Masquerading IP Umleitung

Genau solche Sachen macht man schlicht mit SSH.

Mit SSH verbinden, Einstellen, gut ist's.
Da braucht es keinen Webserver.
Und es ist wesentlich sicherer, da man dabei (normalerweise) richtige Schlüssel verwendet.

Der will zu Windows mit RDP. TLS-Authentifizierung geht, aber von Verschlüsselung steht hier nichts:
Remote Desktop Protocol – Wikipedia
Aber hier:
Absicherung von Remotedesktopzugängen - IT- und Medienzentrum - Universität Rostock

Ssh ist vermutlich sicherer und gibt's auch fur Windows. Nur Terminal???
10 best SSH Clients for Windows: free alternatives to PuTTY - Page 2 of 2

Langsam könnte der TE auf die zu installierenden Dienste der Win-PCs und die Ports für Weiterleitung kommen:
SSH Port Forwarding – SSH-Port-Weiterleitung – SSH-Tunnel durch eine Firewall – RDP-Tunnel über SSH-Port | MediaMill Blog
RDP-Port: Port finden und ändern! – GIGA
Natürlich würde ich erst mal mit ping/icmp testen ... dann RDP ... dann Tunnel/SSH.

Das oben verlinkte Board hat 2 oder 4 GB, Router, FW, Apache?!

Ich habe das so verstanden, dass er den/die RDP Ports via Webserver öffnen will.

Die RDP/VNC Sachen sind alle gleich (un)sicher.
Ich mag sie nicht.

Deshalb ist es auch nicht sinnvoll darüber hinaus noch ein Risiko einzubauen.
Und eine Spasswortauthetifizierung zum Zugriff auf die Netzwerkkonfig IST ein SEHR großes Risiko.
Ein Webserver steht erst recht unter Feuer.
Und ich glaube kaum, dass er sich dafür noch eine WAF einrichten kann/wird.

Da ist SSH das erste Mittel der Wahl.
Nicht mit Spasswort, sondern mit Keyzugriff.

Nochmals kurz::
Teste Portweiterleitung vom Einfachen zum Komplizierten zu einem internen PCs, lies zm Debugging vorrangig spezielle Logs der Firewall, evtl jourmalctl.
Zu mehreren, internen PCs benötigst du übrigens PAT (Port adress Translation Port Address Translation – Wikipedia
erstmal nur ping und traceroute mit ICMP-Protokoll
dann RDP
dann ssh
dann evtl. getunneltes RDP
Dazu müssen die Dienste, die auf Anfragen hören und antworten sollen, auf den Zielrechnern laufen. ICMP läuft standardmäßig. Der erste Test kann auch auf die interne IP des Suse-Rechners erfolgen.
Manche Dienste benötigen mehrere Ports!!! Am besten du suchst dir ein passendes Tut pro Dienst dazu.
Liste der standardisierten Ports – Wikipedia

Einen aus dem WAN/Internet erlaubter remote-Zugang für Management auf den Firewall-PC ist - gerlinde gesagt - Schwachsinn. Oder erweiterter Suizid. Aus dem LAN natürlich wertvoll.
Wie Susi Firewall loggt, googelst du bitte selbst. Für Linux-Firewalls, die mit iptables laufen, gibt es spezielle GUIs, die mehr machen als Ssusi selbst. Diese listen sicher auch Susi FW-Logging, manche erlauben sogar objektorientierte Erstellung der iptables. Am Ende sind es nur GUIs.
Mal googeln nach Linux + Firewall.

Die ganzen Methoden haben nichts, aber auch gar nichts mit Linux zu tun. Auch mit Windows-Servern wären die Methoden gleich. Beschäftige dich dringend mit Netzwerktechnik.Dedizierte Router und Firewalls und deren Firmware erleichtern die Konfiguration erheblich. In deren Handbüchern sind diese Methoden komprimiert beschrieben. OpenWRT ist mich Apache erweiterbar. Das o. g. Board ist für Routing und FW konzipiert und hat genug Speicher (2 oder 4 GB) und spart noch Strom. Beschäftige mich selbst gerade damit.

Mir ist noch etwas eingefallen:
1. Für externe Erreichbarkeit sollte man sich mit dyndns befassen:
Dynamisches DNS – Wikipedia
2. Dann könnte man, wenn man auf einem Windows-PC als Admin eingeloggt ist, über deas interne lAN die FW remote umkonfigurieren. Wahrscheinlich auch Hacker. Einen internen Managementzugang wirst du ja wohl ungeschützt freigeben.
(Ich wollte schon immer anonym einen kostenlosen Rootserver für Filesharing, Spam und Bombendrohungen, wenn die Nachbarn mal wieder laut machen. Gib mir doch mal deine IP.)