[W]hat's the point of specifying a port range if it only works for passive mode? Then I still need to open all the ports in my firewall...
Do ponto de vista do servidor, as conexões ativas são conexões de saída, de modo que a premissa está errada.
Como o cliente tem que aceitar a conexão ativa recebida, o cliente também especifica qual porta será usada. Isso faz parte da especificação do FTP. Limitar o intervalo de portas do lado do servidor não faz sentido neste caso. E se o cliente só puder aceitar conexões de entrada entre as portas 20000 e 25000?