1、开放20、21端口：
-A INPUT -p tcp -m tcp –dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 21 -j ACCEPT

2、再加上一条规则：
-A INPUT -p tcp –dport 1024: -m state –state ESTABLISHED,RELATED -j ACCEPT
允许连接保持的被动访问。

3、上面还不行的话，再加载FTP额外模块：
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp