tire aquele ponto de interogação do dst host, pois ele significa "!not" não aplica a regra pro especificado.
Outra coisa, não dst host, é src host que vc quer bloquear, são as chamadas syn que vc quer redirecionar.
Ai vai funcionar blz.
Versão Imprimível
Desculpa, mas naum entendi, tentei aplicar com o pouco que havia entendido, mas deu no mesmo
seguinte coloca o ip que vc quer bloquear, 192.200.210.201, no src address, não marca o ponto de interrogaçao.
protocolo tcp, dst port 80. No action pode deixar como está. Outra coisa, arrasta a regra pra que ela fique primeiro que o o masquerade da rede.
infelizmente naum funcionou
Faça com um jump:
add chain=dstnat protocol=tcp dst-port=80 action=jump target=linux
add chain=linux action=dst-nat to-address=ipdolinux to-ports=81
Tente desta forma ae amigo.