¿Agregar puerto en las reglas de iptables?:
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to-destination win-box:3389
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT
No estoy muy seguro de que sea la razón. Pero normalmente lo hago de esta manera:http://www.systutorials.com/816/port-forwarding-using-iptables/
Todos pueden intentar vaciar las tablas primero:iptables -t nat -F; iptables -Fy luego agregue estas dos reglas en caso de que otras reglas en sus iptables bloqueen la conexión.
También puede
cat /proc/net/nf_conntrack
y ver el contenido allí. Cada conexión de reenvío tiene entradas allí.
Nota :MASQUERADE también es necesario si la ruta de salida de Windows no pasa por defecto a través del iptables caja; vea los comentarios a continuación (es posible que deba mostrarlos).
Vi que resolviste el problema con MASQUERADE. No me di cuenta de que el último comentario estaba oculto, así que tuve que resolver la pregunta por mi cuenta, gracias al excelente Tutorial de Iptables (búsquelo en Freshmeat). Yo hice casi lo mismo que tú, pero haciendo un SNAT en lugar de MASQUERADE, ya que la caja de linux tiene una IP local estática. MASQUERADE sería más apropiado si la caja de Linux tuviera su IP proporcionada por DHCP, de lo contrario, se dice que es una tarea que consume más procesador.
No necesitaba ninguna regla FORWARD, aunque tenía que
eco 1 | sudo tee /proc/sys/net/ipv4/ip_forward