Только, что пришел еще один вариант. Сразу оговорюсь, что он гипотетический, но я думаю, что осуществим. Настроить QoS так, что бы "нормальным" устройствам Интернет был хороший. А плохим, например, по 64 Кбит/с выделялось на устройство.
Если принципиально, что бы они все таки получали IP-адрес, то интерфейсы, которые смотрят в LAN надо перевести в режим reply-only.
Так же по прежнему не понятно зачем им иметь хоть какой-то IP-адрес?
Если отвлечься от технического решения, а говорить, как это реально выглядит в жизни.
1. 150+ устройств администрировать в ручную крайне тяжело.
2. Вопросы дисциплины должно решать руководство. Я когда работал в банке видел следующую картину. Офис типа "open space" на сотню с лишним человек. У всех ноутбуки. Правило: ноутбук должен быть пристегнут замком. Если кто-то забыл пристегнуть, а другой это заметил, то ноутбук уходил в отдел IT-безопасности и назад он получался только через объяснительную руководителю. Другой пример. Руководство захотело сложные пароли: не менее 7 знаков, большие и маленькие буквы, цифры и знаки препинания обязательны. Обязательная смена пароля 1 раз в месяц. Как думаете за 3 года сколько сотрудников забыло свой пароль? Всего два. Почему? Потому, что оба получили доступ к новому паролю только после того, как объяснили генеральному почему они его забыли. А он у них военный бывший. У всех теперь память хорошая.
Немного не так. Для цепочки Forward трафик может начинаться из WAN, например трафик проброса портов, а может начинаться из LAN, например сотрудник с ПК вышел в Интернет. Оба эти варианта идут через цепочку Foward, но при этом для них надо решения принимать отдельно. Чаще всего трафик из WAN делают по принципу "нормально закрытый", а для трафика из LAN "нормально открытый".