Debian
инет на интерфейсе ppp0
локальная сеть vmbr0
имеем правила в цепочке net2loc:

Chain net2loc (1 references)
target     prot opt source               destination
dynamic    all  --  anywhere             anywhere             ctstate INVALID,NEW
tcpflags   tcp  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             192.168.10.4         tcp dpt:3389 ctorigdstport 3883
ACCEPT     udp  --  anywhere             192.168.10.7         udp dpt:sip-tls ctorigdstport 5061
ACCEPT     tcp  --  anywhere             192.168.10.7         tcp dpt:3389 ctorigdstport 9889
Drop       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

по ним можно подключатся по RDP к .10.4 и .10.7 Аналогично хочу добавить правило для проброса снаружи с порта 8070 на 192.168.10.188:80

PS файл правил найти нигде не могу (нет ни /etc/init.d/iptables ни /etc/sysconfig/iptables)

-PS iptables-save

по команде iptables-save посмотрел список команд (местонахождения файла там нет)
выполнил команду
iptables -A net2loc -d 192.168.10.4/32 -p tcp -m tcp --dport 3389 -m conntrack --ctorigdstport 3883 -j ACCEPT
теперь цепочка выглядит так:
root@pve:/home/alex# iptables -L net2loc -n -v --line-numbers
Chain net2loc (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       95  6885 dynamic    all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW
2     113M  137G tcpflags   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
3     176M  146G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
5       62  3528 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.10.4         tcp dpt:3389 ctorigdstport 3883
6        4  1721 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.10.7         udp dpt:5061 ctorigdstport 5061
7       11   556 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.10.7         tcp dpt:3389 ctorigdstport 9889
8       18  1080 Drop       all  --  *      *       0.0.0.0/0            0.0.0.0/0
9       18  1080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0
10       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.10.188       tcp dpt:80 ctorigdstport 8070

Как переместить 10 строку на 8 мсесто?

Пробовал -A net2loc 8 -d 192.168.10.4/32 -p tcp -m tcp --dport 3389 -m conntrack --ctorigdstport 3883 -j ACCEPT

пишет bad argumet 8

вывод надо > iptables.sav

(3) такого нет

+(2) и как все таки командой добавить не последней строкой а выше?

в общем сделал через двойной iptables -D net2loc 8
и
root@pve:/home/alex# iptables -A net2loc -j Drop
root@pve:/home/alex# iptables -A net2loc -j DROP

Но файл конфига так и не нашел. Так что получается после перезагрузки компа снова придется все прописывать

надо настроить, сохранить настройки iptables-save > iptables.config, при загрузке восстановить iptables-restore iptables.config

(7)сегодня перезагружался сервак. попробовал команду iptables-restore iptables.config
не восстановилась и сохраненного файла. Курсор только перескочил на новую строку в режим ожидания ввода, а что дальше вводить?
в общем я вышел из этого режима и все команды ввел снова

(8) вообще-то, оно из stdin настройки читает. Вот так надо было:
#cat iptables.config | iptables-restore