Hola Pau!
Una solución a lo que planteas y que nos permite evitar configurar múltiples reglas a cada red lógica de la red… es que configures 3 reglas permit a las direcciones privadas, es decir permitir tráfico a la 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, esta configuración la deberíamos realizar en el router0. Con esta configuración permites que tu tráfico del servidor circule por tu red, pero cualquier tráfico destinado a una IP pública (Internet) sea bloqueado. Estas ACLs son utilizadas por los ISPS para evitar que tráfico privado ingrese a su red.
Tu solución también funcionaría, pero de nuevo, estarías dejando que tráfico innecesario atraviese la red para ser descartado en el último router.
Espero haberte ayudado, estoy atento a tus comentarios.
Saludos! =)