>Вопрос в том, как скрыть то, что в наличии имеется факт маршрутизации? Самый надежный способ - это не дать внутренним машинам посылать пакеты в сеть провайдера напрямую. Все пакеты будут исходить с гейта, поэтому по параметрам TCP и IP пакетов ничего определить не получится, разве что анализировать траффик, чем провайдер, я думаю, заниматься не будет. Для того, чтобы с ноутбуков можно было работать с внешней сетью, придется ставить прокси для всех нужных сервисов. HTTP (выключить x-forwarded-for и подменять http-user-agent, чтобы прикинуться браузером под FreeBSD), FTP, кэширующий dns сервер. Если скурпулезно не анализировать траффик, такую схему не обнаружить. Для других служб - есть TCP прокси, но их придется запускать по экземпляру на каждую пару удаленный_хост:порт.
Для остального придется, вероятно, запускать нативный софт на гейте.
Вариант с NAT, конечно, удобнее с точки зрения юзабельности, но нужно переписывать множество полей заголовков TCP/IP пакетов - ttl, timestamp, mss и т.д. Кое-что умеет пакетный фильтр pf (смотреть man на тему scrub). Но это лучше сначала тестировать в своей сети, ибо велик риск ошибиться.
Есть 100% надежный вариант, но для него нужна машина вне сети провайдера, с хорошим каналом, небольшим пингом и реальным адресом (на работе, например). Тогда до нее бросается VPN (например, с помощью openvpn) с гейта и весь траффик перенаправляется через тоннель. (на самом деле для openvpn хватит и одного реального адреса из двух).
Очень надежным выглядит теоретический вариант с прозрачным проксированием всех tcp соединений (и udp пакетов) - но это должно поддерживаться на уровне ядра, реализаций я не видел. Хотя вполне возможно, что что-то такое есть под linux.
Во всех перечисленных случаях, кроме VPN, теоретически можно обнаружить, что вы использете несколько компьютеров, если на ноутбуках у вас стоит не то, что на гейте - будет выглядеть странным, что с FreeBSD хоста идет траффик виндовой ICQ2000. Но это уже паранойя, скорее всего мониторингу подвергается какой-либо один заголовок - IP TTL или TCP timestamp.