Usando o Shorewall, você está procurando uma regra DNAT (a documentação on-line é excelente, vá lá). Você vai acabar com algo parecido com
DNAT net loc:192.168.1.3:1234 tcp 5678
no seu arquivo de regras, onde 192.168.1.3 é o endereço IP do seu servidor de banco de dados. Talvez seja necessário ativar a opção routeback
se a conexão de entrada e a conexão do seu servidor da Web com o servidor de banco de dados estiverem no mesmo NIC.
No entanto, eu recomendo vivamente que não faça isso! Isso abre seu servidor de banco de dados para literalmente qualquer pessoa, explicitamente concedendo acesso a se mascarar como seu servidor web e negando qualquer habilidade para o servidor de banco de dados para o próprio firewall. Além disso, tudo o que você fizer nessa conexão não será criptografado, incluindo o seu nome de usuário e senha do servidor de banco de dados! Então, não faça isso! Seu túnel SSH fornece autenticação e criptografia, que este encaminhamento de porta não faria.
Além disso, por que você está usando uma versão antiga do Shorewall? Eu tenho usado o Shorewall por anos , e quando eu iniciei a versão 3 estava obsoleta! Você deveria pelo menos estar no 4.0 agora, ou melhor ainda 4.2 ou 4.4. Manter o seu software de segurança atualizado é absolutamente essencial!