NAT funguje jen mezi dvěma rozhraními a NESMÍ se jednat o lokální IP adresu některého rozhraní routeru. Tedy nemůžeš NATovat jinam IP adresu vlastního routeru, resp. to nebude fungovat, protože do dané iptables tabulky to vůbec nedojde (půjde to do INPUT-OUTPUT, ale už ne FORWARD a už vůbec ne -t nat PREROUTING (SNAT) nebo POSTROUTING (DNAT), protože se to, z důvodů výše uvedených nebude ani routovat ani natovat, ale "vyřídí se to" lokálně).
To s DNS má naopak naprosto správně, je to navíc i nejjednodušší a nejčistší řešení. Jeho problém není DNS nebo firewalling, ale konfigurace IIS, kterou má buď rozdrbanou, nebo nesprávnou, protože v defaultu to musí chodit (je tam anonymní přihlášení a poslech pro všechny IP adresy včetně lokálních).