Есть Windows Server 2012 R2, на нем поднят Hyper-V с Windows Server 2012 R2 на котором настроен IIS с FTP. Виртуалки находятся в виртуальной сети, порты для FTP на виртуалку пробрасываются с сетевухи хоста на виртуальную сеть стандартным маршрутизатором на хостовой машине, но снаружи нельзя подключиться на FTP виртуалки, пока не отключишь брандмауер на хостовой машине, либо не разрешишь на нем все порты для использования. Как настроить нормальную работу FTP, HTTP работает нормально достаточно только пробросить в маршрутизаторе 80 порт, FTP не работает пока брандмауер не отключишь. Отключать не хочется, и все разрешать тоже нет желания. Подскажите что не так?

Спасибо за совет.
Я так изначально и делал, на маршрутизаторе пробрасывал 21 порт, а потом в брандмауере разрешал входящий на 21 и исходящий 20. Но так не работает, пока не разрешишь входящие 1024-65535, но это слишком много портов, причем если бы у меня FTP был на самой машине, то я бы разрешил их только открывать для FTP, а так как FTP у меня на вирталке, то приходится разрешать эти порты для всех приложений, что по сути тоже самое что отключить брандмауер вообще. Я не понимаю чего он вообще фильтрует именно FTP протокол, если по любым другим протоколам делать проброс, то брандмауер никак их не лочит, так как они его не касаются (идут же на другую машину). Такая проблема только с FTP. даже если на FTP настраивать работу с брандмауером и например назначать порты данных 5000-6000, то разрешая эти порты на хосте, все равно не работает, т.к. хост судя по всему лочит именно канал команд который открывается при коннекте снаружи на 21 порт.

Уточню еще немного.

Интернет - роутер (проброшен 21 порт на сервер) - widows server 2012 R2(хост машина, на ней 21 порт проброшен в виртуальную сеть с виртуалкой) - виртуальная сеть - widows server R2 (на нем поднят IIS web и ftp)

на виртуальной машине вообще ничего настраивать не пришлось, ftp правится сам (для пассивного режима автоматом меняется IP и автоматом открывается для него порт, хз кем), но если на хосте включен брандмауер, то снаружи ничего не видно, если отключить, то все работает.

Судя по тому, что для пассивного режима меняется IP на внешний и правильно открывается порт, кто-то "помогает" и видимо именно ему нужно дать разрешение, вопрос кому?

Проблема решилась, нужно дать разрешение для виндового NAT, который пробрасывает FTP, это именно он меняет IP на внешний и пробрасывает автоматически порт для пассивного режима.

Всем спасибо.