iptables で不正アクセスをブロックしている場合、21/tcp, 21/udp を ACCEPT していても、FTP ログインはできてもデータのやりとりができなかったのですが、ip_nat_ftp カーネルモジュールを insmod すれば問題を回避できます。
具体的には /etc/sysconfig/iptables-config に
IPTABLES_MODULES=\”ip_nat_ftp\”
と書いておき、
# /etc/rc.d/init.d/iptables restart
すれば OK。ip_nat_ftp はLAN側からの NAT のみでなく、外からのアクセスにも対応しています。動作原理を考えれば当然なのですが。