iptables port forwarding

сначало включи

sysctl net.ipv4.ip_forward=1

зачем тебе гимор с iptables из-за единичного редиректа
юзай xinetd

да это есть

Так что кто то по сути вопроса подскажет?

как я понял у тебя теоретический вопрос
что мешает проверить?

Дырды на тебя нет

Дырда, царство небесное. Насколько я знаю пакет проходит сначала цепочку NAT prerouting, затем принимается решение куда маршрутизировать пакет и уже потом NAT postgrouting. А iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5200 -j DNAT --to ip:port без iptables -t nat -A POSTROUTING -j MASQUERADE не работало, вот я и прошу пояснить почему.

Надо полную картину знать, чтобы сказать точно почему не работает без маскарадинга. По идее суть такая - в прерутинге ты меняешь адрес назначения, адрес источника остаётся тем же. Пакет приходит на тот хост, на который ты его перенаправил. Если хост знает маршрут до изначального адресата, то он ему ответит, если нет, то нужен маскарадинг, который подставит вместо изначального адреса отправителя адрес твоего сервера (путь к которому хост уж точно знает).