перелопатил много страниц, но либо не нашёл, либо такого небыло...
Суть пролеммы:

Возможно на DFL-800... организовать белый/чёрный списки по MAC адрессу для раздачи через ДХЦП айпишников в сети,
т.е. раздавать IP только тем, кому надо, а сторонним, которые тупо подрубают кабель к себе в ком отрудить выдачу....

А почему вы решили, что посторонние будут запрашивать адрес именно через DHCP? Что мешает тупо прописать вручную? Правильно, ничего не мешает. А значит, заблокировать средствами DFL не получится. На уровень доступа ставят обычно L2 свитчи, задачи DFL - работать на 99% с трафиком L3. А у вас проблема - ограничить посторонних по L2. Делайте выводы.
Но если все-таки хотите хотя бы минимизировать риски, то придумайте диапазон для DHCP, внутри которого будет как бы два поддиапазона - блок белых IP (через функцию Static Hosts) и все остальные. Допустим, блок белых IP будет в первой половине диапазона DHCP. Тогда в правилах для этого блока будет разрешение на трафик. Итог: адреса по DHCP получат все. Но только "правильные" IP получат доступ к трафику, остальные будут думать, почему ничего не работает. Решение для не сильно продвинутых, но все-таки.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

возраст сами юзверов за компами

т.е. порядок моих действий
1. в объекты->адресная книга создаю компы
2. в система->DHCP->статические хосты привязываю к компам MAC
3. на счёт 2-ух п/диапозонов чуток не понял, щас стоит 192.168.1.2->192.168.1.200
4. и далее правила и т.д. несовсем понял (вренее теорию понял. но как сделать это физически)...

зы при этом при всём, IP на компах будут статическими а не рандомными - правильно? есть ли возможность сделать рандомные IP среди белого списка МАС'ов ?

У вас сейчас пул адресов из почти 200 IP. Если в сети, допустим, 50 машин, то делайте статическую привязку по порядку - от 192.168.1.2 до 192.168.1.50. Далее в адресбуке создаете объект, скажем, allow_ips, где прописываете диапазон 192.168.1.2-192.168.1.50. В правилах создаем разрешение для них:
NAT lan/allow_ips -> wan/all-nets all_services. А стандартное правило lan/lannet -> wan/all-nets удаляем.
Таким образом, для адресов вне диапазона 192.168.1.2-192.168.1.50 просто нет разрешающего правила, поэтому трафик будет блочиться. А получать адреса вида 192.168.1.50-192.168.1.200 будут те, у кого не стоит привязка IP-MAC.

Правильно.
Невозможно.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)