Пропишите в ДНС внутренний IP сервера. Делов то.
Подумал - решил дополнить.
1. Уберите с шлюза веб-сервер и сайт. Если проксю еще можно терпеть, сайт - это потенциальная дыра. Вас еще ни разу не ломали??
2. Для людей "снаружи" и "снутри" должен быть свой ДНС. Соответственно, каждый для своих сетей. Внутренние клиенты должны нацеливаться на внутренний ДНС.
3. По поводу iptables, не подскажу. Я использую другой файрвол. Но честно, не совсем понял что вам нужно в инет завернуть? Ведь если внутренний клиент запрашивает внешний IP, то нужно просто пропустить этот пакет через НАТ и выпустить во вне. Зачем что-то заворачивать?
