Enquanto o comentário de Zypher está correto, e a filtragem de endereço MAC em qualquer coisa que não seja o nível wallport é bem inútil, se você está realmente interessado em fazer isso, o iptables pode lidar com isso. Procure a extensão de correspondência mac (que fornece a opção --mac-source ), convenientemente documentada em iptables (8).
Observe que isso só funciona em um dispositivo que transmite todo o tráfego, caso contrário, as pessoas ainda podem roubar endereços IP em sua LAN com qualquer endereço MAC de que gostem, mas o roteador não roteará os pacotes. Então, em princípio, você precisaria colocar cada porta de switch em sua própria VLAN, usar trunking para colocar todos esses pacotes em sua caixa central, provavelmente fazer uma bagunça total de proxy ARP, e então descobrir com precisão quanto tráfego seu pequeno roteador pode realmente passar. Ou você pode simplesmente comprar um interruptor melhor, ou simplesmente pedir às pessoas que não conectem equipamentos aleatórios à rede (sob pena de tê-lo carregado com um tanque). Eu posso conectá-lo com um fornecedor confiável de tanques, se necessário.