A palavra-chave que você está procurando é 'Destination NAT', conhecida como DNAT.
Suponho que você esteja usando iptables simples e que já tenha configurado o SNAT (para direcionar de volta). Então faça algo assim:
# iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 \
-j DNAT --to-destination 192.168.1.2
onde eth0 é sua interface WAN e 192.168.1.2 é algum endereço em sua rede local.