Блокировать запросы Google на 16k с помощью брандмауэра pf

Я хочу заблокировать доступ к поиску Google, используя PF после порога в 17500 запросов (соединение установлено) в течение 24 часов с хоста, на котором запущена FreeBSD 9.

Что я придумал, прочитав pf-faq это правило:

pass out on $net proto tcp from any to 'www.google.com' port www flags S/SA keep state (max-src-conn 200, max-src-conn-rate 17500/86400)

НОТА: 86400 - это 24 часа в секундах.

Правило должно работать, но PF достаточно умен, чтобы знать, что www.google.com разрешается в 5 разных IP-адресах. Так что мой pfctl -sr вывод дает мне это:

pass out on vte0 inet proto tcp from any to 173.194.44.81 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)
pass out on vte0 inet proto tcp from any to 173.194.44.82 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)
pass out on vte0 inet proto tcp from any to 173.194.44.83 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)
pass out on vte0 inet proto tcp from any to 173.194.44.80 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)
pass out on vte0 inet proto tcp from any to 173.194.44.84 port = http flags S/SA keep state (source-track rule, max-src-conn 200, max-src-conn-rate 17500/86400, src.track 86400)

PF создает 5 разных правил, по 1 для каждого IP-адреса, разрешаемого Google. Однако у меня есть разум - не будучи на 100% уверенным, у меня не было возможности проверить это - что номер 17500/86400 применяется для каждого IP. Если это так - пожалуйста подтвердите - тогда это не то, что я хочу.

В pf-faq есть еще одна опция под названием source-track-global:

исходный трек

This option enables the tracking of number of states created per source IP
address. This option has two formats:

  + source-track rule - The maximum number of states created by this rule
    is limited by the rule's max-src-nodes and max-src-states options.
    Only state entries created by this particular rule count toward the
    rule's limits.

  + source-track global - The number of states created by all rules that
    use this option is limited. Each rule can specify different
    max-src-nodes and max-src-states options, however state entries
    created by any participating rule count towards each individual rule's
    limits.

The total number of source IP addresses tracked globally can be controlled
via the src-nodes runtime option.

Я пытался применить исходный трек-глобальный в приведенном выше правиле безуспешно. Как я могу использовать эту опцию для достижения своей цели?

Любые мысли или комментарии приветствуются, так как я любитель и еще не совсем понимаю PF.

Спасибо