Принцип работы простой — берёте у хостера ещё 3 внешних IP для хоста domain.com, прописываете их в A записях поддоменов и с них трафик (весь, или определенного протокола/портов) пускаете на внутренние хосты. Но, по-моему, смысл это имеет только если вам нужно чтобы доступа к внутренним хостам извне гарантированно не было кроме явно разрешенного и готовы ради этого пренебречь надёжностью: ляжет domain.com — лягут и поддомены. Проще, по-моему, не заморачиваться с единой точкой входа и каждому дать внешний адрес, если у вас нет балансировки и прочего.