Az egyik, amit látok: a FORWARD szabályok az internet --> VM irányt engedik, de a válasz csomagok VM --> internet irányba közlekednek. Azzal mi van? (Gyanítom, a VM az alapgépen keresztül "kap netet", így a VM --> internet irány ott engedélyezett, de logikailag ide is tartozik.)
A másik dolog, hogy a 20-as port az ftp-data, ami azért hangsúlyos, mert ebben az esetben fordítva működik a kapcsolat. Tehát ha aktív módban vagy, akkor a szerver hív ki a kliens felé és ekkor a szerver forrásportja lesz a 20/tcp, de ebből adódóan azt nem beengedni kell, hanem kiengedni mint forrásport és ennek megfelelően nem a PREROUTING ágon kell portforwarddal betolni a VM felé, hanem POSTROUTING ágon kiengedni a net felé, de MASQUERADE targettel.
Amit pontosítanék: melyik csatlakozásról beszélünk? Tehát ha jó a tippem, akkor a 21/tcp parancscsatorna minden esetben jól felépül és működik, de az adatcsatorna nem. ftp kliensen debug mód: milyen parancsokat küldött, milyen válaszokat kapott? ftp server tuti jól van konfigva, biztos felveszi a passziv port konfigot?
Érdeklődni szeretnék továbbá, hogy a conntrack_ftp és társai mennyire tűnik ördögtől valónak? Csak mert ha a 21-es parancscsatorna forgalma nem titkosított, akkor ezen modulok elemzik a forgalmat és automatikusan biztosítják az adatcsatorna felépüléséhez szükséges beállításokat. Jól belőtt contrack modulokkal elég a 21-es portot betolni a VM felé, a többire ekkor nem lesz szükség.