[Comm] HELP! Проброс портов через файрволл с политикой DROP

[=?iso-8859-1?q?Maxim=2ESavrilov_=CE=C1_socenter=2Eru?=]

Здравствуйте!

Есть файрволл, на котором на всех цепочках по-умолчанию политика DROP
Если мне нужно было какой-то сервис открыть, то я дописывал просто
соответствующие правила и все работало.

Но понадобилось пробросить порты с внешнего интерфейса во внутреннюю сетку.

$CLIENT_IP - ip клиента из внешней сети
$SERVER_IP - ip сервера из внутренней сети
$SERVICE - номер порта
$EXT_IF и $INT_IF = внешний и внутр интерфейсы файрволла
$EXT_IP - внешний ip файрволла

$IPTABLES -t nat -A PREROUTING -i $EXT_IF -p tcp -s $CLIENT_IP -d $EXT_IP --dport $SERVICE -j DNAT --to $SERVER_IP:$SERVICE

Такая конструкция работает, если политики выставлены в ACCEPT
При DROP все это обламывается
Пробовал и в FORWARD прописывать

$IPTABLES -A FORWARD -i $INT_IF -o $EXT_IF -p TCP -s $SERVER_IP --sport $SERVICE -j ACCEPT
$IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p TCP -d $SERVER_IP --dport $SERVICE -j ACCEPT

и в INPUT-OUTPUT

$IPTABLES -A INPUT -i $EXT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A INPUT -i $INT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $INT_IF -s $CLIENT_IP -p tcp -m tcp --dport $SERVICE -j ACCEPT
$IPTABLES -A OUTPUT -o $EXT_IF -d $CLIENT_IP -p tcp -m tcp --sport $SERVICE -j ACCEPT


смотрел tcpdump на обоих интерфейсах - вроде все пакеты этими правилами перекрываются
Но все равно не работает.
Ничего не понимаю, помогите разобраться, пожалуйста!

-- 
No matter how subtle the wizard,
a knife in the shoulder blades will seriously cramp his style.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 307 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040903/e599da90/attachment-0003.bin>