Lo mejor sería que te montases una VPN... Pero si quieres ir a lo salvaje...

El NAT te permite, en prácticamente todos los casos que conozco, redireccionar lo que entra por un puerto a otro cualquiera.

Es decir, que efecticvamente, si en tu router direciconas el puerto 3390 a otra maquina interna al puerto 3389, cualquier conexion con el remote desktop que hagas a tu IP publica a la 3390, atacarias a esa segunda maquina por el puerto 3389 (en el remote desktop, la sintaxis habitual -> ip_publica:3390).

Puedes repetir la operación para multiples máquinas...

El problema es que te encontrarás con un puñado de máquinas que exponen su acceso remoto a Internet "in the wild" (sin control)... Cualquiera podría intentar un ataque de diccioanrio, por ejemplo, o un intento de explotar un bug (en caso de que se encontrase uno nuevo, cosa que ocurre dia sí, dia tambien en diferentes programas y protocolos)...

De ahí que yo montaría una VPN contra una maquina de tu red interna. Solo rediriges el puerto para el tráfico necesario para esa VPN... Y es esa máquina interna la que redirige las peticiones a una u otra en funcion de la IP contra la que lances la conexión (de hecho, lanzarias una conexión remota RDP directamente contra la IP privada de cada máquina).

Tú mismo. Ambas opciones funcionan. Una de ellas es buena.