Перенаправить запросы на мой внешний IP / порт на внутренний IP / порт?

У меня есть выделенный сервер, на котором запущена виртуализация KVM с n общедоступными IP-адресами, выделенными для n-1 виртуальных машин, обращенных к сети. Теперь я хотел бы настроить некоторые виртуальные виртуальные машины, которые не имеют выделенного адреса, но вместо этого будут иметь 2 или 3 порта, перенаправленных для них с хост-машины.

Конфигурация моста:

brctl show

Допустим, я бы хотел переслать

• 178.126.193.153:201 в 192.168.1.101:22
• 178.126.193.153:801 to 192.168.1.101:80

Сначала я включил переадресацию портов на хост-машине, раскомментировав # net.ipv4.ip_forward = 1 в /etc/sysctl.conf, затем я перезапустил сеть службы sysctl -p /etc/sysctl.conf. Затем, аналогично рецепту в этого вопроса , я сделал:

iptables -t nat -A PREROUTING -p tcp -i br0 --dport 201 -j DNAT --to-destination 192.168.1.101:22
iptables -A FORWARD -p tcp -d 192.168.1.101 --dport 201 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i br0 --dport 801 -j DNAT --to-destination 192.168.1.101:80
iptables -A FORWARD -p tcp -d 192.168.1.101 --dport 801 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Я запустил ifconfig на гостевой машине и проверил, что его интерфейс eth0 действительно имеет IP-адрес 192.168.1.101. Интерфейс внутри виртуальной машины называется eth0, верно?

Но он не работает:

nmap 178.126.193.153 не показывает открытый порт 201 или 801, и ssh -l root -p 201 178.126.193.153 получает меня

ssh: connect to host 178.162.193.153 port 201: Connection refused

ip route на хост-машине возвращает 178.126.193.128/26 dev br0 ссылка на область действия ядра протока src 178.162.193.153 192.168.122.0/24 dev virbr0 ссылка на область действия ядра протока src 192.168 .122.1 169.254.0.0/16 dev br0 Метрика ссылки области видимости 1004 по умолчанию через 178.126.193.190 dev br0

Что я делаю не так?