Regole firewall

Sto giocando con un firewall endian per semplificare la gestione di alcuni server. Bello e' bello, molto completo, il supporto... Così cosi. Ci sono tanti esempi per le cose semplici, ma quando si vuole andare più a fondo googlare delle risposte pare impossibile, forse perché certe risposte sono "ovvie" per chi fa networking.
Mi sono imbattuto ad esempio nel problema della nat reflection: cos'è?
Mettiamo di avere 2 server dietro un firewall con il loro bravo ip privato nattato. Il server A vuole aprire un sito, www.test.com, residente sul server b, chiama il dns e chiede "che ip ha www.test.com". Risposta 123.123.123.123 (l'iP pubblico sulla wan del firewall), ora il nostro volonterosi server chiama il firewall e chiede di parlare con il suo vicino e sto simpaticone gira i pacchetti a 192.168.x.x dicendo che il richiedente è un altro 192.168.x.x . Il server 2, seguendo le regole arp risponde al server 1 usando gli indirizzi privati, ma .... Server uno non si aspettava quei pacchettini e li scarta, maledicendo quindi il server pubblico che non gli risponde.
bene come si risolve l'empasse?
Si dice al firewall che quando un ip privato vuole parlare con un altro ip pubblico nattato... Il firewall fa da intermediario

Nello specifico di endian quindi bisogna creare una regola di source NAT dicendo che per l'ip 192.168.x.x  (ip server interno) il traffico direzionato verso Red e verso Green deve essere nattato nell'ip x.x.x.x (Pubblico) del server stesso.