Eu fiz no slackware isso ae.... mas no mk e facil
add rotas faz nat, libera ip xxx para nao passar pela porta ip faz regra antes da regra do transparente, nao tem errada