Es adecuado agregar una interfaz de red solo para los Access Point?

Hola, tengo una PC dedicada a proxy-firewall, en una institución. Como no tengo switch administrables para segmentar la red, mi idea es agregar una tercera interfaz de red para conectar a la misma varios AccessPoint y distribuir red inalámbrica a usuarios que se conectarán con dispositivos propios (aunque siempre registrados en los AP). Por cuestiones de seguridad pienso permitir en las reglas del firewall solo entrada por eth2 a peticiones al puerto 8080. La idea es tener los AP en una subred distinta a la subred de las PC de las oficinas.
eth0 ----> LAN oficinas.
eth1-----> SHDSL
eth2 -----> Access Point

Bajo otras condiciones con VLAN estoy seguro que resolvería.
Es más o menos adecuada esta configuración teniendo en cuenta que no disponga de otro tipo de hardware??.

Pues si no tienes un switch administrable como comentas pues a mi parecer es totalmente valido e inclusive yo e realizado implementaciones parecidas. Solo recordar tambien crear las reglas de que se esa red no se puedan comunicar a las demas o viceversa. Y filtrar solo lo que si quieras.

Yo realice implementaciones asi con PFSENSE pero la verdad e comenzando a trabajar mas con MIKROTIK y auque tiene costo la verdad es un costo muy pequeño a comparacion de todo lo que hacen. Miktotik casi casi lo tiene todo, a mi parecer mucho mejor que CISCO y otras marcas pomposas que solo quieren dinero. Bueno ya me sali del tema, jejeje.

larrysys, gracias por la respuesta; quería conocer sus experiencias pues es la única forma que tengo bajos mis condiciones. Hasta ahora no he tenido que habilitar el forwarding en el (proxy-firewall) sistema operativo, y cuando lo necesito, implemento xinetd para servicios que están fueran de la red, eso creo me ayuda un poco con la seguridad.