Penso che stai cadendo nella trappola di cercare una soluzione tecnica per un problema gestionale.
Questo è un caso in cui gli utenti aggirano la sicurezza. Prova a parlare con loro; perché dovrebbero volere quell'hotspot? La rete Wi-Fi ufficiale ha delle carenze che stanno cercando di aggirare?
Finché questo non viene risolto, troveranno dei modi per aggirare ciò che stai cercando di risolvere.
Perché? Perché questo non è qualcosa che puoi risolvere con un firewall.
Questi solo guardano gli indirizzi fisici e logici, che non sono molto utili qui.
Se non sai chi lo sta facendo, puoi provare a cacciarli con airodump-ng, o vedere se la tua soluzione Wi-Fi supporta il rilevamento di AP non autorizzati.