Mais essa não é a questão levantada aqui. Só quero que o NAT do PSSense funcione sem ter que usá-lo como gateway do host.

Se segurança não é o foco, faz o source nat como te falei no primeiro post.

Seu nat atual está mascarando a origem e destino o que praticamente inviabiliza qualquer auditoria de acesso.

Gateway 1 - 129.200.220.99 (Uso o Software WinGate)
Gateway 2 - 129.200.20.2 (Uso Iptables)
PFSense - 129.200.200.222 (Testando)

Maquinas da rede:
IP: 129.200.x.x
MASK: 255.255.0.0
GW: 129.200.9.1 (Esse era um Servidor Novell antigo que era o Gateway atualmente é um servidor de compartilhamento de arquivos)
DNS: 129.200.220.99

Obs.: As maquinas acessão a internet por Proxy.

Problema:
Se eu fizer um redirecionamento com Gateway 1 ou 2 ele funciona. Só com o PFSense que preciso configurar o gateway como como 129.200.200.222 para funcionar.
Até se eu colocar a maquina sem gateway nenhum funciona, pois quando ela recebe uma requisição por exemplo RDP (3389) ela recebe vinda do gateway em questão pela interface LAN e retorna para ele mesmo, depois o gateway que tem o trabalho de mandar de volta para o IP externo.

Para tentar te explicar melhor porque o nat não vai funcionar desta forma que você montou:

• O pacote vem da internet com ip válido ex: 200.200.200.200 para o ip da wan 199.199.199.199

• O pfSense faz o nat e encaminha o pacote para seu host. ex: 200.200.200.200 para ip do servidor 192.168.1.10

• O servidor recebe a conexão e devolve o pacote para o gateway configurado, afinal 200.200.200.200 não é ip da mesma rede

• O seu gateway(não o pfsense) recebe o pacote. Neste ponto, se ele for um firewall com um mínimo de qualidade, ele rejeita o pacote porque ele não tem esta conexão estabelecida em suas tabelas de estado de conexão. Se for um gateway ou firewall de baixa ou nenhuma qualidade, ele encaminha o pacote para seu default gateway, que nesse caso deve ser um dos seus links wan.

Nesse ponto o usuario externo no ip 200.200.200.200 recebe a resposta da solicitação para o ip 199.199.199.199 de um outro ip(ip wan do seu outro gateway ex: 198.198.198.198) e naturalmente rejeita o pacote porque a resposta não retornou pelo ip que ele solicitou.

att,
Marcello Coutinho

Exemplo:
Firewall 1 - 129.200.9.1
Firewall 2 - 129.200.9.2
Obs.: Minhas maquinas na rede LAN não precisão esta com Gateway como um dos firewall para o NAT funcionar, mesmo com outro gateway o NAT funciona.

Só o PFSense que preciso colocar o IP dele como gateway das maquinas.

Obs.: Eu sei que o correto é o Gateway das maquinas estarem com o PFSense, mais no meu caso tenho mais de um gateway na rede e funciona normalmente o NAT com os dois simultaneamente.

Isso é normal do PFSense? Só funciona o NAT se estiver usando ele como Gateway?

Esse é o comportamento normal de qualquer rede. Sua configuração está no mínimo esquisita colocando o gateway em um servidor quando na verdade é outro ip que faz o roteamento…

Você só vai conseguir completar a "esquisitice"  se além do nat, você configurar um source nat para mascarar o ip externo.