Доброго дня!

Есть железка с двумя сетевыми портами. Есть задачи построить на ее основе файрволл. Первый порт смотрит во внешку, второй порт смотрит во внутреннюю сеть. На первом порту включен Masquerade. Пользуюсь firewalld, но и iptables можно.

firewall-cmd –permanent –direct –add-rule ipv4 filter INPUT 0 -s 192.168.0.15/32 -j DROP

Блочит доступ к самой железке, однако к тем кто сидит за NAT доступ остается (проброшены порты)

firewall-cmd –permanent –direct –add-rule ipv4 filter FORWARD 0 -s 192.168.0.15/32 -j DROP

Не работает. Как решить?