Yagoda123

Требуется определенный трафик (протокол, порт, IP клиента) пропустить через ... ну, допустим специальный анализатор на другом хосте, подключенном к шлюзу.
Соответственно и ответ должен пройти через этот дополнительный узел.

От клиента просто. А вот с ответом были проблемы.
Спасибо, помогло правило --ctorigsrc (как раз исходный адрес клиента до SNAT) модуля conntrack при обработке ответа в mangle/PREROUTING. Ну и дополнительное условие на --ctstate SNAT.

Попробуйте atop. Демон, собирающий статистику. Имеются инструменты для просмотра накопленных/текущих данных. Где хранить логи, за сколько дней - все настаивается.

PS.

Нет, машины удалены по ДЦ, не виртуалки. Фронтэнд точно выделенный сервер (win 2008), тоннель — linux vps

А почему бы не поднять на win 2008 виртуальную машину с Linux, и весь трафик прогонять через эту виртуалку?

Фильтрующий сервер с одним интерфейсом. Переправляет трафик на обрабатывающий сервер без SNAT.
Клиент должен обратиться именно к фильтрующему серверу и ответ получить через него.
Т.е. для клиента, IP обрабатывающего сервера = IP фильтра. С соответствующими записями в DNS (если речь о веб-сервере).
Перенаправлять трафика от клиента на обработку — это просто DNAT. А вот чтобы ответ шел через фильтр, на обрабатывающем сервере должен быть основной маршрут на фильтр. Значит, фильтр и сам сервер должны быть в одной подсети.
Вероятно, удобнее всего делать VPN от фронтэнда к фильтру (или наоборот, смотря что проще) и настраивать маршруты на обоих сторонах.
Ну и для защиты блокировать лишнее (почти все) на обычном интерфейсе обрабатывающего сервера.

Если предполагается только веб-трафик, то nginx + X-Forwarded-For. Заодно и фильтрацию любую в nginx можно сделать. А можно и Squid(ом) попробовать обойтись. Еще и кеширование в подарок получите.