Выборочная настройка шлюза по умолчанию для трафика, перенаправляемого по IP-таблицам

Я пытаюсь перенаправить трафик с общедоступного хоста на частный хост, расположенный в VPN. Пакеты TCP должны сохранять исходный IP-адрес источника.

Я установил переадресацию IP-адресов:

echo "1" > /proc/sys/net/ipv4/ip_forward

И у меня правильно переадресация трафика:

iptables -t nat -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.1.0.2:80
iptables -A FORWARD -p tcp -d 10.1.0.2 --dport 80 -j ACCEPT

Однако, чтобы это работало, мне нужно установить шлюз по умолчанию для частного хоста на публичный хост. Это означает, что ВСЕ исходящий трафик проходит через общедоступный хост.

Есть ли способ установить таблицу альтернативных маршрутов, чтобы ответы на перенаправленный трафик TCP передавались общедоступному хосту, а все остальное оставалось локальным?

VPN используется только для пересылки, поэтому помечать все, что tun0 интерфейс может работать.