Den Fehler macht nicht die Firewall, sondern der
Ftp-Client öffnet ja den Datenkanal erst dann, wenn eine Übertragung stattfindet.
Ich weiß nicht. Mag ja sein, dass irgendwer eine solche Verfahrensweise festgelegt hat. Nur meine Erwartung an eine Firewall ist die, dass ich eine solche Meldung bekomme, wenn eine Anwendung eine solche Verbindung anstößt, unabhäng welches Protokoll und welcher Art. So würde ICH es zumindest erwarten.
Du weißt aber schon, wenn es einen Lichtschalter gibt (und technisch alles einwandfrei ist), dann ändert sich der zustand des Lichts erst beim Betätigen des Schalters und nicht schon, wenn du das Zimmer betrittst.
Der normale "aktive"
FTP-Modus ist halt so, dass der Client den Server auf Port 21 anspricht und mit dem so das eine oder andere verhackstückt (Verzeichnis wechseln, Abfragen ob es Datei xy gibt).
Fordert der Client jetzt eine Datei vom Server an, so öffnet der Client den Port 20 (jetzt wird der Schalter betätigt und das Licht soll angehen) und der Server verbindet sich mit diesem Port vom Client.
Und genau darüber wacht die Firewall, ob irgendwelche Programme Ports nach aussen hin öffnen.
Und weil das (wie du hier ja auch berichtest) zu einem Problem führen kann wurde der "Passive Mode" eingeführt, wo der Client sich eben anders verhält.
Ansonsten würde ich dir (zum besseren Verständnis, was beim
FTP-Vorgang denn da so passiert) die entsprechenden RFCs oder sonstige Dokumentationen zum Thema
FTP empfehlen.