La solution est donc de mettre les postes concernés par les restrictions sur un VLAN spécifique et de configurer les règles de firewall comme expliqué dans le sujet sur le forum d'ubiquiti.
Toute autre solution que le VLAN est pour moi inutile, parce que dans ce cas là, il faudra filtrer à partir des adresses IP (ça se change, il suffit de mettre une IP en dur) ou des adresses Mac (ça se change aussi). A moins que les utilisateurs des postes concernés aient des droits suffisemment restreints pour qu'il ne puisse ni forcer l'IP ni la Mac.