Pravidlo "drop all from wan" snad zahazuje všechny příchozí pakety z ether1? Mělo by být až na konci, až se zpracujou všechny ostatní pravidla.
Na svým MTK (taky s veřejnou adresou) mám pravidlo:
action=dst-nat chain=dstnat dst-port=22 protocol=tcp to-addresses=192.168.1.9 to-ports=22 in-interface=WAN
(všimni si že nemám zadanou adresu)a:
action=masquerade chain=srcnat
chodí mi to dobře.