Aqui eu faço da seguinte forma
$IPTABLES --table nat -A PREROUTING -p TCP --dport 5900 -j LOG \--log-prefix "VNC:"
$IPTABLES --table nat -A PREROUTING -p tcp --dport 5900 -i eth0 -j DNAT --to 10.60.70.7:5900 # Desviar para maquinas WIndows
$IPTABLES --table nat -A PREROUTING -p TCP --dport 5800 -j LOG \--log-prefix "VNC:"
$IPTABLES --table nat -A PREROUTING -p tcp --dport 5800 -j DNAT --to 10.60.61.7:5800 # Máquinas Linux
Lembor que para que você possa acessar o client, o client deve ter rota para acessar você.