Pfsense 802.1x ile farklı varsayılan ağ geçidi engelleme

Selam arkadaşlar benim bir problemim daha doğrusu bir sorum var yardımcı olabilecek arkadaşlar var mıdır ?

İnternet kafemizde wireless ve lan üzerinden ücretsiz internet sunuyoruz müşterilimize kendi bilgisayarlarıyla geldikleri veya telefonlarıyla bağlandıkları zaman fakat bizim yapımızda 4 adet farklı ağ geçidimiz var bunlar sırasıyla ;

192.168.1.239 - 192.168.1.240 - 192.168.1.241 - 192.168.1.244 

Ben internet kafemizdeki bizim makinelerimiz hariç olanların yani wireless veya ethernet kablosu takıp internete bağlanan bizim olmayan bir cihazın sadece 192.168.1.240 ağ geçidinde kalmasını ve eğer kendi eliyle ip veripte 192.168.1.239 a falan geçememesini istiyorum. 

Bir başka sorumda şu olacak

Şu an pfsense üzerinde FreeRadius ve Captive Portal ile yaptığımız TC Kimlik ve SMS onayıyla internet şifresi veriyoruz. Fakat ben bizim kendi makinelerimizin bu tc kimlik veya sms onayına takılmadan direk internete çıkabilmesini istiyorum sadece dışarıdan bağlananların sms veya kimlik onayı almasını istiyorum acaba bunu DHCP ile sağlayabilir miyim ? 

Ağ işlerinde biraz yeniyim buraya kadar anak gelebildim ve bu konularda takıldım. Anlatmak istediğimi umarım anlatabilmişimdir. Güzel cevaplarınız için şimdiden teşekkür ederim.