Forum Linux.debian/ubuntu shorewall, blacklist, INPUT & FORWARD

Salut,

Pb de compréhension dans shorewall ou bug ?

Contexte :
Sur une stable i386 qui fait passerelle (2 interfaces "net", une dmz, des VPN etc), avec un shorewall, j'ai constaté un problème pour utiliser la fonction de blacklist. Le but était de bloquer violemment une IP qui me générait un trafic inutile etc.

La manip:
En gros, après activation de l'option blacklist sur l'interface "net", ajout de l'ip dans /etc/shorewall/blacklist et redémarrage, ça continuait à transiter par ma passerelle (de net -> dmz).
J'ai regardé avec iptables, l'option blacklist m'a bien créée une chaine blacklst contenant un DROP de l'IP en question. Le compteur restait à 0 alors que le compteur de la chaine en elle-même montait.
Mais le trafic passait quand même O_o

La solution que je comprends mal:
J'ai fini par ajouter le DROP avec iptables directement (-I pour être sûr que ce soit la première règle évaluée), sous-entendu dans la table INPUT. Même résultat - heureusement.
J'ai fait de même dans la table FORWARD, et là, ça a marché.

La Question :
l'option blacklist de shorewall n'ajoute pas de règle dans FORWARD ? uniquement INPUT ?
Y'a une raison à cela ? bug ? j'ai raté un truc ?

MErci