Так тебе нужно, чтобы IP или MAC не ходил ???
Если ИП - то так:
iptables -A FORWARD -p tcp -s 192.168.2.45/32 -d bizarre.kiev.ua -j REJECT
iptables -A FORWARD -p tcp -m mac --mac-source 00:50:FC:F8:A4:38 -d bizarre.kiev.ua -j REJECT
Где:
192.168.2.45 - IP-адрес хоста.
00:50:FC:F8:A4:38 - MAC-адрес хоста.
Но помни, по дефолту у FORWARD должно быть полиси REJECT
//Даю доступ в инет
iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.2.0/24 -j SNAT --to-source X.X.X.X
//http через прокси
iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.2.0/24 --dport 80 -j REDIRECT --to-port 3128
Потом я втсавил это, но оно не помогло
iptables -I FORWARD -p tcp -s 192.168.2.0/24 -d bizarre.kiev.ua -j REJECT
iptables -I FORWARD -p tcp -m mac --mac-source 00:C0:26:79:5C:9E -d bizarre.kiev.ua -j REJECT
Я так понимаю что, ког юзерь ходит в инет через прокси, то пакеты не идут через FORWARD, а идут через INPUT на сквид и OUTPUT от сквида.
На Инпуте видно от какого IP пакеты но не видно куда, видно только что на squid.
А на OUTPUT нельзя выщимить от кокого IP идет пакет, там будет IP сквида, зато видно на какй сайт.
Ну можно подумать как... Попробовать помечать пакеты от этого сайта через mangle и что-нибудь намудрить с таблицами роутинга... Но через сквид все равно проще и надежнее.