以下在CentOS6.2測試通過

iptables儲存和重啟操作建議通過service或/etc/init.d/iptables執行

# 儲存配置
service iptables save
# 重啟
service iptables restart

標準埠

vi /etc/sysconfig/iptables-config
# 增加nf_conntrack_ftp， 也有文件ip_conntrack_ftp其實是它的別名
IPTABLES_MODULES="nf_conntrack_ftp"

# 按需設定INPUT/OUTPUT鏈
iptables -A INPUT -m state --state
 
 RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 儲存配置，重啟

自定義埠

如果ftp不是啟動在21埠，nf_conntrack_ftp有ports引數可以用指定埠

在標準埠配置的基本上，增加埠引數

# 增加 
vi /etc/modprobe.d/netfilter.conf
# 指定埠
options nf_conntrack_ftp ports=21,6210

# 重啟iptables

加密方式

nf_conntrack_ftp需要解析協議獲取新開連結的埠，因此加密方式下不能通過nf_conntrack_ftp支援，可以通過埠範圍支援

# 修改ftp被動方式埠範圍
vi /etc/vsftpd.conf
pasv_min_port=9000
pasv_max_port=10000

# 設定INPUT/OUTPUT鏈，指定埠範圍
iptables -A INPUT -m state --state NEW -p tcp --dport 9000:10000 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -p tcp --sport 9000:10000 -j ACCEPT