Alguns protocolos não se dão muito bem com NAT. Para cada um destes protocolos, duas extensões tiveram de ser escritas; uma para o acompanhamento do protocolo, e a outra para o atual NAT.
Dentro da distribuição do netfilter, há atualmente módulos para ftp: ip_conntrack_ftp.o e ip_nat_ftp.o. Se você carregar esses módulos para dentro de seu kernel (ou compilá-los permanentemente), qualquer tipo de NAT em conexões FTP deve funcionar. Se não funcionar, você só pode utilizar ftp passivo, e talvez nem isso funcione de forma confiável se você está fazendo mais que um simples Source NAT.