Firewall y DMZ con Ip validas en internet, ¿se puede?

[Luis Eduardo Vivero Peña]

Holas, tengo el siguiente esquema para llevar a cabo:


internet-->eth0--firewall -->eth1-->LAN1
                 |       |
                 ^       ^ 
               eth2     eth3
               LAN2     DMZ


La eth0 tiene ip publica y fija.
La eth1 al igual que la eth2 estan en segmentos de red privadas.

1) Tengo claro como dejar pasar la LAN1 y LAN2 por el servidor a
internet.
2) Tengo claro como dejar pasar LAN1 y LAN2 a la DMZ.
3) El problema lo tengo con el acceso desde internet a la DMZ:

Lo que pasa es que hasta el momento hay configurado un DNS (en el
firewall) que apunta a los servidores web, de correo (2) y otros mas.
Por mi parte tengo que crear la DMZ y hacer las reglas, pero estoy
complicado porque los servidores que quedaran en la DMZ tienen ip valida
en internet, y el DNS apuntando a ellas.

Lo que me complica es que or lo que he leido, podria poner la DMZ en un
segmento de red privado, y simplemente despues hago una redireccion por
el protocolo destino a cada ip de la DMZ que corresponda.

Pero en este caso no podre hacerlo, ya que las maquinas de la DMZ tienen
ip's publicas, por lo cual tendria que tener la eth3 en el mismo
segmento de red que las anteriores.

Estoy equivocado en lo ultimo? Que puedo hacer al respecto?



Saludos y gracias.



Luis Eduardo Vivero Peña.