Basil A. SidorovСмена каталога и выдача листинга не требуют специальной поддержки ftp-протокола со стороны файервола.Да ну?

rfc959
LIST (LIST)

This command causes a list to be sent from the server to the
passive DTP. If the pathname specifies a directory or other
group of files, the server should transfer a list of files
in the specified directory. If the pathname specifies a
file then the server should send current information on the
file. A null argument implies the user's current working or
default directory. The data transfer is over the data
connection in type ASCII or type EBCDIC . (The user must
ensure that the TYPE is appropriately ASCII or EBCDIC).
Since the information on a file may vary widely from system
to system, this information may be hard to use automatically
in a program, but may be quite useful to a human user.

Basil A. SidorovИ сервер и клиент могут использовать не псевдослучайные порты, а конкретный диапазон.
Включая (всего) два стандартных: FTP настолько гибок, что возможности его адаптации ограничены, в основном, возможностями клиента и, особенно, сервера.
Собственно, клиенту достаточно поддержки пассивного режима. Хотя - да, не все умеют.Ой как все запущено то... Вот небольшой ликбез.

Активный режим:
1. клиент подключается к серверу с порта N на 21
2. клиент начинает слушать у себя порт M и посылает серверу команду PORT IP,M
3. сервер подключается с порта 20 на клиентский порт M и шлет данные

Здесь возникают проблемы следующего плана:
1. клиентский порт M может быть закрыт на клиентском брандмауэре (решается через nf_conntrack_ftp на клиентском брандмауэре)
2. клиент может быть за NAT, поэтому IP передаваемый в команде PORT для сервера может быть недоступен (решается через nf_nat_ftp на клиентском брандмауэре)
3. серверу могут заблокировать открывать соединения куда угодно (решается через nf_conntrack_ftp на серверном брандмауэре либо просто разрешаются исходящие соединения)

Пассивный режим:
1. клиент подключается к серверу с порта N на 21 м посылает команду PASV
2. сервер открывает DATA порт и отвечает клиенту куда подключаться: PORT IP,M
3. клиент подключается к DATA порт

Здесь возникают проблемы следующего плана:
1. сервер сам может быть за NAT, поэтому IP,M что он передает нужно перебивать (решается через nf_nat_ftp на серверном брандмауэре)
2. DATA PORT на сервере нужно открывать на брандмауэре (решается через nf_conntrack_ftp на серверном брандмауэре либо просто разрешаются входящие соединения на высокий диапазон портов)


команда LIST предполагает передачу данных через DATA порт, потому утверждение:

Basil A. SidorovСмена каталога и выдача листинга не требуют специальной поддержки ftp-протокола со стороны файервола.суть бред, потому что для передачи данных в ftp поддержка со стороны брендмауэра не требуется только если имеем дело с локальной сетью и все порты открыты, во всех остальных случаях нужно ковырять брендмауэр.

Basil A. SidorovНо я прав в том, что ftp может работать через файервол без специальной поддержки протокола при минимальном открытии портов на ftp-сервере и без открытых портов на ftp-клиенте.Ну давайте справку почитаем, например для ProFtpd:
http://proftpd.org/docs/directives/linked/config_ref_PassivePorts.html The port range selected must be in the non-privileged range (eg. greater than or equal to 1024); it is STRONGLY RECOMMENDED that the chosen range be large enough to handle many simultaneous passive connections (for example, 49152-65534, the IANA-registered ephemeral port range).

"Рекомендуемый" диапазон 49152-65534 как-то мало соответствует концепции "минимального открытия портов", я конечно не в курсе что сейчас делают админы, но году в 2002 я делал примерно так:


и все чудным образом работало без каких-либо дополнительных приседаний

Basil A. Sidorov"Настоятельно рекомендуется достаточно большой, например - эфемерный". Сильно другой смысл, не находите?Во-первых, даже один "просто так" открытый порт на брандмауэре - уже плохо, во-вторых, если бы вы прочитали до конца, то увидели бы, что никакая когерентность с брандмауэром не обеспечивается и в случае войны число пи может достигать 4 и более:
http://proftpd.org/docs/directives/linked/config_ref_PassivePorts.html The server will randomly choose a number from within the specified range until an open port is found. Should no open ports be found within the given range, the server will default to a normal kernel-assigned port, and a message loggedТак что нужно оставить свои фантазии о том, что можно как-то более-менее пристойно сконфигурировать ftp.

Basil A. SidorovЕсли вы спокойно перечитаете RFC 959 , то поймёте, что ftp-сервер может обеспечить приемлемую защиту, даже если файервол не умеет работать с этим протоколом.
Да - ценой ограничения числа одновременных подключений.Давайте конкретные ссылки на параграфы, чтобы не пришлось угадывать что вы там имете ввиду (про LIST вы наверное там же прочитали?), если ваш посыл был про статус 421, то для вас есть сюрприз: корреляции между числом одновременных CMD-соединений и DATA-соединений никакой нет - это раз, открытый порт на брендмауэере - суть возможность повесить атакующему reverse shell - это два.

Basil A. Sidorov стр.9 - диаграмма "трёхсторонней передачи" (пересылка между двумя ftp-серверами).
Файервол ftp-сервера не может ограничивать IP-адрес входящего соединения на порт данных.
Даже если файервол ftp-сервера запрещает межсерверные передачи, но легитимный клиент и атакующий находятся за общим NAT-ом - их IP-адреса будут одинаковы без всяких усилий со стороны атакующего.

Таким образом, ftp не является безопасным протоколом, а "умный" файервол не особо улучшает ситуацию.
Опять не в кассу, то о чем вы пытаетесь рассказать называется FXP ( File eXchange Protocol ), который, внезапно, везде запрещен потому что является дырой: https://en.wikipedia.org/wiki/FTP_bounce_attack

Basil A. SidorovКак пример.
ftp-сервер создаёт некоторое число слушающих сокетов и, по мере надобности, сообщает клиентам параметры свободных для передачи данных сокетов.
Будут эти порты открыты только по необходимости или постоянно - на безопасность системы это слабо влияет.Т.е. вместо того, чтобы прописать одно правило на брендмауэре теперь нужно думать о какой-то невероятной фигне: а какие порты указать (не указал ничего - оно забило все ephemeral ports), а что там нужно в ulimit написать, чтобы смогло побольше портов открыть, а если брендмауэр прикрывает несколько серверов, то вообще песня.

Кровавый ДюшесЯ вообще считаю надроч на файрволл глупостью и продолжением windows-мышления. Там то есть файрвол по именам процессов и сервисов, а у вас, уверен по uid ничего не закрыто. Разработчикам мешает сильно, а толку почти ноль.
Чуть со стула не упал.
Разработчика сетевого сервиса спрашивают: а куда твой сервис вообще подключается и для чего?
- идите в жопу, ваши вопросы мне доставляют неудобства!

Кровавый ДюшесВ мире сложных система разработчик качает NPM и не особо понимает как он внутри работает.Прекратите уже, а то мне придется новый стул покупать. Ваш NPM - это помойка, состоящая из бэкдоров чуть более чем полностью: http://blog.npmjs.org/post/163723642530/crossenv-malware-on-the-npm-registry
это какбы вполне ожидаемо, что js-monkeys, не разбирающиеся в своей вотчине, также не могут разобраться с сетевой инфраструктурой, только не нужно называть это "сложные системы": перечислить нужные tcp-порты - это нифига не rocket science