В Zabbix между клиентом и сервером нет аутентификации. Нужна аутентификация, используйте IPSEC. т.е. поднимаете IPSEC туннель между Zabbix клиентом и сервером и весь трафик будет идти по этому туннелю. Соответственно будет проведена надежная аутентификация средствами IPSEC и трафик будет зашифрован.

Насколько я понимаю трафик будет зашифрован и будет гарантировано идти с одной из машин, до которых проброшены тунели, после подключения к Zabbix - zabbix будет верить клиенту что это он без всяких проверок.

Иными словами:
предполагается массовая публичная услуга и скорее всего через какое-то время появится злоумышленник, который из каких-то соображений будет пытаться подменить статистику статистику какой-то другой машины.

Предполагаемая ситуация:
У клиента A есть право подключаться к Zabbix с хостом host-1
У клиента B есть право подключаться к Zabbix с хостом host-2

Оба пользуются Zabbix-агентами в активном режиме.

Клиент A используя свой канал подключения подключается к Zabbix и представляется клиентом B.

Есть ли способ предотвратить такую подмену?
Сейчас вижу выход в пропускании каких-то крупных клиентов или клиентов, с которыми возникнет подобная проблема через отдельные Zabbix-прокси. Тут еще один вопрос - если на Zabbix настроена работа клиента через прокси, а данные пришли напрямую или с другого прокси - будут ли они приняты?

В текущей стабильной версии 1.8.2 нет. Вы можете разместить запрос на новую фичу https://support.zabbix.com/secure/IssueNavigator.jspa , предварительно поискав, не было ли его ранее.

Это легко проверяется. Проверьте.

Не будут приняты.