macOS のファイアウォールはこのようなもので非常に簡易なものです。

例えば、上記だとすべての環境から SSH が可能になります。
IPv4 のプライベートIPアドレスなら問題はないものの、IPv6 の場合、たいていの場合 ISP からグローバルユニキャストアドレスが付与されるため、適切な設定を行わないと、外部から SSH によるログインが可能となってしまします。
一時的な IPv6 アドレス(匿名 IPv6 アドレス)が有効化されている場合、アドレスが頻繁に変わるのですが、何らかの原因で現在の IPv6 アドレスが知られた場合、ログイン試行される懸念があります。
今回は、macOS 標準の pf(packet filter)の紹介を行います。
インターネットにも日本語の資料がほとんどないので、役に立てばと思います。