Finalmente encontré cómo hacerlo. Primero, tuve que agregar -i eth1 a mi regla "externa" (eth1 es mi conexión WAN). También necesitaba agregar otras dos reglas. Aquí al final con lo que vine:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 10.32.25.2:80
iptables -t nat -A POSTROUTING -p tcp -d 10.32.25.2 --dport 80 -j MASQUERADE
También olvidó mencionar que el reenvío de paquetes debe estar habilitado para poder realizar NAT de destino. Por defecto, normalmente está desactivado, por lo que las reglas de iptables no funcionarán. Se puede habilitar emitiendo:
echo 1 > /proc/sys/net/ipv4/ip_forward
Primero permitir el reenvío con
echo 1 > /proc/sys/net/ipv4/ip_forward
Luego establezca las reglas de iptable con
IF=eth1
PORT_FROM=8080
PORT_TO=80
DEST=10.32.25.2
iptables -t nat -A PREROUTING -i $IF -p tcp --dport $PORT_FROM -j DNAT --to $DEST:$PORT_TO
iptables -t nat -A POSTROUTING -p tcp -d $DEST --dport $PORT_TO -j MASQUERADE
Puedes poner estas líneas en /etc/rc.local por ejemplo. Nota:dado que Debian jessie lo hizo ejecutable y habilitó el servicio rc.local a través de
systemctl enable rc-local.service