Ipchains и FTP....

FTP работает в двух режимах - нормального канала данных и пассивного В режиме нормального канала данных данные передаются по порту 20. А в режиме пассивного канала данных сервер сам устанавливает соединение с клиентом используя непревелигированные порты поэтому нужно открыть непревелигированные порты на сервере для запросов опять таки с непревелигированных портов в цепочках Input и output. Единственное что можно сделать это поставить проверку на отсутствие флага --syn в цепочке output. Это очень неприятная фича, которая фактически открывает все твои непревелигированные порты, но другого выхода нет. Поэтому надо явно запрещать доступ на сервисы используещие непревелигированные порты ПЕРЕД эти правилом для FTP.