FTPセッションを確立する際にactiveモードではポート21番をコントロールセッション、20番をデータセッションに使用します。

これらのポート番号をもつトラフィックが許可されていなければ、ルータを経由するFTPセッションは失敗してしまいます。

以下のACLを使用することでこの状況を回避することができます。

access-list 101 permit tcp any any eq 21  
!--- 任意のIPアドレスのポート21番へのTCPトラフィックを許可

access-list 101 permit tcp any eq 20 any
!--- 任意のIPアドレスに対するポート20番からのTCPトラフィックを許可

一方、FTPセッションを拒否する場合にはポート21番のTCPトラフィックをdenyします。これはコントロールセッションがFTPサーバに対して届かないようにすればデータセッションは開始されないのでポート20番までdenyする必要はないからです。

以下のACLによってFTPセッションをdenyできます。

access-list 101 deny tcp any any eq 21