XenServer - виртуальные машины для доступа в Интернет, но не должны быть видны из Интернета

Я установил XenServer на свой сервер в центре обработки данных Hetzner. Я купил дополнительную подсеть /29, содержащую 6 используемых IP-адресов из них.

Я хочу установить более 10 виртуальных машин на этом сервере. Все виртуальные машины должны иметь доступ к Интернету. Но только некоторые из них должны быть видны из Интернета. Все виртуальные машины должны иметь возможность общаться друг с другом.

Я настроил дополнительную подсеть на XenServer, используя эти инструкции. Короче говоря, первый используемый IP-адрес подсети назначается xenbr0 интерфейс как псевдоним (xenbr0:1). Затем оставшиеся IP-адреса подсети можно использовать на виртуальных машинах, а xenbr0:1 IP используется в качестве шлюза на виртуальных машинах. Это делает эти виртуальные машины видимыми из Интернета, общедоступными. Это отлично работает.

Я не хочу назначать публично видимые IP-адреса всем своим виртуальным машинам. Более того, количество публичных IP-адресов ограничено - я не могу назначить один для каждой виртуальной машины.

Как настроить некоторые виртуальные машины с частными IP-адресами (возможно, 192.168.1.x) такие, что они могут выходить в интернет, но не видны из интернета?

Я знаю о Single Server Private Networks в XenServer. Но такая сеть не позволяет виртуальным машинам выходить в Интернет.

Любая помощь будет оценена. Благодарю.