[MakaBooka]

Фильтрация по MAC - только в пределах одного ethernet-сегмента.
Аутентификация по MAC убога. MAC, если вспомнить, спокойно меняется прямо в операционке. Это привязка к машине, а должна быть привязка к пользователю, по идее.
Посему клиентов авторизовывать на выход либо на низком уровне (с тем самым нелюбимым прописыванием прописыванием IP/MAC на свитчах), либо на высоком - сертификаты/пароли на проксе.

Кривым, но в какой-то мере действенным методом для небольших сетей около 100 абонов является поднятие ppp/pppoe сервера. Плюсы: учёт всего и разного трафика, нет необходимости настройки каждого клиента(программы) на прокси, привязка к аккаунту юзеря, а не машине.