iptables -t filter -A OUTPUT -d 1.2.3.4 -j DROP
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121
Primeira regra não funciona porque nat processou antes do filtro. Qualquer maneira de contornar isso?
Você não é obrigado a filtrar nada antes do DNAT. Você faz a pergunta errada.
Você deve dar uma olhada em man iptables-extensions , especialmente o módulo conntrack com suas opções '' --ctstate DNAT , - ctorigdst , and - ctorigdstport '.
iptables -t nat -A OUTPUT -d 1.2.3.4 -j ACCEPT
iptables -t nat -A OUTPUT -p tcp -m owner --uid-owner abc -j DNAT --to 127.0.0.1:121