Это зависит от того, на каком конце включен брандмауэр. Если он находится на клиентском компьютере, обычно можно просто разрешить любые подключения, сделанные клиентским приложением FTP.
Если брандмауэр находится где-то еще, вам придется вручную открывать используемые порты - некоторые FTP-серверы позволяют указывать диапазон портов, используемых для передачи данных в пассивном режиме (то же самое для FTP-клиентов в активном режиме), которые вы можете открыть; например, 50000-50100. Кроме этого, FTPS не может работать за брандмауэром.
(Существуют прокси-серверы / брандмауэры FTP, которые дешифруют поток TLS (по сути, выполняя атаку «человек посередине» ) для отслеживания команд FTP PORT / PASV, но мне лично это очень не нравится.)