Olá, estou usando assim. Se estiver errado me corrijam, mas esta funcionando tanto para fora quanto para dentro.

Politica

iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

regras
iptables -A FORWARD -p TCP -s $ipMascara --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3389 -j ACCEPT

espero que ajude