Не думал я, что это будет сложно. Собрал xtables, попробовал использовать все комбинации RAWSNAT, RAWDNAT и NOTRACK — все равно трекуются. Попробовал использовать nat из iproute2 — там все давно сломано и не работает, за одно случайно очистил таблицу правил и сейчас нужно как-то будет перезагружать сервер. Буду пробовать способ через tc.