Ответ - если все клиенты имеют "статический" IP, выдаваемый по DHCP, то попытка подключить к сети сторонний ПК с IP выключенного (в данный момент) клиента приведёт к тому, что "нарушитель" будет видеть всю сеть, кроме сервера zentyal. То есть некое подобие фильтрации по MAC уже присутствует.
Другой вопрос, что "нарушителю" ничто не мешает на своей машине подделать не только IP, но и MAC, так что рассматривать данный способ в качестве панацеи я бы не стал, хотя как некий дополнительный барьер - вполне.