Instalé un proftpd y le puse un cortafuegos a dicho servidor. Al instante, nagios reportó que el FTP pinchaba, así que di por terminada la tarea. Sin embargo, a las dos horas un usuario me pregunta si “el ftp está caído”.

Resulta que los puertos pasivos, se comportan de una manera “inesperada”. Una solución común es abrir el rango de puertos que se configuran como pasivos, pero eso no me cuadra.

Por suerte, linux cuenta con un módulo especial llamado ip_conntrack_ftp, especial para el tema.

Si quieres ver más detalles y otras soluciones, llégate aquí:

http://unix.stackexchange.com/questions/93554/iptables-to-allow-incoming-ftp