iptables проброс порта

это означает, что source ip иной, чем вы предполагаете. tcpdump вам в помощь

Уточните задачу. Вы хотите что при подключении к vpn была доступна внутренняя сетка. Или вы хотите чтобы это работало с определенных адресов без всяких VPN? Если второе то для этого нужен NAT. Пример четно спертый с digital ocean -

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.0.2.2

Не хватает только -s для указания того самого вожделенного адреса с которого этот проброс бы работал. К сожалению под рукой нет ничего на чем проверить, но вроде оно как то так в вашем случае:

iptables -t nat -A PREROUTING -s ip1 -i eth0 -p tcp --dport 4000 -j DNAT --to-destination ip2

Необходимо пробросить порт 4000 через прокси сервер на комп в локальной сети. Сейчас это реализванно так

iptables -A FORWARD -i ppp0 -o eth0 -p tcp --syn --dport 4000 -m conntrack --ctstate NEW -j ACCEPT

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to-destination 192.168.*.*:4000
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4000 -j DNAT --to-destination 192.168.*.*:4000
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 4000 -d 192.168.3.131 -j SNAT --to-source 192.168.*.*
 

Сейчас правила работают и разрешают подключатся с любого ip Так как филиал получил белый ip хочу подправить правила таким образом чтобы разрешить проброс только с этого белого адреса.

А зачем вы темы плодите? В предыдущей вроде уже все обсудили.

Да собственно, в предыдущей остановились на том что можно фильтровать через PREROUTING и через форвард, собственно начал работать с Forward а оно никак, потому и создал новую тему

Показывайте полные правила iptables-save. И просьба уж серый адрес не надо маскарадить, я только поэтому вас и узнал.
ЗЫ Однако, что-то мне подсказывает по вашему объяснению, что ip1 как написали выше не ip1. Вы можете посмотреть сами используя tcpdump так или оно или нет. Чудес не бывает.