Problem with passive FTP

I'm having trouble with passive FTP through my ASG v7.007 box.  It's running bridged mode, so no masquerading or DNAT/SNAT to complicate things.  The initial connection goes fine, but when the client issues a PASV command, it all turns sour.  The client receives no further communication from the server, and eventually the connection times out.  At the same time, the Packet Filter log shows (several instances of) the following:

21:40:13  TCP  192.168.0.4:21 → 192.168.0.3:2107 [ACKPSH ] len=88 ttl=128 tos=0x00

192.168.0.4 is the FTP server; .3 is my client.  These lines are grey; what does that signify?

If I turn off passive mode, then it all works perfectly, and the above line is replaced by the following green one:

21:51:32  Packetfilter rule #10  TCP 192.168.0.3:3098 → 192.168.0.4:21 [ACKPSH ] len=46 ttl=128 tos=0x00 srcmac=00:09:5b:xx:yy:zz dstmac=00:90:27:xx:yy:zz

I've tried adding a rule to allow traffic from 192.168.0.4:20or21 to any, but to no effect.

Surely there must be a way to allow passive FTP through ASG?  I can use active mode internally, but some remote clients have to use passive due to their own firewalls.

This thread was automatically locked due to age.