Помогите прокинуть белый IP на вутренний интерфейс

Тебе нужно пробросить не белый IP, а пробросить порты, с которых bitrix принимает запросы, с внешнего IP адреса на IP адрес 192.168.1.11 во внутренней локальной сети.

Вот и гугли как на твоём роутере сделать проброс портов и какие порты нужно пробросить.

Как минимум это 80, 443 порт, другие необходимые порты, если они есть смотри в документации к битрикс.

Про порты я знаю. Только вопрос если их прокинуть то в логах и фаервол будет видеть входящие соединения от 192.168.1.1 или все же от реального ip? Сама беда в том что при малейшем подозрении на взлом фаервол блокирует ip на 5 мин и если все входящие он будет видеть под 192.168.1.1 то сайт будет лежать, как мне кажется или я что то не правильно понимаю

Запросы приходящие на внешний IP адрес на определённый порт посредством NAT должны пробрасываться на IP адрес конкретной машины во внутренней сети.

Посредством NAT ответные пакеты с 192.168.1.1 должны преобразовываться (перенаправляться) на внешний интерфейс, происходить подмена адреса источника 192.168.1.1 на внешний IP.

Какие у вас там ещё настройки и как что работает - вы должны сами знать и сделать соответствующие настройки, если они нужны.

Почитайте что такое NAT (Network Address Translation)

Если у вас более одного белого айпи, то бридж с ван- интерфейсом проксмокса и назначайте прямо на битриксе внешний адрес.

Если олмн, то как уже сказали выше - нат. Или веб прокси.

Я прямо на проксмокс ставлю nginx и настраиваю его как прокси на внутренний адрес виртуалки. Плюс при проксировании добавляю http заголовки с реальным адресом клиента.

Это называется DNAT т.е. подмена адреса[порта] назначения. В простом варианте выглядит приблизительно так.
На роутер из инета прилетает пакет от 1.1.1.1, т.е. в пакете: адрес источника 1.1.1.1 адрес назначения 128.0.12.2.
dnat заменяет адрес назначения на 192.168.1.11, получился пакет:
адрес источника 1.1.1.1 адрес назначения 192.168.1.11
При ответе в этом соединении все в обратном порядке.

«Но русский учи» (c) Но теорию вам не мешает подтянуть.

На самом сервере:

ip addr add 128.0.12.2/32 scope global dev vmbr0

ip ro add 128.0.12.2 via 192.168.1.11

Все, что нужно сделать - это Inbound NAT.

На промежуточной машине, которая NATит делаем:

sysctl net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport "${TARGET_PORT}" -j DNAT --to-destination "${target}"
iptables -A FORWARD -i eth0 -p tcp -d "${target}" --dport "${TARGET_PORT}" -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE

для одного порта. Если больше портов, то соответственно повторям 2 средние строчки столько сколько надо. Обрати внимание на то, что сделать NATится все, что прилетает на eth0, возможно тебе будет нужно заменить это на свой интерфейс.

У меня так 80-й порты пробрасывается. Видеть оно его будет как внутренний IP. Хз как настроить, что бы внешний прикидывался. Не уверен, что это вообще возможно без чорной магии на BGP или что-то вроде этого.

Еще вариантом было бы вместо роутенга поднять reverse-proxy на твоем шлюзе. NGINX какой-нибудь и им выставлять http заголовок с оригинальным IP, он так умеет. Я уверен, то bitrix умеет такие заголовки читать.