есть клиенты (192.168.67.0/24)
есть роутер (eth0 192.168.67.1, eth0:0 80.237.7.21, eth1 80.237.7.67)
есть веб-сервер (eth0: 80.237.7.22), "сидящий" во внутренней сети

на роутере поднят net-acct (на eth0) и настроен маскарад:

#всех маскарадить, если destination 80.237.7.22
iptables -t nat -p TCP -A PREROUTING -s 192.168.67.0/24 -d 80.237.7.22 -j DNAT --to 80.237.7.22;

#маскарад в интернет для адреса 192.168.67.2
iptables -t nat -A POSTROUTING -s 192.168.67.2/32 -j MASQUERADE;

#запрет в интернет для адреса 192.168.67.46 (редирект на :81)
iptables -t nat -p TCP -A PREROUTING -s 192.168.67.46 -d ! 80.237.7.67 -j DNAT --to 80.237.7.67:81;

net-acct ловит весь этот трафик и показывает в логах...
самое интересное в том, что если ходить с 192.168.67.46 на 80.237.7.22 он почему-то показывает входящий трафик на 192.168.67.46 c интернет-адресов (таких как счётчики, баннеры и т.д.) (исходящий трафик нулевой)

вопрос - как бы вообще не пропускать эти "чужие" адреса на (в данном случае) 192.168.67.46?