Depende de qual extremidade o firewall está ativado. Se estiver na máquina cliente, geralmente é possível permitir apenas as conexões feitas pelo aplicativo cliente FTP.
Se o firewall estiver em outro lugar, você terá que abrir manualmente as portas usadas - alguns servidores FTP permitem especificar um intervalo de portas a serem usadas para transferências de dados em modo passivo (o mesmo para clientes FTP quando em modo ativo) abrir; por exemplo, 50000-50100. Além disso, não há uma maneira sã de o FTPS trabalhar atrás de um firewall.
(Existem proxies / firewalls de FTP que descriptografam o fluxo TLS (essencialmente executando um man-in-the -middle ataque ) para bisbilhotar os comandos FTP PORT / PASV, mas eu pessoalmente tenho um strong desgosto por esses.)