Uno de los escenarios que se puede presentar es el de conectarse desde dentro de la red a un servidor FTP externo pasando a través de un servidor Microsoft Forefront Threat Management Gateway TMG 2010. En este entorno, si está publicada la regla de tráfico FTP debería poderse realizar la conexión sin ninguna incidencia. Sin embargo, en algunos entornos puede obtenerse el mensaje de Error 502 que dice "Active FTP not allowed", tal y como se ve en la Figura 1.


Figura 1: Error 502 Active FTP not Allowed

Este mensaje de error es bastante claro. Por defecto, las reglas de conexión a servidores FTP se hacen siempre utilizando las conexiones pasivas, es decir, no se permite el tráfico de conexiónes activas para proteger la seguridad de los clientes ya que, en el modo PASIVO, la transmisión de datos es comenzada por el cliente, mientras que en el modo ACTIVO, esta conexión de transferencia de datos es iniciada por el servidor. El uso de FTP pasivo es, no sólo más seguro, sino que además encaja más con las arquitecturas Firewall/NAT.

Si embargo, algunos clientes, como el ftp.exe de Windows, no soportan el uso de conexiones con modo PASIVO, por lo que se puede obtener ese mensaje de error. Para configurar el uso de conexiones en modo ACTIVO se deben habilitar en el filtro FTP, tal y como se ve en la figura2.


Figura 2: Permitir FTP en modo Activo

No obstante, se recomienda no hacer uso de esta propiedad salvo que el cliente no soporte el modo PASIVO y no haya posibilidad de sustituir dicho cliente.

Tines más información sobre este problema en el blog de Yuri Diogenes y en el de Richard Hicks.