Мне на ум ничего толкового не приходит - ни разу даже в странных фантазиях подобной задачи не возникало...
Пожалуй, только если написать скрипт, слушающий (хоть по tcpdump) транзитный трафик, и отслеживающий соответствие разрешённых MAC-адресов разрешённым IP-адресам, и при несоответствии, помечающий IP как запрещённый.