Dovolím si restart:
1. forwarding je v podstatě NAT, jen se v hlavičce paketu přepisuje cílová místo zdrojové adresy (na linuxu se tomu říká D(estination)NAT, "klasický NAT" je pak S(ource)NAT.) Jak vidíš, z podstaty je to nijak obecně neomezující funkce
2. Protože je ale NAT součástí firewallu (na linuxu netfilter/iptables, v BSD systémech ipfw, podobně Cisco IOS; windows a jejich prasopsí IP stack raději komentovat nebudu), je možné omezit počítače, jimž bude forwarding fungovat. Toto je ovšem ale zcela v režii paketového filtru, nemá to s technikou výměny adres v hlavičce nic společného.