Как то мне понадобилось чтобы пакеты приходящие на брандмауэр пересылались в локалку на определенный ip на определенный порт. Нужно это было чтобы из вне могли достучаться до моей БД. Теперь хочу сделать наоборот, чтобы пакеты приходящие на брандмауэр с определенного ip с определенного порта выбрасывались наружу.
Я пытаюсь сделать так:

iptables -t nat -A POSTROUTING -d xxx -p tcp --dport PORT -j SNAT --to-source yyy:PORT
iptables -A FORWARD -i eth0 -o ppp0 -s xxx -p tcp --dport PORT -j ACCEPT

здесь xxx - ip локальной машины
      yyy - ip внешний ip брандмауэра
      PORT соответственно порт

Пакета из локалки доходят до FORWARD но не доходят до POSTROUTING.
Уважаемые, помогите разобраться!