En mi respuesta, asumiré que cuando escribes " coloqué primero el IPS y luego el firewall (con Nat) ", en realidad quieres decir que tienes un dispositivo NAT (que podría ser un firewall) entre su IPS e Internet. Si ese no es el caso, actualice su pregunta y deje un comentario.
En tal caso, NAT no debe crear ningún problema específico porque, por lo general, vas a usar DNAT para conexiones (y datagramas) procedentes del exterior. Este tipo de NAT solo reemplazará la IP de destino, dejando la IP de origen sin tocar. Significa que obtendrá la IP del servidor real e interno que se verá afectado y la IP original (fuente) del atacante (o, al menos, la dirección de origen contenida en el encabezado IP: no le dará la verdadero atacante si el paquete ha sido spoofed )
Por ejemplo, si tiene un paquete que viene con la IP de origen 1.2.3.4:4556 (atacante) para el servidor 5.6.7.8:80 (dirección IP del servidor público), esto es lo que sucederá:
Original packet: S: 1.2.3.4:4556 D: 5.6.7.8:80
DNATed packet: S: 1.2.3.4:4556 D: 10.0.0.8:80
(Tenga en cuenta que una regla de NAT más compleja podría cambiar esto. Es posible reemplazar completamente las direcciones y puertos de origen Y de destino, pero eso solo se usa en casos muy específicos y, dado que usted es quien crea las reglas de NATing, debería saber sobre ello).