Окей.
Ещё один костыль - сделать гостям отдельный прокси-сервер (хоть на виртуалке), не имеющий доступа к локальной сети.
Хотя сквид, на сколько я помню, умел банить и по IP. Если найду старые конфиги, выложу синтаксис ACL (ибо за ненадобностью всё забыл).
Вот что нашёл на вскидку:
Если имя домена для IP-адреса было сохранено Сквидом в ``FQDN cache,'' то Squid может сравнивать домен назначения с контролем доступа. Однако, если домен недоступен немедленно, Squid разрешит запрос и сделает преобразование IP-адреса, которое будет доступно для будущих запросов.
http://squid.h12.ru/FAQ/FAQ-10.html#ss10.4Так что идея с DNS-именами внутренних хостов вполне может сработать.
Ещё там же стоит обратить внимание на
http://squid.h12.ru/FAQ/FAQ-10.html#ss10.11 - задача зеркальная, но логика подходящая. Правда, это уже не из вэбки Z настраивать придётся, а лезть в конфигурационные макрошаблоны Z...