iptables + named

Два интерфейса eth1 172.16.0.0/32 int
на нем запущен named как forward, кэширующий запросы клиентов
squid

192.168.0.0/32 ext

установил iptables
для начала начал париться с INPUT

Значит фича в чем - смотрю по ethereal
Если DROP то named не отвечает на запросы, хотя OUTPUT ACCEPT
Если ACCEPT то все работает
Если смотреть по http://www.opennet.ru/docs/RUS/iptables/ то все должно быть нормально? не понимаю в чем дело

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT udp -- anywhere localhost udp dpt:domain
ACCEPT tcp -- anywhere localhost tcp dpt:domain
ACCEPT tcp -- anywhere 172.16.0.1 tcp dpt:domain
ACCEPT udp -- anywhere 172.16.0.1 udp dpt:domain
ACCEPT tcp -- anywhere 172.16.0.1 tcp dpt:3128

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 172.16.0.1:domain *:* LISTEN
tcp 0 0 localhost:domain *:* LISTEN
tcp 0 0 172.16.0.1:3128 *:* LISTEN
tcp 0 0 localhost:rndc *:* LISTEN
udp 0 0 *:32788 *:*
udp 0 0 *:domain *:*
udp 0 0 172.16.0.1:domain *:*
udp 0 0 localhost:domain *:*