Изоляция доступных для Интернета внутренних узлов друг от друга

Вы можете использовать VLAN и настроить каждый хост в своей частной (RFC 1918) / 30 сети, я предполагаю, что Vyatta может обрабатывать несколько сетей NAT за ним. Тогда каждая машина должна будет пройти через маршрутизатор (вероятно, Vyatta), чтобы разговаривать с внешним миром и с любой другой машиной. Вы сможете легко настроить правила брандмауэра, и сами по себе машины будут изолированы и не смогут напрямую подключаться ни к чему, кроме маршрутизатора.