>[оверквотинг удален]
>> iptables -t nat -A PREROUTING -p tcp -d IP_раб_серв --dport 9090 -j
>> DNAT --to IP_тест_серв:9090
>> iptables -A INPUT -i eth0 -p tcp --dport 9090 -m state --state
>> NEW,ESTABLISHED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 9090 -m state --state
>> ESTABLISHED -j ACCEPT
> а получается POSTROUTING не нужен?
> а добавление "iptables -A OUTPUT -o eth0 -p tcp --sport 9090
> -m state --state ESTABLISHED -j ACCEPT" что-то не помогло :( Только
> "iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited" при чем тут INPUT и OUTPUT. с помощью DNAT подставили ip другой машины, пакет пойдет через FORWARD.
POSTROUTING - нужен т.к. в туже подсеть перенаправляете , разжевано
https://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
а iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited помогает потому что на этом правиле режутся ответные пакеты, посмотрите счетчики, а лучше сделайте логирование.
так что пишите правило для ответных пакетов.
смотрите tcpdump