Прочитай руководство по iptables например, там все достаточно ясно,
есть 3 цепочки таблиц с правилами - для входящего (input), исходящего (output), и сквозного (forward) траффика, входящие и исходящие относятся непосредственно к машине на которой фаер запущен, сквозная цепочка отвечает за то, что пропускать, а что не пропускать, и если пропускать, то как, через эту машину. В цепочках есть таблицы, в которых и находятся конкретные правила. Заодно узнаешь что такое NAT и нафига оно надо.
сам форвардинг к файрволлу не имеет никакого отношения и включается так echo 1 > /proc/sys/net/ipv4/ip_forward
когда настроишь впн и получишь набор интерфейсов, типа eth0 eth1 wlan0 tun0, составляй таблицу маршрутизации, включай форвардинг и пиши правила - что, куда и откуда.
распиши сначала на бумаге, в понятном для себя виде, а потом по порядку настраивай: интерфейсы - маршруты - файрволл