IPtables - problema acessar servidor FTP

Estou com um script de firewall, bloqueando todas conexoes, quando quero liberar algo uso o mascaramento:

Exemplo para os hosts conseguirem acessar um servidor ftp na web:
iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 21 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p udp --dports 21 -j MASQUERADE

Agora, acessar até acessa mas não lista a pasta acompanhando no Filezila quando vai fazer o LIST, ele trava, acompanhado as conexoes atraves do "iptstate -S 192.168.1.3" pude ver que ele utilizava outras portas TCP para conexão (portas altas), entao para contornar ou mascaro o IP 192.168.1.3 ou mascaro assim:

iptables -t nat -A POSTROUTING -o ppp0 -m multiport -p tcp --dports 1024:65535 -j MASQUERADE
sendo que dessa forma estou liberando todas as portas, e nao queria isso, gostaria de saber o que posso fazer.

Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?
Código :

iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP! ;)

Citação:
Postado originalmente por zenun
Cara porque você não faz mascaramento uma vez só e vai librando o acesso na CHAIN forward e permite que conexões estabelecidas voltem sem problema?
Código :

iptables -t nat -A POSTROUTING -o $wan_if -j MASQUERADE iptables -t filter -A FORWARD -i $wan_if -o $lan_if -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -i $lan_if -o $wan_if -p tcp --dport 21 -j ACCEPT
Claro que para isso ter que ser configurado assim sua chain forward precisa estar com a politica padrão para DROP! ;)
OK Zenun, agradeço, vou analisar isso que você me disse, e depois posto novamente.

nao esqueça

port ftp-data 20