Assim, o redirecionamento funciona bem, eu verifiquei por outros meios (depurando o próprio logstash - enviando snmptrap e capturando-o no logstash-console). Eu acho: Quando o redirecionamento ocorre, o snmptrapd não está mais recebendo nada na porta 162, pois é provavelmente redirecionado antes de ser acessado pelo iptables, mas o tcpdump é executado antes mesmo desse redirecionamento, de modo que ele toma 162 como porta original (baseado na própria mensagem). MAS não pode capturar na porta 10162 desde que não está sendo executado ou lendo "por trás dele". Essa é minha compreensão básica. Ainda seria bom saber a maneira de verificar também a porta 10162 após o redirecionamento, para uma compreensão e conhecimento ainda mais profundos ... ou uma explicação melhor do que a minha, que é uma suposição séria