como encaminhar da porta 80 para 8080 usando iptables sem abrir a porta 8080?

A seguinte configuração do iptables funciona para encaminhar as portas 80 a 8080.

#nat chains

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i bond1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 
-A PREROUTING -i bond1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443 
COMMIT

#filter chains 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
COMMIT

No entanto, nesta configuração, um usuário pode enviar uma solicitação para a porta 80 e para a porta 8080 devido a

 -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

Existe uma maneira de definir as regras da tabela ip para que a porta 80 seja encaminhada para a porta 8080, mas a porta 8080 não esteja exposta ao mundo externo?