ftp-proxy требует pf, поэтому поставил frox

Если клиент использует активный режим FTP, то после соединения с сервером на порт 21 и прохождения аутентификации клиент отправит командой PORT свой серый IP-адрес и ftp-сервер никогда не сможет с ним соединиться (PORT n1,n2,n3,n4,n5,n6 = IP-адрес клиента (n1.n2.n3.n4) и порт (n5 x 256 + n6))

Решением является организация клиентам доступа по ftp в пассивном режиме через ftp-прокси /usr/ports/ftp/frox

Для прозрачного прокси необходим форвардинг пакетов, адресованных на порт 21, на порт прокси ftp, в данном случае 2121

Для форвардинга пришлось заново собрать ядро с Options IPFIREWALL_FORWARD

Непосредственно перед установкой нового ядра, необходимо скопировать существующее ядро

Для соединения клиентов в пассивном режиме в ipfw придется открывать доступ клиентам на непривилегированные порты (т.е. те, у которых номера выше 1023) и транслировать пакеты через внешний интерфейс