Ci sono tre potenziali problemi che vedo (contrariamente all'altra risposta non vedo nulla che possa causare un "loop" anche nella versione non modificata della tua domanda).
- L'inoltro IP deve essere abilitato.
- Dopo essere stato intercettato e rimesso in rete, il pacchetto potrebbe cadere vittima del filtraggio dell'indirizzo di origine in quanto assomiglia molto a un pacchetto falsificato.
- Le risposte ai pacchetti che passano attraverso un NAT devono passare attraverso lo stesso NAT in modo che possa essere eseguita la traduzione inversa. In caso contrario, il client riceverà una risposta con l'IP/porta di origine errato che è probabile che venga eliminato (se non è già stato eliminato dal filtro del percorso inverso).
Puoi aggirare i punti 2 e 3 utilizzando una regola SNAT o MASQURADE oltre al DNAT, ma se lo fai perdi l'IP di origine originale del traffico. Ciò renderà molto difficile il controllo degli abusi.
Un'altra soluzione ai punti 2 e 3 sarebbe quella di impostare una VPN tra i due server. Quindi utilizza DNAT per inoltrare il traffico sulla VPN e il routing basato su IP di origine per riportare le risposte al NAT.