>Задача - разрешить из локалки доступ к любым ftp серверам через freebsd
>сервер с pf.
>как я понимаю, активный ftp отпадает сразу - на файрволле не сильно
>хочу открывать разрешения входящих соединений.
>

на 7.0+ есть ftp-proxy
в rc.conf
ftpproxy_enable="YES"
ftpproxy_flags="-v -D 7"

в pf.conf
rdr-anchor "ftp-proxy/*"
rdr on $int_if proto tcp from <ftpuser> to !(self) port ftp -> 127.0.0.1 port 8021
anchor "ftp-proxy/*"

ftp-proxy сам будет создавать правила для входящих.

для 6.0+ чуть больше правил,
в pf.conf
rdr on $int_if proto tcp from <ftpuser> to !(self) port ftp -> 127.0.0.1 port 8021
pass in quick on $ext_if inet proto tcp from port ftp-data to $ext_if user proxy flags S/SA keep state
и в inetd.conf
ftp-proxy       stream  tcp     nowait  root    /usr/libexec/ftp-proxy  ftp-proxy
и в в rc.conf
inetd_enable="YES"

<ftpuser> - список IP кому разрешено ходить по ftp
в обоих случаях !(self) - на случай ftp на самом шлюзе