iptables 紧急求救 ftp

我有一太台inux机器上面有3个网卡ip分别为eth0  192.168.1.1和 eth1 192.168.2.1 还有eth2  202.179.155.57.现在eth0连接192.168.1.0/24这个网段机器,eth1连接一个地址为192.168.2.222的win2000服务器.eth2连接的是外网.
    现在iptables是这样写的
    modprobe ip_tables
    modprobe ip_nat_ftp
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -t nat -X

    /sbin/iptables -P INPUT ACCEPT
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD ACCEPT
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -d  202.179.155.57 -j DNAT --to 192.168.2.222:21
如果这样写,从外网eth2访问ftp没问题,可以的,从内网eth0访问ftp也没问题,但是这样写的话.192.168.2.222和192.168.1.0/24好象就在在一个网段里了,从192.168.1.0/24里能无限制的直接访问192.168.2.222.我不想这样,因为内网eth0如果感染病毒的话,会传播过来.
     我现在想192.168.2.222和192.168.1.0/24分开,不在一个网段,不能无限制的访问,只能通过几个特定的端口访问,于是我这样写
    modprobe ip_tables
    modprobe ip_nat_ftp
    /sbin/iptables -F
    /sbin/iptables -X
    /sbin/iptables -t nat -F
    /sbin/iptables -t nat -X

    /sbin/iptables -P INPUT ACCEPT
    /sbin/iptables -P OUTPUT ACCEPT
    /sbin/iptables -P FORWARD ACCEPT

   /sbin/iptables -A FORWARD -p tcp -m multiport --dport 20,21  -d 192.168.2.222 -s 192.168.1.0/24 -i eth0 -j ACCEPT

  /sbin/iptables -A FORWARD -d 192.168.2.222  -s 192.168.1.0/24 -i eth0  -j DROP
    /sbin/iptables -t nat -A PREROUTING -p tcp --dport 21 -d  202.179.155.57 -j DNAT --to 192.168.2.222:21
   这样写后外网能正常访问ftp,eth0 192.168.1.0/24和eth1 192.168.2.222也分开了不能ping通,不能共享,分成了两个网段.但是内网就不能正常访问192.168.2.222的ftp了.可以登陆但不能获得数据找不到文件夹, 显示的具体错误是 "获得文件夹错请检查是否有权限",可是在dos命令下可以访问.
   请高手帮下忙,该怎么解决,谢谢,急急急急急急急急急急急急急急急急急急急急急急急急急急急急急急!!!!!!!!!!!!!!