iptablesでPassive FTPを通す場合は、以下のようにip_conntrack_ftpとip_nat_ftpのモジュールをロードしますが、FTPのポート番号を変えてるとうまくいかないのでメモ
/etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_ftp ip_nat_ftp"
ip_conntrack_ftpにFTPとして使用するポート番号を与えておけばOKです。
/etc/modules.conf、RHEL6(CentOS6)の場合は/etc/modprobe.d/dist.conf
options ip_conntrack_ftp ports=21,10021
RHEL6(CentOS6)から/etc/modules.confはなくなるので注意です。
<追記>
RHEL7(CentOS7)はFirewalldになるのですが、以下のような感じでOKと思います。
/etc/modprobe.d/nf_conntrack_ftp.conf
options nf_conntrack_ftp ports=21,10021
</追記>