внешний адрес белый динамический выдаваемый провайдером
М-м-м-м, изините за мою дотошность, но мы здесь уже сталкивались с брызгами слюней, что адрес "белый", а по факту серее не бывает. Просто выдаваемый провайдером адрес не аксиома "белого" адреса.
Так Вы точно уверены, что адрес белый? адрес на Wan_интерфейсе совпадает с адресом выдаваемым тем же 2ip.ru?
Для начала, удалить дублирующиеся правила
Плюсую
и добавить:
пока не мешает
Пользователь решил продолжить мысль 07 Июня 2013, 15:14:57:
А ещё бы я правила
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtuперебросил бы в предназначенную для этого таблицу
mangle