Ich hab mal einen Request an Port 21 deiner WAN-IP geschickt. Als Antwort bekam ich ein Port closed zurück. Das bedeutet das dein System gefunden wurde und es geantwortet hat, nur das hinter dem Port nichts ist, was die Requests entgegen nehmen würde.
Ich hab nun keinen Portscan bei dir gemacht, aber es scheint bis auf Port 80, hinter dem ein Microsoft-IIS-Webserver lauscht, sind alle anderen Ports stealthed.

Das bedeutet:
Dein Problem ist kein Firewall-Problem. Das Problem ist, dass hinter Port 21 nichts ist was die Requests entgegen nehmen könnte.
Hast du vielleicht den Port 21 im Router auf deinen Rechner geroutet? Dadurch wird der Request vielleicht nicht vom FTP-Server des Routers entgegen genommen, sondern eben weitergeleitet.
Das würde auch erklären weshalb du lokal den FTP-Server erreichst weil du dabei ja explizit den Router mit seiner NetzwerkIP ansprichst.

kann aber auch sein das du einen vServer für den Router anlegen musst. Dabei routest du Port 21 auf die NetzwerkIP deines Routers.

Wenn du die Lösung hast, meld dich. Interessiert mich selbst.