É muito mais fácil sem NAT. Se você tem experiência com o iptables, deve ser simples: (eu usei 1.2.3.0/24 como sua LAN). Apenas use a tabela FORWARD.
- permite conexões ESTABLISHED e RELATED (exatamente as mesmas que com nat)
- permite portas de saída 80,433, ... onde o endereço de origem é do intervalo de IP local (se você precisar filtrar o tráfego de saída) (-s 1.2.3.0/24 permite de endereços de origem de sua LAN e se você não definir o destionaton "-d", significa qualquer destino). Se você não restringir o tráfego de saída, basta usar "-s 1.2.3.0/24 -j ACCEPT")
-
permite serviços necessários (se você tiver um servidor web, permita a porta 80 com o ip de destino do seu servidor web) (-d 1.2.3.4 -p tcp --dport 80, ... se você não configurar a fonte - s, significa qualquer fonte ip)
-
solte tudo
por exemplo:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 1.2.3.0/24 -j ACCEPT #allow everything out
iptables -A FORWARD -d 1.2.3.4 -p tcp --dport 80 -j ACCEPT #webserver
iptables -A FORWARD -d 1.2.3.0/24 -j DROP