Это не тестируется, но должно быть очень близко к тому, в чем Вы нуждаетесь:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --source 212.333.111.222 -j REDIRECT --to-port 9020
По существу Вы прерываете пакет, поскольку он вводит Ваш сетевой интерфейс (eth0, в этом случае), но прежде чем любые решения по маршрутизации были сделаны об этом. Вы затем выполняете перевод на пакете: если источник 212.333.111.222, и целевой порт равняется 80, то перенаправьте пакет для портирования 9020 вместо этого.
Во всех других случаях будет течь трафик, как он обычно был бы; т.е. если исходный адрес и целевой порт не будут соответствовать и 212.333.111.222 и порт 80, то пакет оставят нетронутым.