关于pf的ftp-proxy的问题

我的pf.conf中加了
rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021

加了这一句了8021端口也是起来的，
我现在内网能登入外部的ftp server ,但是验证完用户和密码后就没无继续了说"        建立数据 socket 失败",我用tcpdump看好像ftp-server会用一个随机口连接过来，

我只能在外网口上加上
pass in quick  on $ext_if proto tcp from any to $ext_if port 50000><65000  keep state

允许所以有外网的高端口连接，这样ftp 才正常

我在想这样会不会有很大的安全问题啊
请各位说说，大家用 pf的话ftp这块怎么设也是开放外部高端口进来吗

本帖最后由 congli 于 2010-12-21 13:22 编辑

ftp服务端使用的端口本来就是>49151的.
但你是出去,是ftp客户端,应该不需要开啊,反而内网口要放行.
这样可以不
pass out quick $ext_if proto tcp from any to any port >49151 flags S/SA keep state