Ubuntu FTP и SFTP-клиент правила брандмауэра для UFW

Как установить правила брандмауэра на клиентском компьютере, которому требуется доступ к серверам FTP и SFTP?

Политика по умолчанию на компьютере клиента - запрещать все соединения (входящие и исходящие).

Существуют правила (UFW), которые позволяют:

20/tcp                     ALLOW OUT   Anywhere  # FTP Data
21/tcp                     ALLOW OUT   Anywhere  # FTP Command
22                         ALLOW OUT   Anywhere  # SSH, SFTP
990                        ALLOW OUT   Anywhere  # FTPS
989                        ALLOW OUT   Anywhere  # FTPS

это хорошо работает на клиентском компьютере для подключения к FTP/FTPS и аутентификации там, но когда клиент ftp запрашивает список каталогов дерева, возникает ошибка:

Ошибка: не удалось получить список каталогов

Журнал подключений:

Status: Resolving address of xxx.xxx.xxx.xxx
Status: Connecting to 1xx.1xx.2xx.1xx:21...
Status: Connection established, waiting for welcome message...
Status: Initializing TLS...
Status: Verifying certificate...
Status: TLS connection established.
Status: Logged in
Status: Retrieving directory listing...
Command:  PWD
Response:  257 "/" is your current location
Command:  TYPE I
Response:  200 TYPE is now 8-bit binary
Command:  PASV
Response: 227 Entering Passive Mode (1xx,1xx,2xx,1xx,1xx,2xx)
Command:  MLSD
Error:  Connection timed out after 20 seconds of inactivity
Error:  Failed to retrieve directory listing

Если брандмауэр выключен, ошибки нет, поэтому проблема связана с настройкой брандмауэра.

Что нужно добавить как правило (предпочтительно как правило UFW), чтобы активировать брандмауэр с правилом запрета по умолчанию, но разрешающим соединения FTP и SFTP?