Увы,но без этого никак,надо не полениться и изучить,зашпаргалить (как угодно) iptables. Так Вы просто дел наворочаете
в ущерб своей же безопасности.Подобный мануал может занять не одну страницу (с учётом всех нюансов,инструментов,котор ые
будут задействованы,инфраструкт� �ры сети,потребность в "маскарадинге" или нет,какие будут цепочки,таблицы,т.к.по-умолчанию
таблицей FILTER тут явно не отделаешься.На каких портах будет это всё работать,куда какой перебрасывать с учётом разведданных).На это просто нет времени.

1 траф перенаправляется тупо прописываением вашего фейкового ДНС в роутере , то есть там есть в настройках WAN пункт прописать ДНС , вот и прописываете туда свой липовый ДНС .
2 с шифровой не так легко как некоторые тут пишут . я очень хотел бы ошибаться по этому поводу , но ssl уже не так легко обойти как это было раньше . DSW говорит что это очень легко даже для платежек , если можно поделитесь хотя бы примерно как , а то даже с самоподписанным сертификатом все палится как новогодняя елка .
3 Шифрование можно отсечь совсем , перекидывая с 443 на 80 . Это самый дубовый вариант .увы для серьезных контор это не прокатывает , возможно у меня кривые руки (очень надеюсь , ибо руки можно и выпрямить , и результат этого будет стоить) , но вроде как много народу писало что ssl стал костью в горле .

Вот что нагуглил, если ещё актуален вопрос
https://habrahabr.ru/post/119356/