Сеть с выходом в ИНЕТ через firewall(redhat9.0).
На машине Redhat9.0 3 интерфейса:
     1. eth0: 192.168.0.1 смотрит в LAN(192.168.0.0/24)
     2. eth1: 10.1.1.1 смотрит в DMZ(10.1.1.0/32), в DMZ FTP-server с IP 10.1.1.2
     3. eth2: 216.116.32.38 (IP вымышленный) смотрит и Инет.
разрешаю доступ к FTP-server следующим образом:

iptables -t nat -A PREROUTING -i eth2 -d 216.116.32.38 -p tcp --dport 21 -i DNAT --to-destination 10.1.1.2

iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 21 -m state --state NEW --syn -j ACCEPT
iptables -A FORWARD -d 10.1.1.2 -p tcp --dport 1024:65355 -m state --state NEW --syn -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

когда подключаюсь к ftp-server в пасивном режиме (ftp://10.1.1.2) из LAN то ни каких проблем, а в то время если из Интернета(ftp://216.116.32.38) то выдается ошибка следующая:

details:
200 type set to A
227 entering to passive mode (10,1,1,2,16,230)
425 can't open data connection

где я допустил ошибку? помогите разобраться

заранее спасибо.