Потомучто.... (см. доки)
Аналогичные проблемы и у нас....
мы сделали следующее:
ipchains -A input -s 0.0.0.0/0.0.0.0 20 -d our.gateway.ip/255.255.255.255 1024:65000 -i <our ext interface> -p6 -j ACCEPT
в результате чего мы теперь используем Active FTP через SQUID.
опасно, конечно, но что делать!
закрой при этом все остальные "Опасные" порты из данного диапазона, и дышы глубже.
открывать подобное на forward не рекоммендуем, по причине безопасности и всего такого...
успехов;
SHiFT
это маскарад что ли ?
вообще-то он у меня и с ipfwadm не работал. модуль нужно подгрузить ip_masq_ftp, ну не умеет маскарад за раз два порта обрабатывать.