Conectando duas sub-redes com segurança

Estou trabalhando em um plano para isolar algumas partes da nossa rede de trabalho.

Idealmente, alguns computadores precisam ser dissociados de nossa rede principal (eles fazem um trabalho extremamente sensível e precisam ser extremamente seguros contra os testes de invasão e penetração). Enquanto eu sou assassino em invadir redes construindo eles são outra coisa completamente diferente.

Até agora, temos as duas redes isoladas; estavam usando um roteador de hardware com DHCP para a rede externa "não segura" (e alguns switches para conectar tudo). Para a rede "segura" interna, estou usando o pfsense para roteamento e DHCP.

A questão é conectar o 2. Precisamos de alguma forma de "ponte" da rede interna para a externa; O PC da rede interna precisa ser capaz de ir na internet para baixar as atualizações do Windows, etc, mas todos os outros acessos à Internet bloqueados. Eles também precisam de algum acesso a computadores na rede externa; Isso inclui alguns compartilhamentos do Windows, um par de web & servidores db e nosso servidor antivírus local.

Tudo isso que sei pode ser protegido por firewall; o problema que estou enfrentando é como fazer a bridge e firewall dele (de preferência com linux, pode pfsense ser configurado para fazer isso?). Eu nem tenho certeza se uma "ponte" é o caminho a seguir.

Alguém pode me ligar com algumas soluções ou ideias / tutoriais para ajudar com isso?

Eu já fiz isso da maneira certa?

Assim que obtenho um ponteiro no caminho certo, acho que estou classificado :) é apenas esse primeiro obstáculo.