tengo un ruteador cisco tras de un firewall linux, el ruteador dede establecer una VPN con las siguientes caracteristicas,

ipsec (protocolo 50) udp 500

he establecido las siguientes reglas de redireccionamiento.

en esta primera regla me marca un error de iptables v1.3.3: Unknown arg `--dport' /sbin/iptables -t nat -A PREROUTING -i eth1 -p 50 -d 200.x.x.x --dport 500 -j DNAT --to-destination 192.168.x.x

en esta segunda no me marca ningun error pero no hace bien la conexion /sbin/iptables -t nat -A PREROUTING -i eth1 -p UDP -d 200.x.x.x --dport 500 -j DNAT --to-destination 192.168.x.x

si alguien me pudiese atyudar a definir bien como debe ir la regla se los agradeceria mucho.

Veo que estás intentando configurar una VPN IPSec, pero el problema con IPSec es que, a no ser que tu encaminador Cisco soporte NAT-T (NAT Traversal), no podrás utilizar NAT.

Es decir, si tu encaminador Cisco no soporta NAT-T, tendrás que ingeniártelas para que el tráfico IPSec llege al encaminador Cisco, a través del firewall Linux, sin sufrir ninguna modificación la cabecera IP y todo su contenido debe permanecer inalterada durante el transporte). Básicamente esto significa que el encaminador Cisco deberá usar una dirección IP pública para configurar la VPN IPSec.

Esto es consecuencia de AH y ESP, los dos subprotocolos de la suite IPSec. Ambos implementan integridad y autentificación, por lo que cualquier modificación en la cabecera IP o su contenido provoca que el datagrama se considere inválido y se descarta. Las reglas que estás utizando modifican la dirección IP de destino, lo que invalida automáticamente los datagramas.