Supondo que você esteja falando de estações de trabalho "atrás" da caixa do OpenBSD, adicione os endereços IP das estações de trabalho a uma tabela pf e crie regras apropriadas que façam referência a essa tabela. 'man pf.conf' para detalhes. Quanto ao acesso à camada 2, talvez você queira elaborar um pouco mais aqui em termos de suas necessidades.