помогите с IPTABLES оставить только 25,80,110,8080 порты

правильно. Ты сам подумай- первым правилом закрываешь доступ ко всем портам, кроме 25го, а вторым- ко всем, кроме 80го. То есть, два правила вместе закрывают подход вообще ко всем портам.
Попробуй задать политику DROP, а потом сделать два правила ACCEPT.

Фильрация ДОЛЖНА производиться ТОЛЬКО в цепочке FORWARD

При чём здесь forward? Если пакеты идут из локальной сети, на этот фаервол, где также стоит мыло, web, pop, прокси? Куда пакеты будут попадать? В forward?

> Куда пакеты будут попадать? В forward?
Тогда в INPUT закрывать ! Xela хотел сказать, что делать DROP в PREROUTING - это дурной тон.

> Не могу закрыть изходящие соединения для одного хоста
Т.е. стало быть пакеты все таки идут через FORWARD ? :-)
Попробуйте так:
iptables -A FORWARD -m mac --mac-source 00:0A:E6:77:F1:A6 -p tcp -m multiport --dports 80,25,110,8080 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0A:E6:77:F1:A6 -j DROP
И конечно же разрешить прохождение пакетов в обратную сторону:
iptables -A FORWARD -d x.x.x.x -p tcp -m multiport --sports 80,25,110,8080 -j ACCEPT

Не подскажите ли как организовать NAT на ядре linux 2.20?

Это что за версия ядра такая?