в локальной сети есть ДНС сервер на WINDOWS SERVER 19. Который сидит на IP X.X.X.2
Самый простой вариант.
Создайте на нем зону c именем WWW.DOMEN.RU и добавьте в нее единственную запись (типа A) с именем, совпдающим с именем зоны (@) и IP адресом IP X.X.X.3. Убедитесь, что на всех клиентах этот сервер DNS - единственный настроенный (особенно это необходимо, если в сети используется Acive Directory!). Фаервол не трогайте: от него требуется, чтобы он пропускал запросы DNS с Windows Server по протоколу DNS (53/udp, а лучше - и 53/tcp тоже) на любой адрес в интернете. Снаружи в зоне DNS ничего не трогайте - она при такой настройке на внутреннюю сеть не влияет.