vsftpd: с passive mode не залогиниться

Забыл сказать: iptables у них вообще не настроен

Может modprobe ip_conntrack_ftp ports=20,21 и открыть 20 на внешнем фаерволе?

я не понял. так есть там правила iptables или нет. если никаких нет - то не знаю, почему. А вообще-то ipconntrack_ftp нужен для работы ftp-сервера, если левые входящие iptable-ом закрыты. Без него не будет.

Да, как-то не ясно, есть firewall или нет.

Насколько мне известно, для работы через passive нужно открыть портик[ов] выше 1024 у меня настроено вот так:

pasv_min_port=1500
pasv_max_port=1505
pasv_address=192.168.1.110
pasv_enable=YES
pasv_promiscuous=YES # Может в этом дело?

и в iptables -ах (хотя у тебя их и нет :) )
#passive-ftp
-A INPUT -p tcp --dport 21 -j ACCEPT
-A INPUT -p tcp --sport 20 -j ACCEPT
-A INPUT -p tcp --sport 1500 -j ACCEPT
-A INPUT -p tcp --sport 1501 -j ACCEPT
-A INPUT -p tcp --sport 1502 -j ACCEPT
-A INPUT -p tcp --sport 1503 -j ACCEPT
-A INPUT -p tcp --sport 1504 -j ACCEPT
-A INPUT -p tcp --sport 1505 -j ACCEPT
-A INPUT -p tcp --dport 1500 -j ACCEPT
-A INPUT -p tcp --dport 1501 -j ACCEPT
-A INPUT -p tcp --dport 1502 -j ACCEPT
-A INPUT -p tcp --dport 1503 -j ACCEPT
-A INPUT -p tcp --dport 1504 -j ACCEPT
-A INPUT -p tcp --dport 1505 -j ACCEPT

> Насколько мне известно, для работы через passive нужно открыть портик[ов] выше 1024

Таки вы, вероятно, путаете passive и active. =)

По теме: хорошо бы сюда запостить вывод iptables -vL

Если открыт только 21 порт, то работать будет только перекачка со стороны сервера к клиенту в активном режиме, и то только если у клиента файрвол выключен или правильно настроен.

Иначе нужен или ip_conntrack_ftp или открывать диапазон портов и заставлять ftp-сервер работать по этим портам.