История изменений

Вы какой трафик хотите гонять, входящий или исходящий? Если исходящий, то тут не порты открывать, а маршруты на машине прописывать. Если входящий - то прописывайте как обычно, основной шлюз роли играть не должен.

На нужном шлюзе что-то вроде

iptables -t nat -A PREROUTING -i ${EXTERNAL_INTERFACE} -p tcp --dport ${REDIRECTED_PORT} -j DNAT --to-destination ${TARGET_IP}:${TARGET_PORT}

Вы какой трафик хотите гонять, входящий или исходящий? Если исходящий, то тут не порты открывать, а маршруты на машине прописывать. Если входящий - то прописывайте как обычно, основной шлюз роли играть не должен.