A maneira mais fácil de fazer isso é encaminhar portas não padrão do roteador para os servidores de back-end. Por exemplo, você pode configurar o seguinte no seu roteador:
Port 10022 -> server1:22
Port 20022 -> server2:22
Port 30022 -> server3:22
Depois, faça com que seus usuários finais usem a porta apropriada ao se conectar. Por exemplo:
$ sftp -P 10022 username@hostname
Isso também traz o benefício colateral da segurança através da obscuridade. Bots que a força bruta ssh raramente conecta a qualquer coisa que não seja a porta 22.