Tak jinak - server dělá NAT, z něj a na něm FTP funguje. Kde nefunguje je klient → ven.
Celý problém je, že FTP protokol komunikuje aktivně na obě strany - klient se připojí na portu 21, ověří se, popovídá si se serverem a řekne, že něco chce. A teď nastává problém, protože server se chce připojit na port klienta a data mu poslat. Pasivní režim oproti tomu znamená, že klient serveru řekne, že je looser, co nemá vlastní veřejnou IP, server odpoví, že ok, jsi looser, data máš na portu tom a tom.
Zmiňované moduly natáhni na serveru, který dělá NAT. Starají se o to, že pokud rozpoznají FTP přenos, "poslouchají" komunikaci a ve chvíli, kdy klient vystaví port pro příjem dat, daný port směrem zvenku forwardují, takže komunikace funuguje přesně tak, jako by klient měl veřejnou IP.
Tedy za předpokladu, že je toto problém. Síťovka špatná nebude, to by to nefungovalo ani ze serveru a vůbec by byly chyby v syslogu.