понял, что запутался в цепочках. писал input, а надо было forward. насколько, вообще, вострабованы цепочки input & output в роутере? ведь, ему самому почти ничего не предназначется из трафика?
...
Таблица 3-1. Порядок движения транзитных пакетов
...
Не используйте цепочку INPUT для фильтрации транзитных пакетов, они туда просто не попадают! Через эту цепочку движутся только те пакеты, которые предназначены данному хосту!
...
Таблица 3-2. Для локального приложения
...
mangle (INPUT) - Пакет попадает в цепочку INPUT таблицы mangle. Здесь внесятся изменения в заголовок пакета перед тем как он будет передан локальному приложению.
filter (INPUT) - Здесь производится фильтрация входящего трафика. Помните, что все входящие пакеты, адресованные нам, проходят через эту цепочку, независимо от того с какого интерфейса они поступили.
...
Таблица 3-3. От локальных процессов
...
mangle (OUTPUT) - Здесь производится внесение изменений в заголовок пакета. Выполнение фильтрации в этой цепочке может иметь негативные последствия.
nat (OUTPUT) - Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов брандмауэра.
Filter (OUTPUT) - Здесь фильтруется исходящий траффик.
...