По умолчанию, ipfw что при сборке ядра, что при подгрузке модулем находится в режиме
deny all from any to any.
Иногда бывают ситуации, когда нужно иметь по дефолту последнее правило
allow all from any to any
Для этого нужно пересобрать ядро с параметром
options IPFIREWALL_DEFAULT_TO_ACCEPT
Но что делать, если нужно изменить это поведение налету, без пересборки и перезагрузки? Для этого нужно выполнить
#kenv net.inet.ip.fw.default_to_accept=1
При этом эту команду нужно выполнить до того, как подгружать модуль, иначе получите deny all from any to any.
Что бы это сохранялось и при перезагрузке, добавьте такую строку в /boot/loader.conf:
net.inet.ip.fw.default_to_accept=1
А что бы совсем выключить ipfw
#sysctl net.inet.ip.fw.enable=0