não é bem dessa forma que você deve fazer.
pelo jeito você não pesquisou por um bom tempo.
você precisa colocar no PREROUTING do nat, antes da regra de redirecionamento.
Versão Imprimível
putz, pelo que pesquisei, a "solução" encontrada foi essa mesma. Inclusive é parecida com a regra para o Conectividade Social.
a regra de FORWARD da tabela filter é lida depois da regra de PREROUTING da tabela nat, por isso que não é dessa forma que você vai resolver seu problema.