Security gateway

но нужны будут рестарты

reload ?

А оно не скидывает текущие соединения? Не, я не говорю что nginx плохо, просто есть ли ещё какие варианты?

хз какие порты будут открыты, и эти порты будут часто меняться

iptables, перенаправить всё (или диапазон) на требуемый порт?

Требуемый порт - понятие растяжимое. Есть докер, который пробрасывает порты из контейнеров, номер куда пробросить выбирает он сам (обычно начиная с 32768). Что он там пробросил в целом можно читать с сокета, и это уже и так делается и заносится в директорию (etcd). Вопрос в том какую бы такую middleware поставить для авторизации запросов, желательно по сертификатам, т.к. адреса откуда запросы идут тоже могут меняться, тут на чистом L3 с обрезкой по адресу решить не выйдет, да это и не приветствуется.

Данные из директории можно читать тем же confd и автоматом подстраивать нужный конфиг, а вот чей это будет конфиг - в том и вопрос. nginx вроде и легкий и все это умеет, но есть ли еще какие решения

Заставь его не пробрасывать порты, а указывать в etcd внутренние адреса-порты. После этого заставь confd брать эти адреса, впиливать в конфиг nginx'a и релоадить его.
Нет, nginx не сбрасывает уже существующие коннекты при релоаде, в отличие от того же haproxy.

так докер и так указывает адреса-порты в директории. Потом эти адреса юзает реверс-прокся и балансер чтоб понять куда слать запрос. Но это отправка. Нужна прокся на получение. В целом я могу спокойно публиковать порт с доступностью только для локалхоста и проксировать nginx'ом на той же ноде, то и собираюсь сделать.