>> Это ожидаемое поведение, что пакет от сервера фильтрации к обычному серверу, с
>> адресом отправителя клиента, не доходит. Такой пакет имеет все признаки попытки
>> атаки IP spoofing, его мог зарезать кто угодно по дороге, и
>> правильно сделал.
> Я не желаю использовать атаку IP spoofing. Если её блокируют, может создать
> между серверами что-то на подобии VPN?Да, можно.
Но если у вас есть доступ на обычный сервер, чтобы настроить VPN и маршрутизацию, то было бы проще научить его принимать пакеты с адресом отправителя фильтрующего сервера.
>> В принципе ваш Ubuntu можно заставить выпихивать этот пакет наружу, гуглите как
>> проводить атаку IP Spoofing по UDP. Но я бы не расчитывал
>> на то что он дойдёт до обычного сервера.
> Я являюсь полным владельцем физического сервера, исключение - провайдер сети.
Так и зарежет Spoofing атаку провайдер. Какой угодно из N между серверами.
>> Там можт быть нюанс, если пакет прошёл forwarding, но оказывается что egress
>> interface одна и та-же что и ingress interface, система норовит не
>> пересылать пакет на шлюз, а ответить пакетом ICMP Redirect. Не всегда
>> так, зависит от реализации. Кстати, возможно, именно это вы интерпретируете как
>> "дропается сетевой картой".
> Я не могу Вам этого сказать. Уточните более подробную информацию - отвечу.
Если интересно, смотрите сниффером на трафик ICMP на фильтрующем сервере. К решению проблены это имеет весьма отдалённое отношение.
> Я хочу реализовать данную топологию из-за защиты, чтобы злоумышленник не знал реального
> IP адреса сервера.
Чтобы не знал адрес какого сервера, "обычного"? Это бесполезно. По вашей схеме, если обычный сервер ответит клиенту помимо фильтрующего сервера, то в злоумышленник увидит его настоящий адрес в заголовках пакета. И вообще эффект Стрейзанд будет.
Публикуйте сервис для клиентов на вашем "фильтрующем сервере". Обычный сервер пусть принимает подключения от него и нечего не знает о конкретных клиентах.
Если критично различать клиентов по IP, то стройте оверлейную сеть. Пусть они подключаются к "фильтрующему серверу" по VPN, с приватными адресами и аутентификацией, а тот по VPN же будет перенаправлять траффик на приватный адрес обычного сервера. Как обратный прокси на периметере локалки.
Если критична задержка, ищите сервера поближе друг к другу и к клиентам. Жонглирование ассиметричными маршрутами с закосом на спуфинг вам только добавит проблем.