vsftp за NAT

NAT какой? DNAT/SNAT? Как 21 порт прокинут ша шлюз? 

lsmod | fgrep conntrack (nf_conntrack_ftp/ip_conntrack_ftp)
lsmod | fgrep nat (nf_nat_ftp/ip_nat_ftp)
lsmod | fgrep capability (нужен для vsftpd)
iptables -t nat -L
iptables -L (на предмет политики для RELATED соединений)

Поправка

Модуль capability нужен на ftp-сервере с vsftpd, а не на гейте, т.ч. это лишнее.

DNAT прокинуты 20 и 21 порты Почему работает в активном режими, а впассивном не хочет?

> DNAT прокинуты 20 и 21 порты

20 порт нужен только для работы в активном режиме.

> Почему работает в активном режими, а впассивном не хочет?

Потому, что в активном режиме у тебя 20 порт уже проброшен на шлюз, а для пассивного режима нужно, что бы трассировщик iptables на шлюзе пропускал RELATED ftp соединения в локалку к ftp-серверу. Либо в правилах не предусмотрено правило ACCEPT для RELATED пакетов, либо iptables это правило игнорирует из-за того, что не загружены соответствующие модули.

с модулями все в порядке, а вот по поводу ACCEPT для RELATED можно поподробнее?

Политика FORWARD в *filter не должна противоречить правилу

FORWARD -d $FTP_SRV_IP -m tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Если на пальцах, то iptables (при наличии соответствующих модулей) распознает относящиеся (related) к уже установленным фтп соединениям запросы на соединения и транслирует их в локалку, если они нигде не попадают под REJECT/DROP. Тут смотреть надо на правила и на наличие модулей в ядре.

P.S: Если у тебя в цепочке filter указано Chain FORWARD (policy ACCEPT)

и например, дропаются все NEW,INVALID соединения на внешнем интерфейсе и больше ничего нет или просто пусто, то все RELATED-соединения автоматически попадают под ACCEPT и ничего дополнительно прописывать не нужно.