Pelo que entendi, seu problema aqui é que os endereços MAC são apenas uma opção válida para as tabelas PREROUTING e POSTROUTING. Eu fiz isso da seguinte maneira desajeitada ...
-
Na tabela de pré-formatação na interface de entrada da LAN, selecione o endereço MAC da máquina que você deseja deixar passar e use DNAT para alterar o endereço IP para um de sua escolha que não estaria em uso.
-A PREROUTING -i eth1 -m mac --mac-source xx: xx: xx: xx: xx: xx -j DNAT - para 192.168.2.200 -m comentário --comment "máquina a ser permitida"
-
Na tabela FORWARD, defina uma regra para aceitar esse IP, com uma política para FORWARD, caso contrário, para eliminar todo o tráfego.
-A AVANÇAR -s 192.168.2.200 -j ACCEPT