Basil A. SidorovСмена каталога и выдача листинга не требуют специальной поддержки ftp-протокола со стороны файервола.Да ну?

rfc959
LIST (LIST)

This command causes a list to be sent from the server to the
passive DTP. If the pathname specifies a directory or other
group of files, the server should transfer a list of files
in the specified directory. If the pathname specifies a
file then the server should send current information on the
file. A null argument implies the user's current working or
default directory. The data transfer is over the data
connection in type ASCII or type EBCDIC . (The user must
ensure that the TYPE is appropriately ASCII or EBCDIC).
Since the information on a file may vary widely from system
to system, this information may be hard to use automatically
in a program, but may be quite useful to a human user.

Basil A. SidorovИ сервер и клиент могут использовать не псевдослучайные порты, а конкретный диапазон.
Включая (всего) два стандартных: FTP настолько гибок, что возможности его адаптации ограничены, в основном, возможностями клиента и, особенно, сервера.
Собственно, клиенту достаточно поддержки пассивного режима. Хотя - да, не все умеют.Ой как все запущено то... Вот небольшой ликбез.

Активный режим:
1. клиент подключается к серверу с порта N на 21
2. клиент начинает слушать у себя порт M и посылает серверу команду PORT IP,M
3. сервер подключается с порта 20 на клиентский порт M и шлет данные

Здесь возникают проблемы следующего плана:
1. клиентский порт M может быть закрыт на клиентском брандмауэре (решается через nf_conntrack_ftp на клиентском брандмауэре)
2. клиент может быть за NAT, поэтому IP передаваемый в команде PORT для сервера может быть недоступен (решается через nf_nat_ftp на клиентском брандмауэре)
3. серверу могут заблокировать открывать соединения куда угодно (решается через nf_conntrack_ftp на серверном брандмауэре либо просто разрешаются исходящие соединения)

Пассивный режим:
1. клиент подключается к серверу с порта N на 21 м посылает команду PASV
2. сервер открывает DATA порт и отвечает клиенту куда подключаться: PORT IP,M
3. клиент подключается к DATA порт

Здесь возникают проблемы следующего плана:
1. сервер сам может быть за NAT, поэтому IP,M что он передает нужно перебивать (решается через nf_nat_ftp на серверном брандмауэре)
2. DATA PORT на сервере нужно открывать на брандмауэре (решается через nf_conntrack_ftp на серверном брандмауэре либо просто разрешаются входящие соединения на высокий диапазон портов)


команда LIST предполагает передачу данных через DATA порт, потому утверждение:

Basil A. SidorovСмена каталога и выдача листинга не требуют специальной поддержки ftp-протокола со стороны файервола.суть бред, потому что для передачи данных в ftp поддержка со стороны брендмауэра не требуется только если имеем дело с локальной сетью и все порты открыты, во всех остальных случаях нужно ковырять брендмауэр.

Basil A. SidorovНо я прав в том, что ftp может работать через файервол без специальной поддержки протокола при минимальном открытии портов на ftp-сервере и без открытых портов на ftp-клиенте.Ну давайте справку почитаем, например для ProFtpd:
http://proftpd.org/docs/directives/linked/config_ref_PassivePorts.html The port range selected must be in the non-privileged range (eg. greater than or equal to 1024); it is STRONGLY RECOMMENDED that the chosen range be large enough to handle many simultaneous passive connections (for example, 49152-65534, the IANA-registered ephemeral port range).

"Рекомендуемый" диапазон 49152-65534 как-то мало соответствует концепции "минимального открытия портов", я конечно не в курсе что сейчас делают админы, но году в 2002 я делал примерно так:


и все чудным образом работало без каких-либо дополнительных приседаний