3个网卡的LINUX防火墙环境,内网不能以外网IP访问DMZ服务器?

Question

3个网卡的LINUX防火墙环境,内网不能以外网IP访问DMZ服务器?

有1台双网口LINUX服务器做个简单防火墙，内网有台WWW机器对外发布服务，作DNAT后从外部访问其外网IP正常，内网其他机器也可以用外网IP访问这个WWW服务。eth0为外网卡,IP为211.92.33.12/24； eth1为内网卡,IP为192.168.0.1/24; 内网WWW服务器IP为192.168.0.10 ;对外映射的公网IP为 211.92.33.12  .  相应的IPTABLES语句如下:
iptables -A FORWARD -i eth0 -o eth1 -d 192.168.0.10 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -d 211.92.33.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.10 -p tcp --dport 80 -j SNAT --to-source 192.168.0.1
第3条语句加上后可使内网PC以外网IP访问这个WWW服务机器的服务。

当我加了第3个网卡，增加一个DMZ区(eth2,IP为192.168.1.1)后，WWW机器移到DMZ区了，其地址为192.168.1.10/24 作DNAT后映射的外网地址仍为211.92.33.12其他外网和内网地址不变。 现在的问题是， 怎样让内网(192.168.0.0/24网段)以外网IP(211.92.33.12)访问DMZ WWW机器(192.168.1.10)呢?  我加的DMZ规则是:
iptables -A FORWARD -i eth0 -o eth2 -d 192.168.1.10 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -d 211.92.33.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to-source 192.168.1.1
外部可以以外网IP(211.92.33.12)访问DMZ的WWW机器(192.168.1.10),但是内网还不行.

问题出在哪里,请高手解答,谢谢!