Port Forwarding mit Firewall beschränken

[baxlash]

Guten Morgen Forum,

wir haben einen FTP Server im LAN, dieser hat den Port 21, also Standard.
Nun möchte ich folgendes erreichen:

Port Forwarding von WAN-IP:21 auf FTP-SRV:21 soll via Firewall nur von bestimmten ext. IP-Adressen erlaubt sein.

Port Forwarding von WAN-IP:21021 auf FTP-SRV:21 soll von allen IP-Adressen
erlaubt sein.

Wie kann ich der Firewall sagen, dass alles was an WAN-IP:21021 ankommt weitergeleitet wird?

Die Regeln sehen so aus:

Regel 1 FTP-21-ALLOW
- Routing-TAG: 1 (2. Internetleitung)
- Priorität: 1
- Aktion: ACCEPT
- Verbindungs-Quelle: FTP-ZUGRIFF (hier sind die ext. IP-Adressen hinterlegt von welchen aus zugegiffen werden darf)
- Verbindungs-Ziel: FTP-SERVER (int. IP unseres FTP-Servers)
- Quell-Dienste: alle
- Ziel-Dienste: FTP

Regel 2 FTP-21021-ALLOW
- Routing-TAG: 1
- Priorität: 2
- Aktion: ACCEPT
- Verbindungs-Quelle: WAN-2 (WAN-IP der 2. Internetleitung)
- Verbindungs-Ziel: FTP-SERVER
- Quell-Dienste: FTP21021
- Ziel-Dienste: FTP

Regel 3 FTP-21-BLOCK
- Routing TAG: 1
- Priorität: 0
- Aktion: REJECT
- Verbindungs-Quelle: alle
- Verbundungs-Ziel: FTP-SERVER
- Quell-Dienst: alle
- Ziel-Dienst: FTP

Mit der Regel 2 habe ich schon eine ganze Weile experimentiert, jedoch nicht die Lösung gefunden.
Regel 1 und 3 zusammen spielen hervorragend, jedoch bekomme ich es nicht hin WAN-IP:21021 immer zuzulassen.

Danke und noch nen sonnigen Tag

Martin