DDNS  :-

El router maneja capa 3 es decir nivel IP, luego esto es traducido ya sea por el mismo router a nivel IP a una local que en el paquete tiene tanto la IP local (LAN) como la mac address. Ahora bien, si tienes un switch detras del router, este se encarga en comparar segun su tabla de mac address el host al que debe ir la informacion solicitada.

Fortinet...

IPTABLES
http://www.pello.info/filez/firewall/iptables.html

IP Forwarding (Linux)
https://www.garron.me/es/gnu-linux/habilitar-ip-forward-linux-ubuntu.html

La verdad no me queda muy claro como estas haciendo eso...tienes un subneteo en el router? usas vlans en el switch? que es lo que quieres hacer con la maquina virtual? podrias poner la topologia tal cual la tienes?

Y la mas simple, si puedes graficar el consumo del ancho de banda, le puedes remitir los resultados a tu ISP quien debe tomar las medidas correctivas a fin de evitar estos ataques.

Bueno entonces no fue claro desde el principio, una cosa es decir "estoy diseñando" y otra muy distinta es decir "quiero hacerlo con nmap"

http://nmap.org/book/man-host-discovery.html

Cain y Abel tambien pero es tan viejo como ettercarp y la verdad wireshark es el mejor que he probado. No se de donde sacan con nmap es uno 

Microsoft network monitor
Network watcher
Advanced IP scanner

Para hacer una captura de manera correcta normalmente deberia elegirse un host luego de sniffear la red. En capa 2 la autenticacion se realiza a nivel mac, luego si tienes todas las macs como hace el router para saber cual es real? no seria mas logico pensar que vas a realizar un flooding?, a nivel IP (capa 3) es posible pensar eso que dices.