

根据Skype的论坛，Skype 使用端口 80 或 443，具体取决于您的设置。

你可能不喜欢的是很多服务（包括 mobileme 和 ical 服务也使用端口 80，所以你不能只用端口阻塞来阻塞所有东西）。

以 30 美元的价格购买Little Snitch http://www.obdev.at/products/littlesnitch/index.html。

每当程序尝试建立传出 Internet 连接时，Little Snitch 都会通知您。然后，您可以选择允许或拒绝此连接，或定义如何处理类似的未来连接尝试的规则。这可以可靠地防止私人数据在您不知情的情况下被发送出去。Little Snitch 在后台不显眼地运行，它还可以检测病毒、木马和其他恶意软件的网络相关活动

在您的系统偏好设置 | 安全 | 防火墙，确保您的防火墙已打开，选择高级并选中“阻止所有传入连接”。

对于极度偏执的冲浪，请购买VMware Fusion ( http://www.vmware.com/products/fusion/ )，在虚拟机中安装您选择的操作系统并使用它进行冲浪。在黑暗中浏览一轮后，您可以点击还原将您的虚拟机恢复到其原始状态。您还可以构建多个虚拟机并将适当的一个用于手头的任务（例如，当您进行银行活动时使用虚拟系统 A，当您进行卑鄙活动时使用虚拟系统 X）。

考虑在您的 ipfw 规则集中添加以下内容：

1. ipfw add deny ip from any to any not verrevpath in - 验证数据包进入系统的接口与路由的传出接口匹配（最好放在规则集的顶部）
2. 日志记录 - 与规则本身一样重要，以了解被阻止的内容及其发生的原因。有些应用程序可以帮助进行分析，此板上还有其他主题和建议。
3. ipfw add check-state - 除了限制端口/协议外，ipfw 只允许与内部启动的连接匹配的连接。

来源：IPFW 手册页

假设您真的想防止有资源的人进入您的家并在您的家庭路由器上安装恶意软件，那么防火墙根本不会对您有任何好处。

如果“他们”可以危害您的家庭路由器，他们可以在 Chrome、Safari、Skype 和您使用的任何网络工具中发现错误，并通过这些方式在您的系统上执行代码。

如果你真的需要帮助——假设你是某种受到政府压力的人权活动家——开始一个新问题，描述实际情况，而不是寻求帮助设置防火墙。