Вот ковыряю сейчас pfsense в виртуалке, есть внешний и внутренний адреса, в конфигурации внешнего интерфейса есть параметр Block private networks со следующим описанием:

When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8). You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.

Описание мне понятно, как это разруливать dns-ом - понятно, непонятно только что будет, если не блокировать? Ну, кроме того, что не будет всяких dmz.