Есть машина-роутер, в которой несколько сетевух, и в каждом сегменте её адрес - default gateway. Какие-то умники "балуются" и прописывают у себя на компе такой же адрес, как default gateway, из-за чего у всех кратковременно начинаются глюки... Есть ли какие-нибудь способы отловить это, окромя как ставить управляемые железки в каждый подъезд???

Запустить у себя на машине пинговалку, и раз в 5 минут пропинговывать всю сеть. Если это будет происходить в FreeBSD, то в /var/log/messages увидите записи о смене айпи для какого-то мака. А когда увидите, то и берите нарушителей порядка за жабры...

Да даже без пинговалки в локах роутера тут же выскакивает IP conflict with MAC xx-xx-xx-xx-xx-xx, но вот MAC тоже какой-то подставной, и найти человека среди 9 домов (около 100 человек) пока не представляется возможным...

Четко настроить зависимость MAC:IP.
Изменился мак выкидывать нафиг из сети.

Попытайтесь определить, какой именно MAC меняется на подставной, методом исключения. Хотя конечно среди 100 адресов это нелегко. Но если определили - блокируете доступ через роутер для "исходного" MAC-а. А остальные (всю сотню) прописываете статически в arp-таблицу на роутере.

Ну вообще-то можно их менять одновременно.
Есть софт, который выдает инфу о машинах в локалке, в том числе и ип:мак.
Дождался, когда "оригинал" ушел в оффлайн, прописал себе нужную пару --- и валяй-не хочу!

Проблема arp-spoof и arp-poison практически неразрешима в силу особенностей протокола arp.
"Правильный" метод решения проблемы - применение управляемых свичей, где можно настроить соответствие MAC - порт свича. Однако, такое оборудование слишком дорого, чтобы применять его в домовых сетях. "Иммунитет" к подобным вещам можно привить, используя статическую arp-таблицу. Если по arp считается трафик, то достаточно на сервере такое сделать, а вот если клиенты страдают от недоступности gw, то прописывать статикой нужно arp запись для gw на этих клиентах.