Почему переключатель --group-directories-first для команды ls так и не эволюционировал, чтобы также иметь короткую форму?

Если вы хотите сделать классический NAT для Dip и реализовать проброс портов для его Dport, то вам не нужно никаких специально разработанных правил POSTROUTING для него, просто добавьте generic -j MASQUERADE.

И... DNAT в POSTROUTING? Вы сделали опечатку?

Я обычно реализую классический NAT так (при условии, что настроен блокирующий брандмауэр, а conntrack принимает обратно все "ответные" пакеты):

iptables -I POSTROUTING -o ppp0 -j MASQUERADE

iptables -I FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -I PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to local_ip:80

Здесь eth0 - локальный iface в той же подсети, что и local_ip, ppp0 - интернет iface.