Определить не использующих DHCP клиент

Посмотреть вывод arp -a .
Те , которых нет в dhcp.conf наверняка они

Как-то так:

iptables -P INPUT (или FORWARD, что у вас там) -j DROP
for addr in `grep hardware /etc/dhcp3/dhcpd.conf | awk '{ print $3 }'| sed '{s/;$//}'`; do iptables -A INPUT -m mac --mac-source $addr -j ACCEPT; done

Думаю, идея понятна.

Включить dhcpshooping на коммутаторе, для клиентов не получивших IP по DHCP не будет разрешающего ACL.

нет смысла сравнивать arp -an и dhcpd.conf так как в конфиг dhcp эти хосты занесены, но могут просто, например отключить службу DHCP клиента у себя в винде и просто прописать вручную адрес.

файл leases тоже не содержит таких данных.
вероятно есть решение позволяющее запросить dhcp клиент на хосте и понять запрашивает ли он сервер или вообще отсутствует.

2ilijaz если можно поподробнее про dhcpspoofing

>dhcpspoofing

Он видимо имел в виду DHCP snooping. Если свич достаточно умный, у него должна быть админка, а в админке эта функция. Дальше по обстоятельствам.

на DHCP сервере задаётся max-lease-time, например сутки. Так что сравни

# grep -i dhcp /var/log/messages

# arp -n

Ага, он самый - опечатался. Не надо было вчера мешать((. Если свич умеет ACL и DHCP relay, то 90% что там эта фича есть. Ну если у вас сеть на мыльницых, то мои соболезнования)

Поднять внутренню зону DNS, сделать апдейт зоны из DHCP, на прокси сервере проп прописать правило - запретить интет всем ip которые не резолвятся по внутренней зоне DNS.

Да ты чемпион по дёрганью гвоздей задницей на шпагате.