Как разрешить только ftp при ipchains -P forward DENY?

Есть сервер с внешним IP адресом RedHat 6.2. Вторая карта 192.168.x.1 ftp c виндовской машины в локальной сети Если forward ACCEPT виснет при команде open ftp... (ping на ftp-сервер не проходит) Если forward MASQ даю команду dir 500 Illegal PORT Command 425 Can't build data connection: Connection refused. Даю команду на сервере modprobe ip_masq_ftp только одна строчка 425 Can't build data connection: Connection refused. (ping на ftp-сервер проходит) Даю команду ipchains -P forward DENY виснет при команде open ftp... Пытаюсь разрешить только ftp Даю команду ipchains -I forward -p tcp -s 192.168.x.0/255.255.255.0 -d 0/0 ftp -j ACCEPT - виснет ipchains -I forward -p tcp -s 192.168.x.0/255.255.255.0 -d 0/0 ftp -j MASQ Такая же фигня, как если ipchains -P forward MASQ. При этом во всех вариантах Squid на нашем сервере пускает на http и не пускает на ftp. Чужой прокси-сервер пускает на ftp - значит можно как-то разрешить на нем ftp, а как сделать хотя бы это? А еще лучше разрешить ftp через командную строку windows. Почему он не хочет работать с маскарадингом, в то время как smtp и pop3 - работают и только через него, а не через ACCEPT. Network packet forwarding, естественно, разрешен. При этом, как вариант, можно ли сделать так, чтобы обычный маршрутизатор пропускал через себя все ping, а не толко те, которые прописаны в таблице маршрутизации на других машинах. Чтобы потом попробовать сделать IP forward DENY, а для ftp попробовать сделать ACCEPT.