Hola Miguel Angel.
Creo que tu planteo es perfectamente solucionable.
Yo lo he resuelto de la siguiente manera:
eth2 (pública, conexión a internet)
eth0 (privada, red corporativa, conectada a un switch junto con servidores y estaciones de trabajo)
eth1 (privada, red wireless, conectada a un switch con AP wireless destinada a brindar acceso a internet a proveedores y eventuales)
En eth1 tengo habilitado DHCP (en eth0 el servidor DHCP es otra máquina).
En la configuración del portal cautivo tengo permitido el acceso al grupo e usuarios "Portal cautivo" y habilitada solamente la interfaz eth1.
Estimo que una solución similar te servirá.
Saludos y éxitos!