Debe estar entrando desde la LAN y por eso le muestra la privada en lugar de la publica. Igual estaría buenísimo que se explique mejor xD

En principio configuraría el proxy con autenticación (quiero creer que es algo que ya existe en la red) , ya sea contra el AD o lo que sea.
Después pensaría en implementar 802.1x con asignación de vlans dinámicas, control de políticas corporativas como antivirus, SO, parches, apps varias y demases yerbas.

Filtrar por MAC en una red tan grande es un suicidio, lo mismo que autenticar MACs vía radius.

Slds.

Configurandole syslog a un servidor remoto?