Considere o uso de Roteamento de Solicitação de Aplicativo (ARR). link
Isso fará o proxy reverso usando o IIS7 até o fim. Você pode tê-lo na mesma máquina ou em uma máquina separada.
Para autenticação, sua melhor opção é fazer com que o site privado autentique automaticamente as solicitações do proxy reverso. Você pode fazer isso com um Módulo HTTP no site particular que é executado antes da autenticação.
Estou curioso para saber por que você bloquearia um site localmente para o qual você está dando acesso ao mundo? Se você está dando ao mundo acesso a ele, por que não abri-lo também em particular?