Hoy, en mi entorno local, estoy usando Checkpoint como firewall y tenía la opción de configurar reglas NAT con lo siguiente:
"Fuente original" - "Destino original" - "Puerto original" - "Destino traducido" - "Puerto traducido"
y puedo configurar "Destino traducido" como IP interna.
En las reglas DNAT de Azure Firewall, no puedo configurar la IP interna, solo puedo configurar la IP pública de mi Firewall.
Eso significa que si tengo varios servicios usando el mismo puerto, no podré traducir a ellos.
Supongo que una solución será configurar un proxy inverso como nginx para hacer el trabajo.