У меня такое правило ната:
Chain - dstnat, dst.port - порт, in interface - wan
Action - dst-nat, to addresses - локальный адрес, to port - локальный порт.
При этом сервер видит внешнии адреса, а не адрес роутера, и блокирует с помощью fail2ban внешнии адреса, при неправельном логине.
Напишите, как у вас NAT настроен, как порт пробросили?