ProFTPd mit TLS

Wie in Artikel Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS) beschrieben ist das Konfigurieren von TLS alles andere als trivial.

Wenn noch eine Firewall hinzukommt wird es dann perfekt:
FTP-Clients bekommen keine Verbindung im Passivmodus (was wohl jeder Verwendet) da der Daten-Port auf dem Server nicht erreichbar ist.
Üblicherweise sollte das iptables-Modul die entsprechenden Ports bei einer FTP-Verbindung öffnen.
Bei einer FTPS-Verbindung kann das Modul den (verschlüsselten) Datenstrom aber nicht mehr lesen und auch entsprechend keine Ports mehr öffnen.

Abhilfe schafft das Vergeben eines fixen Portbereiches, den man statisch auch in der Firewall freischaltet:

Wichtig ist hierbei, dies in der Global-Konfiguration einzutragen. Nach Doku soll es zwar auch im Server- und VirutalHost-Teil gehen, das hatte bei mir aber keien Wirkung gezeigt:
<global>
PassivePorts 49152 49162
AllowOverwrite yes
<limit ALL SITE_CHMOD>
AllowAll
</limit>
</global>

Diese 10 Ports (und damit 10 parallele Client wie ich glaube) müssen noch in der Firewall als TCP-Ports freigegeben!