Что-то я не нашел, где можно дропать пакеты, если MAC не соответствует записи в ARP.
Просвятите пожалуйста.

По умолчанию в устройстве уже выставлены эти настройки.

Sergey Vasiliev, спасибо.

Подскажите пожалуйста, где находятся эти настройки?

Какие именно?

Кстати, проверил, по умолчанию пакеты не дропаются.

Эти. Я тоже не нашел.

up

Static DHCP вроде решают проблему, а кто не согласен с DHCP > ARP.

У меня Static DHCP
(прописаны соответствия StaticIP_1 - StaticMAC_1)

ARP настроен:
Static
Lan
StaticIP_1
StaticMAC_1

Проверка:
Подключаю к сети, например, новый ноут из магазина.
DFL ему дает первый попавшийся IP и вперед, с компа свободно можно выходить в интернет и т.д.

Может я чего то непонимаю?

Создайте правило где только один хост будет иметь право доступа во вне (например 192.168.0.2). Привяжите к нему его MAC адрес в Static ARP. Назначьте его же в DHCP (можно и не назначать). Проверьте что все работает как надо. Смените MAC адрес, убедитесь что вы больше не можете попасть во вне с этого хоста, (ip 192.168.0.2). Если это не так - повод проверить настройки ARP. Если и потом тоже самое - оформляйте bug и предупредите нас об опасности.

Не понял Ваши настройки ARP. Если вы хотите ограничить доступ во вне, делайте это правилами по ip. А вот чтобы пользователи не изменяли ip привязывайте его к MAC. Ну или можете закрыться внутри VLAN и забыть про левых пользователей.