Можно ли применить брандмауэр в локальной сети к пакетам локальной сети с помощью только PfSense и коммутатора уровня 2?

В случае коммутатора уровня 2 IP не так важен, и есть трафик на основе MAC-адреса. Пока пункт назначения не находится в том же сегменте сети (для представления уровня 3, когда он находится в той же подсети - например, 192.168.0.0/24 - от 192.168.0.1 до 192.168.0.254), используется протокол ARP (если MAC-адрес пункта назначения неизвестно), а затем существует связь, напрямую использующая MAC-адрес и "адресацию уровня 2".

В этом сценарии «локальный» трафик (между клиентом 1 и клиентом 2) не достигает pfsense, поэтому нет способа реализовать этот вид фильтрации ...

Трафик, достигающий pfsense, является (в случае отсутствия специального маршрута) «другим» трафиком, так что все остальное вне подсети - обычно покрывается записью маршрута «по умолчанию».

В любом случае, поддержка 802.1x на коммутаторе не является «базовой» функцией, поэтому, если такая поддержка есть, то, скорее всего, также будет поддержка VLAN - 802.1q. В этом случае вы можете назначить клиента после аутентификации (на основе ответа от радиуса) для отдельной VLAN, так что логически будет только один клиент и интерфейс pfsense в сегменте сети, или, другими словами, вы логически разделите сеть и не 2 клиента будет на том же коммутаторе L2. Таким образом, весь трафик должен быть направлен через pfsense в качестве маршрута по умолчанию. В этом сценарии вы можете фильтровать трафик также между клиентами.

Минусы - более высокая нагрузка на брандмауэр, а в случае интенсивного трафика между клиентом, скорее всего, будет более низкая пропускная способность.

«Коммутатор уровня 2» на самом деле является коммутатором, то есть его единственная задача - пересылать сетевые кадры из одной ветки сети в другую. Но при сегодняшнем резком падении стоимости оборудования многие устройства, называемые «коммутаторами», имеют множество дополнительных функций (например, обработка виртуальных локальных сетей, имитация отдельных сетей с использованием одного и того же устройства, что по сути позволяет разделить коммутатор на несколько отдельных; фильтрация трафика с использованием различных критериев), до и в качестве маршрутизаторов (подключение отдельных сетей, маршрутизация трафика по мере необходимости). Часто вы получаете «коммутатор», который на самом деле является маршрутизатором, и у него обычно есть ум (аппаратно), чтобы выполнять фильтрацию трафика (т.е. действовать как межсетевой экран).

Например, «точка доступа» или «кабельный модем», который у вас есть дома, на самом деле представляет собой маршрутизатор и точку доступа Wi-Fi (соединяет проводную сеть с WiFi) плюс межсетевой экран (выполняющий как минимум NAT). Если вы посмотрите, обработка WiFi очень сложный бизнес (некоторые каналы нельзя использовать, в зависимости от страны; необходимо подключаться к сети и обрабатывать зашифрованный трафик; необходимо переключаться с одной точки доступа на другую при перемещении через большое здание; ...) и все это делается с помощью карты Wi-Fi, которая сегодня стоит несколько долларов.