откуда берут доступ по 80 порту?

может работает макскарад ? закрыть порт одно , а маскарад - другое

Маскарадинг я тоже настроил строчка iptables -t nat -A POSTROUTING -s localnet -d 0/0 -j MASQUERADE а по другому как они в сеть выходить то будут? Причем все другие порты отрубаются и включаются так как нужно, а вот 80 нивкакую яакрыть не могу Почему?

настройка браузеров, позволит им ходить если там указан прокси-сервер, браузер тогда отсылает запросы не на 80 порт, а на порт прокси. Проверь в настройках у них подключение к сети. Если там не используется прокси, то проблема в правилах для файервола. Я пользуюсь ip-chains. Бывало, что правило какое-нибудь глобальное не работало, потом оказывалось, что я его добавил в конец, после более мелких, которые всё разрешали для конкретных юзеров и добавленое в конец новое правило просто ни на что не влияло, тогда добавлял его в начало.

Насчет маскарадинга: кажется, он отправляет запросы с портов, которые
предназначены для локальных программ (см. что-то типа
/proc/sys/net/ipv4/ip_local_port_range).

Обычно там порты с 1024 по (не помню).

По поводу iptables точно не помню (сам пока не пользую, а читал только
обзорно), но там вроде цепочки input и output не влияют на транзитные
маршрутизируемые пакеты. Хотя могу и ошибаться - если кто даст ссылку на
доку буду оч. благода...

дык отрубай коннекты на 80 порт на внутреннем интерфейсе (который в локалку смотрит), а не на внешнем...