access.log переадресации портов

Проблема была локализована - MASQUERADE (изменяет исходный IP-адрес источника). Вопрос закрыт, потому что проблема не в перенаправлении портов, а в конфигурации в целом сервера роутера. Всем спасибо.

Проблема: Основная проблема в том, что я не могу понять, откуда пользователи подключаются ко мне.

Если бы кто-нибудь мог сказать мне, что читать и где копать - было бы здорово. Потому что я даже не могу сформулировать ключевые слова для поиска в гугле :)

Ситуация: В Debian есть два сервера. Первый - это маршрутизатор с IP 77.121. *. * (статический IP-адрес в Интернете), второй - с IP 192.168.0.2 (внутренний веб-сервер).
Первый сервер выполняет переадресацию порта на второй на портах 80, 443 + некоторые другие.
Когда я открываю access.log на 192.168.0.2, я получаю что-то вроде этого:

77.121.*.* - - [10/Dec/2015:13:31:54 +0200] "GET /SOME_PATH HTTP/1.1" 200 3350 "-" "Mozilla/5.0 (X11; Linux i686; rv:44.0) Gecko/     20100101 Firefox/44.0"

Как вы видите, большая часть IP-адресов идет от маршрутизатора, и я не могу понять, откуда пользователи подключаются ко мне.
Меня не волнует IP-адрес внутреннего пользователя, но если кто-то подключается извне, мне нужно это знать. Пока не могу.

У меня нет доступа к серверу маршрутизатора ни физически, ни через ssh (другой отдел), но я могу попросить изменить некоторые параметры на нем, если необходимо.

0 update
Я уверен, что "снаружи" сервер используйте эту команду:

iptables -A PREROUTING -t nat -d 77.121.*.* -p tcp --dport 80 -j DNAT --to 192.168.0.2:80 

плюс еще одна (не могу вспомнить что) для внутренних пользователей.

Попытается проанализировать пакеты и перекомпилировать nginx с ngx_http_realip_module в понедельник (предложение Майкла Хэмптона). (выполнено)