alex1478 натолкнул меня на мысль, что что-то может раньше добавляет правила в iptables. Вспомнил, что у меня стоит arno-iptables-firewall. Полез курить маны по нему и нашёл необходимый плагин.
В итоге всё свелось к такому:
в /etc/arno-iptables-firewall/plugins/outbound-snat.conf надо поставить
ENABLED=1 и в самом низу файла указать внутреннюю подсеть и внешний IP для неё
OUTBOUND_SNAT_NET_HOST="10.8.0.1/24>4.3.2.1".
