Quero criar regras de iptables para permitir o encaminhamento de porta SSH de um roteador com um endereço IP público (digamos 1.2.3.4) na porta 2222 para um dispositivo com um IP local (192.168.xx) na mesma porta. Um problema é que não tenho certeza de como são as regras, outro é que a pessoa externa que está tentando se conectar tem um IP dinâmico. Como posso conceder acesso a ele com segurança (SÓ ele) sem ter que alterar as regras toda vez que o endereço IP muda? O MASQUERADE pode ser usado? Li documentação e outras perguntas por horas, mas ainda não estou 100% confiante na solução.
LE: O que tenho até agora é (cuidado, não os adicionei ainda):
iptables -t nat -A PREROUTING -p tcp -d 2.2.2.2 --dport 2222 -j DNAT --to-destination 192.168.x.x:2222
iptables -t nat -A POSTROUTING -p tcp -d 3.3.3.3 --dport 2222 -j MASQUERADE
Não tenho certeza se em vez de ter POSTROUTING, deveria ser FORWARD. Além disso, não tenho certeza se MASQUERADE deve ser usado, estava pensando em ACEITAR?
Nem estou usando o parâmetro -i. Isso deve ser usado explicitamente?