shorewall проброс портов с определенного адреса.

Доброго времени суток.
Предыстория такова.
На работе разрешили подключение по ssh наружу.
Всё было нормально, но однажды заглянув в лог ssh слегка офигел и решил перенести ssh на другой порт, просить вышестоящего админа неудобно.
Поэтому пытаюсь пробросить пакеты приходящие с рабочего ip на порт 22 на порт 2222.
/etc/shorewall/rules
DNAT net:<рабочий IP> fw:<Внешний IP шлюза>:22 tcp 2222
не работает.
Подскажите пожалуйста как правильней это реализовать.

всё понял, сам дурак.
DNAT net:<рабочий IP> fw:<Внешний IP шлюза>:2222 tcp 22
Порты перепутал.