Отвечаю
phantom-dНу, во-первых, давайте уберём косяки с граблями и удалим лишнее
1.
*nat
-A POSTROUTING -j MASQUERADE
Меняем на
-t nat -A POSTROUTING -o eth4 ! -d 192.168.34.0/24 -j MASQUERADE
Если есть ещё локальные сети или внешние интерфейсы, то добавляем соответствующие правила
2. При
*filter
:FORWARD ACCEPT [62085:3687956]
следующие правила совершенно бессмысленны
*filter
-A FORWARD -d 192.168.34.200/32 -p udp -m udp --dport 11111 -j ACCEPT
-A FORWARD -d 192.168.34.200/32 -p tcp -m tcp --dport 11111 -j ACCEPT
-A FORWARD -s 192.168.34.0/24 -i eth1 -o eth4 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
3. Мало того, из тех правил, что я выделил как "неудавшиеся" (ну, допустим, что дефолтный ACCEPT был выставлен из-за непоняток - для выявления косяков) - 2 из них неработоспособные, а 2 - неправильным порядковым номеров.
А именно
Для снижения нагрузки на ядро разрешения на пакеты установленных соединений ставят первым или, как минимум, первым за приоритетными запрещающими правилами
Разрешение на исходящий траффик из локальной сети - вторым (хотя это спорно - всё зависит от того, какой траффик чаще начинается - локальный или доступ из внешки)
А вот правила на RDP - вообще неверные. Сразу видно, что Вы даже не пытались разобраться как это работает (имею ввиду и сам RDP и netfilter).
а. RDP - использует чисто tcp соединения
б. Цепочку FORWARD входящие пакеты RDP будут проходить уже с destination port 3389
Ввиду вышеописанного, таблица filter должна выглядеть так
*filter
:INPUT ACCEPT [16485763:10639686855]
:FORWARD DROP [62085:3687956]
:OUTPUT ACCEPT [11987074:5571091639]
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.34.0/24 -i eth1 -o eth4 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -d 192.168.34.200/32 -p tcp -m tcp --dport 3389 -j ACCEPT
COMMIT
Правда всё вышесказанное, никак не влияет на неработоспособность RDP. Проверяйте внешний адрес, возможно из-за этого проблемы.
Ну и... проверяйте роутер. Есть модели аппаратных роутеров, которые в веб.морде показывают, что порт проброшен, а по факту - проброса нет.