Você pode fazer isso com algumas regras iptables
no seu host de firewall. Eu estou supondo que você já está usando o iptables desde que você o chamou de host 'firewall':
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 10.x.x.x:80
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth0 -j ACCEPT
A primeira regra configura um portforward para pacotes que chegam na porta 80 de eth0. Ele os encaminha para 10.x.x.x: 80 (insira seu IP do node1 aqui). A segunda regra permite novas conexões de entrada na porta 80 de eth0. Claro que você precisa disso para permitir que os pacotes cheguem ao firewall.
Não se esqueça de salvar sua configuração do iptables e carregá-la na inicialização do sistema. Eu uso o pacote iptables-persistant
para essa finalidade, mas é um pouco chato que o Ubuntu não tenha um método padrão para salvar e carregar o firewall.