Ao colocar um servidor FTP atrás de um NAT, você não só precisa encaminhar a porta 21 / TCP para o servidor, mas também precisa de um gateway NAT que possua um FTP ALG que suporta servidores FTP atrás do NAT (nota: este é um recurso raro, e raramente anunciado na caixa ou na página de especificações técnicas ou mesmo no manual), e sabe assistir o fluxo de dados de controle FTP para comandos de clientes que indicam que o cliente deseja que o servidor FTP use o modo passivo (onde o servidor FTP inicia a escuta de uma conexão TCP de dados em outra porta, envia esse número para o cliente e aguarda passivamente para o cliente iniciar a conexão TCP de dados para o servidor). O ALG de FTP precisa observar em qual porta o servidor solicitou que o cliente se conecte e, em seguida, criar automaticamente uma entrada de encaminhamento de porta temporária para permitir que essa conexão chegue ao servidor.
Basicamente, o modo Passivo FTP, que é ótimo quando o cliente está por trás de um NAT, é um grande problema quando o servidor está por trás do NAT. Se o seu cliente não estiver por trás de um NAT, diga ao seu cliente para usar o modo FTP "ativo" tradicional, e você não precisa ter um sofisticado "servidor atrás do NAT" FTP ALG no seu gateway NAT. / p>
Outra opção seria tornar seu servidor FTP seu host DMZ (também conhecido como "host padrão", "host bastião"). Como todas as tentativas inesperadas de conexão de entrada são encaminhadas para a DMZ, todas essas conexões TCP de dados FTP de modo passivo passariam automaticamente pelo servidor FTP.