Фильтрация трафика

Здравствуйте. Хотел бы поинтересоваться у специалистов по следующему вопросу. Сложилась такая ситуация, что на мой UDP-streaming ресурс с завидной постоянностью осуществляются атаки. Если веб-сервер я защитил полностью, поступив нехитро - нормально отконфигурировал веб сервисы, чтобы они не ложились от HTTP флуда и разрешил коннекты на 80 порт только со стороны CDN, то такой трактор в случае со сторонними сервисами не пройдет. Атаки разные - начиная от SYN спуфинга и заканчивая тупым 10-гигабитным зафлуживанием аплинка. Читал, что как-то защищаются от спуфинга именно на уровне целевого сервера, а не на уровне шлюза, пытался. Мудрил с IPTables, sysctl. Ничего не вышло. Первым вопросом будет — возможно ли защититься от Syn Spoof attack именно на уровне целевого сервера, и если да, то как. А второй вопрос такой. Мне отказались прописывать специфические настройки на шлюзе по направлению к моему серверу, но у меня есть еще один сервер, совсем из другой подсети, и имеющий постоянный IPv4 адрес. Он намного более защищен и различные тестовые атаки выдержал на уровне. Второй вопрос: могу ли я (с помощью DNS reverse или еще как) пропускать трафик на целевой сервер с совсем другого сервера в интернете? Чтобы он играл роль шлюза. (На такое хостер согласен, прописать днс-форвардинг). На практическом примере, если пропинговать uni-kiel.de, имеющий адрес 1.1.1.1, то на пакет ответит машина с IP 2.2.2.2. То есть на трассе перед целевым сервером (1.1.1.1) стоит машина с совсем другой подсети, играющая роль фильтра. Каким образом я могу сделать также? Спасибо за ответ заранее.