Lo suyo es que la parte interna tenga otro direccionamiento, a ver si te lo puedo medio dibujar aqui:

*RJ11 *Eth0 *Eth0 *Eth1 "SWITCH"
(INTERNET)- - - - - - -(ROUTER)- - - - - - - - - -(FIREWALL)- - - - - - - - - (RED INTERNA)
Direccion de tu ISP Direccion DMZ Direccion Interna
Ej: 82.1.64.7 Ej: 192.168.23.1 Ej: 172.16.32.1

Con esto que quiero decir:
Que tu ISP proveerá a tu router de una direccion para salir a internet, en este router se configurará NAT para traducir las direcciones ip internas hacia internet, en el firewall se configuran todas las reglas con IPTABLES para defender la red interna y de esta manera se "esconde" el firewall del acceso exterior con lo que la detección por parte de un intruso "externo" se complica considerablemente.

Obviamente ese Firewall tiene 2 interfaces y funciona a modo de Firewall-Router entre la DMZ y la red Interna, esa es la configuración de seguridad que te permite implementar lo que estás sugiriendonos.

Obviamente ese Firewall tiene que ser una máquina con una CPU y una Memoria RAM interesante para poder trabajar ligeramente.
Con un Intel Pentium III a 128MB de RAM con un Linux 2.6.x Iptables y squid tienes de sobras, pero siempre depende de la cantidad de usuarios que hayan en tu red interna.

Salu2