iptables и несколько шлюзов

Если из шлюза IP2 на шлюз IP3 пойдёт пакет через тот же интерфейс, с которого был получен пакет, то маршрутизатор отправить ICMP REDIRECT емнил.

Либо, GRE туннел между IP2 и IP3, либо расключить через разные интерфейсы, либо использовать VLAN.

Зачем, ну зачем такие костыли городить в пределах одной локальной сети? Ведь у вас все возможности NAT'а в руках, причём, как SNAT, так и DNAT. Хорошо, с DNAT вы разобрались, что мешает сделать на IP1 еще и SNAT внутрь для этой же железки? Пусть она думает, что к ней подключаются из локальной сети (то есть сам IP1)... Это ж банальная задача.

просто нужно чтобы железка выходила в инет через шлюз IP2 а отстук на телнет был через IP1 Можно поподробнее про SNAT?

Банальный хак маршрутизации. На IP3 шлюз по-умолчанию оставляете в IP2, если я правильно понял, все три системы находятся в одной локальной сети. Т.к. в условии стоит не менять маршруты на IP3 и получить к нему доступ через IP1 - у вас два варианта:

1) Простой. Показать входящие на IP3 соединения, как будто они идут из локальной сети (и маршрутизацию не трогаем). Для этого На внешнем интерфейсе IP1 делаем DNAT с классическим пробросом портов и на нём же делаем SNAT на внутреннем интерфейсе с классификатором направления (айпишник/порт IP3) в сторону системы IP3. Это будет выглядеть приблизительно так:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -d <real-ip> -j DNAT --to-destination <IP3-ip>:23
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 23 -d <IP3-ip> -j SNAT --to-source <local-ip>

2) Более заковыристый вариант. Делаете цепочку натов c IP1 на IP2 и с него на IP3, при этом лучшим вариантом будет поднятие тоннеля или вилана или просто другой подсети с /30 маской между IP1 и IP2 (это всё, чтоб не было редиректорв в пределах одной локальной сети), ну или повыключать через proc посылку этих редиректов, но не факт, что всё заработает, как вы хотите, т.к. судя по вводной, на IP3 не полноценный линукс или вообще не линукс.

Спасибо за развернутый ответ :) Забыл только уточнить, IP1 обычный роутер WIFI, на котором можно через обычный NAT прокинуть порт (5000) на IP2 Как быть в столь интересном случае, без «заковыристых» вариантов ?) Думаю на IP2 можно было бы сообразить что-то с --sport 5000 (который отстукивает с IP3) и завернуть его на шлюз IP1 ?

Проще будет поискать поддержку openwrt для вашего роутера. Если нет, попробуйте сделать цепочку DNAT (проброс портов) с IP1 на IP2, который в свою очередь будет слать в сторону IP3. Потом изучаем понятие таблиц маршрутизации, создаём свою таблицу (например mytable) на IP2 один-в-один из таблицы main, но основной шлюз делаем IP1. Потом надо промаркировать пакеты по порту, которые наш IP2 должен по цепочке DNAT'ить к IP3 и их уже перенаправляем через ip rule в новую таблицу.

Приблизительно это будет выглядеть на IP2 так:

iptables -t mangle -A PREROUTING -p tcp --dport 5000 -j MARK --set-mark 0x2

ip rule add fwmark 0x2 mytable

100   mytable

И всё, эти простые действия позволят направлять пакеты из IP3 для данного порта через IP2 в сторону IP1.