Grosso modo, le mode actif va utiliser deux ports fixes : le 21 pour les commandes et le 20 pour les données.
En mode passif, tu utilises le 21 pour les commandes donc il se doit d'être ouvert, et pour le transfert des données un random port sans privilège (compris entre 1024 et 65535).
Donc dans tous les cas, authorise les connexions vers le port 20,21 et les ports sans privilège*.
* pour ce point-là, tu peux théoriquement paramétrer ton serveur FTP pour qu'il n'utilise qu'un range de port que tu définiras, par exemple tu lui dis de communiquer via les ports compris entre 2000 et 2050, ça t'évites de tout ouvrir entre 1024 et 65535