ведь когда проброс на порт сервера 2 - ответ возвращается.
то что ответ возвращается, это скорее случайность нежели то что ожидалось.
А вот то что не взлетает задуманное - вот это не случайность.
Думал два дня, так и не понял что не так,
Надо не думать, а стараться разобраться в том, на что Вам указали.
Ну давайте попробуем вместе.
Первое правило совершенно логичное
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 65531 -j DNAT --to-destination 10.8.0.4:81
На входе у пакета с destination address 1.1.1.1 и destination port: 65531, подменяются эти два поля на, соответственно, 10.8.0.4 и 81.
Что происходит дальше нам неизвестно (ибо Вы не раскрыли), но зато знаем, что если пакет доедет до выхода, то на последней цепочке netfilter он попадает под правило
iptables -t nat -A POSTROUTING -p tcp -d 10.8.0.4 --dport 81 -j SNAT --to-source 1.1.1.1:65531
Здесь Вы подменяете source address и source port на....
внешний адрес своего шлюза.
Это самое неуклюжий SNAT который моно было придумать.
Уберите это правило и увидите, что ничего не изменится, а потому оно только бессмысленно нагружает ядро. Точнее изменения будут, но Вы их пока не увидите, но уверяю Вас они только в лучшую сторону.
Второе указанное мной правило так же скорее вредное, нежели полезное.
НО!!!! Если кое-что поправить, то от этих правил можно извлечь пользу для видеорегитраторв у которого в качестве шлюза по дефолту указан явно не шлюз №2