先理解主被動(dòng)的聯(lián)接方式：

FTP協(xié)議有兩種工作方式：PORT方式和PASV方式，中文意思為主動(dòng)式和被動(dòng)式。

Port模式：ftp server:tcp 21 <------client:dynamic    ftp server:tcp 20 ------>client:dynamic

Pasv模式：ftp server:tcp 21 <----client:dynamic     ftp server:tcp dynamic <----client:dynamic
PORT（主動(dòng)）方式的連接過(guò)程是：客戶端向服務(wù)器的FTP端口（默認(rèn)是21）發(fā)送連接請(qǐng) 求，服務(wù)器接受連接，建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時(shí)，客戶 端在命令鏈路上用PORT命令告訴服務(wù)器：“我打開(kāi)了XXXX端口，你過(guò)來(lái)連接我”。于是服務(wù)器從20端口向客戶端的XXXX端口發(fā)送連接請(qǐng)求，建立一條 數(shù)據(jù)鏈路來(lái)傳送數(shù)據(jù)。
PASV（被動(dòng)）方式的連接過(guò)程是：客戶端向服務(wù)器的FTP端口（默認(rèn)是21）發(fā)送連接請(qǐng) 求，服務(wù)器接受連接，建立一條命令鏈路。當(dāng)需要傳送數(shù)據(jù)時(shí)，服務(wù) 器在命令鏈路上用PASV命令告訴客戶端：“我打開(kāi)了XXXX端口，你過(guò)來(lái)連接我”。于是客戶端向服務(wù)器的XXXX端口發(fā)送連接請(qǐng)求，建立一條數(shù)據(jù)鏈路來(lái) 傳送數(shù)據(jù)。

#allow all ftp incoming connections
iptables -A INPUT -p tcp --dport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

# Enable active ftp transfers
iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED -j ACCEPT

# Enable passive ftp transfers
iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT