Вобщем я сделяль:
самый первый вариант был почти рабочий, надо было добавить POSTROUTING (SNAT)
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -d 10.8.0.6 -p tcp --dport 3389 -j SNAT --to-source 10.8.0.1:22450
ну и
firewall-cmd --reload