Pour les flux entrants sur le port TCP 21, il n'y a aucune différence entre une redirection individuelle par une règle de "Ouverture de port", et une redirection plus massive par la DMZ. Autrement dit, la box va effectuer sur ces flux de commandes le même traitement spécifique au protocole FTP, et les bugs de ce traitement vont avoir l'occasion d'agir. Je n'ai pas essayé, mais je ne pense pas que ça marchera.
Tandis que le mode bridge désactive le NAT, et donc désactive tout traitement spécifique à une application (FTP, SIP, et autres). Le routeur aval reçoit des flux intacts, non modifiés, et peut appliquer ses propres règles de NAT, générales et spécifiques. En espérant qu'elles, elles marchent.