IPTables - 대상이 수신하지 않는 경우에만 DNAT

인터페이스 eth0(인터넷 액세스) 및 tap_vpn0(VPN 탭 인터페이스, 네트워크 192.168.110.0/24)이 있습니다. 내가 원하는 것은 eth0을 통해 192.168.110.2로 들어오는 모든 연결을 DNAT하는 것입니다. 단, 서버 자체에 청취 서비스가 없는 경우에만 해당합니다(주로 VPN 서버 자체이지만 기본적으로 netstat -pluntSSH를 포함하여 에 표시되는 다른 서비스). ).

지금 내가 하고 있는 일은 iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 22 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 443 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 5555 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 992 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 1194 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 4500 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 500 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 1194 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 1701 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 54700 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 63486 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p udp --dport 68 -j ACCEPT iptables -t nat -I PREROUTING 1 -i eth0 -p gre -j ACCEPT iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.110.2

정적 예외의 긴 목록을 작성합니다. 그러나 실제 호스트에서 포트가 닫히지 않은 경우, 패킷이 로컬에서 성공적으로 처리될 경우 IPTables에 DNAT를 수행하지 않도록 지시하는 방법이 있습니까? 따라서 예를 들어 나중에 서버에서 임의의 포트 9988을 열면 다음과 같은 다른 예외를 추가할 필요가 없지만 iptables -t nat -I PREROUTING 1 -i eth0 -p tcp --dport 9988 -j ACCEPTDNAT가 적용되지는 않을까요?