FTP no modo passivo envolve o cliente fazendo uma segunda conexão de dados ao servidor em um número de porta indicado na conexão de controle na porta 21. O módulo conntrack detecta a conexão de controle e detecta o número da porta da conexão de dados e trata a conexão de dados de entrada como RELATED, que normalmente seria aceita por esta regra:
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
No entanto, quando a conexão de controle é criptografada, o módulo conntrack não pode detectar o número da porta e, portanto, a conexão de entrada não é aceita. A solução é configurar seu servidor FTP com um intervalo de portas para usar no modo passivo ( PassivePortRange como @ cyberx86 mencionado) e configurar o firewall para aceitar todas as conexões de entrada para esse intervalo, por exemplo:
iptables --append INPUT --protocol tcp --dport 10000:10100 --jump ACCEPT