como configurar o proxy pass ou o iptables para o ssh?

Eu tentei configurar um servidor nginx para meus pi's em casa. O problema era que os dyndns demoravam muito para serem atualizados. portanto, não consigo acessar meu servidor gitolite.

Então, ao invés de usar o dyndns, eu configurei uma instância do ec2. todo tráfego que vai para meus domínios, vai usar esse ec2 ip. de lá, eu uso o nginx para moderar o tráfego para o meu pi. Eu tenho que trabalhar muito bem com http e servidor https. e também posso configurar um servidor de fluxo para o meu ssh. Agora vem o problema. Pelo que li, o protocolo ssh não fornece o dns. Bem, eu não sou um administrador de sistemas, então talvez os termos que usei estivessem incorretos.

Eu instalo o fail2ban no meu pi. todo tráfego ssh passa pelo servidor nginx, usando o mesmo ip. e então quando foi bloqueado pelo fail2ban. Eu não posso acessá-los de todo.

para quem quer usar o nginx. Não estou recomendado, mas isso está funcionando.

stream {
    upstream ssh {
        server xx.xxx.xxx.xxx:22;
    }

    server {
        listen        22;
        proxy_pass    ssh;
    }            

    upstream ssh {
        server xx.xxx.xxx.xxx:2288;
    }

    server {
        listen        2288;
        proxy_pass    ssh;
    }

}

Isso só funciona para o nginx ^ 1.2, eu acho.

Eu tentei todas as configurações possíveis:

#   proxy_bind $remote_addr:$remote_port transparent;
#   proxy_bind $remote_addr transparent;
#   proxy_set_header Host $host;
#   proxy_protocol on;

nenhum deles passa o ip. Talvez alguém saiba o que há de errado com as configurações?

Eu também li alguma sugestão para usar o iptables. e então eu tentei todo o abaixo:

#iptables -t nat -I PREROUTING -p tcp -i eth4 --dport 22 -j DNAT --to xx.xxx.xxx.xxx:22
#iptables -A FORWARD -i eth4 -o eth1 -p tcp --dport 22 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 22 -j DNAT --to-destination xx.xxx.xxx.xxx
#iptables -A FORWARD -p tcp -d xx.xxx.xxx.xxx --dport 22 -m state --state NEW,ESTABLISHED,RELAT$
#iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination xx.xxx.xxx.xxx:2244

#iptables -A FORWARD -m state -p tcp -d xx.xxx.xxx.xxx --dport 22 --state NEW,ESTABLISHED,RELAT$
#iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination xx.xxx.xxx.xxx:2244

Não tenho certeza, por que não está funcionando. -i eth4 -o eth1 eu acho que essa é a rede, não é isso, incluindo o ppp0? Meu pi só tem uma eth0.

alguém pode me dizer, qual é o problema aqui? posso usar a mesma porta para fora e para dentro? ou tem que ser porto diferente? Algumas explicações sobre a configuração do iptables seriam úteis.

Obrigado!