Primeiro, note que os dois comandos finais, PORT e PASV, não têm nada a ver um com o outro. São duas tentativas de conexão independentes (uma para FTP ativo, uma para FTP passivo).
Assim, a sua falha PORT é esperada.
O modo PORT
funciona (o modo "FTP ativo") é fazer com que o cliente envie seu próprio endereço para o servidor - o servidor se conecta de volta a você para transferência de dados.
De acordo com os registros, o seu computador cliente está atrás de um NAT e tem um endereço IP "privado". Esse é o único endereço que ele conhece, e é isso que ele envia com o comando PORT.
Normalmente, seu roteador reconheceria uma conexão FTP e edita o comando PORT, substituindo seu endereço privado pelo próprio público do roteador. (Ou, se você tiver azar, ele o substituirá por lixo.)
No entanto, como sua conexão de controle agora é criptografada usando TLS, o roteador não pode executar esse ajuste (tudo o que ele vê são dados criptografados) e o servidor recebe exatamente o que seu cliente envia: seu endereço particular .
Como o servidor está em outra rede, não é possível acessar um endereço particular (esse é o objetivo do NAT). Embora nem se incomode em tentar - por razões de segurança, a maioria dos servidores simplesmente recusa imediatamente qualquer endereço que não corresponda exatamente de onde veio a conexão de controle.
tl; dr Altere seu cliente de FTP para o modo passivo. Sim, seus logs mostram o modo passivo (PASV) sendo quebrado também. Mas pelo menos é um pouco solucionável se o seu servidor tiver um endereço IP público dedicado, enquanto o modo ativo não é.
E o PASV? Bem, o problema é semelhante.
Normalmente, o firewall do seu servidor iria espionar a conexão de controle FTP, extrair a porta temporária da resposta "Entrando no modo passivo (x, y, z…)" e marcá-la como pertencente a uma conexão "RELACIONADA". Então sua regra # 004 permitiria isso.
No entanto, mais uma vez, o iptables não pode ver através de TLS (tudo o que ele vê são dados criptografados) e não pode mais reconhecer suas conexões de dados FTP como relacionadas. Então sua conexão apenas atinge a regra # 999 e é descartada.
Para fazer o PASV funcionar, você precisará configurar o ProFTPd para usar um intervalo de portas passivas específico. (não importa qual faixa exatamente), e diga ao iptables para permitir conexões com essas portas.