non credo sia possibile far capire ad ipcop che è stata fatta una richiesta ad un ip pubblico e fargli rispondere un pc interno alla orange.
in sostanza tu assegni un ip pubblico alla red, poi crei i port forwording e cioè lavori sulle porte sorgenti e destinazioni, non sugli ip.
sarebbe più corretto poter raggiungere i server in dmz chiamandoli attraverso <ip_pub_red>:<porta>
in questo modo crei delle regole di portforwarding dove alle richieste di una determinata porta fai rispondere un pc della rete orange.