vsftpd服務搭建好之後，如果是使用主動模式訪問。那麼啟用iptables只需新增以下規則即可：

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --sport 20 -j ACCEPT

這樣客戶端需要更改為主動模式即可連線成功並可進行資料傳輸。
但是瀏覽器或者ftp連線工具一般預設都是使用pasv方式進行預設連線。為了保證客戶端儘可能簡單設定的原則，那麼需要設定伺服器端能夠支援預設的pasv方式連線。
1、編輯/etc/sysconfig/iptables-config檔案，新增以下兩行：

IPTABLES_MODULES="ip_conntrack_ftp"
IPTABLES_MODULES="ip_nat_ftp"

請一定注意兩行內容的位置關係不要搞反了。如果將"ip_nat_ftp"放到前面是載入不到的。如果你的ftp服務是過路由或者防火牆（即內網對映方式一定需要此模組）。以上等同於在載入iptables之前執行modprobe命令載入"ip_nat_ftp"和"ip_conntrack_ftp"模組。

2、編輯iptables檔案新增如下兩行：

[[email protected] ~]# grep 21 /etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --sport 21 -j ACCEPT

3、檢查iptables檔案是否存在以下行（預設是有的），如沒有則新增；

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4、重啟iptables服務

[[email protected] ~]# service iptables restart
清除防火牆規則： [ 確定 ]
把 chains 設定為 ACCEPT 策略：filter [ 確定 ]
正在解除安裝 Iiptables 模組： [ 確定 ]
應用 iptables 防火牆規則： [ 確定 ]
載入額外 iptables 模組：ip_nat_ftp
 
 [ 確定 ]

可以使用以下命令檢視模組是否載入成功

[[email protected] ~]# lsmod |grep ftp
ip_nat_ftp 8881 0
iptable_nat 27237 1 ip_nat_ftp
ip_conntrack_ftp 76273 1 ip_nat_ftp
ip_conntrack 45957 4 ip_nat_ftp,iptable_nat,ip_conntrack_ftp,ipt_state

以上說明模組載入成功。。

現在就可以使用被動模式連線試試是否成功。

以上修改完成測試沒有問題。使用系統為centos5.5。vsftpd版本2.0.5。。

但是我在rhel4.0的主機上，vsftp版本2.0.1。同樣操作卻提示操作失敗。。最後在vsftpd.conf配置檔案新增以下一句就搞定了。。僅作參考：

[[email protected] ~]# tail -1 /etc/vsftpd/vsftpd.conf
pasv_enable=YES