Goed lezen helpt, het is niet het interne netwerk dat internet toegang moet krijgen, maar de webserver waarop de firewall draait.
Daarnaast, het lijkt me geen spoiler (maar voorkomt mogelijk wel wat tijdverspilling): er hoeft niets bijzonders met interfaces gedaan te worden, en je hoeft niet aan NAT te denken.