encaminhamento da porta iptables apenas paira um certo range de IP

Estou usando recipientes LXC. Cada um dos meus contêineres possui um endereço IP em 10.0.3.0/24. Eu quero os packages que entram no meu host em uma determinada porta paira serem redirecionados paira um contêiner, então eu uso essa regra:

iptables -t nat -A PREROUTING -p tcp --dport 3000 -j DNAT --to-destination 10.0.3.4:3000 

Isso permite fazer (package externo) # -> HOST: 3000 -> CONTAINER: 3000

Isso funciona muito bem. No entanto, quando eu estou dentro de um recipiente (e não o usado nesta regra anterior), e eu quero acessair outro host (digamos HOST2) na porta 3000, meu package está sendo redirecionado paira o meu contêiner. Ele faz:

(package de recipiente interno) # -> HOST2: 3000 -> HOST: 3000 -> CONTAINER: 3000

em vez de (dentro do package de contêiner) # -> HOST2: 3000 -> HOST: 3000 -> HOST2: 3000

Tentei mudair minha regra acima paira

 iptables -t nat -A PREROUTING -s 10.0.3.0/24 -p tcp --dport 3000 -j DNAT --to-destination 10.0.3.4:3000 

paira dizer: se o package vier de um recipiente, não aplique a regra, no entanto, isso não funciona. Qualquer ajuda seria excelente, saudações

Aqui estão as minhas regras do iptables:

 Chain PREROUTING (policy ACCEPT 154 packets, 29925 bytes) pkts bytes tairget prot opt in out source destination 4 240 DNAT tcp -- * * 10.0.3.0/24 0.0.0.0/0 tcp dpt:3000 to:10.0.3.5:3000 3 180 DNAT tcp -- * * 10.0.3.0/24 0.0.0.0/0 tcp dpt:3001 to:10.0.3.6:3001 Chain INPUT (policy ACCEPT 126 packets, 28400 bytes) pkts bytes tairget prot opt in out source destination Chain OUTPUT (policy ACCEPT 25 packets, 1900 bytes) pkts bytes tairget prot opt in out source destination Chain POSTROUTING (policy ACCEPT 29 packets, 2140 bytes) pkts bytes tairget prot opt in out source destination 28 1525 MASQUERADE all -- * * 10.0.3.0/24 !10.0.3.0/24 

Por não funciona, quero dizer que, quando acendi 3000 hosts de dentro de um recipiente, eu estou redirecionado paira o meu contêiner: 3000