Não apenas com pfSense, não. Proteção como essa geralmente é feita em um switch, com opções de segurança de porta, como DHCP Snooping, e coisas mais extravagantes como 802.1x.
Com IPs estáticos definidos em todos os dispositivos que você deseja na rede, você pode chegar perto de evitar outros IPs estáticos, desativando o aprendizado de endereços (ARP) em todos os clientes e na caixa pfSense, mas isso seria muito configuração padrão, e você precisaria de entradas de arp estáticas definidas em todos os lugares para que elas pudessem conversar.
A melhor opção seria executar o arpwatch na máquina pfSense; ele enviará alertas por e-mail quando um novo IP / MAC for visto na rede ou um IP alterar seu MAC associado. Ele não evita problemas, mas permite que você saiba que há um problema e fornece as informações para rastrear a origem.