Quero configurar um proxy reverso nginx atrás de um NAT. Ele fará proxy de vários servidores internos para o mundo externo. TODOS os serviços serão executados em uma porta não padrão (ou seja, não em 80 ou 443). O nginx também fará a criptografia HTTPS para os servidores internos que usam HTTP. Para isso quero usar Let's Encrypt com certbot. Portanto, preciso permitir conexões nas portas 80+433 para o nginx.
Existe uma maneira de bloquear qualquer acesso a essas portas, exceto quando o certbot renova os certificados? Como afirmado anteriormente, essas portas não são usadas para mais nada.