IMHO, eu não acho que os servidores de marionetes devam estar disponíveis na internet pública. Isso restringe seriamente o tipo de coisas que você pode enviar .. Sem chaves SSH, sem certificados SSL, etc.
Configure o OpenVPN no servidor de fantoches e, em seguida, vpn para ele dos convidados que você deseja manipular.
Eu fiz um nó EC2 usando o vpnc para configurar um túnel de volta ao meu servidor de marionetes protegido, embora isso estivesse por trás de um ASA da Cisco.