Eu fundei uma solução para isso:
em * filtro:
iptables -A FORWARD -s (ip de origem) -o tap0 -DROP
Como posso configurar o IPtables para bloquear o tráfego de saída para uma interface TAP de um IP ou sub-rede?
Eu acredito que você precisa de algo assim:
iptables -A OUTPUT -s (ip de origem) -d (ip de destino) -p (protocolo) --j REJECT
E você pode usar --j DROP em vez disso, para não enviar ICMP inacessível.
Tags iptables