Спасибо за пояснеиня!
Это уже к области "улучшений".. Как все заработает буду украшать....

Никак не могу понять, как теперь порт в локалку пробросить..
Это нужно ещё что-то в iptables добавлять?
Во время выполнения скрипта он выглядит вот так:
# Generated by iptables-save v1.4.12 on Thu Mar 7 10:18:23 2013
*mangle
:PREROUTING ACCEPT [681:207646]
:INPUT ACCEPT [337:33797]
:FORWARD ACCEPT [306:169359]
:OUTPUT ACCEPT [267:65972]
:POSTROUTING ACCEPT [573:235331]
:DEFAULT - [0:0]
:PROVIDER1 - [0:0]
:PROVIDER2 - [0:0]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING ! -s 10.23.1.0/24 -m conntrack --ctstate NEW,RELATED -m mac --mac$
-A PREROUTING ! -s 10.23.1.0/24 -m conntrack --ctstate NEW,RELATED -m mac --mac$
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A DEFAULT -j PROVIDER2
-A PROVIDER1 -j CONNMARK --set-xmark 0x1/0xffffffff
-A PROVIDER2 -j CONNMARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Thu Mar 7 10:18:23 2013
# Generated by iptables-save v1.4.12 on Thu Mar 7 10:18:23 2013
*nat
:PREROUTING ACCEPT [57:4673]
:INPUT ACCEPT [16:1636]
:OUTPUT ACCEPT [57:5019]
:POSTROUTING ACCEPT [12:766]
-A POSTROUTING -s 10.23.1.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.23.1.0/24 -o eth2 -j MASQUERADE
COMMIT
# Completed on Thu Mar 7 10:18:23 2013
На сколько я понимаю, проброс портов надо делать так:
iptables -t nat -A PREROUTING -p tcp -d 10.23.1.122 --dport 3389 -j DNAT --to-destination 10.23.1.115:3389
iptables -t nat -A POSTROUTING -p tcp --dst 10.23.1.115 --dport 3389 -j SNAT --to-source 10.23.1.122
10.23.1.122 - IP на который проброшен порт 3389 в роутере, 10.23.1.115 - IP на который надо перебросить...
Но проброс все равно не происходит.... Что не так?
Пользователь решил продолжить мысль 07 Марта 2013, 10:34:21:
После выполнения строк, iptables выглядит вот так:
# Generated by iptables-save v1.4.12 on Thu Mar 7 10:32:51 2013
*mangle
:PREROUTING ACCEPT [3106:478044]
:INPUT ACCEPT [1846:207945]
:FORWARD ACCEPT [388:173741]
:OUTPUT ACCEPT [1313:242816]
:POSTROUTING ACCEPT [1725:422665]
:DEFAULT - [0:0]
:PROVIDER1 - [0:0]
:PROVIDER2 - [0:0]
-A PREROUTING -i lo -j ACCEPT
-A PREROUTING ! -s 10.23.1.0/24 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 00:26:5A:E0:78:DE -j PROVIDER1
-A PREROUTING ! -s 10.23.1.0/24 -m conntrack --ctstate NEW,RELATED -m mac --mac-source 40:4A:03:77:69:20 -j PROVIDER2
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A DEFAULT -j PROVIDER2
-A PROVIDER1 -j CONNMARK --set-xmark 0x1/0xffffffff
-A PROVIDER2 -j CONNMARK --set-xmark 0x2/0xffffffff
COMMIT
# Completed on Thu Mar 7 10:32:51 2013
# Generated by iptables-save v1.4.12 on Thu Mar 7 10:32:51 2013
*nat
:PREROUTING ACCEPT [180:21651]
:INPUT ACCEPT [84:10204]
:OUTPUT ACCEPT [131:17337]
:POSTROUTING ACCEPT [7:1656]
-A PREROUTING -d 10.23.1.122/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.23.1.115:3389
-A POSTROUTING -s 10.23.1.0/24 -o eth1 -j MASQUERADE
-A POSTROUTING -s 10.23.1.0/24 -o eth2 -j MASQUERADE
-A POSTROUTING -d 10.23.1.115/32 -p tcp -m tcp --dport 3389 -j SNAT --to-source 10.23.1.122
COMMIT
# Completed on Thu Mar 7 10:32:51 2013
Пользователь решил продолжить мысль 07 Марта 2013, 15:37:18:
Все, разобрался...

--
Если кому интересно, помогла утилита iptraf ..
Посмотрел куда какие пакеты идут.
Оказалось, что в тех правилах все правильно.
Просто в моем случае шлюзом на клиенте прописана не та сетевая карта с которой идет мапинг.. Соответственно ответ приходит с другова интерфейса, и уходит непонятно куда..
Поправил:
#!/bin/bash
echo "Port maping.."
# RDP на на 10.23.1.115
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination 10.23.1.115:3389
iptables -t nat -A POSTROUTING -p tcp --dst 10.23.1.115 --dport 3389 -j SNAT --to-source 10.23.1.100
(Не уверен, что все правильно понял, но работает..

)