[NAT] Помогите настроить iptables

iptables -t nat -A POSTROUTING -i eth0 -s $IP_eth0 -p tcp -m multiport --dports 21,3306,1024 -j SNAT --to-source $IP_eth1

что то типа этого, только с синтаксисом траблы могут быть, давно не писал правила.... Суть такая, что запросы на порты 21,3306,1024 с $IP_eth0 будут уходить на прямую в инет. Такое правило добавляешь для каждого $IP_eth0, или можно сразу подсетями выпускать...

Он ругается на ключик -i вместе с POSTROUTING.
Получилось такое правило (им я хочу разрешить машине с внутренним IP 192.168.0.22 подключаться к портам 22,3306 и 1024 внешних машин, а 87.103.134.45 это внешний адрес моего внешнего интерфейса):
-A POSTROUTING -s 192.168.0.6 -p tcp -m multiport --dports 22,3306,1024 -j SNAT --to-source 87.103.134.45
Но оно не работает.

Ещё забыл сказать, что у меня DNS работает на другой машине (скорее всего проблема в этом).

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -s 192.168.0.22 -p tcp -m multiport --dports 22,3306,1024 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.22 -p tcp -m multiport --dports 22,3306,1024 -j SNAT --to-source 87.103.134.45

>echo "1" > /proc/sys/net/ipv4/ip_forward 

Правильней (элегантней) ИМХО:

$ sudo echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
$ sudo sysctrl net.ipv4.ip_forward=1

да, все верно, ключ -i используется для PREROUTING, сдесь он не нужен.

sysctl -w bla.bla.bla

В том варианте, что я написал, заработает =)))))))