не часто работаю с дфлками, тут пришлось настраивать
в качестве фтп сервера dns-325
полдня голову ломал, настроил, но очучение, как будто лишнего наворотил, слишком уж много правил
хотя, что-нибудь отключаешь и что-то отваливается
раньше вроде попроще настраивал, но правда про пассивный режим не скажу, особо не нужен был, в общем если кто поправит то хорошо, если все верно, то пусть останется как инструкция, а то расклад путевый про пассивный режим я так и не нашел
в общем так
Name /Action/Source interface/Source network/ Destination/interface/Destination/ network Service
ftp_out /NAT/dmz/dmznet/ wan1/all-nets/ ftp_out_AM - это что бы работал активный режим (ftp_out_AM - 20-21 Sourse, 0-65535 Dest)
ftp_sat /SAT/wan1/all-nets/ core/wan1/wan1_ip/ ftp-passthrough-av - проброс 20-21 портов на dns-325, alg отключил, порты в сервисе поставил 20-21
ftp_passive_sat /SAT/wan1/all-nets/ core/wan1_ip/ ftp_passive_ports - проброс портов пассивного режима на dns-325, диапазон портов в сервисе тот что прописан в dns-325, в настройках пассивного режима
ftp_core_allow /Allow/wan1/all-nets/ core/wan1_ip/ ftp-passthrough-av - разрешение до коры 20-21 портов
passive_ports_allow /Allow/wan1/all-nets/ core/wan1_ip/ ftp_passive_ports - разрешение до коры портов пассивного режима
целых 5 правил! только чтоб фтп заработал, мож я отстал конечно от жизни, но если все так настраивается, то как то все сложно
может я где лишнего нагородил?

Для FTP есть ALG. они сами все делают. Ваш случай подробно рассмотрен в NetDefend User Manual -- Example 6.2 (смотрел в версии 2.40). Было замечены, правда, глюки в FTP ALG при работе с русскими именами файлов.