Asi tak ... prostě tu veřejnou z pravidla vyhoď. Ty prostě chceš přesměrovat něco z venku dovnitř. Maximálně tě zajímá zdroj toho "z venku", ale už ne adresa na tvém WAN.
Pokud už chceš být paranoidní, udělej pravidlo na src-mac, to se providerovi asi moc měnit nebude.
no ale pak se tam nasměruje jakýkoli přenos na daný port, který na mé wan dojde, ať má jakoukoli cílovou IP, což není asi zrovna bezpečné. nebo se pletu? spíš bych si představoval nějaké dynamické převzetí adresy pro toto pravidlo.
Packet, ktery ma jinou cilovou IP nez tvoji, k tobe hodne pravdepodobne nedojde, leda by si nekdo ve stejnem subnetu siti providera nastavil tvoji verejnou jako GW a to za predpokladu ze to provider nema osetrene.