Lo he conseguido con las reglas: iptables -A INPUT -p tcp --dport 2121 -j ACCEPT iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 4001:5000 -j ACCEPT y diciendole al proftpd que los puertos pasivos sean del 4001 al 5000. Lo que pasa es que esto me parece bastante inseguro (dejo abierto los puertos). ¿Se puede hacer más seguro? Un saludo.