Dotaz: Squid-deny_info a Iptables-filtrace MAC adres

Ahoj, potřeboval bych poradit s následujícím problémem. Na routeru naší "vesnice net" běží transparentní proxy Squid, veškeré dotazy na port 80 jsou posílány na něj tj.přesměrování pomocí direktivy PREROUTING:
IPTABLES -t nat -A PREROUTING -p tcp -i ! eth0 -d ! 1.2.3.4 --dport 80 -j REDIRECT --to-port 3128
(eth0 je rozhraní vnější sítě, 1.2.3.4 je veřejná IP adresa)

Na dhcp serveru mám nastaveno, že známým MAC adresám uživatelů je přiřazena stále stejná IP (mezi 192.168.1.10 až ...1.100) a neznámým se přiřadí něco z rozsahu 192.168.1.101 - 192.168.1.200

Ve Squidu pak definuji povolenou sit
acl myIP src 192.168.1.1-192.168.1.100
a ostatní IP adresy jsou směřovány na chybovou stránku definovanou v deny_info s informacemi o moznosti pripojení, koho kontaktovat atd.

Je jasné, že kdokoli si mohl změnit IP adresu, tak aby se na net dostal, ale jelikož nás bylo jen pár, tak jsem to neřešil. Uživatelů však mohutně narostlo+spousty IP telefonů a tak jsem doplnil do firewallu alespoň filtraci dle MAC adres, tj.nahradil jsem řádek
IPTABLES -A FORWARD -i eth1 -j ACCEPT
za řádky
IPTABLES -A FORWARD -i eth1 -m mac --mac-source 00:00:00:00:00:00 -s 192.168.1.16 -j ACCEPT
atd pro vsechny uživatele (všechny defaultní politiky jsou na DROP)

Filtrace funguje OK, tj.pouze zadaní uživatelé se dostanou na net, ale přestala fungovat "chybová" stránka squidu o možnostech připojení = kdo nemá danou MAC+IP se tedy nedostane ani do squidu. Pravidla pro iptables na kontrolu adresy jsem dával schválně do řetězce FORWARD, protože jsem si myslel, že se budou vyhodnocovat až po průchodu squidem, ale očividně to tak není

Jak bych měl zapsat pravidla na kontrolu MAC adres, aby funkčnost byla stejná jako předtím=zobrazení stránky definované v deny_info?
Jde to vůbec provést pomocí deny_info ve squidu?
Nebo musím udělat úplně jinak?
Díky