как сдеоать редирект?

Ну в принципе можно это и через файрвол, но имхо лучше поднять впн до хоста один и прописать у себя роутинге что путь к хост3 идет через впн до хост1. Ну и на хост1 соответсвенно разрешить прохождения от тебя пакетов. Это лучше и проще, чем перекидывать пакеты на феарволе хост1

спасибо, но нужно именно фаерволом делать. впн поднимать - надо софт с 2-х сторон ставить, а это нежелательно

На host1 добавить такие правила (+ проверить, чтоб не конфликтовали с уже имеющимися !!!):
iptables -t nat -A PREROUTING -s $host3_IP -p $proto --dport $host1_some_free_port -j DNAT --to-destionation $host2_IP:$host2_port
iptables -A FORWARD -s $host3_IP -d $host2_IP -p $proto --dport $host2_port -j ACCEPT
iptables -A FORWARD -d $host3_IP -c $host2_IP -p $proto --sport $host2_port -j ACCEPT
iptables -t nat -A POSTROUTING -s $host3_IP -d $host2_IP -p $proto --dport $host2_port -j SNAT --to-source $host1_IP

$host1_IP, $host2_IP, $host3_IP - IP адреса host1, host2, host3;
$proto - используемый протокол (tcp, udp, ...);
$host1_some_free_port - любой порт на host1 выделенный для того, чтоб с host3 подключаться к нему для выполнения redirect-а на host2;
$host2_port - порт, на котором на host2 висит нужный сервис.

После этого для подключения к сервису на host2 с host3 нужно будет подключаться к $host1_IP:$host1_some_free_port.

спасибо. с небольшими поправками заработало