Ah.. e outra coisa colega.. eu reparei que vc libera apenas o IP via iptables... o que quer dizer que qualquer um pode trocar o IP para um que ja esteja autenticado e acabam por dar a volta..
No meu software, eu tenho o IP amarrado ao MAC do cliente, ou seja, se ele muda de IP o mac continua a ser negado, entao n consegue passar a pagina de login, se ele muda o mac ma o IP se mantem o mesmo, o esquema é igual, só mesmo mudando para o par MAC/IP de alguem que já esteja connectado é que é possivel passar a autenticação.
Um abraço[]