Стандартная инструкция не подходит для случая, если на сервере нет статического внешнего адреса. В этом примере все новые сеодинения на порт 666, попавшие на любой внешний интерфейс переадресуются на адрес в локальной сети 192.168.99.99 порт 666.
if [ "$1" = 'firewall_custom.sh' -a "$2" = 'start' ]; then iptables -t nat -I fw_custom_dnat -i E+ -p tcp --dport 666 -m state --state NEW -j DNAT --to-destination 192.168.99.99:666 fi
Имейте ввиду, что проброс 80 порта не совместим с опцией в локальной консоли "Публиковать локальный сайт на внешних интерфейсах". Так же пробросу портов может мешать опция в меню локальной консоли "Конфигурирование сервера - Оптимизация сети - SNAT только указанных локальных сетей".