Pessoal andei pesquisando pelo fórum e cheguei a conlucao que devo utilizar essas regras para o vnc:
iptables -t nat -A PREROUTING -t nat -p tcp -d 200.x.x.x --dport 5800 -j DNAT --to 10.0.0.2
iptables -t nat -A PREROUTING -t nat -p tcp -d 200.x.x.x --dport 5900 -j DNAT --to 10.0.0.2
Devo colocar elas antes de que local no meu firewall nessa parte ?
iptables -P FORWARD DROP
iptables -A FORWARD -d 10.0.0.0/8 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j SNAT --to 200.x.x.x
ISto é antes ou depois das regras de NAT, ou antes ou depois das regras de FORWARD ?