máš to tam popsané.
Problémem je to, že:
1. přes MT se to proroutuje (takže NAPŘED se routuje a teprve PAK by se aplikovalo pravidlo, což je nesmysl). Musel bys mít další pravidlo na LAN straně, které by chytalo pakety ještě předtím, než by byly proroutovány
2. to ale má za následek to, že klientovi odpoví jiná IP, než posílal paket, takže takovou odpověď zahodí - viz ten link co jsem ti posílal, takže musíš ještě zařídit, aby to šlo vždy přes MT.