redirecionando trafego de saída para outro IP no shorewall

Imagine que você quer redirecionar todo o trafego de saída da porta 123456 para um determinado IP:
A regra no iptables seria:
#iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 123456 -j DNAT –to 200.200.200.200:123456

no shorewall, basta adicionar no /etc/shorewall/rules
DNAT loc net:187.17.66.212:56789 tcp 56789