debian 4.0下作nat后无法建立ipsec vpn通道

xjjjk

debian 4.0下作nat后无法建立ipsec vpn通道（内核版本2.6.18-5-686），用的ipsec tools和racoon 请知道的兄弟帮忙；
规则如下
#! /bin/bash
# This firewall rules
INET_IFACE="eth1"

/sbin/modprobe ip_conntrack

$IPTABLES -N allowip
# VPN network
iptables -A allowip -s 192.168.9.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -A allowip -s 192.168.1.0/24 -d 192.168.9.0/24 -j ACCEPT



$IPTABLES -A allowip -s 192.168.9.1 -j ACCEPT
$IPTABLES -A allowip -d 192.168.9.1 -j ACCEPT

$IPTABLES -A INPUT -p esp -j ACCEPT
$IPTABLES -A INPUT -p ah -j ACCEPT




# IKE service
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 500 -m limit --limit 5/sec -j ACCEPT

$IPTABLES -A INPUT -i $INET_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 1921.68.9.0/24 -p ! esp -o $INET_IFACE -j SNAT --to 221.239.21.156

$IPTABLES -A FORWARD -j allowip

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_forward