00050 divert 8668 ip4 from any to any via em1
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to any
65535 deny ip from any to any

Это мой стандартные правила и мае внутренное сетка 192.168.11
Я хочу в етой сетке разрешат конкретно 10 IP адресов и кроме них всю сетку закрывать но по дефаулту фаерволл разрешает всем зайти в инет
когда я даю такое правила
ipfw add 52 allow ip from 192.168.11.69 to any via em0 И
ipfw add 30000 deny ip from 192.168.11.0/24 to any via em0 он автоматически вырубает всю сетку.
em0- внутренный интерфейс
em1- внешний интерфейс

как мне делат так что б кроме конкретных IP адресов все другие не работали

65000 allow ip from any to any
надо сделать не allow а deny

то есть закрытый тип фаервола.

Если закрываешь трафик внутри сетки, то нужно еще правило, чтобы ответы доходили до адресата:

allow tcp from any to any established

или что-то вроде (не уверен, что пример правильный):

allow ip from 192.168.11.ххх to 192.168.11.0/24 via em0

где 192.168.11.ххх - адрес внутреннего интерфейса.

cail, попробуй так:
ipfw add №правила deny tcp from any to 192.168.1.хх via em1 сначало так проверь,
ето запретит доступ до след. ребута сервака, если все ок, тогда ee /etc/firewall
точнее скажу завтра ipfw add №правила deny tcp from any to 192.168.1.хх via em1

самый просто вариант это посмотреть в реали как ходит трафик, тогда понятно будет что блокировать и от кого, можещь это сделать так
65000 allow log ip from any to any
логи можешь смотреть тут
tail -f /var/log/security
для удобства можно грепать