>
>>в пассивном режиме как раз проблем нет - нужно разрешить исходящие коннекты
>>
>
>Да если б в сети были только пингвины, спрашиваю по тому, что
>многие виндовые трояндаунлодеры грузят вири именно с верхних портов :(, вот
>и не хочется всё подряд разрешать :(
>
>Хотелось бы чтоб ipfw вытягивал порты из служебной сессии и разрешал доступ
>к ним только на время существования первой... man natd
-punch_fw basenumber:count
This option directs natd to ``punch holes'' in an
ipfirewall(4) based firewall for FTP/IRC DCC connections.
This is done dynamically by installing temporary firewall
rules which allow a particular connection (and only that con-
nection) to go through the firewall. The rules are removed
once the corresponding connection terminates.
по крайней мере с активым все нормально работает
в ядерном нате тоже нормально
попробуй мож с пасивным сканает