pfSense използва пакетен филтър pf от OpenBSD. В общи линии опростеният синтаксис на правилата на филтъра може да се представи по следния начин (фиг.3.Х) :
фиг.3.Х Синтаксис на правило на "pf"
action – е pass (пропуска пакета) или drop (не пропуска пакета);
direction – in (входящи пакети) или out (изходящи пакети);
log – при наличието на тази ключова дума в правилото, за всеки пакет, който удовлятворява правилото, се генерира запис в журналния файл на пакетния филтър;
quick – по подразбиране пакетния филтър оценява всички правила като се предприема действието според последното правило, което удовлетворява пакета; при наличието на тази ключова дума, действието на първото правилото удовлетворено от пакета се предприема веднага, т.е пакета се пропуска или не и се прекратява оценката на останалите правила на филтъра спрямо текущия пакет;
interface – име или група от мрежови интерфейси в системата;
af – тип на мрежовия адрес, inet за IPv4 или inet6 за IPv6;
src_addr, dst_addr – Source и Destination IP адреси на пакета;
src_port, dst_port - Source и Destination портове на пакета;
tcp_flags – TCP флагове във пакета;
state - keep state (по подразбиране), modulate state или synproxy state; тази ключова дума указва дали ще се пази състояние на връзката за пакети за пакетите, които удовлетворяват правилото;
Част от останалите възможности на пакетен филтър са:
Филтрация на IP, TCP и UDP пакети по различни критерии със следенe на състоянието на връзката (Stateful Packet Inspection);
Ограничение на едновременно установените връзки за всяко правило;