ACTIVE MODEでのFTPは 21番で制御、20番でデータ転送をおこなっています。
Server:20 > Client:any
Client:any > Server:21
AWSのSecurityGroupのInbound 20, 21あたりを開けておけば
以下のような設定がされるのかと思っていたのですが、
iptables -A INPUT -p tcp –dport 20 -j ACCEPT
iptables -A INPUT -p tcp –dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 21 -j ACCEPT
OUTBOUNDを塞いでいると、実際は20番でクライアントに送信するところでFWに引っかかります。
そのためOUTBOUNDを制限しない又はPASSIVEを使う必要があるようです。
もっともOUTBOUNDを閉じてFTPを使うケースなんてそうそう無いと思いますが・・・。