Liberar conexao somente apos conexao por PPPoE

Comecei a mexer com o MK tem 3 dias.
Consegui configurar o PPPoE Server (concentrador), fiz autenticar em outra maquina no radius ja configurado, fiz nat, coloquei controle de banda pra navegacao e pra p2p separados.
Esta tudo funcionando perfeitamente.
Eu me conecto por ele atravez do pppoe e navego na boa.
O que eu to precisando agora eh alguma regra pra bloquear qualquer tipo de acesso que naum seja por PPPoE.
Naum quero que o cliente configure um ip e saia navegando.

Gostaria tb de implementar algo mais seguro. Tipo pppoe+mac+ip.
Ja fiz o cadastro do mac da maquina teste, soh naum sei como amarrar o mac ao ip e bloquear quem naum estiver cadastrado.
Se algue puder dar uma força eu agradeço!

Veja em Firewall / Nat se tem um Nat configurado. Aqui estava acontecendo o mesmo. Desabilitei o Nat e agora só navega quem se autentica via PPPoE.

Com o Nat habilitado qualquer um navega, desde que possua ip da mesma rede.

Samuel.

Desabilitei o nat e ninguem mais navegou.
Somente o msn.

No freebsd eu uso uma regra assim:
add 1 deny all from any to any via wi1

Ai soh passa o trafego pppoe.
No MK deve ter alguma coisa parecida.
Se alguem souber me dah um toc.

Ah... tem um detalhe:

Estou usando proxy. Se configurar o proxy no MK e nos clientes funciona 100%. Aí só navega quem se conectar via PPPoE e tiver o proxy configurado.

Eu uso proxy em um servidor a parte.
Preciso de uma regra simples de firewall pra bloquear o trafego pela interface de rede mas liberar pelos tuneis...
O freebsd trata os tuneis como uma nova interface. Sera que o mk tb faz isso?