>>$IPTABLES -t nat -A PREROUTING -i $EXT -p TCP --dport 22
-m state --state NEW -j DNAT --to 192.168.0.2:22
Yo quitaría el "-m state --state NEW". Lo pondría en las reglas del FORWARD. Pera claro, estás aceptando todo, ¿no? Yo pondría por defecto todo a DROP y habilitaría las salidas y entradas que quiero, controlando quién abre la conexión y mirando paquetes mal formados. Pero sobre gustos... Pues eso. Suerte. CARLOS.