Фильтрующий сервер с одним интерфейсом. Переправляет трафик на обрабатывающий сервер без SNAT.
Клиент должен обратиться именно к фильтрующему серверу и ответ получить через него.
Т.е. для клиента, IP обрабатывающего сервера = IP фильтра. С соответствующими записями в DNS (если речь о веб-сервере).
Перенаправлять трафика от клиента на обработку — это просто DNAT. А вот чтобы ответ шел через фильтр, на обрабатывающем сервере должен быть основной маршрут на фильтр. Значит, фильтр и сам сервер должны быть в одной подсети.
Вероятно, удобнее всего делать VPN от фронтэнда к фильтру (или наоборот, смотря что проще) и настраивать маршруты на обоих сторонах.
Ну и для защиты блокировать лишнее (почти все) на обычном интерфейсе обрабатывающего сервера.
Если предполагается только веб-трафик, то nginx + X-Forwarded-For. Заодно и фильтрацию любую в nginx можно сделать. А можно и Squid(ом) попробовать обойтись. Еще и кеширование в подарок получите.