Ваши правила являются существенно звуковыми, просто не достаточно конкретными - у Вас есть один интерфейс (это не Ваш брандмауэр, правильно?), таким образом, Вы хотите ограничить материал, Вы присваиваете очереди "SSH" местом назначения. Например:
my_net=10.0.0.0/8
pass out on eth0 proto tcp from any to !$my_net port 22 queue ssh
Две других вещи можно также хотеть рассмотреть:
Если вы не являетесь крупным корпоративным клиентом, получение CDN для установки SSL в их системах для вас очень маловероятно. Это не то, что вы можете сделать для них, их серверы должны быть настроены с использованием вашего SSL-сертификата и закрытого ключа, чтобы предоставлять его от вашего имени.
В любом случае никого не волнуют URL-адреса изображений на вашем сайте.
It turned out that I needed a wildcard HTTPS certificate for *.somesite.com
and this then needed to be placed on the CDN server.