еще раз спасибо
если не сложно, гляньте конфиг который получился в итоге, может что-то не правильно

iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source "внешний ip"
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4000 -j DNAT --to-destination 192.168.0.77:3389
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

будет ли это пропускать локальных пользователей на сайты через прокси на 3128 (с условием что прокси настроена правильно), будет ли работать проброс портов 4000->3389 , и будут ли ответные пакеты пропускаться, или для них еще что-то нужно добавить?

или правило для ответных пакетов вида
iptables -A INPUT -i eth0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
будет пропускать ответные пакеты?