Mas o bloco de IP válidos já está no roteador e da seguinte forma:
exemplo
200.182.xx.xx -------> 192.168.0.20 - DNS 1
200.182.xx.xx -------> 192.168.0.21 - DNS2
Neste exemplo para que os meus DNS sejam acessados de fora tenho rotear do cisco para o iptables e do iptables para o DNS, ainda assim preciso desse NAt no roteador certo. e a interface eth0 do roteador deixarei com um ip local