具体的なコンフィグとか出せないんであれですけど。

ASA がグローバル IP を保持して、そこからバックエンドのネットワークをいくつか持ってる状態だったんですが、ここである特定のローカルサーバ（グローバル IP を持たない）に FTP を立てて通信させたい！となったけど、一向にうまくいかない。検索すると http://www.cisco.com/cisco/web/support/JP/100/1005/1005391_pix-asa-enable-ftp.html とかいうのも出てくるけどなんかうまくいかないっすね？とネ管の同僚に言われる始末。結局二人で夜中に検証した所、以下のように。

• port 21 ：制御用の TCP コネクションを確立する皆が見知ったポート、NAT を書く必要がある
• pasv_min_port = XXXXX ：データ転送するポートの開始番号、ここから後述の「pasv_max_port」の番号の範囲までの NAT を書く必要がある
• pasv_max_port = YYYYY ：データ転送するポートの終端番号、ここから前述の「pasv_min_port」の番号の範囲までの NAT を書く必要がある

んで問題なのが、NAT 書いたにもかかわらず、ftp ZZZ.ZZZ.ZZZ.ZZZ で接続してログインまでは出来るのに「LS」やら「LIST」すると反応が帰ってこなくて vsftpd のログにも、何も出てこない。ログインは出来てるからデータ転送が始まってない、という所まで考えたところで、ネ管兄貴が「あっ、ポリシーマップから設定されたポリシー使わないようにしたら動いた。おめえこれ、pasv_(min|max)_port デフォルトの値と違うんじゃねえか？」となった次第。という訳で動かない兄貴達はポリシーマップを確認しよう！

※ちなみにわしゃ ASA のコンフィグはわからん……。あと pasv_(min|max)_port のデフォルト値ってなんかで定義されてんの？