Então esta é a resposta definitiva que eu estava procurando.
Primeiro, você precisa definir a regra NAT (pré-layout) para redirecionar o tráfego para o servidor / computador correto. Feito assim ...
iptables -t nat -A PREROUTING -p tcp -s yy.yy.yy.0/24 --dport 3389 -j DNAT --to-destination 192.168.1.xx:3389
Então você precisa de uma regra de filtro (FORWARD) para permitir que o tráfego flua para o destino dessa forma ...
iptables -t filter -I FORWARD -s yy.yy.yy.0/24 -d 192.168.1.xx -p tcp --dport 3389 -j ACCEPT
Nota:
yy.yy.yy.0 / 24 é o bloco de IPs que você gostaria de permitir ... Veja link para ajuda com sub-redes.
192.168.1.xx é o servidor de destino em sua LAN local.