Espero que haja mais em sua configuração do iptables do que o que você está nos mostrando.
Na tabela de filtros *, INPUT é definido para aceitar por padrão. Para as pessoas que são novas no iptables, elas podem usar isso e deixar o sistema exposto. Você pode querer configurar as cadeias padrão no filtro para DROP e depois abrir apenas as portas que deseja obter para a sua caixa, caso contrário você teria uma "cerca de arame" em vez de um firewall.
Com sua regra POSTROUTING, isso funcionaria, mas você teria que criar uma regra semelhante para cada porta aberta. Algo como isto [iptables -A POSTROUTING -t nat -o eth4 -j SNAT - para pu.bl.ic.ip] funcionaria para todas as portas que vão para a interface externa.
Na corrente FORWARD, é uma boa ideia usar "cintos e suspensórios" para proteger sua caixa. Você pode adicionar -s yo.ur.ext.ip, portanto, se alguém tentar acessar essa porta, eles serão descartados. Espero que isso ajude alguém.