Jelen állás szerint a "#TOMCAT" alatti FORWARD szabályok feleslegesek a felette lévők miatt, azok ugyanis átengednek mindent. A DNAT jónak tűnik.
Biztosan hallgat a Tomcat a TCP/18080-on? Belső hálózatról működik? A default route a tűzfal eth1-ének az IP-jére mutat?
A 213.163.13.50 a tűzfal külső IP-je, vagy egy külön szabad IP? Fel van véve az eth0-ra aliasként, vagy van rá külön route?
Logolni szerintem a bejövő csomagokat érdemesebb, de most ez nem befolyásolja a működést.