comunque la regola è sbagliata, l'unico parametro che puoi appendere al MASQUERADE è

codice:
--to-ports port[-port]
              This  specifies a range of source ports to use, overriding the default SNAT source port-selection
              heuristics (see above).  This is only valid if the rule also specifies -p tcp or -p udp.