>Давно не работал с iptables, напомните, что есть connection tracking?
>И какие проблемы с ftp?

в линукс есть модули - отслеживающие протоколы - например ftp - и когда ftp клиент-сервер договариваются - по каким портам прокинуть ftp-data-поток - это соединение пропускаeтся iptables тоже.

проблема в том, что в ipfw этого как я понимаю - нет.

>>есть в этом чуде freebsd-строения какой-то нормальный аналог connection tracking как в
>>iptables/netfilter ?!
>>
>>я хочу нормальный ftp, всегда - как на инициированные сервером, так и
>>на входящие на сервер.. хочу разрешать коннекты только на один порт
>>и не со всей сети на все мои высокие порты!
>Позвольте, а вы что - нибудь слышали о passive-mode и active-mode ftp?

естественно я знаю, что они есть :) не могу понять в чем их смысл и разница в _реальной_жизни_.. много-много раз читал и всегда не могу понять.. :(

в каком случае достаточно открыть на сервере и 20 порт то-же и этого будет достаточно и почему при открытом 20+21 порте не работает ни тот и не другой режимы? хочу вот так
ipfw add allow ip from any to any out
ipfw add allow tcp from any to server_ip 20-21 in

зачем вообще нужен 20 порт если ftp-data соединение не работает _по_умолчанию_ с этого порта? а оно не работает! я-же вижу кто клиент-сервер устанавливают соединение по высоким портам :(

ах-да, это конечно только для ftpd на сервере.
еще хотелось-бы что-бы работали исходящий ftp.

опять-же кастрированный established, который не работает для udp/icmp...
хочу чуда как в linux! :)))