[Telepuzik]

vagner_HATE
По этому правилу:

Цитата:

$IPTABLES -A INPUT -p tcp -s $FTP_SERVER --sport 20:21 -j ACCEPT (то есть разрешаю входящие пакеты с 20 и 21 порта ftp-ка)

должен работать ftp-клиент только с самого маршрутизатора.
Транзитные пакеты идущие от клиентов за маршрутизатором не попадают в цепочки INPUT и OUTPUT, необходимо использовать цепочку FORWARD. Должно быть что-то типа этого:
$IPTABLES -A FORWARD -p tcp -s $FTP_SERVER --sport 20:21 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -d $FTP_SERVER --dport 20:21 -j ACCEPT