Запрет доступа в интернет отдельных машин средствами iperf

[nenene]

Добрый день!
Подскажите, пожалуйста. Есть сеть, в ней контроллер домена, являющийся DNS и DHCP сервером (иначе доменная авторизация не работает) и шлюз на Ubuntu, смотрящий в интернет.
Шлюз имеет следующую настройку iperf:

$sudo iptables -S
-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-A FORWARD -o eth0 -m mac --mac-source f0:f0:f0:f0:f0:f0 -j ACCEPT
-A FORWARD -o eth0 -m mac --mac-source f0:f0:f0:f0:f0:f1 -j ACCEPT
...
-A FORWARD -o eth0 -m mac --mac-source f0:f0:f0:f0:ff:ff -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -j REJECT --reject-with icmp-port-unreachable

Через цепочку FORWARD ходит только трафик с разрешенных МАС-адресов.

$sudo iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

Трафик завернутый на 192.168.0.1:3128 уходит на прозрачный сквид. Соответственно, при включении в сеть клиента, трафик по 80 и 8080 гуляет в обход цепочки FORWARD и по МАС-адресу не фильтруется... В этом и проблема.

Если сделать "iptables -P INPUT DROP" и добавлять исключения МАС-адресов подобно тому как это реализовано в FORWARD, трафик не ходит по 80 и 8080 портам... Да и решение не самое элегантное. В сети порядка 60 клиентов, держать для каждого по две строчки в iptables...
Может кто сталкивался с подобной проблемой? Буду благодарен любым подсказкам\наводкам\ссылкам.

[ArcFi]

Смысл фильтровать по MAC, когда доступом в инет можно рулить на уровне proxy?

контроллер домена, являющийся DNS и DHCP сервером (иначе доменная авторизация не работает)

Кстати, работает, как минимум, на W2K-W2K3.

[nenene]

Контроллер домена w2k3, при отключении служб серверов перестает работать доступ на папки по доменной авторизации. Возможно как-то правится настройками, но в интернетах посвященных w2k3 советуют именно запускать dns на КД, иначе беда.
squid у меня работает в режиме transparent. Насколько я понимаю в таком режиме фильтрация по МАС адресам не работает? Даже если работает не хочется чтобы ненужные машины вообще к шлюзу обращались. Если на шлюзе будут подниматься еще какие-нибудь процессы принимающие запросы из внутренней сети и, затем, стучащие в интернеты, придется в каждом из них тоже фильтровать трафик. Было бы значительно удобнее заблокировать доступ в цепочке INPUT.

[AnrDaemon]

Как вы собираетесь в INPUT фильтровать транзитный трафик?......

[nenene]

Насколько я понимаю, трафик который заворачивается на прокси этой командой:
-A PREROUTING ! -d 192.168.0.0/24 -i eth1 -p tcp -m multiport --dports 80,8080 -j DNAT --to-destination 192.168.0.1:3128
попадает в цепочку INPUT...
Или Вы имеете ввиду что INPUT не умеет фильтровать?

Пока фильтрую на PREROUTING МАС адреса. Перед сворачиванием на прокси-сервер при совпадении МАС адреса трафик просто уходит на ACCEPT и попадает в FORWARD. Т.е. к проксе не стучит.

[ArcFi]

Контроллер домена w2k3, при отключении служб серверов перестает работать доступ на папки по доменной авторизации.

Что-то делаете не так.
Должно работать.
Вот мой конфиг:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

# cat /etc/dnsmasq.d/example.org.conf
dhcp-option=option:domain-search,example.org
domain=example.org
host-record=example.org,10.10.28.211
host-record=dc.example.org,10.10.28.211
host-record=DomainDnsZones.example.org,10.10.28.211
host-record=ForestDnsZones.example.org,10.10.28.211
host-record=26e4eba4-c414-4746-8989-0261bb769930._msdcs.example.org,10.10.28.211
srv-host=_ldap._tcp.3ec71d4b-f881-4d25-b6dd-8564c63b92ec.domains._msdcs.example.org,dc.example.org,389
srv-host=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.example.org,dc.example.org,389
srv-host=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.example.org,dc.example.org,389
srv-host=_ldap._tcp.Default-First-Site-Name._sites.example.org,dc.example.org,389
srv-host=_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.example.org,dc.example.org,389
srv-host=_ldap._tcp.DomainDnsZones.example.org,dc.example.org,389
srv-host=_ldap._tcp.ForestDnsZones.example.org,dc.example.org,389
srv-host=_ldap._tcp.dc._msdcs.example.org,dc.example.org,389
srv-host=_ldap._tcp.gc._msdcs.example.org,dc.example.org,3268
srv-host=_ldap._tcp.example.org,dc.example.org,389
srv-host=_ldap._tcp.pdc._msdcs.example.org,dc.example.org,389
srv-host=_kerberos._tcp.dc._msdcs.example.org,dc.example.org,88
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.example.org,dc.example.org,88
srv-host=_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.example.org,dc.example.org,88
srv-host=_kerberos._tcp.example.org,dc.example.org,88
srv-host=_kerberos._udp.example.org,dc.example.org,88
srv-host=_kpasswd._tcp.example.org,dc.example.org,464
srv-host=_kpasswd._udp.example.org,dc.example.org,464