Есть вот такая сеть

Интернет
      |
      |
xxx.xxx.xxx.xxx
---------
    NAT
---------
192.168.168.1
      |
      |
серверный сегмент
      |
      |
192.168.168.2
---------
Маршрутизатор
---------
192.168.140.1 (MAC - zz:zz:zz:zz:zz:z1)
      |
      |
клиенты

Исходные данные:
клиенские компьютеры имеют адреса
192.168.140.2 192.168.140.3 192.168.140.4 и соответственно у них MAC zz:zz:zz:zz:zz:z2 zz:zz:zz:zz:zz:z3 zz:zz:zz:zz:zz:z4
Сервер 1 - 192.168.168.200
Шлюзы по уммолчанию прописаны, для сервера 1 добавлен маршрут к клиентской сети. FreeBSD 5.4
ядро откомпилировано с BRIDGE IPFIREWALL и т.п.
sysctl.conf настроен
в /etc/make.conf  
IPFW2=TRUE (при компиляции ядра)
В ipfw add pass all from any to any
Маршрутизатор работает

Задача:
Помогите написать конфиг с использованием ipfw2 для привязки клиентских MAC к IP , с учетом того чтобы блокировались все попытки у клинтов без смены MAC просто менять IP, также чтобы все левые MAC адреса тоже отметать.

Я пробовал писать вот так:

# ipfw add 1000 pass all from 192.168.140.2 to any mac any zz:zz:zz:zz:zz:z2
# ipfw add 1100 pass all from 192.168.140.3 to any mac any zz:zz:zz:zz:zz:z3
# ipfw add 1200 pass all from 192.168.140.4 to any mac any zz:zz:zz:zz:zz:z4
# ipfw add 1300 deny layer2 mac any any

# ipfw add 1400 pass all from 192.168.140.2 to any
# ipfw add 1500 pass all from any to 192.168.140.2
# ipfw add 1600 pass all from 192.168.140.3 to any
# ipfw add 1700 pass all from any to 192.168.140.2
# ipfw add 1800 pass all from 192.168.140.4 to any
# ipfw add 1900 pass all from any to 192.168.140.2
# ipfw add 65000 deny log all from any to any

При такой политике привязки работают. Но не работает маршрутизация. Помогите пожалуйста.

С ARP вариант я уже весь усвоил. Но может вышеописанный вариант можно заставить работать?