Sua regra de NAT parece estar correta e deve fazer o que você esperava. No entanto, há um ponto para verificar se acredito que essa seja a razão pela qual seu tráfego UDP não é redirecionado.
Redirecionar o tráfego UDP pode ser mais complicado do que redirecionar o TCP. Isso ocorre principalmente porque o TCP é um protocolo orientado a conexões e o UDP é sem conexão.
As regras NAT dependem do módulo de rastreamento de conexão que acompanha o estado de qualquer "conexão ". No caso do TCP, fica claro o que significa, pois há pacotes TCP especiais para indicar novas conexões. No UDP, não há fase de estabelecimento de conexão. O primeiro pacote que sua caixa verá será considerado como iniciando uma "conexão " e o pacote de resposta indica que a "conexão está estabelecida ".
Que tal fechar a conexão? No TCP, também fica claro porque o TCP usa sinalizadores especiais para indicar o fechamento da conexão. Quando visto, você pode fazer uso deles e limpar o estado da conexão de acordo. No entanto, você nunca saberá quando o UDP " conexão " é finalizado. Portanto, a entrada da faixa de conexão não será apagada, a menos que o tempo limite seja atingido (na minha máquina, ela está configurada para 180 segundos) sem qualquer pacote UDP.
Como isso está relacionado ao seu problema? Quando sua caixa está continuamente recebendo tráfego UDP para syslog, o tempo limite de "conexão" UDP não expira e o estado da conexão será mantido o tempo todo. A regra de NAT não será aplicada, desde que haja um estado na tabela de controle de conexão.
Como forçar a nova regra de NAT? Você pode tentar remover manualmente a entrada de rastreamento de conexão usando o comando abaixo (não a use sem nenhum outro parâmetro, pois ela esvazia a tabela inteira, interrompendo todos suas conexões atuais). Para mais parâmetros, você pode verificar o manual.
$ sudo conntrack -D