Обычно на роутерной конфигурации я использовал самописный скрипт - основанный на туториале:
http://www.opennet.ru/docs/RUS/iptables/
однако некоторые недостатки подобного фаервола - трудности с добавлением новых сервисов, блокирования нежелательных адресов, отслеживания блокированных соединений, необходимость в шейпинге - заставили меня искать более гибкое решение. Свой выбор я остановил на shorewall.

http://ru.wikipedia.org/wiki/Squid
В сочетании с некоторыми межсетевыми экранами и маршрутизаторами squid может работать в режиме прозрачного прокси (англ. transparent proxy). В этом режиме маршрутизатор вместо того, чтобы сразу пересылать http-запросы пользователя http-серверу в Интернете, перенаправляет их прокси-серверу, который может работать как на отдельном хосте, так и на самом маршрутизаторе. Прокси-сервер обрабатывает запрос (с возможной отдачей содержимого из кеша), это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер.

В данной статье я расскажу о самом простом интерфейсе для netfilter/iptables - ufw. Он стоит по умолчанию в последних версиях ubuntu. По умолчанию он выключен, для включения достаточно набрать: