O Iptables precisa de alguns módulos do kernel carregados para que "RELACIONADOS, ESTABELECIDOS" funcionem. Se seus clientes HTTP estão bem, você obviamente tem alguns deles.
> lsmod | grep conntrack
nf_conntrack_ipv4 20258 6
nf_defrag_ipv4 12702 1 nf_conntrack_ipv4
xt_conntrack 12760 6
nf_conntrack 99996 2 xt_conntrack,nf_conntrack_ipv4
No entanto, aquele para ftp, nf_conntrack_ftp , é adicional e, ao contrário de um dispositivo ou driver de sistema de arquivos, não será carregado automaticamente pelo kernel.
> modprobe nf_conntrack_ftp
Deve fazer isso. Não há um método de distribuição cruzada para o carregamento automático de módulos no AFAIK, mas no Fedora você pode adicionar:
IPTABLES_MODULES="nf_conntrack_ftp"
para /etc/sysconfig/iptables-config . Em outros sistemas que usam systemd , mas não possuem esse arquivo, consulte man modules-load.d .