Comment permettre l'accès depuis Internet à un serveur FTP interne avec pfSense 1.2

Ce qui marche :
- NAT FTP sur le port standard (tcp-21)
- FTP helper activé sur l'interface WAN
- Attention : la règle de filtrage doit alors autoriser l'accès sur l'adresse de l'interface WAN, c'est une exception dans pfSense et c'est certainement dû à l'utilisation du ftp helper qui est une sorte de proxy ftp.
- Côté client : modes passif et actif supportés

Ce qui ne marche pas :
- NAT FTP sur un port non standard, car le ftp-helper n'est actif que sur le port 21 (pfSense ne faisant en effet pas d'analyse protocolaire, il n'est pas capable de détecter automatiquement les connexions ftp)

Contournement :
- Configurer le serveur ftp pour renvoyer l'IP publique (*)
- Limiter les ports data à un range de tcp high ports (*)
- Créer des règles de NAT et de filtrage renvoyant ce range de ports vers la machine serveur ftp

(*) Par ex. dans proftpd :
MasqueradeAddress MY.PUBLIC.IP
PassivePorts 50000 50100