A tűzfalon a conntrack modulok be vannak töltve.
Régebbi kerneleknél elég volt egy nf_conntrack_helper=1 paraméter az nf_conntrack modulnak, a 6.0-s kerneltől ez megszűnt, a raw táblában kell hozzákapcsolni a CT targettel a megfelelő helpert az adott bejövő/kimenő kapcsolathoz (porthoz).
ftp esetén ez kell neki:
iptables -t raw -A PREROUTING -p tcp --dport ftp -j CT --helper ftp
iptables -t raw -A OUTPUT -p tcp --dport ftp -j CT --helper ftp
pptp-t soha nem használtam, majd kitalálálod, mi kell neki - gyakorlatilag ugyanazok a feltételek, mint amivel be/kiengeded a kapcsolatot.
Amúgy nem teljesen alaptalan a változtatás, a helperek eddig (nyilván) az adott protokoll default portjára bejövő/kimenő kapcsolatokra aktiválódtak csak, így pedig a nem szabványos portokon üzemelő szolgáltatások esetén is működnek.