gitlab port forward tom foolery

Temos um servidor Web voltado ao público (CentOS 6 w / Apache) que precisará encaminhar solicitações, tanto de uma interface pública quanto privada, para um host separado que esteja executando o Gitlab. Por motivos de segurança, não conseguimos manter um novo host que tivesse um público. Escolhemos uma porta SSH não padrão para ser usada como a porta de encaminhamento para enviar para a máquina Gitlab. A questão é, qual a melhor forma de implementar isso para que os usuários façam um push / pull do git etc. Para referência, aqui está um diagrama mostrando o que estamos procurando:

Estamos tentando tornar isso o mais fácil possível para o usuário. Por isso, estávamos pensando em algum tipo de mecanismo de disparo de porta para solicitações git para encaminhar automaticamente por meio da porta PublicWebServer usando a porta 2500 para a máquina interna do gitlab. 22. Usuários internos usariam o mesmo processo básico. O PublicWebServer é dual-homed.

Se não o gatilho de porta, este conceito parece pelo menos som? Isso pode ser feito usando iptables ?