다시질문: IPFW 과 FTP

만족스러운 도움을 받지못해서 다시 질문합니다.

지난번 질문은 아래 첨부되있읍니다.
FTP 포트를 21 번 디폴트를 860 으로 사용하는건 문제가 아닌것 같습니다.
왜냐하면 21번으로도 바꿔서 시도 해봤으나 마찬가지였ㅅ습니다.
또 ftp-data 포트인 20 번도 열어넣고 시도해봤습니다.
문제는 모든포트를 1차적으로 deny 해놓고 꼭 필요한 포트만 allow 했을경우
(20 ftp-data, 21 ftp, 25smtp, 80 http, 110 pop, 3306mysqld)
다른 열린 서버포트들은 잘 돼는데 FTP 만 안된다는 것입니다.
그리고 FTP 클라이언트를 써서 FTP 서버에 접속할때 log 화면을 보면
항상 정해진 FTP 포트로 접속돼는게 아니고 다른 포트번호로 접속돼는데
그것도 할때마다 번호들이 바뀐다는 것입니다.
그래서 추가로
ipfw add 00800 allow tcp from any to 66.xxx.xxx.xxx 1300-1400
이렇게 100개 정도 열어놓아도
처음에는 이 번호안에서 접속돼지만 몇번후에는 다른번호로 접속시도돼다가
실패한다는 겁니다.
그렇다고 무작정 포트번호를 몇백개, 몇 천개씩 ftp 를 위하여 열어놓는다면
방화벽 사용하는 의미가 없어진다는 얘기입니다.
여기서 말씀드리는 방화벽은 ip firewall 을 만 입니다.
natd 나 ip masqerading 은 사용하지 않습니다.
단지 외부에서 꼭 접속가능게 해야할 ftp, smtp, http, mysqld 등만 열어놓고
나머지 다른 포트들은 보안강화를 위해 닫아놓는게 사용목적입니다.

도와주시면 감사하겠습니다.

==== 처음 질문 내용 첨부==========
리눅스가 아니고 FreeBSD 입니다
도움주실수 있을거라 믿고 여기에 질문합니다.

FTP 는 Proftp 를 씁니다 ftp 포트는 860 을 씁니다.
그리고 작동방법은 standalone 을 쓰고요 잘됩니다.
문제는 ipfw 를 써서 Firewall 을 구축할때 생깁니다

% ipfw add 01000 deny tcp from any to 66.xxx.xxx.xxx
이렇게 1차적으로 외부에서 내부로 들어오는 모든 tcp 를 막고
% ipfw add 00900 allow tcp from any to 66.xxx.xxx.xxx 23,25,80,110,860,3306
이렇게 ftp를 포함한 필요한 포트만 접속할수 있게 열어 놓았습니다.

위의 열어놓은 포트들 (telnet, smtp, pop3, http, mysqld 등) 은
외부에서 잘 통과/접속이 됩니다.
그런데 ftp 포트 (860) 만 전혀 안됩니다.
그래서 포트를 원래 21 으로 바꾸고 ipfw 도 다시 바꿔서 해봐도 마찬가지입니다.
전에 어디서 본것 같은데 ftp 는 포트번호 가 접속할때
다른번호로 변환되서 사용된다고 본 기억이 나는것 같은데요

그렇다면 FTP 서버르 사용하게될 경우 Firewall 은 사용못하는게 되나요?

방법이 있으면 가르쳐 주세요.
---------------------------------------------------