você deve configurar o NAT de destino
Este exemplo tem os seguintes requisitos: 1. O tráfego para o destino 62.213.xxx.86 é traduzido para 192.168.1.100 O endereço IP real e os números de porta dos hosts são configurados como o pool de IP de destino. Proxy ARP deve ser configurado para o dispositivo responder ao ARP para os endereços no pool de IP.
Políticas de segurança para permitir o tráfego de zona não confiável para zona de confiança devem ser criadas. Como os conjuntos de regras NAT de destino são avaliado antes de uma política de segurança, os endereços referidos na política de segurança devem ser o endereço IP real do fim host.
[edit security]
set zones security-zone trust address-book address server-1 192.168.1.100/32
[edit security policies from-zone untrust to-zone trust]
set policy server-access match source-address any destination-address [server-1 server-2]
application any
set policy server-access then permit
[edit security nat destination]
set pool dst-nat-pool-pfsense address 192.168.1.100
set rule-set rs1 from zone untrust
set rule-set rs1 rule r1 match destination-address 62.213.xxx.86
set rule-set rs1 rule r1 then destination-nat pool dst-nat-pool-1
set rule-set rs1 rule r2 match destination-address 1.1.1.101
set rule-set rs1 rule r2 match destination-port 80
set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2
[edit security nat]
set proxy-arp interface ge-0/0/2.0 address 62.213.xxx.86
veja também: link