Настройка IP-маскарадинга путем передачи пакетов через внешние узлы
Я пытаюсь найти решение, чтобы удаленные машины не определяли исходный IP-адрес моего веб-сервера. Это сделано для того, чтобы скрыть реальный IP-адрес веб-сервера и избежать DDoS-атак.
Входящие запросы уже находятся на прокси-сервере HTTP, поэтому IP-адрес в этом случае не отображается, но мои исходящие соединения (пинги и запросы состояния) показывают исходный IP-адрес злоумышленнику.
По сути, я бы хотел, чтобы исходящие пакеты TCP и UDP проходили через удаленный узел (который будет выполнять NAT). Затем узел переадресует пакет с IP-адресом узла и получит любой ответ, который будет передан обратно на исходную машину.
Было бы здорово, если бы я мог также указать несколько узлов для аварийного переключения, но я не знаю, возможно ли это.
Приносим свои извинения, если я использую неправильную терминологию, мои знания в этой области несколько ограничены.
Редактировать 1
Я добавил несколько примеров изображений того, чего я пытаюсь достичь.
Это то, что у меня сейчас есть, злоумышленник может отследить мой исходный IP по запросам. 
(полный размер: http://puu.sh/25FNG)
Это то, чего я хочу достичь, когда исходный IP-адрес скрыт, и если узел будет атакован, это не повлияет на мой корневой сервер. 
(полный размер: http://puu.sh/25FR9)
Если вы хотите, чтобы весь трафик передавался через NAT (обычная ситуация), то: 1. Вы должны находиться в одной IP-подсети с nat-remote-node, и на вашей рабочей станции должен быть установлен маршрут по умолчанию для nat-remote- IP-адрес узла. Это можно сделать разными способами в зависимости от вашей ОС. 2. На удаленном-nat-узле: iptables -t nat -A PREROUTING -s ваш IP -o интернет-интерфейс -j MASQUERADE
Конечно, я говорю о самом частом случае! Все зависит от вашей конкретной ситуации.
Отказоустойчивость может быть достигнута разными способами. Если вам нужна помощь, вы должны предоставить дополнительную информацию.