ずーっとiptablesではまってました。やっと意味がわかってきました。結局今までポートフォワードがうまく動いていなかったのはDNATのテーブルがiptables -Fってやっただけでは初期化されていなくて、いろいろとテストした以前のconfigが有効になってしまっていたのが原因でした。いやーやられた。これってバグなのかな?(←それすらわかっていないやつ)