如何实现用iptables做本机端口跳转，同时阻止直接访问原始端口？

owenwell

本机做媒体服务，服务程序的原始端口是udp：5000-5011，因为有多个频道，所以对应在多个端口提供服务。
现在想用iptables做本机端口跳转，把udp：6000-6011跳转到对应的原始端口

iptables -t nat -A PREROUTING -p udp --dport 6000 -j REDIRECT --to-ports 5000
……
iptables -t nat -A PREROUTING -p udp --dport 6011 -j REDIRECT --to-ports 5011

用以上命令实现了本机端口跳转，现在想阻止客户端直接访问本机的原始端口udp：50000-5011，因为有可能要经常改变服务端口。
如果在INPUT链DROP了原始端口，跳转的数据包也会被阻止，我能想到的就是在PREROUTING链最前面把原始端口跳转到一个没有提供服务的端口。
请问有更好的方法吗？

另外还想问一下，上述多个本机端口跳转命令能否用更简洁的命令来实现？
iptables -t nat -A PREROUTING -p udp --dport 6000:6011 -j REDIRECT --to-ports 5000-5011
这个我测试过，好像不是对应的端口跳转。