IPTABLES - blokowanie konkretnego IP w sieci wew.

[Najkon]

Witam,

Męczę się ostatnio z konfiguracją, a żeby w sieci wewnętrznej 192.168.2.0/24 wyłączyć kompletnie cały ruch tylko dla jednego (1) adresu IP, a później zezwolić mu wejść tylko na port:80 na strony, które są zawarte w regułkach iptables jako dozwolone typu

Kod: Zaznacz cały

$IP_KLIENTA=192.168.2.10
$STRONY_IP=212.77.100.101 (wp.pl)
iptables -A OUTPUT -p tcp --dport 53 -s 192.168.2.10 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -s 192.168.2.10 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -s $IP_KLIENTA -d $STRONY_IP -j ACCEPT

Konfiguracje typu

Kod: Zaznacz cały

iptables -A OUTPUT -s 192.168.2.10 -j DROP

nie dają żadnego rezultatu. Host (IP) nadal ma dostęp do sieci Internet dla wszystkich usług. Nie wiem już co źle robię.
Czy może to być powodem, że host jest dodany do firewall-a z MASQUEARADą?

[jacekalex]

RTFM:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter

A poza tym, to chyba raczej nie

Kod: Zaznacz cały

-A OUTPUT -s ...

tylko

Kod: Zaznacz cały

 -I FORWARD -s {adres_IP} -j DROP

To by było na tyle