Dafür gibt es AFAIK keinen Befehl. Und selbst wenn, wäre das äußerst sinnlos, den könnte man dann ja wieder zum aktivieren nehmen.
Was du brauchst, ist eine zentrale Verwaltung auf dem Router.
Du blockst dann einfach gewisse IP-Adressen.
Bzw., wenn ein ganzes Klassenzimmer nicht ins WAN darf, dann kannst du Wildcards nutzen. Vorraussetzung heirfür ist aber ein ordentlich aufgebautes LAN.
192.168.0.0 <- Netz für den Router ins WAN
192.168.x.0 <- Netz für den Raum x
192.168.z.0 <- Netz für die Server
Daas Problem an der Geschichte ist halt, dass ihr (davon geh ich jetzt mal aus) ein LAN habt, welches dann über einen Router ins WAN geht. Wenn du dich jetzt an die Clients oder die Router zwischen den Subnets hängst, killst du nicht nur das WAN, sondern auch das LAN. Es bleibt also nur die Möglichkeit, dem Router ins Subnet 192.168.0.0 via IPtables zu sagen, dass keine Pakete von IP 192.168.20.25 (bzw. 192.168.20.* für das Zimmer 20) geroutet werden dürfen