shorewall + snat для rdp

[stager]

машина роутер линукс:
eth0 - 111.111.111.111
eth1 - 192.168.0.1

терминал сервер за натом - 192.168.0.100

в иптаблес ставится:

Code: [Select]

*nat
-A PREROUTING -s 111.222.33.44 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A POSTROUTING -d 192.168.0.100 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.1
*filter
-A FORWARD -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -s 111.222.33.44 -d 192.168.0.100 -p tcp -m tcp --dport 3389 -j ACCEPT
с машины 111.222.33.44 конекчусь на 111.111.111.111:3389 - всё работает как надо.

требуется:
как эти правила будут выглядеть в shorewall?

для первого и двух последних
shorewall/rules:

Code: [Select]

ACCEPT          loc                        net                           tcp     3389
ACCEPT          net:111.222.33.44          fw:192.168.0.100              tcp     3389
DNAT            net:111.222.33.44          loc:192.168.0.100:3389        tcp     3389    -
а где что писать в shorewall для второго правила?