Postado originalmente por edmafer
Antes de tudo deixa eu corrigir, não é interrogação é exclamação.
Cara, eu não gostei do teu firewall.
Vamos fazer o seguinte:
Um firewall simples de exemplo:
#Regras padrões
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
#Por padrão nego tudo para depois liberar
#Variáveis
iface=eth0
ifacewl=eth1
#Rede interna
rede=192.80.1.0/24
#Endereço net
net=200.200.200.200
#Receber endereço DHCP (não lembro se era tcp ou udp)
iptables -A INPUT -i $rede -p tcp --dport 67 -j ACCEPT
############################################################
# Controle por MAC
############################################################
#Voce
iptables -t nat -A PREROUTING -i iface -s seu_ip -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT
#Cliente1
iptables -t nat -A PREROUTING -i iface -s ip_cliente1 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT
#Cliente2
iptables -t nat -A PREROUTING -i iface -s ip_cliente2 -m mac --mac-source ! 00:08:54:25:F7:C7 -j REJECT
#Se ele não for barrado aqui, é por que está com o ip correto e com o mac correto.
#Redirecionar tudo que vai para 80 para o proxy
iptables -t nat -A PREROUTING -i $iface -s $rede -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i $iface -s $rede -p tcp --dport 80 -j ACCEPT
#Fazer masquerade dos e-mails
iptables -t nat -A POSTROUTING -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j MASQUERADE
iptables -A FORWARD -i $iface -s $rede -p tcp -m multiport --dport 25,110 -j ACCEPT
#Volta
iptables -A FORWARD -i $ifacewl -d $rede -p tcp -m multiport --sport 25,110 -j ACCEPT
----------------------
Lembre-se de no DHCP de utilizar a opção hardware ethernet para distribuir o ip certo para cada
um.
E não distribua ip para quem não está no seu cadastro de mac.
Eu utilizei uma politica que uso aqui na empresa, fecho tudo e vou liberando somente o que interessa.
No seu caso estude bem isto, pois, usuários de condomínios podem ter necessidades diferentes, e isto que dizer que são mais portas abertas, tanto na ida quanto na volta.
Espero que consiga, mas qualquer coisa berra ai.