Bom, sei que vc já resolveu seu problema, mas vai uma recomendação, prefira fazer o bloqueio dos serviços da rede interna no FORWARD da tabela filter é melhor e mais eficiente

tipo vc pode colocar assim
deixa o NAT pra rede interna.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

e controla na FORWARD

# POLITICA DE DROP PARA FORWARD
iptables -P FORWARD DROP
# Liberando a entrada de pacotes para rede interna
iptables -A FORWARD -s 0/0 -d 192.168.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Liberando a saida apenas pra alguns serviços
# POP
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 -j ACCEPT
# SMTP
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j ACCEPT
# CONSULTA DNS
iptables -A FORWARD -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j ACCEPT


é uma dica, abraços.