Chain do Sasacct libera Forward entre subnets

[Michael]

Ola pessoal!!!!

Eu utilizo SASACCT para monitoração de banda em meus assinantes, hoje tenho cerca de 480 clientes, e me deu muita dor de cabeça para descobrir uma forma de bloquear o FORWARD entre os clientes por causa do SASACCT, sendo assim hoje eu bloqueio o FORWARD porém não tenho um acompanhamento de banda por cada usuário por medidas de segurança, explico abaixo; Para que o sasacct colete os dados para geração de gráficos é necessário essa regra de iptables

iptables -N SASACCT
iptables -I INPUT -j SASACCT
iptables -I OUTPUT -j SASACCT
iptables -I FORWARD -j SASACCT

iptables -I SASACCT -s 192.168.200.2 -d 0/0 -j ACCEPT
iptables -I SASACCT -s 0/0 -d 192.168.200.2 -j ACCEPT

Mas dessa forma qualquer cliente de qualquer classe de IP´s consegue pingar todos os clientes do provedor, acessar compartilhamento de arquivos e tudo mais, isso é uma falha de segurança grave, mas para que isso não aconteça eu uso essa regra

iptables -t filter -A FORWARD -d 192.0.0.0/8 -s 192.0.0.0/8 -j DROP

PRONTO.

Agora vamos ao que eu quero, utilizar essa regra do SASACCT acima para coletar os dados e ao mesmo tempo deixar o FORWARD entre as subnets bloqueado, e isso não consegui fazer simultaneamente, ou libero a comunicação entre as redes e uso o sasacct ou deixo bloqueado e não uso o sasacct, pois aquela regra faz com que todas as redes se enxerguem, e para cada cliente eu tenho um alias na lan com masc 255.255.255.252
Expl.

eth0:1 192.168.200.1
eth0:2 192.168.100.1
eth0:3 192.168.50.1
eth0:4 192.168.30.1


CLiente.* *IP 192.168.200.2
* * * * * * * *Masc 255.255.25.252
* * * * * * * Gw 192.168.200.1

E assim por diante...

Qualquer dica sera bem vinda!! valeu pessoal....