"természetesen?" ezt nem értem. akkor mi értelme van a pasv_min|max_ports beállításnak?"
Elsősorban akkor lenne értelme, ha nem lenne előtte NAT. A router megtehetné, hogy ha tudja, megtartja a portszámot, de ezt nem kell garantálnia. Kevés kivételtől eltekintve nincs értelme.
"az az oka, hogy router tűzfalban mindent lezártam, és csak azt a pár portot engedem át, ami feltétlenül szükséges, és így könnyebb tűzfalazni"
Állapottartó tűzfal esetén nincs értelme a passzív kapsolatok portjait külön beengedni, sőt nagyobb lyukat nyit feleslegesen. FTP-nél az egyetlen kontrollcsatornát kell manuálisan átengedni, a többi a tűzfal dolga. Az FTP portforwardja nem csak egy egyszerű TCP NAT.