Hoje em meu ambiente on-premise estou usando Checkpoint como firewall e tive a opção de configurar regras NAT com o seguinte:
"Fonte original" - "Destino original" - "Porta original" - "Destino traduzido" - "Porta traduzida"
e posso definir "Destino traduzido" como IP interno.
nas regras DNAT do Firewall do Azure, não consigo configurar o IP interno, só consigo configurar meu IP público do Firewall.
Isso significa que se eu tiver vários serviços usando a mesma porta, não poderei traduzir para eles.
Acho que uma solução será configurar um proxy reverso como o nginx para fazer o trabalho.