Você precisa adicionar uma regra MASQUERADE
para esse tráfego na caixa nat. Isso faz com que o tráfego para qualquer um dos serviços DNAT pareça vir da caixa nat. Dessa forma, quando o serviço DNAT responde, o tráfego volta para a caixa nat para que possa ser enviado de volta ao cliente (com o endereço IP de origem correto).
Por exemplo, se sua rede privada for 192.168.0.0/24
e a caixa nat tiver essa rede em eth1
:
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -d 192.168.0.0/24 -j MASQUERADE
(Você poderia usar SNAT em vez de MASQUERADE, ou funciona)