а при чём тут вообще dns?
Мне кажется, ты не понимаешь

Эта опция делает
drop in on $wanif from $rfc1918 to any
Потому что, в нормальных условиях, подобная ситуация невозможна. На внешний интерфейс, из внешнего мира, не могут приходить пакеты с адресом отправителя из приватного диапазона.
Если такое всё таки происходит, то эти либо какая-то атака, либо неисправность в сети провайдера. В любом случае такие пакеты бесполезны.
Если только провайдерская сеть не организована каким-то хитрым образом и этого требуют используемые у него технологии.

somebody, Есть некоторый хост, один интерфейс смотрит в локалку, один интерфейс внешний,с доменом , хочу, чтобы в локалке, при обращении по хостнейму, люди попадали на внутренний интерфейс, делать это будут локальным dns

somebody, ТОгда возникает вопрос, как правильно организовывать доступ ко внешнему адресу хоста из локальной сети при наличии у хоста авторого адреса внутри этой же сети?

Видимо правильный ответ: "Не надо так делать"

ну да, это дело для внутреннего сервера имён. На нём поднять зону для этого домена с внутренними адресами.

изнутри надо ходить на внутренний адрес

somebody, сейчас это решено раздаванием маршрута по dhcp "внешний_ip via внутренний_ip" но этот способ мне не нравится

Т.е. вот этот вот ящик с двумя интерфейсами не является шлюзом по умолчанию для внутренней сети?
Ну вот теперь скажу: "Не надо так делать"

somebody, нет, это не шлюз и в силу некоторых причин шлюзом быть не может

тогда вы что-то делаете неправильно

somebody, это было до меня сделано, я лишь пытаюсь немного исправить ситуацию

ну удачи вам. Подобная двухголовая конфигурация очень потенциальная дыра. Сломают и получат полный доступ во внутреннюю сеть.

somebody, да тут разрабы rdp- и ssh-порты своих рабочих тачек перенаправляли на внешний адрес, так что и без этого всё очень плохо