galera eh o seguinte, fazendo um SNAT e um DNAT eh possivel trabalhar normalmente como se fosse um IP valido, ha a possibilidade de se fazer um roteamente mais complexo atribuindo uma classe de IP valido diretamente na interface de rede das maquinas, mas porem isso exige softwares especificos (freesco por exemplo) eh um bom conhecimente em protocolos como o RIP.
Eu, particularmente, como nao sou especialista nesse em roteadores nao sinto seguranca em trabalhar somente com o roteador, por esse motivo toda vez q me encontro nessa situacao faco o seguinte:
Ligo para o ISP eh digo pra q eles facam o Router "conversar" somente com o Firewall, entao eles seguindo o procedimento dizem q apartir desse ponto o Router nao ficara transparente eh o firewall sera o unico responsavel pelo trafego, eh necessario entao que seja feito um cabo do tipo Crossover que liga o Router diretamente ao firewall entao o ISP cria um rota no Router para que ele encaminhe todo o trafego para o IP do firewall eh na interface que esta ligado o Crossover eh definido um IP valido sendo q fica da seguinte forma:

INTERNET|> <|ROUTER|200.X.Y.1|> <|200.X.Y.2|FIREWALL|192.168.0.254|> |CLIENTE|

Qual eh a nossa seguranca nesse caso, imaginemos que teremos o seguinte senario.
Uma empresa de desenvolvimento de Web Sites.
Ha na empresa a parte Desenvolvimento, Administrativa e RH, sendo que nem o Administrativo nem o RH necessitam ter acesso aos computadores do Desenvolvimento
sendo assim criarei 3 redes:

Rede 1) Administrativo, RH e computadores moveis [notebooks] - 192.168.0.0/16
Rede 2) Desenvolvimento - 192.168.10.0/16
Rede 3) DMZ [Servidores] - 10.0.0.0/8

Entao terei 3 ifaces no meu Firewall cada uma ligada a um Switch, sendo assim nenhuma rede acessa a outra sem passar pelo firewall, eh nenhuma rede acessa a internet sem passar pelo firewall e ninguem acessa nenhuma rede sem passar pelo firewall.

Esse estrutura permite uma seguranca fisica excelente, nao permitindo que alteracoes de IP ou spoofing dentro da rede.

felco