Caro,

Coloque esta regra:

ip_net = IP da sua WAN
ip_int = IP de Destino

iptables -t nat -A PREROUTING -s 0/0 -d $ip_net -p tcp --dport 21 -j DNAT --to $ip_int:21

falow..