Pour sftp c'est un autre port: 22 car c'est attache au daemon serveur sshd et non a ftpd (ou wu-ftpd, ...).
Pour ouvrir ce port sur le serveur il faut ajouter dans le script de firewall
(si tu fais comme ca) dans le bon endroit une ligne comme:

/sbin/iptables -A INPUT -i $EXTIF -p tcp -s $adresse --dport 22 -j ACCEPT

(une ligne)
ou $EXTIF est le device reseau vers l'exterieur (disons "eth0" si on a une carte reseau, ou "ppp0" si ca passe par ppp) et $adresse est le numero IP du client auquel on souhaite donner un acces au serveur. Ici on peut en principe enlever $EXTIF et/ou $adresse mais ca donnerait acces pour tout device reseau et/ou tous les clients un numero IP quelconque (pas le but d'un firewall).

Avec ca on ouvre l'acces pour les logiciels clients: "ssh", "scp" et "sftp" a la fois, car les trois appellent le meme daemon serveur: "sshd".