Проброс портов + оставление полноценного форвардинга

Попробуйте описать свои задачи более ясно, честно говоря, я мало что понял :(.

Реализовать проброс портов при обращении к серверу, причем желательно отовсюду сразу;

Какие порты откуда и куда надо пробрасывать? Проброс портов - это всегда две машины (два IP), из Вашего описания непонятно, то ли на сервер пробрасываются порты (откуда?), то ли, наоборот, с сервера (куда?).

Оставить те IP, которые выдаются из диапазона для VPN, работать без маскарадинга.

При маскарадинге явно задавайте диапазон IP, для которого он актуален:

iptables -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.160.0/24 -j SNAT --to-source $INET_IP

Или наоборот, явно указывайте те IP, для которых маскарадинг не нужен:

iptables -t nat -A POSTROUTING -o $INET_IFACE \! -s 10.0.0.0/24 -j SNAT --to-source $INET_IP

С firewalld у меня пока работает что-то одно, но не все вместе.

Извините, с этой надстройкой над iptables я незнаком.

Я тоже не распарсил задачу.

Реализовать проброс портов при обращении к серверу, причем желательно отовсюду сразу;

Для начала опишите где этот сервер? проброс каких портов и откуда?

По-моему тебе надо:

1. Настроить маршрутизацию.

2. Настроить сетевой экран, чтобы лишний трафик не ходил.