iptables port forward 0

Есть gprs router, за которым стоит машина с ftp. Нужно получить доступ из вне.

делаю:

# iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 2121 -j DNAT --to-destination 192.168.1.10:21
# iptables -A FORWARD -i ppp0 -p tcp --dport 21 -j ACCEPT

результат:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
DNAT       tcp  --  anywhere             anywhere            tcp dpt:2121 to:192.168.1.10:21
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
MASQUERADE !esp  --  anywhere             anywhere            
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
#

пробую:

$ telnet xxxxx 2121
Trying xxxxx...
telnet: Unable to connect to remote host: Connection timed out

маскарадинг исходящих соединений на роутере сделан так:

# iptables -t nat -A POSTROUTING -p ! esp -o ppp0 -j MASQUERADE

PS: на машине с ftp два интерфейса и тот, к которому подключен роутер — не дефолтный. Роутер доступен из инета, роутер видит инет, роутер видит машину с ftp и может установить ftp соединение с ней.