Dovrei potreggere un accesso vi cavo alla LAn che potrebbe essere esposto a persone non autorizzate. Lo scopo ovviamente è quello di bloccare l' accesso ad internet ma anche alla rete stessa(avendo accesso fisico non so fino a che punto sia possibile) che utilizza il DHCP oltra ad accettare gli ip statici. Oltre al filtro sui Mac cosa potrei fare?
Bloccare l' accesso ad internet è possibile ma alla Lan stessa?

Potresti mettere la LAN sotto dominio. Così ogni utente dovrebbe loggarsi con username e password, e avresti il tutto sotto controllo lato server.
La rete sarebbe più complicata, soprattutto per gli utenti che la usano normalmene, ma di certo più sicura.

Potresti mettere la LAN sotto dominio. Così ogni utente dovrebbe loggarsi con username e password, e avresti il tutto sotto controllo lato server.
La rete sarebbe più complicata, soprattutto per gli utenti che la usano normalmene, ma di certo più sicura.

Si era un po quella l' idea, ma in questo caso sarebbe necessario un server oltre(o in sostituzione) del router/gateway?

Un altra domanda: un pc connesso fisicamente alla lan(ma non autorizzato e quindi senza ip) oltre a poter sniffare il traffico che eventualmente transita sul ramo cui è connesso, può fare altro...ovvero "comunicare" con gli altri host della lan?

Se utilizzi un router puoi banalmente mettere un filtro sugli indirizzi MAC.

si il mac filter è il minimo da fare.

Si certo, giusto! La selezione degli indirizzi MAC è sicuramente efficace, soprattuto per una rete i cui client non cambiano spesso.

Se la scelta rimane sulla rete a dominio, SI: ti servono uno switch (integrato nel router) e il gateway per collegarti a internet (anche questo spesso integrato nel router). Uno dei PC della rete dovrà essere SERVER (con OS opportuno).

In entrambe le ipotesi un host non gradito può fare ben poco: può comunicare solo con il tuo switch (syncro, richeste d indirizzo ecc...) ma non riceverà informazioni. Sniffando pacchetti, però, e elaborandoli con molta cura potrebbe ottenere un LOGIN e addirittura un MAC accettato... Sono però operazioni particolarmente complicate, illegali e difficilmente troverai qualuno che presti tale attenzione alla tua rete (a meno che ne valga davvero la pena)!