самостоятельный разбор мануала "C.2.3.3.2. FTP клиент за брандмауэром" (http://house.hcn-strela.ru/BSDCert/BSDA ... ftp-client) результата не дал.
по умолчанию политика pf блокировать все исходящие соединения, кроме портов 20,21,80,25,110,8080 и т.п. (распространенные), открывать диапазон > 1024 не хочется.
само соединение устанавливается, а вот листинг уже не получается сделать.
In the NAT section:
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr pass on $int_if proto tcp from $lan to any port 21 -> \
127.0.0.1 port 8021
In the rule section:
anchor "ftp-proxy/*"
pass out proto tcp from $proxy to any port 21