Este thread es de hace mas de 1 mes y me lo perdi por estar de viaje,
pero no quiero dejar de aportar en esto.

Existen algunas soluciones elegantes de hacer esto y muy buenas, ya que
lo tengo funcionando en mi oficina y en varios clientes de redes
grandes.

1.- Ponle un Address y PTR (resolucion directa e inversa) en el bind/DNS
a cada una de tus maquinas de usuarios usando un DNS interno.
ej: alex.cipher.com.pe IN A 192.168.1.137

2.- En el DHCP fuerza a que siempre a ese host (esa maquina) le asignen
el IP que tu quieres por medio de la MAC address y lo pones en una sola
linea.
ej:
host alex.cipher.com.pe { hardware ethernet 00:01:02:EA:05:81 ;
fixed-address alex.cipher.com.pe ; }

3.- En tu script del firewall haces que leyendo el archivo de
/etc/dhcpd.conf (con bastante orden), que nos los deje hacer NADA si es
que la MAC y el IP no coinciden.
ej:
cat /etc/dhcpd.conf | grep ^host > /tmp/host-ip.txt
while read u
do
HOST=$(echo $u | awk '{ print $9 }' )
MAC=$(echo $u | awk '{ print $6 }' )
iptables -t nat -A PREROUTING -m mac -s $HOST -d $TODAS
--mac-source ! $MAC -j DROP
iptables -t nat -A PREROUTING -m mac -s ! $HOST -d $TODAS
--mac-source $MAC -j DROP
done < "/tmp/host-ip.txt"

4.- Y a partir de ese momento si es que no corresponden los IPs con MAC
Address, solo van a poder jugar en la maquina xBill y nada de internet.

5.- Configura con confianza tu squid para que solo trabaje con las IPs.

Espero que esto sea de ayuda a la comunidad, ya que para mi hace un
tiempo fue una rompedera de cabeza contra los "habiles" que se ponen la
IP del gerente para tener acceso total, que espero que les sirva.

Saludos y sigamos payaseando,
--
Ing CIP Alejandro Celi Mariátegui