Jeśli chcesz coś forwardować to potrzebne są następujące regułki, które dodać możesz po uruchomieniu firewalla.
iptables -I FORWARD -p tcp -d $I1 --dport $I2 -j ACCEPT
iptables -t nat -A PREROUTING -i $EXTIF -p tcp --dport $I3 -j DNAT --to $I1:$I2
Powiedzmy, że mam na wewnętrznej maszynie serwer SSH, który chcę z zewnątrz wywoływać na porcie 2222, a oryginalnie działa na porcie 22.
$I1 to docelowy komputer w LAN (w przykładzie to numer IP tego komputera)
$I2 to docelowy port usługi na tym komputerze (tu port 22)
$EXTIF to interfejs zewnętrzny np. eth0 (nie IP)
$I3 to port widoczny na zewnątrz (tu port 2222)
I to wszystko. Jak chcesz firewall cały to już inna bajka