Bloquear totalmente uma máquina da internet (IPTABLES)

Boa tarde a tds do VOL...
Tenho uma rede com 40 PCS...
Tenho um Squid/Iptables rodando...
Somente 5 máquinas precisam de internet.
As 35 restantes eu quero bloquear TUDO, tentei dar "deny" pelo squid, porém o maldito ultrasurf funciona.
Segue meu firewall:
--------------------------
.
.
.
#Redireciona para squid:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Libera acesso
iptables -A FORWARD -s 192.168.160.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 192.168.160.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.160.0/24 -d 0/0 -j MASQUERADE

#Fim
---------------------
Gostaria de bloquear a porta 443 para as 35 máquinas, sem bloqueá-la para as 5 restantes.
Ou bloquear TODA a internet das 35 máquinas, p/ que ñ possam usar o maldito ultrasurf.
Tem como???

Obrigado por enquanto...
=))

tenta assim, bloquear o direcionamento para determinado MAC
iptables -t nat -A FORWARD -m mac --mac-source 00:16:E6:06:2C:2A -j DROP

Valeu por responder, vou testar, depois volto a postar!

Abraços..

iptables -t nat -N NOREDIRECT

iptables -A FORWARD -i $IFLOCAL -s 192.168.x.x -j ACCEPT
iptables -t nat -A PREROUTING -i $IFLOCAL -s 192.168.x.x -j NOREDIRECT

iptables -t nat -A NOREDIRECT -j ACCEPT


A regra acima libera o ip 192.168.x.x para acesso total a internet. É só repetí-la para cada ip que quer liberar. O resto irá passar pelo proxy.