iptables -t mangle -A FORWARD -p tcp --dport 23 -j MARK --set-mark 50
iptables -t mangle -A POSTROUTING -p ! esp -m mark --mark 50 -j DROP