проверка работоспособности firewall

шли правила .. так трудно че сказать почему не робит .. дет ты переборщил однозначно)

hosts
------------
loc eth0:192.168.0.0/20,172.22.0.0/15,81.x.x.0/25 newnotsyn,tcpflags
net eth0:0.0.0.0/0		newnotsyn,tcpflags

interfaces
------------
-		eth0		81.1.x.x	dhcp
dup		ppp0		-

policy
------------
fw			all			ACCEPT
loc			fw			DROP		info
net			fw			DROP		info
dup			fw			DROP		info
all			all			REJECT		info 

rules
------------
AllowSSH	net		fw		
ACCEPT		loc		fw			udp		route	-			-		-			2/sec:10
ACCEPT		loc		fw			udp		5001
ACCEPT		loc		fw			tcp		5001
AllowFTP	loc		fw
ACCEPT		loc		fw			tcp		15000:15500

shorewall.conf
------------
LOGFILE=/var/log/messages
LOGFORMAT="fp=%s:%d a=%s "
LOGRATE=10/minute
LOGBURST=5
BLACKLIST_LOGLEVEL=
LOGNEWNOTSYN=info
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
RFC1918_LOG_LEVEL=info
SMURF_LOG_LEVEL=info
BOGON_LOG_LEVEL=info
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
SHOREWALL_SHELL=/bin/sh
SUBSYSLOCK=""
STATEDIR=/var/lib/shorewall
MODULESDIR=
CONFIG_PATH=/etc/shorewall:/usr/share/shorewall
RESTOREFILE=
FW=fw
IP_FORWARDING=Off
ADD_IP_ALIASES=no
ADD_SNAT_ALIASES=No
TC_ENABLED=No
CLEAR_TC=Yes
MARK_IN_FORWARD_CHAIN=No
CLAMPMSS=No
ROUTE_FILTER=No
DETECT_DNAT_IPADDRS=No
MUTEX_TIMEOUT=60
NEWNOTSYN=Yes

Проблема в том, что все ftp drop-аются, как будто они из net, а не из loc, а ssh --- работает, т.е. правила для net обрабатываются первыми. Пытался юзать политику CONTINUЕ для loc\net не помогает :\

ни коды ни юзал shorewall по мне проще с iptablesэами робить

Пробежавшись про документации мне каежтся что у тебя что то с AllowFTP
он у тебя точно такой?

#TARGET SOURCE DEST PROTO DEST SOURCE RATE USER/
# PORT PORT(S) LIMIT GROUP
ACCEPT:info - - tcp 21
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE