Padrão
Uma cadeia separada (definida pelo usuário) pode ajudar.
# create a chain just for user 100 (192.168.1.100)
iptables -N custom_user_100
# redirect all traffic FROM user 100 to custom chain
iptables -A INPUT -p tcp -s 192.168.1.100 -j custom_user_100
# return from user chain for valid traffic, drop all other
iptables -A custom_user_100 -p tcp --dport 8080 -j RETURN
iptables -A custom_user_100 -j DROP
Então - o que isso faz é redirecionar qualquer tráfego FROM 192.168.1.100 para uma cadeia personalizada. Essa cadeia personalizada (definida pelo usuário) retorna apenas se uma correspondência válida for encontrada (tráfego destinado à porta 8080). Todo o outro tráfego não correspondente que não resulta em um retorno da cadeia é descartado .
Mais tarde, você poderá visualizar as estatísticas das tabelas para verificar o que aconteceu:
iptables -L -v -n
Encaminhamento
Agora, se você estiver processando o encaminhamento de tráfego, haverá um conjunto diferente de regras, mas a ideia de usar uma cadeia personalizada (definida pelo usuário) é a mesma. Eu gostaria de me referir ao diagrama neste link: link ao tentar entender o fluxo de pacotes.
Nesse caso, você pode querer fazer algo como o seguinte:
# create a chain just for user 100 (192.168.1.100)
iptables -N custom_user_100
# redirect all traffic FROM user 100 to custom chain
iptables -A FORWARD -p tcp -s 192.168.1.100 -j custom_user_100
# return from user chain for valid traffic, drop all other
iptables -A custom_user_100 -p tcp --dport 8080 -j RETURN
iptables -A custom_user_100 -j DROP
Isso é idêntico ao primeiro, exceto que a regra que foi aplicada à cadeia INPUT é, em vez disso, aplicada à cadeia FORWARD.
Atualização 2013-05-24
Eu releio sua pergunta. Então vai começar de novo.
Vamos supor que seu "proxy" seja na verdade um roteador. Isto é - está passando todos os pacotes de uma interface para outra - talvez usando NAT. Isso significa que todos os pacotes de interesse estão fluindo pela cadeia FORWARD.
Próximo: você diz que irá configurar todos os clientes usando a porta 8080 para acessar o próprio proxy. Bem. Isso significa que todos os pacotes aqueles entrarão no "proxy" através da cadeia INPUT.
Então: você só quer impedir que alguém saia da porta 8080 na cadeia FORWARD.
iptables -A FORWARD -p tcp --dport 8080 -j REJECT
Esta regra irá garantir que qualquer coisa que deva ser encaminhada para uma porta de destino 8080 será rejeitada (um pacote ICMP será enviado para o cliente que tentou passar o pacote através do proxy).
Depois de implementar esta regra, é VITAL que você teste isso tentando fazer uma conexão proibida - então, você lista as regras digitando:
iptables -L -v -n |grep 8080
e garanta que o contador tenha aumentado. Se não, então algo está errado com a configuração do roteador.