Fazendo uma pequena correção aos colegas acima, a chain FORWARD repassa os pacotes... então você não utiliza -s, mas sim -d...

Tenta:

# iptables -A FORWARD -s 0/0 -d 192.168.3.89/24 -j DROP

Vai funcionar... ele pode até pingar os IP's internos da rede, mas não irá navegar e nem ligar o MSN ou qualquer outro programa de IM... pelo menos a coisa funfa assim...


Abraços!