您提到的标准商业路由器不允许从外部到网络内部的任何传入连接。您需要指定允许通过端口转发的传入连接。如果你想通过同一个网络连接到PC，即平板电脑和PC都连接到同一个局域网，你不需要担心外部用户从Internet连接到PC，因为NAT设备（路由器) 默认情况下不允许。

如果您想从网络外部（例如通过 Internet）访问 RDP，但又想限制对特定 IP 地址的访问，我认为商用路由器对于这样的规则不够灵活。但是，您可以通过 Windows 防火墙完成此操作。为了将 RDP 限制为特定的 IP 地址，

1. 转到控制面板->管理工具
2. 具有高级设置的 Windows 防火墙
3. 入境规则
4. 远程桌面（TCP 输入）
5. 转到“属性”->“范围”选项卡
6. 在远程 IP 地址部分添加 IP（或 IP 范围）

您应确保使用启用了最强加密级别的 RDP。您还应该考虑使用内置的 Windows 防火墙（请参阅如何使用高级设置进行设置）或其他防火墙以仅允许来自平板电脑的连接。您还可以确保您的路由器不允许来自 Internet 的 RDP 端口。

其他选项是通过 SSH 运行 RDP。您可以使用 OpenSSH 执行此操作，或者在Tunnelier中免费供个人使用，我过去曾将其用于基于 SSH 的安全 RDP（免费供家庭使用）。如果您通过 SSH，则可以使用证书，这为您提供了更高级别的安全性，因为除了密码之外破解证书密钥是不切实际的。

除了 void_in 的回答，您可以在路由器中使用 ACL（访问控制列表）来仅允许特定 IP 连接到您的 3389 端口。