Không. Chỉ có tiến trình cục bộ lắng nghe trên cổng 2222 sẽ nhận được gói tin. Nếu nó trả lời, quá trình dịch ngược lại sẽ diễn ra và gửi đi Đáp lại gói sẽ ra khỏi cổng 22.
Quy tắc thứ tư sẽ làm cho không tí nào các gói gặp phải đến cổng 22 được định tuyến lại đến cổng địa phương của bạn 2222, ngay cả khi chúng không dành cho máy này. Vì bạn không có bất kỳ tiêu chí đối sánh nào khác nên nó sẽ phù hợp với bất kỳ ai, ngoại trừ các kết nối đi từ máy này.
Trên thực tế, điều này sẽ chặn mọi lưu lượng SSH đi qua. Nếu ai đó đặt hệ thống này làm cổng của họ và cố gắng kết nối với bất kỳ dịch vụ SSH nào bên ngoài mạng LAN, thì cuối cùng họ sẽ kết nối với dịch vụ của bạn đang chạy trên cổng 2222 thay thế. Nếu họ đã thiết lập niềm tin (có khóa của máy chủ thực trong known_hosts hoặc tệp được xuất bản đúng cách với DNSSEC), nỗ lực của họ sẽ bị khách hàng của họ từ chối với cảnh báo thích hợp về cuộc tấn công trung gian đang diễn ra (về cơ bản quy tắc này giống như vậy).
Xin vui lòng, tham khảo ý kiến Sơ đồ luồng gói Netfilter.
Nhân tiện, bạn không cần để bật chuyển tiếp ip trong trường hợp này, vì gói không cần được chuyển tiếp (ngay cả khi nó phải được chuyển tiếp nếu không có CHUYỂN ĐỔI quy tắc). Và bạn không cần phải làm bất cứ điều gì với PHÍA TRƯỚC chuỗi, bởi vì nó không được đi qua. Vì vậy, lệnh đầu tiên và thứ hai là dư thừa. Sau tự nhiên table, gói được nhắm mục tiêu lại đến máy cục bộ; khi quyết định định tuyến diễn ra, gói tin được gửi đến ĐẦU VÀO chuỗi. Đây là nơi bạn có thể kiểm soát gói này và gói sẽ được dịch sang cổng 2222, vì vậy quy tắc trong lệnh thứ ba của bạn là chính xác.
