2 NIC vs NAT para exponer el servidor

Evitaría NAT si hubiera otra solución. Y parece que su situación se puede manejar sin necesidad de NAT. Si su firewall tiene tres interfaces de red, debería ser bastante sencillo de hacer.

Usted asigna una dirección IP pública a la interfaz externa en el firewall y asigna otra dirección IP pública al servidor dentro de la DMZ. El firewall necesita una ruta estática que le indique que la dirección IP de ese servidor está conectada directamente en la interfaz DMZ. Dependiendo de la configuración de red en el lado WAN del firewall, es posible que también necesite configurar el firewall para responder a las solicitudes ARP en nombre del servidor.

Finalmente, el firewall debe configurarse de manera que el tráfico entre la dirección IP pública del servidor y otros hosts nunca sea NAT, independientemente de si la otra dirección IP está en la LAN o en Internet. Es posible que aún desee que el firewall aplique algún filtrado de estado al tráfico, pero eso está fuera del alcance de esta pregunta.

Una vez implementado esto, los paquetes de la LAN al servidor llegarán al firewall y se reenviarán a la DMZ sin que ocurra ninguna NAT; de la misma manera, los paquetes de Internet también se reenviarán a la DMZ sin ninguna NAT.

El servidor puede realizar conexiones a Internet sin pasar por NAT, además puede realizar conexiones a la LAN (si el firewall lo permite), y eso tampoco pasará por ninguna NAT.

Los paquetes entre la LAN y el servidor utilizarán la ruta predeterminada para llegar al firewall, y el firewall tendrá rutas específicas para cada punto final, por lo que sabe de inmediato a qué interfaz reenviar los paquetes. No se necesitan trucos para que esa parte funcione.