Здравствуйте, нужна ваша помощь(подсказка). Имею 2 Linux сервера с осью (1)Ubuntu 16 & (2)Debian 8.10. Собственно мне нужно обезопасить 2й сервер, что бы по крайней мере не было на него флуды и ddos.

Прокидываю трафик таким вот образом:

$IPTABLES -t nat -A PREROUTING -d $LO_IP -p tcp -m tcp --dport 8000 -j DNAT --to-destination $SERVER_IP2:8000

$IPTABLES -A FORWARD -d $SERVER_IP2 -p tcp --dport 8000 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 5 -j REJECT --reject-with tcp-reset

$IPTABLES -A FORWARD -d $SERVER_IP2 -p tcp --dport 8000 -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -d $SERVER_IP2 -p tcp -m tcp --dport 8000 -j SNAT --to-source $LO_IP

$IPTABLES -t nat -A OUTPUT -d $LO_IP -p tcp -m tcp --dport 8000 -j DNAT --to-destination $SERVER_IP2

Где $LO_IP например с ip 1.1.1.1, $SERVER_IP2 с ip 2.2.2.2.

Схема в принципе работает, но когда пользователь переходит по порту 8000, его IP адрес заменяется на 1.1.1.1 сервера-1.

Как можно реализовать так, что бы сохранялся source ip пользователя на сервере 2.2.2.2 ?

P.S завел vpn тунель ip-ip, пробовал реализовать такую же схему - но тщетно.

Сервера в интернете, локалки меж собой не имеют.