Opa só colocando uma virgulizinha coloque a navegação especifica na porta 80, porque se essa maquina que esta navegando na net sem log pega um back door, ou qualquer coisa ela estará direto na net.
iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 80 -j DNAT --to 200.0.0.1 #HTTP
iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 443 -j DNAT --to 200.0.0.1 #HTTPS
Assim vc garante que o que ele ta somente enviando pacotes de http e https para a net direto !