Как лучше организовать?

Лучше pfsense

Лучше аппаратный файрволл.

лучше врезать его в входную линию и настроить режим

маршрутизатора с сетевым экраном и проксею.

Зависит от надёжности этого компа и наличию на нём двух сетевых интерфейсов.

Если комп ненадёжен, и хочется не терять связности с внешней сетью, когда он перестанет работать, то есть два варианта:

1. на текущем роутере поднять VRRP, (опционально) синхронизировать conntrack;

2. на текущем DHCP-сервере сбросить флаг authoritative и/или добавить задержку перед ответом, а на сервере поднять DHCP-сервер с флагом authoritative; тогда пока комп жив, он будет default gateway для DHCP-клиентов, а когда помрёт, то им станет прежний роутер.

Если комп достаточно надёжен, то есть следующие варианты:

1. при наличии двух сетевых интерфейсов просто разрезать приходящий от ISP кабель, обжать разрыв с двух сторон и вставить в сетевые интерфейсы компа;

2. настроить 802.1q на свитче и воткнуть комп в транковый порт, чтобы трафик в сторону ISP ходил с одним тегом, а в сторону LAN с другим.

Закрывать трафик в Linux можно очень большим количеством способов, тут сложно дать какую-либо рекомендацию, не зная характер трафика.

Если речь идёт об HTTP/HTTPS, то проще всего поставить прозрачный прокси. Если о каких-то экзотических протоколах, то писать реализацию фильтра в userspace и заворачивать фаервол в неё через NFQUEUE, либо вовсе использовать kernel bypass, если packet rate очень большой (но тогда ставить под эту задачу старый комп вряд ли будет хорошей идеей).