FTP out questions

[ QUOTE ]
Is it possible to set up a single rule that will allow any ftp connections out, but that the ftp connections to the server are on different high ports?  for example, 1 rule that would allow connections from behind the filewall to servers on ports 3333, 4444, 9999, and 30000?  

[/ QUOTE ]
Sure, easy enough...

Define your new services, FTP3333, FTP4444, etc.
Then add the newly defined services to a Service Group FTPOUT.

Now create a packet filter rule "Internal_Network__   FTPOUT   Any   Allow"  

[ QUOTE ]
Is it possible to set up a single rule that will allow any ftp connections out, but that the ftp connections to the server are on different high ports?  for example, 1 rule that would allow connections from behind the filewall to servers on ports 3333, 4444, 9999, and 30000?  

[/ QUOTE ]
Sure, easy enough...

Define your new services, FTP3333, FTP4444, etc.
Then add the newly defined services to a Service Group FTPOUT.

Now create a packet filter rule "Internal_Network__   FTPOUT   Any   Allow"  

It isn't that easy! The responsible connection tracking module for FTP is 'listening' for connections on port tcp/21 only. You could add the additional ports manually to /usr/local/fw/firewall_on.sh, but I am not sure about the sysntax and the module to add the additional ports. It is either ip_conntrack_ftp or ip_nat_ftp (sorry no time to  test it at the moment) but maybe others can help here.

Greetings
cyclops