как это сделать?

C iptable не знаком, к сожалению, но на ipchains это выглядит так:
ipchains -A output -i $ROUTER_EXTERNAL_IFACE -p tcp \
-s $ROUTER_EXTERNAL_IP $UNPRIVPORTS -d $ANYWHERE -j ACCEPT (или MASQ)
ipchains -A input -i $ROUTER_EXTERNAL_IFACE -p tcp ! -y \
-s $ANYWHERE 6667 \
-d $ROUTER_EXTERNAL_IP $UNPRIVPORTS -j ACCEPT (MASQ)
ipchains -A output -i $ROUTER_EXTERNAL_IFACE -p tcp \
-s $ROUTER_EXTERNAL_IP $UNPRIVPORTS -d $ANYWHERE $UNPRIVPORTS -j ACCEPT (MASQ)
ipchains -A input -i $ROUTER_EXTERNAL_IFACE -p tcp ! -y \
-s $ANYWHERE $UNPRIVPORTS -d $ROUTER_EXTERNAL_IP $UNPRIVPORTS -j ACCEPT
ipchains -A input -i $ROUTER_EXTERNAL_IFACE -p tcp \
-s $ANYWHERE $UNPRIVPORTS -d $ROUTER_EXTERNAL_IP $UNPRIVPORTS -j ACCEPT
ipchains -A input -i $ROUTER_EXTERNAL_IFACE -p tcp ! -y \
-s $ROUTER_EXTERNAL_IP $UNPRIVPORTS \
-d $ANYWHERE $UNPRIVPORTS -j ACCEPT (MASQ)

Надеюсь, значения переменных понятны? :) если маскируешь ИРЦ, необходимо включить ещё модуль маскировки.
/sbin/modprobe ip_masq_irc.o
Думаю, переложив это на правила iptable ты всё сможешь сделать. Сама идея, ИМХО, понятна. :)

$UNPRIVPORTS -это что любой незанятый порт что ли или порт irc сервера внутреннего? -s $ANYWHERE -по - моему это можно не писать так как если не пишешь то по умолчанию именно это значение ? я не прав?