> Имеется сервер FreeBSD 10.2, который, в частности, выполняет роль межсетевого экрана. Имеется
> также несколько серверов, которые нужно пускать в мир только на определенные
> хосты (обновление ПО и т.д.). IP-адреса этих хостов время от времени
> меняются, что создает неудобства, т. к. PF фильтрует трафик по IP-адресам.
> Как грамотно оптимизировать межсетевой экран, чтобы фильтрация косвенно производилась
> по FQDN?

в 10-ке вроде как теперь можно указывать  Полное доменное имя, которое будет преобразовано через DNS сервер при загрузке правила. Полученные адреса окажутся в правиле.
Инфа отсюда:
http://skeletor.org.ua/?p=2217

Если это так, то нужно просто перестартовывать службу PF по запросу или периодически по крону.