Думаю, если я правильно понял, и машины будут физически рядом, или же это виртуалки, то:
1. Туннелирование здесь явно лишнее, думаю можно обойтись виртуальным бриджем на проксирующей машине. (Она будет стоять физически в разрез бекэнда и провайдера. )
2. В предложенном варианте вам не придется ничего перенастраивать на бекэнде, так как IP адреса останутся на нем.
3. фильтрация будет при этом полностью возможна средствами iptables. (хотя могу ошибаться, скорее еще понадобится ibtables, поправьте )
4. Решение универсально и поддержит любой тип IP трафика
