Според мен НАТ-а си е добро решение за малка фирма - например имаме вътрешна мрежа с 4-20 PC-ta на WinXX ...
В този случай една машинка със Slackware имаща реален адрес  поема функциите на DNS,Mail,WWW server и един Squd в transparent-proxy mode, VPN сървър за отдалечено свързване и т.н. с НАТ-а се осигуряват другите необходими услуги за ICQ,MSN и т.н. При мен с тези фунции е натоварена една PII-266 с 128 RAM и slackware 10 (всичко това на цена около $45). От както съм го конфигурирал и настроил - не съм имал проблеми. Имам доста горчив опит при използване на специализирани за целта фирми ... излиза и по-скъпо, 1 път ми затриха DNS-a заради тях а и като се наложи да се променя нещо става истинска мъка ...
Така че аз съм за принципа - Реален Адрес само там където е необходим - за останалото  НАТ върши отлична работа.

NAT (Network Address Translation) смяна на адресите.
По принцип това за което питаш е SNAT (Source NAT) а не DNAT (Destination NAT) защото се подменя адреса на Source(Източник). Рутера изгражда  TCP връзки за всяка заявка - от своя реален адрес към destination (linux-bg.org). Да речем че вътрешния адрес на рутера е 192.168.1.254 -  когато дойде заявка от 192.168.1.1 към PORT 80 (това е порта за www,http протокола) на linux-bg.org firewall прави връзка от реалния си адрес към linux-bg.org със source port да речем 32000 и знае че всичко което пристига от linux-bg.org на порт 32000 е за машината с IP 192.168.1.1 . Ако има други заявки от други машини (192.168.1.2..3...n) firewall изгражда нови TCP връзки със source prort 32001..2..n и приена на тези портове отговорите на  на linux-bg.org за съоветните машини ... след което ги прехвърля към тях .По този начин няма никакво объркване кои пакет за кого е '>
За linux-bg.org всики пакети престигат от реалния адрес на firewall но от различни PORT-ове. Надявам се че вече ти е иасно как стават нещата ? ако искаш някъде на linux-bg.org имаше описание (tutоrial) за iptables - там нещата са описани доста подробно.