gitlab порт вперед том foolery

У нас есть общедоступный веб-сервер (CentOS 6 с Apache), который должен будет перенаправлять запросы, как из общедоступного, так и из частного интерфейса, на отдельный хост, на котором работает Gitlab. В целях безопасности мы не смогли установить новый хост, у которого был паблик. Мы выбрали нестандартный порт SSH, который будет использоваться в качестве порта пересылки для отправки на машину Gitlab. Вопрос в том, как лучше всего реализовать это, чтобы пользователи выполняли git push / pull и т. Д. Для справки, вот диаграмма, показывающая, что нам нужно:

Мы пытаемся сделать это максимально удобным для пользователя, поэтому мы подумали, возможно, какой-то механизм запуска порта для запросов git для автоматической пересылки через PublicWebServer используя порт 2500 для внутренней машины gitlab, прослушивающей по умолчанию 22. Внутренние пользователи будут использовать тот же базовый процесс. В PublicWebServer является двухкомпонентным.

Если не триггер порта, кажется ли эта концепция хотя бы здравой? Можно ли это сделать с помощью iptables?