Завернуть ssh туннель.

Не уверен, что это по фен-шую, но iptables redirect решает эту проблему.

Тут говорят «Действие REDIRECT предназначено для перенаправления пакетов с одного набора портов на другой внутри одной системы, не выходя за пределы хоста. » А надо грубо с 22 промежуточного перенаправить на 22 следующего.

Может я что-то не так понял, у вас есть сеть из (грубо говоря) трёх хостов, где первый-нат с открытым наружу портом 443 (А), второй-промежуточный шлюз(Б) и третий-целевой хост(В). Вам нужно переправить пакеты с ната на шлюз, с шлюза на конечный хост, при этом на Б вам нужно перенаправить пакеты с 443 порта на любой другой, а В заставить слушать этот новый порт на Б. Для этого и нужно юзать редирект.

я ничего не понял, но может быть stunnel поможет?

redirect - это для локальных процессов

Успокойся и объясни ещё раз

Запрещена установка ПО на Первом компе. Там Китя.

Эмм... Говорим об одном и том же, а как-то не вытанцовывается.

Так было:

kitty_443->NAT_443->RU_router_443->RU_server_22

Надо: kitty_443->NAT_443->RU_router_443->RU_server_22->VPS_IT_22

Всё ещё актуально. Только схему надо поменять, перемудрил: putty_socks5->NAT_443->RU_SSH->IT_Socks5. То есть даже ssh не надо, нужно путтипользователя закинуть на сокс5 на vps. Только ничего не меняя, одного пользователя, я не собираюсь всё ломать из-за одного, у меня-то всё норм, softetherы всякие, все дела. Им как раз и занят 443 на VPS, мне нужнее.

kitty_443->NAT_443->RU_router_443->RU_server_22->VPS_IT_22

putty_socks5->NAT_443->RU_SSH->IT_Socks5

напишите IPшники машин и на каких машинах есть доступ к iptables и вам напишут правило. А то так ничего не понятно.

Скорее всего вам достаточно NAT

Изобразил: http://ipic.su/img/img7/fs/2018-04-18_10-26-54.1524036434.png

Нужно Socks5 X.X.X.X завернуть на Socks5 Z.Z.Z.Z Может Микротик умеет... Мне б идею, а я реализую. Не знаю как Тру.

Вам надо, все запросы извне на X.X.X.X:1080 перенаправить на Z.Z.Z.Z:60080, так?

y.y.y.y - шлюз в инет? если так, то все на нем надо делать.

z.z.z.z - внутренний адрес?

Какую роль в этой схеме выполняет микротик вообще не ясно.

x.x.x.x и y.y.y.y находятся в разных сетях, разделенных интернетом?

Вам надо, все запросы извне на X.X.X.X:1080 перенаправить на Z.Z.Z.Z:60080, так?

X.X.X.X белый IP той сети. У него на putty да, 1080, но выход только 80 и 443, поэтому ssh поднят на 443.

y.y.y.y - шлюз в инет? если так, то все на нем надо делать.

Облачка - разные сети, Y.Y.Y.Y мой домашний.

z.z.z.z - внутренний адрес?

Все адреса белые. Z.Z.Z.Z белый IP моего VPS Aruba Cloud в Италии. YY мой белый домашний. XX возможно серый сети в другом городе.

Какую роль в этой схеме выполняет микротик вообще не ясно.

В своей локальной сети я могу сразу на микротике завернуть его запросы на арубу если это возможно. Так даже чище будет ибо ради него я не собираюсь свою настроенную схему ломать. Поэтому и 443 на арубе не назначить, я себе сделал на нём SoftEther и ломать не собираюсь.

x.x.x.x и y.y.y.y находятся в разных сетях, разделенных интернетом?

Три облачка - разные сети. Человек сидит в другом городе в конторе где нельзя ставить программы и выход только http и https. Portable putty делает ему туннель, у него socks5 ко мне на ssh, 443 порт на терминале, проброс на 22 ssh моего сервера. Теперь понадобилось выйти из рамок моего сервера и добраться до арубы в Италии. 443 порт на арубе занят моим SoftEther и мои потребности важнее для меня. Поэтому ищу обходные пути. Это или перенаправление socks5 или заброс человека на ssh арубы через меня. Ещё бы авторизацию по ключу не потерять.

Теперь понятнее? Вам благодарность от всех пользователей такого обхода за раскрытие, а мне от админов сетей за подробное описание.