Depende se você estiver usando ftp ativo ou passivo. Aqui está o gráfico de este site que tem uma ótima explicação das diferenças de uma perspectiva de porta:
Active FTP :
command : client >1023 -> server 21
data : client >1023 <- server 20
Passive FTP :
command : client >1023 -> server 21
data : client >1023 -> server >1023
Então:
- FTP ativo - o firewall deve permitir conexões de entrada no TCP / 21 e conexões de saída no TCP > 1023.
- FTP passivo - o firewall deve permitir conexões de entrada no TCP / 21 e TCP > 1023
Se você for usar o FTP passivo, a melhor coisa a fazer é configurar o servidor ftp para usar um intervalo de portas específico (limitado) para o cliente conectar-se ao fluxo de dados e depois abrir esse intervalo no firewall .