Muchas gracias por tu ayuda, voy a ponerlo en practica.

Un saludo!

Muchas gracias por la respuesta, pero creo que no me he explicado bien, ya que mi problema es mucho mas simple.
Directamente pueden acceder a los routers de esta manera: En conexiones de red/ Protocolo TCP/IP se pone una direccion IP dentro de la subred, la mascara y la puerta de enlace de cualquiera de los routers, que en este caso es 192.168.3.1 o 2.1 y luego los DNS en este caso los de telefonica. Se conectan a los AP con la contraseña ya que  son un usuarios de mi red, por lo que tendrian acceso al router que ellos eligieran, mientras que lo que yo quiero es distribuir los routers segun mi criterio.

Muchas gracias.

Tengo mi red configurada de la siguiente manera: Hay varios AP distribuidos por todo el edificio que conducen a un servidor que tengo configurado como puerta de enlace que tiene instalado el PFSENSE y los routers que proporcionan la salida a internet estan configurados con las subredes 192.168.2.0/24 y 192.168.3.0/24. Para poder conectarme, tengo clave WEP en los AP y filtrado MAC en el PFSENSE asociando a cada una de estas una IP estatica.
Mi problema es el siguiente: Me puedo conectar directamente a los routers configurando manualmente la direccion IP de mi maquina. ¿Como podria restringir el acceso a internet a los que accedieran de esta forma?

Muchas gracias.