【サーバ関連】心が折れています(iptables・routeの設定)

サーバ設定に行き詰まっています。

今回はNIC3枚差しで、1枚はインターネット側に、もう2枚はローカルで、そのうちの1枚は一般向け、もう1枚がサーバ管理向け、という構成でセットアップしているのですが、ローカル側でのルーティング(フォワーディング)の設定が分からず困っています。

もう少し詳しく書くと、こういった構成を考えています。

LAN1 / eth0 : 192.168.10.0/24 gateway 192.168.10.1
LAN2 / eth1 : 192.168.20.0/24 gateway 192.168.20.1
WAN  / eth2 : 10.1.1.0/29 gateway 10.1.1.1

LAN1もLAN2も、WAN側をへ通過でき、LAN1からLAN2は通過できるけどLAN2からLAN1は特定ポートが通過できないような仕組みにしたいのです。
現在iptablesは全てACCEPTしていて、pingは

○ LAN1→etc0→SV→etc2→WAN
○ LAN2→eth1→SV→etc2→WAN
× LAN1→eth0→SV→etc1→LAN2
× LAN2→eth1→SV→etc0→LAN1
という状況です。

「ルーティング」の仕組みについてしっかりと理解していないと思うのですが、このような場合「スタティックルーティング」でLAN1←→LAN2の橋渡しをするゲートウェイが必要なのではないかと思うのですが、routeの設定をいくらいろんな数値でやってもうまくいかないのです。例えば

route add -net 192.168.10.0/24 gw 192.168.20.1 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.1 dev eth0

route add -net 192.168.10.0/24 gw 192.168.20.2 dev eth1
route add -net 192.168.20.0/24 gw 192.168.10.2 dev eth0

とかやってみましたがダメです。

そもそも、セグメント越えの概念はやめたほうがいいんですかね?
相当ネットで検索していろんな設定を調べたんですが、全く分からないです。
従来通りLAN側を一緒にしてしまっても良いのですが、出来れば一般社員にSSH等を使わせたくないんですよね…
将来的にVPNとかもやりたいので、セグメントを分け出来ないとかなり困るなぁ…

どなたかネットワーク構築に詳しい方、アドバイスをいただけると嬉しいです。