Модно сделать так# здесь проверяются только пакеты RDP
iptables -t nat -N RDP
iptables -t nat -A RDP -s 1.1.1.1 -d 2.2.2.2 -j DNAT --to-destination 192.168.1.1
iptables -t nat -A RDP -s A.B.C.D -d E.F.G.H -j DNAT --to-destination I.J.K.L
# не тратим ресурсы на непрошенных гостей
iptables -t nat -A RDP -j TARPIT
# каждый пакет проверяется здесь только один раз
iptables -t nat -p tcp -m tcp --dport 3389 -g RDP
# если есть желание отфильтровать что-нибудь - IMHO: чем раньше - тем меньше ресурсов на это будет потрачено