роутинг

в FORWARD делаешь умолчательную политику DROP, а с нужных айпишников ACCEPT-ишь.

1. MASQUERADE для динамических ip, если на интерфейсе статический ip-адрес, то лучше SNAT.

2. Обычно ограничивают доступ в таблице filter, цепочка FORWARD, что-то наподобние:
iptables -A FORWARD -s IP-сервера-1 -j ACCEPT
iptables -A FORWARD -s IP-сервера-2 -j ACCEPT
iptables -A FORWARD -j DROP

Или можно писать:
iptables -t nat -A POSTROUTING -s IP-сервера-1 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s IP-сервера-2 -o eth0 -j MASQUERADE

3. А вникать в iptables надо, а то мало ли что я вам тут насоветовал.

спасибо, конечное решение получилось такое 

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x (внешний ip)
iptables -A FORWARD -s 192.168.1.8 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.8 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.1.9 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.9 -i eth0 -o eth1 -j ACCEPT
iptables -t filter -A FORWARD -j DROP

По-православному должно быть так:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.1.8 -j ACCEPT
iptables -A FORWARD -s 192.168.1.9 -j ACCEPT
При наличии модуля conntrack разрешать ответные пакеты, заставляя их пробегать через всю цепочку FORWARD нет нужды. Обычно добавляют первым правилом строку в FORWARD (там где -m state)