respondendo 2: você pode configurar todos os gateways padrão da máquina para o pfSense ip addy e usá-lo como o endereço do próximo salto, isso impedirá que qualquer um acesse a internet até que o pfsense esteja ativo e em execução
1 & 3: você pode, se você configurar um Vlan para Restricted e Non Restricted, então eles não serão capazes de se comunicar (a menos que seja definido em uma ACL ou encaminhado ou algo que você tenha explicitamente feito)