Не, ну можно и "белый", я же не знаю всю ситуацию. Просто есть провайдеры, которые предоставляют доступ через серые адреса дешевле. На такие адреса и сетевые атаки мало когда проходят.
Идея в том, чтобы распределить клиентскую нагрузку и нагрузку на сервер предоставляюший сервисы. То есть на "белом" адресе ресурсы системы можно использовать исключительно для них и их зашиты.
Но ещё раз - Вы выбрали ректальный путь.
Ставьте шлюз, и используйте NAT. Как вариант снижения нагрузки - SNAT вместо MASQUERADE (ведь у Вас статический адрес). Мне кажется Вы преувеличиваете нагрузку, создаваемую клиентами.
А порты для портфорварда на сервисы... это надуманная проблема. Просто Вы ещё не пробовали разорбраться с этим. Поиск портов сводится к одной команде на сервере, ну и некоторые знания как работатют стандартные протоколоы
Пользователь решил продолжить мысль 19 Февраля 2014, 11:01:52:
Кроме того, можно тупо пробросить все порты на сервисный сервер. Сделать простейшую модель DMZ.