Estou familiarizado com o stunnel.conf e sei como especificar quais portas não criptografadas ele atende e para quais portas criptografadas ele redireciona, mas gostaria de entender como ele obtém o poder de "pegar" os pacotes de um servidor ouvindo as mesmas portas não criptografadas.
Ou seja, se eu tiver um cliente de banco de dados desejando se comunicar pela porta não criptografada 777 e um servidor de banco de dados normalmente escutando nessa porta e se comunicando com o cliente. Agora quero stunnel para assumir, então eu corro stunnel no lado do cliente e do lado do servidor, escutando na porta 777 e redirecionando o tráfego para a porta criptografada 8888. Agora o cliente não sabe sobre stunnel, ele continua se comunicando pela porta 777, mas o both stunnel e o servidor de banco de dados estão escutando na porta 777 ... então como o stunnel rouba os pacotes do cliente antes que eles cheguem ao servidor de banco de dados?
Isso não acontece; o aplicativo precisa ser configurado para apontar para o endpoint do túnel.
No caso de você se referir, o cliente precisaria ser reconfigurado para apontar para o ouvinte de stunnel local, que envolverá os dados de conexão e os enviará ao servidor de acordo com a configuração do stunnel.
Há também o modo "proxy transparente", que envolve o envio explícito do tráfego para o processo de stunnel com o iptables, mas não é usado com frequência.