Ele é chamado de "DNS Doctoring" - ele está tentando ajudá-lo, fornecendo ao cliente local o endereço local em vez do endereço NAT:
Ele está fazendo isso porque o código do firewall do IOS (bem como o PIX ou o ASA) inspeciona o DNS por padrão, portanto, para desativá-lo, emita um "no inspect dns". Presumivelmente, o comportamento do Firewall do IOS entra em ação quando você começa a usar os NATs estáticos.