ISP подменяет порты?

Ага, тут пишут что в случае такого поведения бывает полезно перекинуть ftp на другой порт. http://wiki.filezilla-project.org/Network_Configuration

1) разрешить не только 21 порт, но и 20-ый, его тоже в нате указать
2) добавить nf_conntrack_ftp

Сменил порт и все заработало. Открыл и пробросил для этих целей пачку близлежащих портов, FTP на среднем из них (на всякий случай).

Итак, подытожим.

NAT, за которым был поднят сервер, парсит содержание пакетов FTP-шных портов и меняет IP адрес и порт, сообщаемые клиенту сервером в ответ на команду PASV. Одновременно с этим он, согласно своим правкам ответа сервера, готовится перенаправить входящие пакеты на внутреннюю сеть.

Но после этого до NAT пакеты от клиента не доходили так как резались фаерволом. (я открыл в нем 20333 а не 5001)

Поэтому выход: либо открывать в фаерволе с запасом пачку портов, куда, как ожидается, NAT будет перенаправлять данные с клиента согласно своим правкам (с запасом потому что закономерности в исправлении не наблюдал), причем эти же порты пробросить ручками на ftp сервер внутри сети, либо же ставить ftp на другие порты, чтоб NAT не лез править пакеты (но тогда нужно в настройках ftp-сервера указать адрес который он отдаст клиенту в качестве внешнего — внешний адрес машины с NAT-ом).

ps на винфаке был. Слегка быдло. Линукс тут при своих.

Короче ISP не виноват — все дело в умном ICS.

ps гы я теперь знаю как бампать тему без флуда ;)