内側からのアクセスを規制するとFTPは厄介ですよね。

まあ、アクティブモードでつなぎに行って、20ポートからだけ開けとけばOKかと。
$cmd 00127 $skip tcp from any 20 to any in via $oif setup keep-state
かな。

でも20ポートからなら何だって繋げれるから、0-1023ポートはそれより前に閉めとかないとね。
$cmd 00050 deny tcp from any to any 0-19,21,23-79,81-1023 in via $oif
$cmd 00055 deny udp from any to any 0-1023 in via $oif

あとはX(6000-6031?)とかmysql(?)とかjserverとか気になるとこも閉めとくべし?
$cmd 00060 deny tcp from any to any 6000-6031 in via $oif
$cmd 00070 deny udp from any to any 6000-6031 in via $oif

私もエロくないので、もっとえらい人を待ちましょう。