Also wenn du das MASQUERADING nochmal neu einrichten willst, kannst du das so tun:
iptables -t nat -F POSTROUTING # (-F steht für flush, also die Chain wird geleert) iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # (hier könnte man noch auf "-s 192.168.122.0/24" einschränken, ist aber nicht nötig)
Mit tcpdump könntest du folgendermaßen arbeiten
tcpdump -ni any -s 0 -w dumpfile port 3389
Die entstehende Datei kannst du dir dann mit Wireshark anschauen. Wenn du "-w dumpfile" weglässt werden dir Informationen über die Pakete direkt angezeigt.
Hintergrund ist, dass du damit sehen kannst, welche Pakete weggehen, und vor allem ob Antwort-Pakete ankommen. Wenn letzteres nicht der Fall ist, könnte man nochmal gucken ob es nicht ein asynchrones Routing oder so gibt.