смена IP

Как раз все что ты хочешь геморойно. А связать ip c MAC в squid - найтрезвейшее решение , правда если это тебе только для ограничения инета нужно.

В том то и дело , что мне это не только для squid нужно !

> кстати как при помощи iptables запретить arp обновления/ответы
Например так: ifconfig eth0 -arp
P.S. Ответы по-моему не запрещаются, да и глупо это, не у всех ведь статические ARP-таблицы.

> вроде геморойно
Почему ? А другой выход есть, если "squid-овский ACL на основе MAC не предлагать" ? Разве что сделать аутентификацию на уровне пользователей (login/password).
На счет "геморойно": если у вас есть еще подсети, отделенные маршрутизатором, то сама идея статической ARP-таблицы - гнилая. А если у вас только 1-а сеть, то пингануть все тачилы (можно nmap-ом), сделать "arp > filename", возможно немного пропарсить, чтоб это понимало "arp -f". Потом отключить ARP-запросы на интерфейсе и все.

Если меняют IP,То будут и MAC менять... у себя решили через VPN сервер - клиенты логинятся (с любого компа), получают IP и по нему уже выходят в инет... в IPTABLES соответственно разрешено ходить тока с интерфейсов ppp+ - в винде статический маршрут на локалку - и всё работает )))

P.S. "то сама идея статической ARP-таблицы - гнилая" - это если конечно вы не управляете этим маршрутизатором, а если он тоже ваш, то все ОК, но на нем тоже придется делать статическую таблицу (а если маршрутизаторов несколько ? :-[ ]). К тому же, а кто запрещает user-ам менять IP вместе с MAC-адресом ? Или у вас везде стоят управляемые свитчи, в которые вы тоже можете впихнуть статические ARP-таблицы ? :-)

Если надо IP'шники привязать к MAC адресам, то это можно сделать через dhcpd.

man dhcpd.conf

while read line;
do
ip=`echo $line|cut -d ' ' -f1`
mac=`echo $line|cut -d ' ' -f2`

$IPTABLES -A FORWARD -d $ip -j ACCEPT
$IPTABLES -A FORWARD -m mac -s $ip --mac-source $mac -j ACCEPT

done</etc/rc.d/iptables/inet.dat

премерно так ....