Niektóre protokoły nie lubią być poddawane NAT. Dla każdego z tych protokołów muszą zostać napisane dwa rozszerzenia: jedno dla śledzenia połączeń samego protokołu, drugie dla wykonania na nim NAT.
W dystrybucji netfilter znajdują się aktualnie moduły dla ftp:
ip_conntrack_ftp.o i ip_nat_ftp.o. Możesz użyć
insmod by dołączyć je do kernela (lub skompilować na
stałe) i od tego momentu połączenia ftp przez NAT powinny działać
poprawnie. Jeśli tego nie zrobisz, będziesz mógł używać tylko
pasywnego ftp, a nawet wtedy mogą wystąpić problemy jeśli
wykonujesz coś więcej niż tylko prosy SNAT.