①ルータのWAN側ポートにグローバルIP振る。
②ルータのLAN側ポートにプライベートIP振る。
③DMZのWebサーバ(またはRプロキシ)にプライベートIP振る。
④ルータに自身のグローバルIP宛のパケットをWebサーバに転送する設定をする。

WAN→LANに向けたパケットは、ルータを通過する際にNATによって宛先IPがWebサーバのプライベートIPに書き換えられる。
LAN→WANに向けた通信は、NATによって送信元IPがルータのグローバルIPに書き換えられる。

こう?