Como configurar o NAT do Cone Completo com o Iptables

Eu quero encontrar a combinação certa de comandos do iptables para atender a seguinte necessidade:

• NEs são NAT através da caixa linux (usando iptables) na direção da nuvem WAN, onde os servidores NTP estão situados.
• Para obter redundância, os servidores NTP estão em um cluster de balanceamento de carga com um endereço IP virtual (172.30.4.245)
• O problema é que, quando os NEs solicitam atualizações NTP usando o 172.30.4.245, a resposta NTP é recebida de um dos endereços IP reais (.200, .230, 240).

Exemplo:

O iptables não está permitindo este fluxo, o que é normal, já que o endereço solicitado ao responder não é o mesmo (172.30.4.245 vs 172.30.4.230):

Pedido: UDP 10.68.2.11:23445 --- > 172.30.4.245:123 (isto é Antes do NAT, claro que depois do NAT a fonte é 10.23.14.72) Resposta: UDP 172.30.4.230:123 --- > 10.23.14.72:23445 (Resposta ao endereço da WAN)

Gostaria de saber se existe alguma maneira de permitir que o iptables estabeleça o fluxo UDP apenas com base na (s-port / d-port), independentemente dos endereços IP, e execute o NAT de volta à LAN com base nisso.

O UDP / NTP é apenas um exemplo, quase todos os serviços necessários são configurados da mesma maneira (balanceamento de carga no Cluster).