Прежде всего, нужно разрешить трафик между интерфейсами ноды:
sysctl net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -j MASQUERADE
# NODE_IP - внешний IP ноды, на котором не занят порт 50122 )) # 10.20.30.2 - внешний IP виртуалки. NODE_IP=109.60.193.245 iptables -t nat -A PREROUTING -p tcp --dport 50122 -j DNAT -s $NODE_IP --to-destination 10.20.30.2:22 iptables -A FORWARD -p tcp -d 10.20.30.2 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT