Acabei de configurar o stream pass through usando ssl_prereado nginx, mas não consigo descobrir como, usando esse método, proibir o acesso a servidores upstream específicos para determinados intervalos de IP. Isso host1não deve permitir 10.0.1.0/24, por exemplo, e host2não deve permitir10.0.44.0/24
A solução para mim foi bem simples, percebi hoje que eu poderia simplesmente dividir a configuração em várias portas e DNAT os ipranges no firewall para as diferentes portas. Então eu poderia manter 443 como a porta https padrão e ainda ter separação. Isso não responde ao cerne da minha ideia, mas resolve meu problema.
Marca isso como resposta, a menos que alguém apresente uma solução nginx real, suponho.