NATを有効化した場合のFTP通信（パッシブモード）において不具合があり調査した結果FortiGateの仕様で判明したことがあるので記載します。

簡単な構成例は下図の通りです。

FTPサーバは公開サーバとしてFortiGateにVirtual IPを設定して宛先をNATする設定にしています。

FTP通信（パッシブモード）は簡単に説明すると下図のようにサーバからデータをやりとりするためのport番号を通知してもらいクライアントはそのport番号でサーバへアクセスします。

ここでFortiGateの仕様によりNAT有効またはVirtual IPを使用している場合はこのport番号もランダムに変換されてしまいます。

もしクライアントとサーバ間でRouterやファイアウォール製品が存在してポート番号で制限している場合は注意が必要です。
ランダムでポート番号を変換されるためTCP1024～65535等のHigtポートを許可する必要があります。

NATの送信元ポート番号の範囲はメーカーのナレッジに公開されています。