Как сделать DNAT после SNAT?

[Alexander74]

Есть сервер S1 в инете, на порту P1 которого развёрнут некоторый программный сервер.
Есть кинетик роутер, из локалки которого клиенты могут коннектиться к серверу S1.
На роутере соответственно работает SNAT для всех клиентов из локалки при выходе в инет.

Хочется такое:
Надо добавить сервер S2, также расположенный в интернете, с открытым портом P2. На этом сервере все пакеты приходящие на S2:P2 DNAT-ятся на S1:P1. (ну и ещё обрабатываются, но это не имеет отношения к вопросу).
Ну и надо чтобы ответы от S1 - как и раньше НАПРЯМУЮ шли на роутер.
С самим сервером S2 вопросов нет.

Вопрос в том, как на роутере сделать так, чтобы в исходящих пакетах на S1:P1 уже после замены IP источника (т.е. после отработки SNAT) менять адрес/порт назначения на S2:P2.
Если делать этот DNAT как обычно, т.е. на входе, то в SNAT таблице трансляции адресов будет S2, и соответственно ответы от S1 не найдутся в таблице и пакеты ответов не будут маршрутизироваться в локалку.

внутренности кинетиковской NAT и CLI для меня полный лес...
Можно установить iptables, но и там вроде как тоже вот так прямо не возможно сделать то что я хочу.
Но может можно сделать виртуальный интерфейс, на него SNAT-тить то что идёт на S1:P1, и потом DNAT-тить эти пакеты на S2:P2. В общем у меня сумбур и каша в голове.

Есть варианты решения проблемы? Вариант с прокидыванием трафика от S1 до роутера через S2 не предлагать )) .

Можно конечно поставить ещё один роутер в разрыв интернет кабеля, по сути в режиме моста с одним единственным DNAT-ом, но не хочется этого делать.

Изменено Понедельник в 10:54 пользователем Alexander74