FTPセッションを確立する際にactiveモードではポート21番をコントロールセッション、20番をデータセッションに使用します。
これらのポート番号をもつトラフィックが許可されていなければ、ルータを経由するFTPセッションは失敗してしまいます。
以下のACLを使用することでこの状況を回避することができます。
access-list 101 permit tcp any any eq 21
!--- 任意のIPアドレスのポート21番へのTCPトラフィックを許可
access-list 101 permit tcp any eq 20 any
!--- 任意のIPアドレスに対するポート20番からのTCPトラフィックを許可
一方、FTPセッションを拒否する場合にはポート21番のTCPトラフィックをdenyします。これはコントロールセッションがFTPサーバに対して届かないようにすればデータセッションは開始されないのでポート20番までdenyする必要はないからです。
以下のACLによってFTPセッションをdenyできます。
access-list 101 deny tcp any any eq 21