Você deve saber que o Windows XP (e provavelmente outras versões) tem um wrapper interno para conexões FTP (o objetivo é tentar permitir que o comando PORT seja concluído com sucesso, mesmo atrás de um firewall ou roteador).
Este wrapper intercepta qualquer conexão com qualquer host na porta 21, para que possa monitorá-lo e tentar abrir a porta de entrada de um comando PORT emitido pelo cliente.
Esse wrapper também tem um efeito colateral: como intercepta qualquer conexão a uma porta 21, ele envia um sinal de que a conexão foi estabelecida com o software, que verá a conexão como estabelecida, mas a conexão é realmente estabelecida apenas para o wrapper interno do Windows.
O wrapper então tenta abrir a conexão com o host real, e se o tempo limite acabar, ele envia um sinal para o software de que a conexão foi perdida. O software verá a conexão como perdida.
Resumindo, o software acredita que uma conexão foi estabelecida e perdida com sucesso, mas nenhuma conexão real foi estabelecida.
Então, no seu caso, o que acontece: você roda o nmap. O Nmap tenta se conectar ao seu servidor na porta 21. O wrapper do Windows intercepta a conexão. O Nmap "pensa" que está conectado ao seu servidor (mas está conectado apenas ao wrapper) e relata a porta como aberta.
Você pode confirmar isso digitando uma linha de comando:
ftp 4.3.2.1
Você verá: C: > ftp 4.3.2.1
Conectado ao 4.3.2.1.
Conexão fechada por host externo.
Você pode tentar qualquer IP válido, o FTP sempre se conectará e desconectará logo após, ao passo que deverá informar "Tempo limite da conexão esgotado".
Eu nunca vi nenhuma documentação sobre isso. Depois de muitas investigações, descobri esse comportamento estranho e, depois de mais investigações, descobri por que está aqui.
Bem, a conclusão desta (grande) resposta é que a porta 21 do seu servidor está definitivamente fechada, como reporta o netstat, e o nmap é enganado por esse comportamento.