Как сделать редирект ???

0) А почему сейчас нельзя использовать тот же rinetd ?
1) Попробуйте так: iptables -t nat -A PREROUTING -s e.f.g.h -p <протокол> --dport 8000 -j DNAT --to-destination x.y.z.m:8000

можно , но он udp не кидает , не удобен , теблями было бы все рулезнее

Нет, на счет 1) - прогнал :-)
Надо так:
iptables -t mangle -A PREROUTING -s e.f.g.h -p <протокол> --dport 8000 -j MARK --set-mark 1
iptables -t nat -A PREROUTING -p <протокол> -m mark --mark 1 -j DNAT --to-destination x.y.z.m:8000
iptables -t nat -A POSTROUTING -p <протокол> -m mark --mark 1 -j SNAT --to-source a.b.c.d
Т.е. надо делать как DNAT, так и SNAT.
Только что у себя такое замутил - сработало: взял на одном router-е (y.y.y.y) запретил подключение на 23-й порт (telnet) с x.x.x.x. На своей тачиле (z.z.z.z) впихнул в ядро эти правила (только с --to-destination y.y.y.y:23). С x.x.x.x сделал telnet моя_тачила 8000 и коннект произошел, залез на тот router, причем там по "w" было видно, что залез именно с z.z.z.z, а не с запрещенной x.x.x.x.
P.S. x.x.x.x, y.y.y.y, z.z.z.z находятся в 1-ой сети, но думаю это не существенно. :-)

попробывал , не фурычет

упс , форум подклинивает , сча попробую еще разок что ниже написал

неа , не сработало

Тогда странно. А другие ваши правила не могут на это влиять ?
Т.е. если вместо "-A имя_цепочки" везде делать "-I имя_цепочки 1" ?
mark N1 нигде в других правилах у вас не используется ?

Только что протестил по UDP - тоже все работает, странно... :-)

ввв

млин че форум клинит ....

а как это будет выглядеть в терминах ipchains?

мля , опять не вижу ответа !!!!!!!!

да что такое ?!

> а как это будет выглядеть в терминах ipchains?
А хрен его знает :-) Не умеют они такого, разве что через какой-то дополнительный софт...