Bästa sätt att isolera en hemmaserver med en publik IP? Iptables + vlan

Ska sätta upp en server hemma (gärna i en VM). Har endast en publik IP. Behöver linjen för vanligt surf + server.

Att bara öppna en port och forwarda till server räcker inte, för att om server blir kompromissad vill jag inte att den ska få tillgång till mitt interna nätverk. Dvs. jag vill inte portforwarda till det interna nätet.

Har en N66U med Tomato USB som kan köra vlan men inga övriga vlan switchar.
Att bara sätta eget subnet på servern, hjälper inte då någon med kontroll över servern enkelt kan ändra den inställnignen.

Jag skulle vilja behöva dedikera en port på routern till servern och sedan konfigurera följande:

Tillåta
internet -> servernät
servernät -> internet
hemmanät -> internet
internet -> hemmanät
Hemmanät -> servernät

Blocka
server -> hemmanät.

Så den stora frågan är hur man går till väga för att skriva skriptet och om det finns några generella pekpinnar på brabra och fyfy.