А в чем, собственно, проблема? Маркируйте через iptables в mangle::FORWARD, после чего обычный HTB на vlan* и eth1, через filter fw загоняйте трафик в соотв. классы.
Шейпить будете соответственно исход с интерфейса. NAT абсолютно не помеха поскольку раскраска трафика происходит до него.
