>> 1) Пробросить порт 53 (по-моему это не вариант) на внутренний днс
> почему не вариант? Потому что вы не знаете как это сделать или
> потому что лень?

Потому что считаю что ни к чему грузить шлюз пробрасывать тысячи соединений.

Прошу прощения за неясность, объясняю подробнее.

Я работаю в фирме с двумя офисами. Ранее в офисе, где находится весь "внеший" функционал, т.е. сайт, почта, работал другой админ, но теперь его нет и оба офиса оказались в моём распоряжении. Фирма у нас имеет множество разных ресурсов, которые используются третьими лицами, соответсвенно мне нужно иногда создавать домены третьего уровня. И исходя из них делать виртуальные хосты, на шлюзах стоит nginx который разруливает http трафик на внутренние сервера. Но однажды я завёл ещё один хост и оказалось что ни мой днс, в моём офисе, ни тот что находится в удалённом офисе не является основным для зоны. Оказалось что всё это время поддержка днс покупалась у регистратора, и там уже редактировалась зона, после чего она же редактировалась на обоих локальных серверах, в обоих офисах (как я и сказал три раза)
Я не понимаю зачем имея свои сервера пользоваться чужими, однако размышляю есть ли способ сделать всё культурно не пробрасывая порт. Потому что это костыль.