Como NAT entre 2 interfaces de rede sem afetar o roteamento

Meu roteador baseado em Linux possui 5 portas Ethernet. Atualmente, ele está agindo como um roteador entre as portas 1 e amp; 2 e a porta WAN dedicada, sem NAT. A porta 1 é 192.168.1.1/24, a porta 2 é 192.168.2.1/24, a porta WAN é 192.168.0.1/24.

A conexão WAN de saída passa por um dispositivo de registro que controla o uso, depois passa por um segundo roteador doméstico que faz NAT e usa um IP público na porta WAN.

Para simplificar, a rede é a seguinte, com o prefixo IP 192.168 .-:

server1--------Router1--------Logging device--------Router2----------
   .1.2      .1.1  .0.1                           .0.254  (public ip)

A configuração do roteador1 funciona bem (isso é um roteador simples), o Roteador2 também (esse é um gateway simples). No entanto, gostaria de remover o Router2 e fazer o meu NAT entre as portas 3 & 4 do Router1, com o port4 usando meu IP público real.

Isso seria viável? Eu gostaria de manter um isolamento rigoroso entre as portas 1-2-WAN e 3-4, para garantir que todo o tráfego passe pelo dispositivo de registro (com seu endereço de origem IP original).

A ponte transparente seria a solução? Eu poderia aplicar NAT de origem a essa ponte? O endereçamento IP é bem feito?