Запутался в трех соснах с iptables

Файерволл формируется скриптом, который привожу со значительными сокращениями:
#!/bin/bash

#
# Кое-что пропущено
#

# Разрешить подключение к некоторым службам
# Остальные запретить, кроме установленных соединений
$IPT -N tcp_inbound

# Разрешить подключения к непривилегированным портам
$IPT -A tcp_inbound -p TCP -s 0/0 --destination-port 1025:65535 -j ACCEPT

# Ничего не совпало -- вернемся
$IPT -A tcp_inbound -p TCP -j RETURN

#
# Кое-что пропущено
#

###############################################################################
#
# INPUT Chain
#

#
# Кое-что пропущено
#

$IPT -A INPUT -p ALL -i $LOCAL_IFACE1 -s $LOCAL_NET1 -j ACCEPT
$IPT -A INPUT -p ALL -i $LOCAL_IFACE1 -d $LOCAL_BCAST1 -j ACCEPT
$IPT -A INPUT -p TCP -i $INET_IFACE -j tcp_inbound

#
# Кое-что пропущено
#

###############################################################################
#
# PREROUTING chain
#

###  Проброс портов для арендаторов
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 31415 \
     -j DNAT --to-destination 192.168.0.244:31415

###
# Проброс портов для 192.168.1.253:3389

# Для внешних подключений через $EXTERNAL_IP:25389
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 25389 \
     -j DNAT --to-destination 192.168.1.253:3389

# Для подключений из локальной сети $EXTERNAL_IP:25389
$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE1 --destination-port 25389 \
     -j DNAT --to-destination 192.168.1.253:3389

# Redirect connections via port 25180 to 192.168.1.251:80 (videocontrol)
# Для внешних подключений через $EXTERNAL_IP:25180
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 25180 \
     -j DNAT --to-destination 192.168.1.251:80

# Для подключений из локальной сети $EXTERNAL_IP:25180
$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE1 --destination-port 25180 \
     -j DNAT --to-destination 192.168.1.251:80

# Redirect connections via port 25022 to 192.168.1.250:22

# Для внешних подключений через $EXTERNAL_IP:25022
$IPT -t nat -A PREROUTING -p tcp -i $INET_IFACE --destination-port 25022 \
     -j DNAT --to-destination 192.168.1.250:22

# Для подключений из локальной сети $EXTERNAL_IP:25022
$IPT -t nat -A PREROUTING -p tcp -i $LOCAL_IFACE1 --destination-port 25022 \
     -j DNAT --to-destination 192.168.1.250:22

###############################################################################
#
# POSTROUTING chain
#

###

# Для подключений из локальной сети $EXTERNAL_IP:25389
$IPT -t nat -A POSTROUTING --dst 192.168.1.253 -p tcp --dport 3389 \
     -j SNAT --to-source $LOCAL_IP1

# Для подключений из локальной сети $EXTERNAL_IP:25180 (videocontrol)
$IPT -t nat -A POSTROUTING --dst 192.168.1.251 -p tcp --dport 80 \
     -j SNAT --to-source $LOCAL_IP1

# Для подключений из локальной сети $EXTERNAL_IP:25022
$IPT -t nat -A POSTROUTING --dst 192.168.1.250 -p tcp --dport 22 \
     -j SNAT --to-source $LOCAL_IP1

(политики по умолчанию -- DROP)

Так вот! Проброс портов 25389 и 31415 работает нормально, а вот 25180 и 25022 не работает (не происходит подключения).
Не могу найти ошибку.
Как можно проверить, какие цепочки проходит пакет и где он дропается?