Блокировка всего трафика, кроме легального маршрутизатора

В бизнес-центре, где я работаю, все клиенты находятся в одной сети.

Интернет <--> маршрутизатор здания <--> сеть здания (включая несанкционированный DHCP и т. д.) <--> порт WAN моего маршрутизатора <--> порт LAN моего маршрутизатора <--> сеть моего офиса

У меня в офисе есть собственный маршрутизатор, на котором работает OpenWRT, поэтому яiptablesи доступен, но не установлен.

Мы уверены, что где-то в сети здания есть поддельный DHCP-сервер и, возможно, другие «сомнительные» устройства.

Есть ли правило, которое я могу добавить к исходящему порту моего маршрутизатора, чтобы игнорировать весь трафик, поступающий от любого MAC или через него, кроме «законного» внешнего маршрутизатора/шлюза?

Я вполне способен добавить правило в iptables, но немного теряюсь, когда дело доходит до их создания, и только что обнаружилebtables. Я «всего лишь» программист, а не «настоящий» сетевой администратор.