AWSでACTIVEMODEでのFTPでOUTBOUNDに制限を加えるとデータ転送できない件について

ACTIVE MODEでのFTPは 21番で制御、20番でデータ転送をおこなっています。

Server:20 > Client:any
Client:any > Server:21

AWSのSecurityGroupのInbound 20, 21あたりを開けておけば
以下のような設定がされるのかと思っていたのですが、

iptables -A INPUT -p tcp –dport 20 -j ACCEPT
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 21 -j ACCEPT

OUTBOUNDを塞いでいると、実際は20番でクライアントに送信するところでFWに引っかかります。
そのためOUTBOUNDを制限しない又はPASSIVEを使う必要があるようです。

もっともOUTBOUNDを閉じてFTPを使うケースなんてそうそう無いと思いますが・・・。