Pravidlo "drop all from wan" snad zahazuje všechny příchozí pakety z ether1? Mělo by být až na konci, až se zpracujou všechny ostatní pravidla.

Na svým MTK (taky s veřejnou adresou) mám pravidlo:

action=dst-nat chain=dstnat dst-port=22 protocol=tcp to-addresses=192.168.1.9 to-ports=22 in-interface=WAN

action=masquerade chain=srcnat