Não tenho certeza se compreendi, mas acho que você está na cadeia errada. :-) Eu também estava confuso quando usei o iptables pela primeira vez. Mas o caminho para encaminhar a porta local $ {LOCAL UNPRIV PORT} é a seguinte declaração:
$IPT -t nat -A PREROUTING -i eth0 -p tcp --dport ${LOCAL UNPRIV PORT}
-j DNAT --to ${ANOTHER SYSTEM}:${REMOTE PORT}
É uma mistura entre um problema semântico e a maneira como o netfilter funciona: Nos velhos tempos, o encaminhamento de uma porta local envolvia uma conexão com a caixa que estava encaminhando, além de uma segunda conexão com o destino. Iptables faz isso em um passo. Então, em vez de duas conexões - você está encaminhando o tráfego para essa porta diretamente para o destino. O Netfilter faz todas as verificações de integridade e escrituração contábil: somente os pacotes que pertencem a uma conexão válida são NATted e podem, portanto, ser encaminhados.
A ativação do DNAT não permite que nenhum pacote seja encaminhado. Você também precisa adicionar uma regra:
$IPT -N INET-PRIV
$IPT -A FORWARD -i eth0 -o eth1 -j INET-PRIV
$IPT -A FORWARD -j DROP
$IPT -A INET-PRIV -p tcp -d ${ANOTHER SYSTEM} --dport ${REMOTE PORT} -j ACCEPT
$IPT -A INET-PRIV -j DROP
E você precisa ativar o encaminhamento, é claro.
echo "1" > /proc/sys/net/ipv4/ip_forward
Pro iptables : mais seguro, mais flexível, menos memória e CPU usados por conexão
Contra iptables : encaminhar uma conexão de uma máquina interna para uma máquina interna (alimentá-la de volta para a eth0) não faz sentido com iptables (claro que você sempre pode se conectar diretamente), encaminhando o tráfego gerado localmente não funciona (um daemon de encaminhamento de porta pode ajudar, mas geralmente não faz sentido)
Exatamente este pode ser o problema : você tenta usar o NAT em um não-roteador, então você deve usar um daemon de encaminhamento ou pular este encaminhamento de porta extra completamente e fazer:
ssh -L 1234:${ANOTHER SYSTEM}:${REMOTE PORT} special-vpn-box
Em especial-vpn-box, você só pode permitir conexões de entrada do roteador e conexões de saída para $ {ANTHY SYSTEM}: $ {REMOTE PORT} usando o iptables. Dessa forma, os usuários do special-vpn-box só podem acessar $ {ANotherTHERWORLD}: $ {REMOTE PORT} e não poderão fazer mais nada se não forem confiáveis.