关于防火墙拒绝 FTP 被动模式（学艺不精者勿入）

大家好，FTP大家都知道
# T/ {- T% C( R3 L$ n4 s% i环境：IIS 7.0 自带集成的 FTP服务器" |) m& o  L  c7 t% O5 |
  o3 Q; b+ A5 Y) v2 D
1.关闭 window server 2008 高级防火墙，利用IE 操作FTP服务器，ftp://192.168.1.104,利用FLASHFTP软件  主动和被动模式都可以传输（所以  权限问题是没有的）
/ C  E( h; G: D0 J1 _% S% n- {
- r( S5 h9 L5 f/ c
3 J, W( J0 v5 L+ L4 a0 M2.但是开这防火墙，策略里面是允许FTP流量的，但是只能 主动 FTP。
0 h: d6 g* {/ r1 r! a- y6 N2 ]1 G$ J6 ^

# P% [- f5 B9 b问题1：1.是不是 2008高级防火墙有 默认规则没有列在 入站和出站里，导致了握手被拒绝
* P9 F1 N, X: y* H$ w
. `. @& M' w0 n( p1 G6 w利用wireshark 抓包 ，开这防火墙，被动模式是，当服务器 把 数据传输 端口和IP 发送给 客户端的时候，客户端尝试三次TCP握手，但是握手不成功，我猜测肯定是 服务器的防火墙 拒绝了，但是我没有做策略啊。
; i9 t- t4 p, z. T6 n
& r0 S( O: y4 S8 b3 v. u3 P- P8 }# X6 Z2 i0 w
2。FTP服务器 如果是托管在ISP内部，有一个固定的公网IP地址，这样，我们客户端不管是NAT上网还是如何都可以和FTP通信，但是我想请问下：如果FTP服务器是通过NAT 上网的呢，客户端还能通信吗？
7 I* e0 Z& s8 a. d
, W8 ~- W/ n: w! x- ~
% n( y: u4 T3 J3 }  M8 I
8 W; O3 ^9 s& p- I希望大家一起讨论下这个问题，

个人觉得，只要服务器接受2种方式，在网关那里开放ftp的端口，客户端怎么连接都可以！