Encontrei uma maneira simples de resolver seu problema. Você deve usar o bloco server
adicional para filtrar IPs. Então, sua configuração deve se parecer com esta:
# TCP proxying with SSL passthrough & vhosts
stream {
map $ssl_preread_server_name $name {
public.example.com public;
private.example.com private;
default default_upstream;
}
upstream public {
server 10.0.0.2:443;
}
upstream private {
#server 10.0.0.3:443;
server 127.0.0.1:444;
}
upstream default_upstream {
server 10.0.0.4:443;
}
server {
listen 444;
proxy_pass 10.0.0.3:443;
ssl_preread on;
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
deny all;
}
server {
listen 443;
proxy_pass $name;
ssl_preread on;
}
}