Eu tenho um script para bloquear automaticamente o acesso à Internet depois das 11h (23h) e restaurá-lo às 6h (6h). O script adiciona e remove algumas regras de descarte no iptables.
Infelizmente, a regra de filtragem refere-se ao endereço IP. Como o usuário pode facilmente alterar seu endereço IP manualmente, ele pode, assim, desviar do filtro.
A questão é se é possível definir uma regra DROP de tabela IP que filtra no endereço ethernet?
PS: Espero um exemplo como resposta, não um simples sim ou não! ;)
Resumindo:
iptables -A INPUT -m mac --mac-source 00:0C:F1:6C:CC:7D -j DENY
iptables -A INPUT -m mac --mac-source 00:E0:29:17:7E:78 -j DENY
iptables -A INPUT -m mac --mac-source 00:A0:CC:D4:FE:A7 -j DENY
Talvez PREROUTING ou FORWARD, conforme apropriado para a cadeia, e ACCEPT não negue se você quiser uma lista de permissões.
A página de manual do iptables é sua amiga.