Ajuda/ideia para problema com possível brecha na rede

ParucciP

Boa tarde a todos,

Sou iniciante no PFSENSE e preciso de uma ajuda ou ideia para eliminar uma possível brecha na minha rede.

Detalhes das configurações atuais:
-Atualmente na rede principal trabalho com ips na classe C com submascara /23

-Trabalho com autenticação pelo captive portal utilizando cadastros no freeradius e proxy transparente para filtro de conteúdo.

-Deixei os primeiros 254 ips (malha 10) para todos equipamentos necessários para funcionamento da empresa ou seja, essa malha inteira fica no bypass do proxy e livre no captive portal(basicamente não tem restrições nela)

-Todos os pcs que acessam a rede ficam na malha 11 que possui 254 ips com todas restrições.

-Em dhcp server esta habilitado a opção para fornecer ip somente para os registrados na lista com seus macs e ips.

Problema:
Qualquer usuário que setar um IP manual da malha 10 terá acesso livre alem de poder gerar conflitos com meus servidores até derrubando toda rede.(ps: os usuários não tem poder para alterações de ips e existem redes separadas para celulares e convidados porem ainda sim é uma brecha).

Queria uma maneira que o PfSense recusasse ips manuais liberando o acesso somente para os MACs registrados ja que no DHCP server ele somente não fornece o IP, não impedindo o acesso de macs desconhecidos.

Pensei em colocar os usuários numa rede diferente e manter a parte de servidores e equipamentos necessários na malha atual, mais não consegui mensurar ainda os problemas que podem aparecer com isso, como por exemplo a perda do acesso dos usuários ao servidor de arquivos local.

Agradeço qualquer ideia que possam me oferecer.