Разрешать только тех, чьи mac/ip вручную указаны в lease
/ip dhcp-server set default add-arp=yes address-pool=static-only
Также запретить инет тем, кто вручную прописал айпишники на сетевухе
/interface bridge set bridge-local arp=reply-only
Заполняем white-лист
/ip dhcp-server lease
add address=1.2.3.4 mac-address=11:22:33:44:55:66 server=default
Теперь если даже вписать на компе ручками ip, в инет злодей не попадет, но внутренние ресурсы все равно будут доступны, ибо пакеты для той же подсети не ходят через роутер. Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82.