ファイアウォールでポートレンジを開く必要があるパッシブモードのFTP / SSL？

はい、FTPSにはポートの使用に関して大きな問題があります。ファイアウォールとブラックハットのないネットワーク用に設計されたプロトコルであるFTPの暗号化を改良しました。

ただし、SFTPには 重大なパフォーマンスの問題 があり、ファイルが大きく、レイテンシが長い（または長距離）接続です。そのため、帯域幅の改善により、より大きなファイル転送が可能になるため、SSH/SFTPの制限がより重要になり、FTPSが他の唯一の代替手段となります。

Slacksiteには、FTPが アクティブモードとパッシブモード でどのように動作するかについての適切な説明があり、データ接続動作の決定的な情報は RFC 4217、§7 にあります。

基本的に、クライアントがパッシブモードと明示的なSSLを使用している（たとえば、暗黙のSSLでは990ではなく制御ポート21に接続する）と仮定すると、クライアントの高ポート範囲から制御ポート21と5つのデータポートへの着信接続を許可する必要があります。サーバー、およびそれぞれのポートからランダムなハイポートへの発信確立接続パケット。サーバーはクライアントへの接続をアクティブに開こうとするため、アクティブFTPは通常は良いアイデアではありません。それに応じて構成されていない場合、ほとんどのクライアント側のステートフルファイアウォールでは許可されません。

通常、 explicit "active" FTPSはポート990で、制御ポートは989です。パッシブはアクティブと同じですが、989に加えて、1024以上の範囲でいくつかのポートを使用します。サーバーの構成方法に応じて、サーバー（クライアントがデータ接続を開始するため）。

個人的には、私はNULL FTPサーバーを使用し、ポート22で implicit SFTPを実行し、単一のポートを実装することを好みます。

Wireshark http://www.wireshark.org/ とファイアウォールの外側のホストを使用して、この特定のFTP + SSL構成で使用されているポートを確認します。

表示されるトラフィックに基づいて、FTPサーバーのIPアドレスからのその種のトラフィックを許可するファイアウォールルールを作成します。