Iptables: exclui uma porta específica do encaminhamento para o destino

Não, a menos que você "divida" a regra em duas ou mais regras. Em outras palavras, você precisará adicionar regras para os protocolos onde a porta precisa ser excluída. Supondo que você queira excluir a porta TCP e UDP:

sudo iptables -t nat -A PREROUTING -d 172.31.44.186 -p tcp ! --dport 27 -j DNAT --to-destination 10.8.0.2
sudo iptables -t nat -A PREROUTING -d 172.31.44.186 -p udp ! --dport 27 -j DNAT --to-destination 10.8.0.2
sudo iptables -t nat -A PREROUTING -d 172.31.44.186 -j DNAT --to-destination 10.8.0.2

Observe que existem tráfegos que não são TCP nem UDP, portanto a regra "original" é mantida como "substituta". Também a ordem das regras é importante. Se a regra original for anexada ( -A) primeiro (ou inserida, ou seja, -I, por último), então as regras específicas do protocolo não serão correspondidas porque a regra original "capturaria" todos os tipos de -d 172.31.44.186tráfego.

FWIW, provavelmente a maneira mais adequada é ter uma cadeia definida pelo usuário:

sudo iptables -t nat -N NAME_YOU_LIKE
sudo iptables -t nat -A PREROUTING -d 172.31.44.186 -j NAME_YOU_LIKE
sudo iptables -t nat -A NAME_YOU_LIKE -p tcp --dport 27 -j RETURN
sudo iptables -t nat -A NAME_YOU_LIKE -p udp --dport 27 -j RETURN
sudo iptables -t nat -A NAME_YOU_LIKE -j DNAT --to-destination 10.8.0.2

Nada seria feito para tráfegos que visam a porta TCP ou UDP 27 quando eles atravessam a cadeia ( NAME_YOU_LIKE) por causa de -j RETURN, o que os impediria de atravessar a cadeia ainda mais e "levá-los de volta" para onde eles saltaram (ou seja, -j) de (e continuar travessia lá, a menos que fosse um "goto", ou seja -g, que os levasse a esta cadeia), enquanto os tráfegos de outra forma seriam DNAT para 10.8.0.2.

(NOTA: se os tráfegos não corresponderem a nenhuma regra de terminação na cadeia definida pelo usuário, eles também voltarão para o ponto de onde saltaram. Em outras palavras, você pode ver isso, pois há incondicional -j RETURNno final que está implícito. Mas isso é "irrelevante" no exemplo, porque a -j DNATregra no final é uma regra de terminação incondicional.)

Como a cadeia definida pelo usuário não tem nenhum efeito, a menos que os tráfegos sejam feitos para atravessá-la (ou seja, pular ou ir para) com uma regra em uma cadeia base, com (only) -d 172.31.44.186 -j NAME_YOU_LIKE, apenas os tráfegos que foram (originalmente) destinados a 172.31.44.186atravessariam a cadeia cadeia definida pelo usuário. (Para afirmar o óbvio, você NÃO precisa "verificar" os tráfegos com -d 172.31.44.186"novamente" na cadeia definida pelo usuário para a qual eles saltaram.)

Se a "exclusão" não for uma exceção, caso em que os tráfegos devem ir para o destino original, mas você realmente deseja que os tráfegos sejam eliminados, não será necessário fazer nenhuma alteração no nat/PREROUTING. Em vez disso, você pode/deve adicionar regras DROP (ou regras REJECT; em algumas opiniões/casos que podem ser uma escolha "melhor") em filter/FORWARD(ou filter/INPUT, se o novo destino for este próprio host):

sudo iptables -t filter -I FORWARD -d 10.8.0.2 -p tcp --dport 27 -j DROP
sudo iptables -t filter -I FORWARD -d 10.8.0.2 -p udp --dport 27 -j DROP

(Abordagem de cadeia semelhante definida pelo usuário pode ser adotada, se desejado.)

PS O multiportmódulo oferece --dportsa correspondência de vários números/intervalos de porta em uma única regra, que pode ser usada para evitar múltiplas --dportregras. (No entanto, cada regra ainda pode ser usada para apenas um protocolo.) Consulte iptables-extensions(8)para obter detalhes.