Как бороться с негодями.

Читай доки по arpwatch и iptables. Arpwatch смотрит соответствие IP и MAC. Iptables позволяет фильтровать пакеты на основе как IP так и MAC адресов, для ядер версии 2.4.х.

Это не подходит. Ведь человек пишет - ставят чужие ip и mac.
У меня подобные проблемы. не столь остро - меняют только ip, так что
отлавливаются быстро. но где вероятность того, что завтра
не начнут менять пару MAC-IP? выход один - писать/искать прогу для аутентификации.
К примеру, есть вот такая
http://www.nag.ru/2001/0830/dt.shtml

Проблема должна решаться не только технически, но и организационно - вопрос откуда негодяи берутся и что надо с ними делать после отлова не пустой для выбора решения. Общие советы такие:

+ Давать доступ в инет c авторизацией по pppoe.

+ Разнести достойных и не достойных в разные подсетки, воткнув из в разные хабы (але, девушка, дайте мне инте, и девушка перетыкает патч-корд)

+ Не иcпользовать win9x, в других ОС можно блокировать-фиксировать смену адреса

+ Написать приблуду для авторизации по CPUID (можно использовать openSSH)

и т.д.

У меня был такой перец. Сейчас уже не работает - просто шеф нормальный. А вообще поиграйся с полиси ipchains - арп-таблица + полиси - должно работать. Хотя если какой - то нормальный человек выключился, а мудак местный взял его ip и mac - помогут только организационные методы :-(

Плюс к вышесказаному - аутентификация

А вроде еще есть хитрые свичи, которые привязывают МАК к веревке? Или я ошибаюсь? По-моему, должны быть.

Свичи такие есть, только ценник начинаестя с $1500, а решение просили дешевое