Você criou seu script bem seguro, com todos os NAT feitos OK, mas tem dúvidas de onde colocar o mesmo? Coloque-o na inicialização, antes de qualquer serviço dentro do runlevel padrão do sistema (normalmente definido em /etc/inittab).

No meu caso:


Coloque, caso não tenha, ou mude o link simbólico que aponta para seu script:

# ln -sf /local/aonde/esta_seu_script /etc/rc3.d/S00iptables

Agora explicando a lógica das pastas rcx.d:

Cada pasta possui arquivos de configuração de serviços que vão ser inicializados de acordo com o runlevel que o sistema está e estes arquivos ficam em ordem, por exemplo, o arquivo S00nomedoserviço vai inicializar antes do arquivo S10nomedoserviço e assim sucessivamente.

Para cancelar a execução de um determinado serviço correspondente ao runlevel que se executa basta alterar o link desta forma (seguindo o exemplo acima do iptables):

# mv /etc/rc3.d/S00iptables /etc/rc3.d/K00iptables

E pronto! No caso o iptables não inicializará mais. ;-)