iptables PREROUTING 不起作用

我们在 AWS 中运行 ubuntu 20.04。我们正在尝试设置一条 iptables 规则，以便任何具有虚拟 IP 地址的 MySQL 流量都将被转发到同一 VPC 中 172.31.6.173 处的 MySql 数据库。让我解释一下：

本任务中的 IP 地址：

Ubuntu 服务器（源）：172.31.0.151

MySql 服务器（目标）：172.31.6.173

MySql 虚拟 IP：6.6.6.6

从 172.31.0.151（源）我们将连接到虚拟 IP（6.6.6.6）上的 mysql，然后它将被 NAT 到目标（172.31.6.173）。

我们使用的规则：

sudo iptables -t nat -A PREROUTING -s 172.31.0.151 -d 6.6.6.6 -j DNAT --to-destination 172.31.6.173
sudo iptables -A FORWARD -p tcp -d 172.31.6.173 -j ACCEPT

第一行指定来自 172.31.0.151 的任何流量，目的地为 6.6.6.6，都将转发到 172.31.6.173

第二行接受所有 tcp 转发到 172.31.6.173。

这些是 iptables 中唯一的规则，如果我运行sudo iptables -t nat -L，结果是：

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       all  --  172.31.0.151         6.6.6.6              to:172.31.6.173

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

但是，有了这两条规则，当我尝试从源服务器（172.31.0.151）以虚拟 IP 登录 MySql 时：

mysql -h 6.6.6.6 -u username -p

tcpdump 输出：（MySql 服务器是 RDS 实例，这意味着我无法登录运行 tcpdump，因此我只能从源服务器获取 tcpdump）：

13：41：41.768171 IP 172.31.0.151.50374 > 6.6.6.6.mysql：标志 [S]，seq 3441229166，win 62727，选项 [mss 8961，sackOK，TS val 2723434614 ecr 0，nop，wscale 7]，长度 0

13：41：45.992114 IP 172.31.0.151.50374 > 6.6.6.6.mysql：标志 [S]，seq 3441229166，win 62727，选项 [mss 8961，sackOK，TS val 2723438838 ecr 0，nop，wscale 7]，长度 0

13：41：54.184186 IP 172.31.0.151.50374 > 6.6.6.6.mysql：标志 [S]，seq 3441229166，win 62727，选项 [mss 8961，sackOK，TS val 2723447030 ecr 0，nop，wscale 7]，长度 0

PREROUTING 规则没有生效，登录尝试仍然在寻找 6.6.6.6 的服务器，而不是通过 NAT 到实际 IP 地址 172.31.6.173。

任何建议都将不胜感激。谢谢。