Creo que está cayendo en la trampa de buscar una solución técnica para un problema de gestión.
Este es un caso de usuarios que eluden la seguridad. Intenta hablar con ellos; ¿Por qué querrían ese punto de acceso? ¿La red oficial de Wi-Fi tiene defectos que están intentando solucionar?
Mientras no se aborde esto, encontrarán formas de solucionar lo que estás tratando de arreglar.
¿Por qué? Porque esto no es realmente algo que puedas arreglar con un firewall.
Estos solo miran las direcciones físicas y lógicas, que no tienen mucho uso aquí.
Si no sabes quién lo está haciendo, puedes probar a foxhunting con airodump-ng, o ver si tu solución de Wi-Fi admite la detección de puntos de acceso no autorizados.