ASA 5505: Como eu acesso o servidor web DMZ de dentro usando o IP público?

Estamos usando um 5505 ASA Sec + (8.2). Existem três interfaces: inside (172.17.0.0/24), dmz (172.16.0.0/24) e outside (1.2.3.4 para o exemplo).

Existem regras NAT estáticas configuradas traduzindo 1.2.3.4 para servidores na dmz (incluindo 1.2.3.4:80 a 172.16.0.10:80). Estes trabalham do lado de fora.

Como faço para permitir que usuários internos acessem os servidores DMZ usando o IP externo da mesma maneira que os usuários externos?

Como estamos usando a conversão de endereços de porta (vários servidores diferentes, dependendo do número da porta), desejo evitar a manipulação de DNS.

Não importa se usamos NAT ou não para tráfego direto dentro de dmz (a maioria do tráfego será através do IP público de qualquer maneira).

A configuração atual da NAT:

ASA Version 8.2(5) 

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

global (outside) 1 interface
global (dmz) 2 interface
nat (inside) 1 172.17.0.0 255.255.255.0
nat (dmz) 1 172.16.0.0 255.255.255.0
static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 
static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz

Com essa configuração mínima, os usuários internos não podem acessar os servidores dmz. Tanto usuários internos quanto servidores dmz podem acessar a internet sem problemas, e os servidores dmz são acessíveis pela internet.