Hay tres problemas potenciales que veo (a diferencia de la otra respuesta, no veo nada que pueda causar un "bucle", incluso en la versión sin editar de su pregunta).
- El reenvío de IP debe estar habilitado.
- Después de ser natted y colocado nuevamente en la red, el paquete puede ser víctima del filtrado de la dirección de origen, ya que se parece mucho a un paquete falsificado.
- Las respuestas a los paquetes que pasan por un NAT deben pasar por el mismo NAT para que se pueda realizar la traducción inversa. De lo contrario, el cliente obtendrá una respuesta con el puerto/IP de origen incorrecto que es probable que descarte (si aún no se ha descartado mediante el filtrado de ruta inversa).
Puede solucionar los puntos 2 y 3 utilizando una regla SNAT o MASQURADE además de DNAT, pero si lo hace, perderá la IP de origen original del tráfico. Eso hará que el control del abuso sea muy difícil.
Otra solución a los puntos 2 y 3 sería configurar una VPN entre los dos servidores. A continuación, utilice DNAT para reenviar el tráfico a través de la VPN y el enrutamiento basado en IP de origen para devolver las respuestas a NAT.