Требуется определенный трафик (протокол, порт, IP клиента) пропустить через ... ну, допустим специальный анализатор на другом хосте, подключенном к шлюзу.
Соответственно и ответ должен пройти через этот дополнительный узел.
От клиента просто. А вот с ответом были проблемы.
Спасибо, помогло правило --ctorigsrc (как раз исходный адрес клиента до SNAT) модуля conntrack при обработке ответа в mangle/PREROUTING. Ну и дополнительное условие на --ctstate SNAT.