El firewall pf bloquea la actualización de raspbian apt-get

Estoy conectando mi raspberry pi 3 (raspbian stretch) a mi Macpro (10.13.2; High Sierra) al puerto Ethernet 802.3 que forma parte del adaptador puenteado ( bridge100) usando la función Compartir Internet. La interfaz de Internet en Mac es en2(inalámbrica).

Aunque puedo hacer ping google.como mirrordirector.raspbian.org, cuando intento actualizar paquetes, apt-get se bloquea para siempre:

# apt-get update
0% [Connecting to mirrordirector.raspbian.org (93.93.128.193)] [Connecting to archive.raspberrypi.org (93.93.130.104)]

Cuando desactivo pf firewall en la mac, comienza a funcionar. Mis reglas pf son las siguientes:

LAN="bridge100"
WLAN="en2"

dns="53"
ntp="123"

set fingerprints "/etc/pf.os"
set skip on lo
set block-policy drop

set ruleset-optimization basic
set optimization normal
set timeout { tcp.established 600, tcp.closing 60 }
scrub in all no-df fragment reassemble
antispoof log quick for { lo $LAN $WLAN }


block all
block in log quick from no-route to any

pass in quick on { $LAN $WLAN } proto { udp tcp } from any to any port $dns keep state
pass in quick proto udp from any port 67 to any port 68
pass in proto udp from any to port $ntp

pass in inet proto icmp from 10.8.0.0/24
pass in inet proto icmp from 192.168.1.0/24
pass in inet proto icmp from 192.168.2.0/24
pass in inet proto icmp from 172.16.42.0/24

pass out all

¿Qué regla debo usar para permitir apt-get update? Pensé pass out allque lo haría, pero parece que no entiendo completamente el firewall. Por favor ayuda.