Isolando hosts internos acessíveis pela Internet uns dos outros

Sou administrador de sistemas em uma pequena empresa e tenho o que descreveria como um entendimento moderado de rede. Eu estou tentando criar uma situação em que um número de hosts internos são acessíveis através de RDP da Internet, mas não podem se comunicar com a rede do escritório, nem uns aos outros. Todos compartilharão um único IP público, de modo que os usuários que se conectarem pela Internet acrescentarão um número de porta no cliente da Conexão de Área de Trabalho Remota para alcançar um determinado desses hosts. Os hosts serão máquinas virtuais no ESXi.

Tendo feito algumas pesquisas iniciais, passei um dia brincando com o Vyatta, e estou realmente impressionado com isso (em particular, acho sua documentação excelente). No entanto, percebo que meu problema não é entender conceitos específicos ou seguir instruções; é que não sei quais tecnologias de rede e topologia devo usar. Eu imagino que existem múltiplas possibilidades. Ouvi dizer que as VLANs mencionaram muito.

Devo acrescentar que temos um firewall de pequena empresa de médio porte e, se necessário, podemos designar uma de suas portas como sua própria interface que transmite tráfego exclusivamente entre a WAN e uma NIC física sobressalente no host ESXi .

Então, minha pergunta é: que tecnologias e topologia você consideraria mais adequadas para criar a situação que descrevi? Para recapitular, quero várias VMs internas que são isoladas umas das outras e do resto da rede do nosso escritório, mas podem ser conectadas pela Internet via RDP (em um único IP público, mas números de porta exclusivos).

Muito obrigado antecipadamente.