Я только сейчас обратил внимание на то, что в том примере было wan_ip. Это как-то совсем некорректно.
С www_public_ip - это как раз тот вариант, который я имел в виду.
Поскольку здесь Вы заменили NAT на Allow, www сервер будет получать пакеты с обратными адресами
из lan, соответственно, он и отвечать будет в lan, подставляя обратным адресом свой lan адрес.
Эти пакеты, видимо, не попадут вообще в DFL (если он не установлен в прозрачном режиме между сервером и
всей остальной lan). И, стало быть, обратный адрес сервера не будет заменен на www_public_ip.

Вот если сервер стоит, скажем, в lan2, а обращаются к нему из lan, и маршрутизацию между lan и lan2 делает DFL - то да, видимо, сработает вариант без NAT.

Короче, все просто. Инструкция на несколько строчек
1) Нужный дополнительный внешний IP(IP1) и локальный IP(IP2) заводим в адресную книгу
2) Interfaces - Arp /Neighbor discavery публикуем внешний IP на нужном интерфейсе (wan) в режиме Publish, MAC оставляем 00-00-..-00
3) Пишем правило трансляции (SAT) для пакетов с (wan, all-nets или более конкретных адресов, если надо) адресованных на wan (хм...) IP1, нужные сервисы или all-services, по обстоятельствам, чтобы адрес назначения транслировался в IP2
4) после этого правила пишем одно или несколько правил Allow для таких же пакетов, на те сервисы, которые реально нужны. Убеждаемся, что последующие правила не разрешат дополнительных сервисов.

Вот, может, кому-то пригодится. ))