iptables: истина где-то рядом

[aamst]

Здравствуйте, уважаемые убунтоводы!
Не получается сделать тривиальный проброс портов из инета во внутрь. Нужно пробросить tcp 3389, на виндовый комп в локалке для удаленного RDP.
Прикладываю файл скрипта с правилами iptables

Также показываю вывод iptables -L
_____________________________________________________________________
root@Ubuntu2:~# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  192.168.0.0/24       anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:1723
ACCEPT     gre  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2222

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             ws28.int.nacph.ru   tcp dpt:3389
ACCEPT     all  --  192.168.0.0/24       anywhere
ACCEPT     all  --  anywhere             192.168.0.0/24      state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
___________________________________________________________________________


И iptables-save
___________________________________________________________________________
iptables save
Bad argument `save'
Try `iptables -h' or 'iptables --help' for more information.
root@Ubuntu2:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Dec  1 14:19:11 2010
*nat
:PREROUTING ACCEPT [261:48868]
:POSTROUTING ACCEPT [18:1238]
:OUTPUT ACCEPT [18:1238]
-A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.212:3389
-A POSTROUTING -d 192.168.0.212/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 11.11.11.11
COMMIT
# Completed on Wed Dec  1 14:19:11 2010
# Generated by iptables-save v1.4.4 on Wed Dec  1 14:19:11 2010
*filter
:INPUT DROP [59:16378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [755:237079]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A FORWARD -d 192.168.0.212/32 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
__________________________________________________________________________________

Чувствую что истина где-то рядом.  Помогите плиз кто разбирается

[AnrDaemon]

-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.212:3389

-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT

Порядок правил вещь немаловажная.

[aamst]

не догоняю что именно заменить
поменял конфиг. Теперь он такой:
порт по прежнему не пробрасывается.

iptables -F
iptables -F -t nat


iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Разрешаем весь трафик на lo
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем весь трафик в локалке
iptables -A INPUT -i ${IF_INT} -s ${NET_INT} -j ACCEPT

# Разрешаем трафик для PPTP-сервера
iptables -A INPUT -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT

# Открываем ssh
iptables -A INPUT -m tcp -p tcp --dport 2222 -j ACCEPT

#RDP-to_212 НЕ РАБОТАЕТ!
iptables -A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A PREROUTING -d 11.11.11.11/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.212:3389
#iptables -t nat -A PREROUTING -d 11.11.11.11 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.212:3389
#iptables -t nat -A POSTROUTING -d 192.168.0.212 -p tcp -m tcp --dport 3389 -j SNAT --to-source 11.11.11.11
#iptables -A FORWARD -d 192.168.0.212 -p tcp -m tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT


# Разрешаем пересылку пакетов из локальной сети наружу
iptables -A FORWARD -i ${IF_INT} -o ${IF_EXT} -s ${NET_INT} -j ACCEPT

[AnrDaemon]

Заменить полностью цепочки.
Читать https://forum.ubuntu.ru/index.php?topic=99586.0