Meu entendimento de FTP sobre SSL (ftps) é que ele não funciona bem com firewalls e NAT. Em uma sessão FTP comum, as informações sobre as conexões de dados são lidas e, para o NAT modificado, pelo firewall para que o firewall abra dinamicamente as portas necessárias. Se essa informação for protegida por SSL, o firewall não poderá lê-lo ou alterá-lo.
O uso do SFTP, ou scp, facilita muito o trabalho do administrador de rede - tudo acontece na porta 22 do servidor e a transação segue o modelo normal de cliente / servidor.
Uma coisa que não é mencionada é se o seu firewall está ou não realizando NAT e se é NAT estático ou dinâmico. Se a sua máquina cliente tiver um endereço estático ou estiver sendo NAT, você pode não precisar fazer nenhuma alteração de firewall, desde que você permita todo o tráfego de saída e o servidor funcione apenas no modo Passivo (PASV).
Para saber exatamente quais portas você precisará abrir, você precisará:
a) converse com o fornecedor para obter detalhes sobre como seu sistema foi configurado.
b) Use um analisador de protocolo, como tcpdump ou wireshark, para analisar o tráfego, tanto de fora do seu firewall quanto dentro do seu firewall
Você precisa descobrir qual porta é a conexão de controle. Você lista 3, o que parece estranho para mim. Supondo que o servidor só funcione no modo PASV (passivo), você precisa descobrir como o servidor está configurado para alocar portas de dados. Eles bloquearam o canal de dados para uma única porta de entrada? Eles bloquearam o canal DATA para um pequeno intervalo ou portas?
Com essas respostas, você pode começar a configurar seu firewall.