A maneira mais simples é configurar um firewall que bloqueie a porta 9000 de qualquer host que não seja o IP do balanceador de carga (desde que não seja dinâmico)
regras simples:
iptables -A INPUT -p tcp --dport 9000 -m comment --comment 'allow LB traffic' -s LB.IP.ADDR.HERE -j ACCEPT
e iptables -A INPUT -p tcp --dport 9000 -m comment --comment 'drop all other requests to 9000' -j DROP
Estes irão:
- permite a porta 9000 da máquina LB (você pode adicionar mais regras para mais LBs
- bloqueia outro tráfego para a porta 9000
A melhor maneira seria detectar em sua aplicação qual domínio é usado na conexão e fazer um redirecionamento para o endereço seguro, quando o errado é usado. Não tenho certeza sobre o seu framework / aplicativo, mas a maioria dos maiores fornece esses mecanismos.