Можете ли вы попробовать эту настройку:
iptables -t nat -A INPUT -p tcp --dport 5000 -j DNAT --to-destination 192.168.2.3:5000
iptables -t nat -A SRCNAT -j MASQUERADE
Вы можете увидеть больше примеров здесь . Это должно работать, но почему вы все равно пытаетесь реализовать на уровне брандмауэра?
Если у вас есть веб-сервер на вашем хосте 192.168.2.14, почему бы вам просто не добавить перенаправление на правильный адрес, например, в вашем .htaccess? Это будет самым простым и надежным способом, я настоятельно рекомендую его.