Давно хотел написать по схожим мотивам что то подобное, но лень всё же оказалась сильнее... Теперь мне остаётся лишь покртитковать немного
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
В результате, раздаем бесплатный интернет соседям по свитчу ^^
> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
В результате также раздаем халяву соседям по свитчу, которые прийдут с -s 192.168.0.0/24. Да и хорошим тоном я считаю, когда вся фильтрация происходит в таблице filter. Я за такой вариант:
iptables -t nat -A POSTROUTING ! -o eth1 -j MASQUERADE
iptables -P FORWARD DROP
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -j ACCEPT
В части sysctl я бы не трогал общесистемный sysctl.conf в виду его возможной перезаписи при апгрейде, а записал бы опцию в /etc/sysctl.d/ip_forward.conf
И да, я бы всё таки добавил для криворуких хомячков, которые не дружат с шеллом, способ расшаривания инета через NetworkManager.