Estoy lidiando con un problema cuando trato de conectarme a un ftp me falla la conexion y al ver un netstat veo paquetes syn hacia la ip del servidor pero con puertos de 60000 en adelante y en mi firewall tengo bloqueado todos los puertos del 3000 en adelante lo que quisiera ver es como puedo hacer una regla que permita conexiones establecidas por el puerto 21 y al regresar a la estacion el firewall las deje pasar, pero esas reglas de iptables cuando vienen con -m state NEW, ESTABLISHED las veo en chino aun no soy muy experto en protocolos tcp y buscando en ejemplos lo unico que he logrado es hacer que todos puedan conectarse con p2p cuando lo unico que deseo es que el forward me deje pasar cualquier conexion establecida del puerto 21 y la deje pasar cuando venga con otro puerto superior al 21 pero no doy con el clavo, alguien tiene un ejemplo de una regla parecida o alguna sugerencia, gracias por tomarse el tiempo en este post.

los ejemplos que he visto hablan de cuando el servidor que da ftp es pasivo lo que yo deseo es que mi firewall linux deje pasar a las estaciones de la lan hacia ftp de servidores remotos.