Eu crio uma nova cadeia na tabela mangle:
$IPTABLES -N newchain -t mangle
Depois disso, todos os pacotes de porta dos anos 80 que coloquei nessa nova cadeia:
$IPTABLES -t mangle -A PREROUTING -i eth1 -p tcp --dport 80 -j newchain
Depois disso, marquei os pacotes dessa cadeia:
$IPTABLES -t mangle -A newchain -j MARK --set-mark 11
Como posso dnat aqueles pacotes, que são marcados com 11 depois disso?
$IPTABLES -t nat -A PREROUTING -m mark --mark 11 -p tcp --dport 80 -j DNAT --to-destination 172.32.1.2
Não funciona. Porque depois de newchain em mangle > pacotes vão filtrar FORWARD, mas não para o nat.
NAT é aplicado após o roteamento ter sido determinado. Então, você precisa usar a tabela POSTROUTING -
$IPTABLES -t nat -A POSTROUTING -m mark --mark 11 -p tcp --dport 80 -j DNAT --to-destination 172.32.1.2
Não sei por que você precisa continuar com a qualificação de tcp / 80, já que você já os marcou nessa base.
$IPTABLES -t nat -A POSTROUTING -m mark --mark 11 -j DNAT --to-destination 172.32.1.2