Как сделать редирект порта на другой сервер с сохранением IP клиента?

Question

[Анатолий]

Здравствуйте!
Есть в наличии две VPS:
На первой IP - 1.1.1.1
На второй IP - 2.2.2.2

Задача направить клиента с первой на вторую, так чтобы вторая видела IP клиента. Обращение идет по порту 9999.
Средства реализации не важны. В данный момент я реализовал редирект при помощи iptables, но вторая VPS считает, что к ней подключилась первая (1.1.1.1), а не клиент (7.7.7.7).
Текущие правила:

iptables -A FORWARD -d 2.2.2.2 -p udp -m udp --dport 9999 -j ACCEPT 
iptables -t nat -A PREROUTING -d 1.1.1.1 -p udp -m udp --dport 9999 -j DNAT --to-destination 2.2.2.2
iptables -t nat -I POSTROUTING -d 2.2.2.2 -p udp --dport 9999 -j SNAT --to-source 1.1.1.1

Answer 1

[Wexter]

Поднимаете VPN между серверами. На первом прокидываете порты на внутренний IP в VPN, на втором сервере поднимаете PBR

Comments

[Анатолий]

Я так понимаю, что соединение все равно будет использовать первый сервер?
А есть возможность сделать так, чтобы от первого сервера требовалось только дать IP второго и больше никак не взаимодействовать с первым?

[Wexter]

Анатолий, если у вас http/https то можно, в других случаях нет

[Анатолий]

Wexter, нет, у меня просто udp порт

[Wexter]

Анатолий, тогда никак

[Анатолий]

Wexter, ок. Спасибо за ответ. Значит пускай будет в виде VPN

Answer 2

[Владимир]

просто не добавляйте правило POSTROUTING с --to-source

iptables -t nat -I POSTROUTING -d 2.2.2.2 -p udp --dport 9999 -j SNAT --to-source 1.1.1.1

Comments

[Анатолий]

Насколько я помню, без данного правила соединение не шло совсем :(
Но спасибо за совет. Может быть позже проверю еще раз.

[Владимир]

может не идти только если у хоста, на который перенаправляете, дефолтный роут не на хост, который перенаправляет (в данном примере не на 1.1.1.1)