我来帮你梳理下问题的核心原因和对应的解决方案：

首先得明确一个关键知识点：当你在本地用curl http://10.10.0.5:3000发起请求时，这个数据包是本地进程产生的，它只会走iptables的OUTPUT链，完全不会经过PREROUTING链。PREROUTING链的作用是处理从外部网络进入本机的数据包，本地发起的流量根本碰不到这个链，这就是为什么你设置的PREROUTING规则毫无作用，而OUTPUT规则一加上就生效的原因。

再说说dummy接口的特性：它是纯本地虚拟接口，当你在本机访问它的IP时，数据包根本不会“进入”这个接口，而是直接在本地协议栈内部完成路由和处理，自然也不会触发PREROUTING链的规则匹配。

接下来分两种场景给你解决方案：

场景1：仅需本地进程访问dummy接口IP时转发到环回服务 #

这种情况下，你之前用的OUTPUT链规则就是最适合的方案，完全没必要纠结PREROUTING。如果想更精准匹配，可以保留这条规则：

iptables -t nat -A OUTPUT -d 10.10.0.5 -p tcp -j DNAT --to-destination 127.0.0.1:3000

后续如果有多个dummy接口IP需要处理，还可以用-d 10.10.0.0/24这类网段匹配来批量配置。

场景2：需要外部机器访问dummy接口IP时转发到环回服务 #

如果你的需求是让其他机器能通过10.10.0.5访问到本机的3000端口服务，那需要完成以下几步配置：

1. 先开启IP转发功能：

   echo 1 > /proc/sys/net/ipv4/ip_forward
   

   要是想让配置永久生效，还得修改/etc/sysctl.conf里的net.ipv4.ip_forward=1，然后执行sysctl -p使配置生效。
2. 保留你之前设置的PREROUTING规则：

   iptables -t nat -A PREROUTING -i eth28 -d 10.10.0.5 -p tcp -j DNAT --to-destination 127.0.0.1:3000
   

3. 添加FORWARD规则允许数据包通过：

   iptables -A FORWARD -i eth28 -p tcp -d 127.0.0.1 --dport 3000 -j ACCEPT
   

4. 最后确保外部机器能正确路由到你的10.10.0.5（比如在对方机器上添加静态路由，或者你的主网络接口能转发这个网段的流量）。

另外补充一句：你创建dummy接口的步骤是完全正确的，这部分操作没有问题。

备注：内容来源于stack exchange，提问作者Sprite