２つのＩＤＣ間でのＦＴＰ転送で問題発生。

クライアント(C) と FTP サーバ(S)がありますよね。その際に 　21/tcp(FTP) は C -> S で接続が開始されるのですが、FTP-DATA は逆なんです。 　20/tcp(FTP-DATA) は S -> C そのため、FTP-DATA だけは他の TCP のサービスと逆のルールを書かないと繋がりません。例えば 　pass in tcp from any to any port = ftp flags S/SA が 21/tcp(FTP) なら、20/tcp(FTP-DATA) は 　pass out tcp from any port = ftp-data to any flags S/SA みたいに『サーバの 20/tcp 』から『out』(出て行く)と設定する必要があります。FTP はファイアウォール泣かせなサービスなんですよ ^^;)。 ちなみに PASSIVE だと 21/tcp(FTP) と例えば 5000～6000/tcp(PASSIVE 用)共に『in』(入ってくる)設定もできますが、FTP サーバとルータ双方で設定が必要になりますのでこれまた面倒です。 ルータによっては FTP プロキシ機能が搭載されていて PASSIVE/ACTIVE 共に上手く処理してくれる場合があります。多分エッジ(?)から上手くいくのはこの機能のおかげかもしれません。 あと余計なお世話かもしれませんが、iDC 間でデータのやり取りをされるということはデータの自動転送を検討されているのではないでしょうか。その場合、FTP よりも SFTP や SCP（いずれも SSH ですが）の利用をオススメします。安全性などの面でも、FTP より優れてますからね。