а как будет выглядеть правило чтобы стучались на порт 1234 и попадали на 3389
Нужно представлять как пакет будет идти по цепочкам, а не хватать середину пути и пытаться что-то увидеть.
У Вас же сначала идёт правило по изменению destination адреса и порта
iptables -t nat -A PREROUTING -p tcp -d 111.111.111.111 --dport 1234 -j DNAT --to-destination 192.168.0.2:3389
А потом уже Вы его разрешаете пройти, указанным мной правилом. И там будет адресатом выступать 192.168.0.2 на порт 3389
А порт 1234 возможно не работает по политике провайдера
Пользователь решил продолжить мысль 29 Марта 2011, 12:09:15:
Кстати, если дефолтным правилом FORWARD выставлен ACCEPT. то второе правило лишнее по своей сути.