@Pavel81, пошёл коротким путём, моя цель, чтобы был открыт порт 51413 для transmission, вот так конфигурирую сеть:
на сервере:
iptables -t nat -A POSTROUTING -s 192.168.11.0/8 -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -i tun0 -d 192.168.11.3 --dport 51413 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 9091 -j DNAT --to-destination 192.168.11.3:9091
iptables -t nat -A PREROUTING -p tcp --dport 51413 -j DNAT --to-destination 192.168.11.3:51413
на клиенте:
route del default
route add default gw 192.168.11.1 tun0
но тест порта в Transmission remote gui говорит, что порт 51413 заперт. как открыть?