Wenn mich meine Kenntnisse nicht ganz verlassen haben, das was Du vor hast dürfte nicht funktionieren. Wie soll denn der sendende Host an einen anderen Host2 etwas senden können, wenn zuvor die Verbindung mit Host1 bestanden hat. Der Kontakt zwischen beiden wurde ja hergestellt und ausgehandelt. Der Sender, hier Deine Firewall mit NAT, hat die Ports vom Sender über A nach B zum Host1 geöffnet. Kommt Host2 dazu, hat die Firewall keine Ahnung wohin die Pakete denn nun zu senden sind, die vormals für Host1 waren. Denn die Verbindung bestand und besteht zwischen Sender und Host1. Auch Host2 wird nicht wissen wohin er seine Rückmeldungen bringen soll, weil er nun plötzlich Pakete erhält, die nie bestätigt worden sind. (Ich hab es mal ganz einfach versucht aus zu drücken, den Firewalling und NAT war bei mir zwar mal Prüfungsfrage, aber weia, ist das lange her .... ;o))
Wie gesagt, wenn mich meine Erinnerung nicht täuscht sollte das so wie Du es vor hast, nicht funktionieren.