Kruga,

Não sei se vou conseguir te explicar, mas... vamos lá:

O que voce faz aí chama-se "port forwarding" ou redirecionamento de porta. Isso é uma situação que é criada dentro da tabela de roteamento do kernel, mas para que ela funcione, os pacotes teem que atravessá-la entrando por uma interface e saindo por outra. Não tem como os pacotes que veem da rede interna, com destino a máquinas na própria rede interna, atravessarem o firewall e serem redirecionados para a rede interna denovo pasando pelo port forwarding (me corrijam se estiver falando abobrinhas)...
Se for tão impressindível (e insegura) assim a própria rede interna, de forma que os desenvoldores tenham que passar pelo firewall antes de chegar nos servers, então voce precisa criar uma DMZ colocando, talvez, outra placa de rede no firewall e deixando os servers lá isolados.

ou

Se alguém tiver uma solução melhor, perdoe minha burrice e posta aí.

Abraços.