Eu finalmente encontrei como fazer. Primeiro, tive que adicionar -i eth1
à minha regra "externa" (eth1 é minha conexão WAN). Eu também precisava adicionar duas outras regras. Aqui no final o que eu vim com:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE