As regras do meu IPTables são as seguintes:
# Generated by iptables-save v1.4.4 on Mon Aug 23 18:34:35 2010
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9356:4246018]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 6685 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8089 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 20 -j ACCEPT
-A INPUT -j DROP
COMMIT
Isso está bloqueando o FTP, o que não sei por quê. O FTP está realmente na porta 21, pois não foi alterado. Estou usando o VSFTPD. Quando eu limpo todas as regras do IPTables, consigo usar o FTP muito bem.
Você carregou o módulo do kernel ip_conntrack_ftp?
O módulo ip_conntrack_ftp "sabe" sobre o protocolo ftp e observa a conexão de entrada na porta 21 para descobrir qual porta a conexão vai usar para dados e, em seguida, abre essa porta.
Você não precisa usar passivo então.
No entanto, se você quiser usar passivo, então isso não tem nada a ver com o vsftpd, que é uma opção do lado do cliente.
Ou seja. o usuário do cliente precisa configurar seu cliente para usar o modo passivo.
Adicione essas linhas e, em seguida, verifique seu syslog para ver qual tráfego está sendo bloqueado:
-A INPUT -p tcp -m tcp --dport 20 -j LOG
-A INPUT -p tcp -m tcp --dport 21 -j LOG
-A OUTPUT -p tcp -m tcp --sport 20 -j LOG
-A OUTPUT -p tcp -m tcp --sport 21 -j LOG