> Там на интерфейсе GATEWAY есть жесткое правило - доступ только из строго
> ограниченного пула IP, так что завалить не выйдет.

Хорошо, но мало. Эшелонирование защиты это дешёвая и эффективная мера. Зачем ей пренебрегать?
У вас правильная топология на картинке нарисована. Пусть GATEWAY следит чтоб не лезли откуда попало, а LINSRV (если туда поставить прокси который умеет HTTP) следит чтоб совсем дичь не творили.

> Да и не прод это, а среда разработки будущая.

Во-во. Не прод это такое вкусное место, где бывают пароли test:test, права файлов 777 "потом пофиксим", временно закороченные валидации, недоросший до ревью джунский код... Кисельные берега.

> Если не получится так - то придется, наверное, haproxy или nginx. Но
> для меня, как не для админа, это будут дополнительные сложности.

Не более чем iptables, где в логику packet traversal вникать надо и за персистентностью следить.
Почитайте туториалы про обоих, попробуйте так и сяк. Считайте что их конфиги это такой декларативный язык программирования.