A abordagem é mais simples do que você imagina. Se o seu ISP tiver fornecido um bloco de IPs estáticos, o primeiro passo é fazer o ISP rotear esses endereços IP para o endereço público da WAN.
Esse movimento garante que todos os pacotes destinados aos seus endereços IP acabem no seu roteador.
Tudo o que resta é garantir que os pacotes de saída sejam corretamente direcionados para o endereço público correto.
Supondo que você use vlans para as redes internas - vamos dizer que um deles é 192.168.1.0/24 e outro é 192.168.2.0/24, então você pode usar os comandos do iptables para fazer o nat por você:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT -o eth1 --to-source 123.123.123.123
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT -o eth1 --to-source 123.123.123.124
Eles estão dizendo: após o roteamento, se a fonte está no intervalo 192.168.1.0/24, e o destino está fora da interface eth1
(a interface WAN), então alterando o endereço de origem para 123.123.123.123
Assim, o pacote deixaria o seu roteador com um de seus endereços públicos, todas as respostas voltariam para o seu roteador porque o seu ISP disse que o intervalo é roteado para o seu endereço da WAN. Lá, ele corresponderá à regra NAT e será "não-natal" para acabar em 192.168.1.x.