Embora possa haver maneiras de fazer isso com regras NAT de firewall, não entendo por que você está bloqueando conexões externas e as deseja ao mesmo tempo.
Provavelmente você deve passar por bridge ou NAT e, se estiver preocupado com o acesso externo, faça as regras de firewall apropriadas para impedi-lo. Observe que essas regras podem ser mais fáceis de implementar em uma ponte, embora ambas as configurações sejam possíveis.