SSH sobre WAN por meio de proxy reverso para o servidor git da LAN

Temos uma URL para nosso IP externo para nosso gateway que se conecta a um proxy reverso nginx do CentOS, atrás do qual fica nosso servidor CentOS6 Gitlab na LAN da empresa

Por meio disso, atualmente temos acesso http ao servidor Gitlab. Eu gostaria de adicionar o acesso SSH à equação. Infelizmente eu sou um programador e bastante noob para servidores, linux e, na maior parte, SSH.

Existe um método recomendado para alcançar o que eu preciso, mantendo um nível razoável de segurança da rede da empresa (possivelmente restringindo conexões SSH para git apenas)? Como posso conseguir isso? De preferência com configuração mínima no tempo de conexão que será dos PCs com MS Windows

PS: Eu olhei para algumas outras perguntas aqui que pareciam estar tentando algo semelhante, mas meu conhecimento era muito pequeno e elas eram diferentes o suficiente para que eu não entendesse como adaptá-las a essa situação.

EDIT: diagrama de rede adicionado abaixo. O roteador é apenas um roteador doméstico no momento. O gateway executa o firewall e encaminha as portas para o nginx.