Помогите пожалуйста c IPtables

http://www.opennet.ru/docs/RUS/iptables/index.html
---------------
MAC критерий

MAC критерий используется для проверки исходного MAC-адреса пакета. Модуль -m mac, на сегодняшний день,
предоставляет единственный критерий, но возможно в будущем он будет расширен и станет более полезен.

Модуль расширения должен подгружаться явно ключом -m mac. Упоминаю я об этом потому, что многие, забыв указать этот ключ, удивляются, почему не
работает этот критерий.
Критерий
--mac-source
Пример
iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
Описание
MAC адрес сетевого узла, передавшего пакет. MAC адрес должен указываться в форме XX:XX:XX:XX:XX:XX. Как
и ранее, символ ! используется для инверсии критерия, например --mac-source !
00:00:00:00:00:01, что означает - пакет с любого узла, кроме узла, который имеет MAC адрес 00:00:00:00:00:01 Этот
критерий имеет смысл только в цепочках PREROUTING, FORWARD и INPUT и нигде более.
-----------------

Только по-моему это не то, что тебе нужно.
Точно не скажу (не занимался таким), но похоже тебе надо создать статическую ARP-таблицу + запретить ARP-запросы на сетевом интерфейсе:
ifconfig eth0 -arp
arp -s x.x.x.x aa:aa:aa:aa:aa:aa
arp -s y.y.y.y bb:bb:bb:bb:bb:bb
....
В общем где-то так.
(man arp, man ifconfig)

Пример: имеется локалка из 5 компов 192.168.0.1 - сервак (MAC 12:12:12:12:12:11) 192.168.0.2 (MAC 12:12:12:12:12:12) 192.168.0.3 (MAC 12:12:12:12:12:13) 192.168.0.4 (MAC 12:12:12:12:12:14) 192.168.0.5 (MAC 12:12:12:12:12:15)

у 192.168.0.1 стоит Linux и имеется выход в инет через WAVELan (реальный IP 217.12.14.12)

В инет разрешается выход только компам с адресами: 192.168.0.1 - сервак (MAC 12:12:12:12:12:11) 192.168.0.2 (MAC 12:12:12:12:12:12) 192.168.0.3 (MAC 12:12:12:12:12:13)

как будет выглядеть критерий в iptables (приписанный на 192.168.0.1 (серваке)) сопоставляюшее MAC-адрес и IP-адрес компов и разрешающее или запрещающее выход компа в интернет?

Через эту команду мы закрыли всех локалных userov: ifconfig eth0 -arp

А как закрыт определенного юзера с его МАС адресом ?

Спасибо брат, всё отлично пошло. Сначала всех закрыли - испугались, но после перезагрузки у всех появился доступ (не сохранили ARPтаблицу) Мои тебе благодарности. В принципе понятно.