Antes de mais nada, quero dizer que não acredito que o Tomcat que atua como usuário sem permissão não possa vincular a porta 80. É possível que você tenha direitos inadequados para esse usuário. E quanto ao redirecionamento: a saída da sua tabela está incompleta. Você pode por favor fornecer iptables -nvL -t saída de nat? Quero dizer, aqui você pode rejeitar regras por interface e sua saída não mostra isso. E quanto aos pedidos do terminal local: Basta pensar que a escolha sobre o roteamento depende da tabela de roteamento e qual interface enviará o pacote também depende da tabela de roteamento. Então, se seu aplicativo vincular apenas a interface, você obterá tráfego interno de 'lo' para 'lo'