Что имеем: локальная сеть 192.168.14.0/24, на 192.168.14.10 находится ФТП-сервер. Для всех ПК шлюз - интерфейс rl1 сервера с ФриБСД (192.168.14.1), внешний интерфейс сервера (192.168.15.2) смотрит на роутер Cisco (с внутренним IP 192.168.15.1). Циска уже смотрит в инет. Зачем мне фактически 2 шлюза - не спрашивайте, так надо :)
Когда не было сервера с ФриБСД, на Циске я прописал проброс портов 20, 21 с внешнего IP на 14.168.14.10 (тогда внутренний адрес Циски был 192.168.14.1). После установки сервера с ФриБСД возникла необходимость пробросить порты 20 21 с 192.168.15.2 (а именно туда сейчас Циска кидает трафик, приходящий ей на 20 и 21 порт) на 20 и 21 порт 192.168.14.10
Что я для этого сделал:
/etc/rc.conf
natd_enable="YES"
natd_flags="-f /etc/nard.conf"
/etc/nard.conf
#rl0 - "внешний" интерфейс сервера ФриБСД
interface rl0
same_ports
unregistered_only
redirect_port tcp 192.168.14.10:20 20
redirect_port tcp 192.168.14.10:21 21
Перезагрузился.
Далее добавил правила:
/sbin/ipfw add allow tcp from any to 192.168.14.10 20 via rl0
/sbin/ipfw add allow tcp from any to 192.168.14.10 21 via rl0

В результате при попытке коннекта - "Ошибка в установлении связи" :(
Даже пробовал в rc.conf прописать
firewall_type="OPEN" (как я понимаю, разрешив любые соединения), результата не получил

можно попробовать rinetd