netfilter regras para encaminhar todo o tráfego para um site local por padrão e fazer exceções a essa regra pelo macaddr

Isto é para raspbian atuando como um gateway.

computadores - > [eth1] pi de framboesa (dhcp) [eth0] - > modem / roteador - > internet

Eu fiz uma regra de encaminhamento de ip que redireciona todo o tráfego proveniente de eth1 (10.1.1.x) para eth0 que está conectado a um modem / roteador (192.168.2.1) que envia tráfego para as internets.

Isso funciona, computadores dentro do 10.1.1.x que estão conectados a eth1 do pi de framboesa podem ir até a internet bem.

Estou procurando:

1. regras do netfilter que, por padrão, encaminham todo o tráfego da web (porta 80 e porta 443) para um site local (10.1.1.1:80) e
2. outras regras que adicionam exceções a essa regra para permitir que certas máquinas, através de seus endereços mac (ou ip, se não for possível), acessem a Internet como de costume.

Eu escrevi isso que redireciona as solicitações para a porta 80 para o site local:

iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.1.1.1:80

Mas este não funciona, não consigo redirecionar para uma porta diferente:

iptables -t nat -A OUTPUT -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.1.1.1:80

Eu também não consegui encontrar como escrever exceções a essa regra para encaminhar certos macs / ips normalmente.