да, так и сделано вроде. 1 из 3 только пробрасывается
iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 10.100.100.200 -j MARK --set-mark 0
iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 87.251.185.x -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i eth4 -m conntrack --ctorigdst 217.174.164.x -j MARK --set-mark 2
iptables -t mangle -N NEW_OUT_CONN
iptables -t mangle -A PREROUTING -s 10.100.0.0/24 -m state --state NEW,RELATED -j NEW_OUT_CONN # Выбираем новые сессии
iptables -t mangle -A PREROUTING -s 10.100.0.0/24 -j CONNMARK --restore-mark # Восстанавливает значение nfmark из CONNMARK
iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 0
iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 3 -j RETURN # Каждый третий пакет
iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 1
iptables -t mangle -A NEW_OUT_CONN -m statistic --mode nth --every 2 -j RETURN # Каждый второй пакет
iptables -t mangle -A NEW_OUT_CONN -j CONNMARK --set-mark 2
iptables -t nat -A PREROUTING -p tcp -d 217.174.164.x--dport 61388 -j DNAT --to-destination 10.100.0.2:61388
iptables -t nat -A PREROUTING -p tcp -d 87.251.185.x --dport 61388 -j DNAT --to-destination 10.100.0.2:61388
iptables -t nat -A PREROUTING -p tcp -d 10.100.100.200 --dport 61388 -j DNAT --to-destination 10.100.0.2:61388
iptables -t nat -A POSTROUTING -j MASQUERADE
в iptables я разобрался ещё не совсем хорошо, так что много кривости
