Обратите внимание, я не говорю о трафике TCP или UDP. Скорее IP-трафик с идентификаторами протокола 50 и 51.
Дело в том, что я могу затем передавать трафик IPsec на внутреннюю машину, где он будет действовать как терминатор VPN.
Так же, как и любой другой форвард:
root@lightning:~# iptables -t nat -A PREROUTING -p 50 -j DNAT --to 1.2.3.4
root@lightning:~# iptables -t nat -A PREROUTING -p 51 -j DNAT --to 1.2.3.4
root@lightning:~# iptables -t nat -L PREROUTING -v -n
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT esp -- * * 0.0.0.0/0 0.0.0.0/0 to:1.2.3.4
0 0 DNAT ah -- * * 0.0.0.0/0 0.0.0.0/0 to:1.2.3.4
Другой вариант - установить конечную точку как «узел DMZ» в DD-WRT. Это пропустит и замаскирует весь трафик, включая ваши экзотические протоколы.