Wanneer je DMZ (1:1 NAT) gebruikt, worden inkomende verbindingen op de WAN-interface direct doorgezet naar de destination host, daardoor is port forwarding niet meer nodig voor die host.
Bij (passive) FTP wordt poort 21 alleen gebruikt voor de eerste verbinding naar de server, er is ook een reeks poorten die wordt gebruikt om daadwerkelijk data over te verzenden, daarvoor moet je dus ook een regel aanmaken voor port forwarding. Ik gebruikte destijds de reeks 2101 t/m 2105, maar maak inmiddels enkel nog gebruik van SSH op mijn Linux-server, waarbij alles via poort 22 verloopt.
Verder kun je het beste UPnP uitschakelen op de modemrouter en de firewall-instellingen zo aanpassen dat alleen Firewall beveiliging is ingeschakeld voor IPv4 en (indien beschikbaar) IPv6. Port forwarding heeft overigens alleen betrekking op IPv4.