Bom dia, eu libero o conectividade para todas as máquinas usando essas linhas:

iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 200.201.174.0/24 --dport 80 -j ACCEPT #SEFIP
iptables -A INPUT -p tcp -s 0/0 --sport 2631 -d 200.201.174.0/24 --dport 80 -j ACCEPT #SEFIP
iptables -t nat -A PREROUTING -p tcp -s 0/0 --sport 2004 -d 200.244.109.0/24 --dport 80 -j ACCEPT # SEFIP
iptables -t nat -A PREROUTING -p tcp -s 0/0 -d 200.229.128.0/24 --dport 80 -j ACCEPT #MAESK
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT #Conectividade
iptables -t nat -A PREROUTING -p tcp -s 0/0 --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT #Conectividade

até aí tudo bem mas nunca tinh conseguindo liberar o sefip, quando o usuário tentava enviar um fgts ele dava erro dizendo que a máquina não estava conectada a internet então eu tirvava a máquina do proxy via mac e ela entrava normal, pois bem então fiz o teste, coloquei a mesma linha que tira uma das máquinas do proxy:

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source 00:15:C5:35:C5:8E -d 0.0.0.0/0 --dport 80 -j ACCEPT

e alterei o destino para os ips da caixa e sefip com destino a porta 80:

iptables -t nat -A PREROUTING -p tcp -m mac --mac-source 00:15:C5:35:C5:8E -d 200.244.109.0/24 --dport 80 -j ACCEPT #Liber$
iptables -t nat -A PREROUTING -p tcp -m mac --mac-source 00:15:C5:35:C5:8E -d 200.201.173.68 --dport 80 -j ACCEPT #Liber$
iptables -t nat -A PREROUTING -p tcp -m mac --mac-source 00:15:C5:35:C5:8E -d 200.201.174.0/24 --dport 80 -j ACCEPT #Libe$

e pimba!!! deu certo mas ai como vi muitas linhas juntas quis organizar e descobrir quais linhas eu poderia tirar, então fui comentando algumas e testando no sefip...então para conluir comentei todas as linhas e dei um restart no iptables e lá estava o sefip conectando normalmente e a caixa fora, o que poderá ser? pois se eu comentasse só as linhas do mac já era para não entrar mais....pergunto isso comedo de ter alguma brecha no meu firewall.