linux network, iptables, nat как настроить проброс при FORWARD DROP?

есть определенная топология сети(на картинке) Не получается настроить правила для iptables, что бы можно было подключиться по telnet от ws22 к r1 (и наоборот, об этом дальше) есть скрипт firewall.sh в нем изначально следующие правила:
iptables -F
iptables -F -t nat
iptables -X

iptables --policy FORWARD DROP
iptables -A FORWARD -p icmp -j ACCEPT

1. Включить SNAT, а именно маскирование всех локальных ip из локальной сети, находящейся за r2

2. Включить DNAT на 8080 порт машины r2 и добавить к веб-серверу Apache, запущенному на ws22, доступ извне сети

3. Проверить соединение по telnet

Не получается подключиться по telnet, если убрать FORWARD DROP, то работает, из чего делаю вывод, что не правильно прописываю какие то разрешения для протоколов Мой код: iptables -F
iptables -F -t nat
iptables -X

iptables --policy FORWARD DROP
iptables -A FORWARD -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -s 10.20.0.0/26 -p tcp -j SNAT --to-source 10.100.0.12

iptables -t nat -A PREROUTING -o eth0 -p tcp --dport 8080 -j DNAT --to-destination 10.20.0.20:80

(еще пробовал добавить такое:
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
)

Не работает не понимаю, что делаю не так, и поидее по заданию еще сказано что это сделать как то в два правила, то есть правило snat и dnat

А и еще на ws22 и r1 запущен apache и слушает 0.0.0.0:80, то есть общедоступный

Как нужно правильно прописать правила в iptables ?