Не раздавать интернет тем кто не использует DHCP

Провод таким выдергивайте!

вообщето клиенту еще надо получить адрес шлюза , если он пропишет только ип то адрес шлюза не получит

Ну допустим клиент получил как то раз все данные, а потом прописал себе статически. Необходимо чтобы это не работало.

Короткий lease период и раз в час меняйте адресное пространство..

почти никак, можно выпендриться, назначить шлюзу колво ип равное колву-ип клиентов, выдавать через dhcp каждому клиенту уникальный ip шлюза, и держать таблицу соответствия (менять ее каждые сутки), очевидно, что клиент узнав и прописав себе сутки узнает что они неверные для этого клиента, либо ему таки придется заюзать dhcp хотябы на время.

но сам понимешь что по степени извращенности эта идея должна быть запрещена полицией нравов за сексуальные извращения с линуксовыми демонами.

При выдаче lease добавляйте разрешение на форвардинг в iptables, что-то вроде:
http://permalink.gmane.org/gmane.linux.redhat.fedora.general/418970

ОМГ, какие велосипеды-костыли. Зачем тебе именно так разграничивать доступ?

но сам понимешь что по степени извращенности эта идея должна быть запрещена полицией нравов за сексуальные извращения с линуксовыми демонами.

Ты сделал мой день)

почти никак,

фильтрацию по ip и mac уже отменили?

Неплохо бы начать с какого-нибудь пояснения зачем вообще так делать.

Пускать в инет по белому списку маков, а список формировать из активных лизов?

сказал А, говори и Б - где, что и как предполагается фильтровать
я предположу, что ты вопрос всё-таки читал, и твоя задумка просто слишком нетривиальна, чтобы осознать ее мощь из 3х слов описания

Неплохо бы начать с какого-нибудь пояснения зачем вообще так делать.

Я не автор, но работал когда-то в фирмачке, которая считала ежедневное количество интернет трафика по IP. По его превышении - закрывала доступ «до завтра». Т.е. можно было просто сменить IP, чтобы снова пользоваться интернетом.

Автор ..... епрст .... поставь биллинг систему с авторизацией по логину паролю и отпечатку носа.

Вообще идея была сделать, так чтобы клиенты получали случайный ip адрес по dhcp, но интернет имели только после того как введут свой логин и пароль на специальной странице, которая бы вылазила при запросе на любой сайт. Их mac и ip хранится в базе данных, и по этой базе генерируются правила в файрволле.

Просто сетка старая, и сейчас пользователи прописывают себе ip, который им выдали. Вот и думаю как защитить их от тех кто умничает и перебирает ip.

Выше уже дали ссылку на пример.

Отобрать у пользователя права на изменение IP адреса. Их по умолчанию не должно быть.

dhcp snooping кто-то уже предлагал ?

Отобрать

Из исходного сообщения непонятно работают ли пользователи в той же организации или это «клиенты» или вообще домосеть и т.п.
Не всегда возможно «отобрать».

Да и у своих же пользователей с лэптопами отбирать проблематично.

У циски такого типа ерундень называется Authproxy (или Cut-through — тоже самое на PIX/ASA).

Если оборудование поддерживает, то вышеназванный DHCP snooping подойдёт.

Не совсем уверен, но, возможно, RADIUS может решить проблему.