Usted puede hacer una de dos cosas:

(a) Configurar macOS nativo del filtro de paquetes, PF, para reenviar paquetes a un "desvío de la toma" (similar a la de un socket de Unix en Linux; véase divert(4)). Una aplicación que se ejecute en espacio de usuario, a continuación, puede escuchar en este desvío de encaje y de inspeccionar paquetes, seguido por dejarlos caer o llevarlas de vuelta al núcleo (con o sin modificaciones) para la despedida. Ver esta entrada del blog para ver un ejemplo de configuración, y pfctl(8), pf.conf(5), y el PF Guía del Usuario para amplia información sobre PF capacidades y cómo configurarlo.

(b) Implementar una extensión del kernel que utiliza el nativo de filtro IP de la interfaz de la FPI (similar a la de Linux Netfilter), inspeccionar, modificar y quitar paquetes. Ven a Jonathan Levin del Mac OS X y iOS Interna de los detalles; la 1ª edición describe esta interfaz en el §17.7.4 de los Filtros IP (página 698).

Yo no conozco a ningún propósito general demonios que funcionan en el principio (a) o kexts que el principio de uso (b) que permite escribir los archivos de configuración que especifican las reglas para modificar y colocar los paquetes en tránsito, así que parece que tendría que escribir su propio demonio o kext para su caso de uso específico.