Балансировка внутренних сервисов с использованием Cisco CSS 11501

Сначала предыстория проблемы: у меня есть Cisco CSS11501, который я использую для балансировки нагрузки нескольких веб-серверов. Эти веб-серверы имеют два сетевых интерфейса, один внутренний и один внешний, и мы отправляем запросы на внутренний интерфейс.

У нас настроен CSS для выполнения NAT, поскольку нашим веб-серверам необходимо видеть IP-адрес клиента.

Поскольку пакеты TCP попадают на веб-серверы с исходным адресом в Интернете, веб-сервер пытается отправить пакет обратно клиенту через внешний интерфейс, а не через балансировщик нагрузки. Чтобы остановить отправку этих запросов обратно в Интернет через внешний интерфейс, мы добавили правило маршрутизации на эти ящики, чтобы весь трафик с исходным адресом в Интернете использовал балансировщик нагрузки в качестве шлюза. Эта часть работает отлично.

Я также хотел бы использовать CSS в качестве балансировщика нагрузки для внутренних служб, таких как наши подчиненные серверы MySQL.

Когда я это делаю, я сталкиваюсь с похожей проблемой: TCP-соединение идет от веб-сервера к балансировщику нагрузки, а затем от балансировщика нагрузки к MySQL slave, но CSS подделывает исходный адрес оригинального веб-сервера. Затем MySQL slave пытается отправить ответ напрямую на веб-сервер через внутреннюю сеть, а не через балансировщик нагрузки.

Идеальным решением было бы указать CSS не делать подмену исходного адреса во внутренней сети и делать это только для запросов, исходящих из Интернета. Возможно ли это?

Если это невозможно, есть ли способ направить трафик с балансировкой нагрузки обратно через балансировщик нагрузки, оставив остальной трафик (например, SSH) исключительно во внутренней сети?

Есть ли другой способ использования CSS11501 для балансировки нагрузки внутренних служб?