Se supone que sólo tienes un NAT , que es quien ve internet, y es al que se le cuelgan las máquinas de Internet pidiendole el Translate de sus direcciones para salir hacia fuera...
A ver si la máquina puente=NAT, es Windows , te aconsejo el uso de Winproxy ... Ahora mismo no estoy seguro si es posible capar el servicio pop3(socket 110) y el smtp(socket 25) a nivel de ip...
Osea la máquina interna a quien no deseas q pueda hacer uso de smtp/pop3 le asignas una ip fija "Por seguridad quien le asigna esa ip es la máquina NAT mediante un DHCP,este tb realizará que madia pueda usurpar la ip ;)".
En linux itables, en
http://www.linuxguruz.com existen scripts demo de como configurarlo "Nivel avanzaso" = te veo muy verde para hacer uso de él.
Byez