заморочка... [зарыто]

имеется такая схема:

ИНТЕРНЕТ->интерфейс1->vmware:[junos]-+>[интерфейс2]->подсеть1
____________________________________ |
____________________________________ +->ТрафикИнспектор->[интерфейс3]->LAN

Ну, и, разумеется, фейковые адреса на интерфейсах (видимо, для Т.И.)
в текущей схеме из интернета приходит пакет для конкретного узла в [подсеть1] и он, разумеется, проходит.

пытаюсь настроить то же самое на gentoo (пока в таком виде):
ИНТЕРНЕТ->eth0->[iptables][eth2]->подсеть1
_______________________ [br3]->eth3->LAN

и не могу добиться прохождения пакетов не то, что в подсеть1, но даже на eth2 (если я правильно понимаю, ping -I eth0 ip_в_подсеть1 должен походить? хотя на узле может быть фильтрация адресов :S). LAN имеет доступ в интернет (psi работает, яндекс открывается, все остальное, подозреваю, тоже работает ;) )
Даже маршрут на конкретный узел прописал (пингуется). Приход пакетов (которые нужно пробросить в подсеть1) на eth0 так же наблюдаю.
С учетом текущей настройки узла в [подсеть1] форвардингом портов не рашается. Т.е. внешний ip на интерфейс1/eth0 является шлюзом для узла-отправителя. Попытки применить команды в junos (подсмотренные на сайте), посмотреть его настройки, к успеху не привели - на все ответ один "command not found".
Собственно, вопрос: Как мне добиться прохождения пакетов в [подсеть1]?