Если вы хотите сделать классический NAT для Dip и реализовать проброс портов для его Dport, то вам не нужно никаких специально разработанных правил POSTROUTING для него, просто добавьте generic -j MASQUERADE.
И... DNAT в POSTROUTING? Вы сделали опечатку?
Я обычно реализую классический NAT так (при условии, что настроен блокирующий брандмауэр, а conntrack принимает обратно все "ответные" пакеты):
iptables -I POSTROUTING -o ppp0 -j MASQUERADE
iptables -I FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -I PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to local_ip:80
Здесь eth0 - локальный iface в той же подсети, что и local_ip, ppp0 - интернет iface.