Здається знайшов причину, хоча й зовсім заплутався.
Якщо дозволити в ufw усі інтерфейси (ufw allow ftp або ufw allow 21/tcp) то тоді конект проходить. Але мене збиває з толку цей лог, я ще досі не впевнений що ранж працює бо жоден з них (SPT і DPT) не відповідає моєму пресету 10000:10100 може це просто випадковість, хз як перевірити пасивний порт.
2025-09-17T18:40:16.168572+03:00 orangepipcplus kernel: [43283.734112] [UFW BLOCK] IN=yggdrasil OUT= MAC= SRC=0200:xx DST=0302:xx LEN=68 TC=4 HOPLIMIT=64 FLOWLBL=447103 PROTO=UDP SPT=45593 DPT=4240 LEN=28
2025-09-17T18:40:16.168585+03:00 orangepipcplus kernel: [43283.734491] [UFW BLOCK] IN=yggdrasil OUT= MAC= SRC=0200:xx DST=0302:xx LEN=68 TC=4 HOPLIMIT=64 FLOWLBL=447103 PROTO=UDP SPT=45593 DPT=4240 LEN=28
2025-09-17T18:40:16.188468+03:00 orangepipcplus kernel: [43283.752758] [UFW BLOCK] IN=yggdrasil OUT= MAC= SRC=0200:xx DST=0302:xx LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=23631 PROTO=TCP SPT=35829 DPT=4240 WINDOW=65475 RES=0x00 SYN URGP=0
Взагалі ще більше ускладнює розуміння ще моя спроба пустити допотопний vsftpd на сучасних мережах IPv6. Я тут намагаюсь зробити сервер доступним для Yggdrasil + Mycelium + ще якоїсь, таким чином пускаю на :: а той - біндить на рандомному інтерфейсі і шле запити то ygg то myc.. це вже не вперше я забуваю про цей момент.
Коротше рішення ufw allow ftp вирішує мою проблему, але я не можу дозволити явно
ufw allow from 0200::/7 port 21 proto tcp
ufw allow from 0400::/7 port 21 proto tcp
можливо протокол FTP шле якось через локальний міст а той не в списку. Тому мабуть дозволю 21, 22 і 10000:10100 звідусіль і ну його в баню, хоч і цікаво було б зробити більш жорсткі правила.