Olá, estou usando assim. Se estiver errado me corrijam, mas esta funcionando tanto para fora quanto para dentro.
Politica
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
regras
iptables -A FORWARD -p TCP -s $ipMascara --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT
espero que ajude