1.網段放大吧!

2.或是反過來，機台IP綁住，拒絕這些IP上網，其他通過，這樣如何?

你應該是Public IP不夠用吧
有弄NAT嗎?
如果有NAT的話, 所有人凡是不需要一定要有Public IP的
通通都搬到Private IP

反過來不就行了!!
產線機台人員DHCP綁MAC ...
防火牆設定:那些IP不可以上網

防火牆好像有的可以分兩段來發IP或是可以多網段,照這方向去設定就可以了

再多一個網段，然後把OA區劃分到新的網段然後做NAT，舊的網段一樣留給機台用，不做NAT，這樣不就解決了

您說 IP 不夠用，又說都是使用內部 IP , 然後又擔心 IP 的浪費。我想這只是您不瞭解網路。
內部 IP (虛擬 IP) 有三種，
C 級：192.168.yyy.xxx (最後一組數字可變動)
B 級：172.16.xxx.xxx ~ 172.31.xxx.xxx(最後兩組數字可變動)
A 級是 10.xxx.xxx.xxx，(最後三組數字可變動)
xxx 範圍： 1 ~ 255,
您自己乘一乘，算一算，不可能不夠用。

您的機器只有30台，再怎麼 MAC 綁 IP 也不會不夠用。除非您使用 C 級，然後舊的機器故障報廢後，買了新的，然後舊的機器還是繼續佔用一組 MAC+IP ，把記錄清掉就好了吧。

某公司大概一百台機器，使用 192.168.1.xxx 的網段，
在公司裡面，如果要對上網做限制，通常可上網的人數少，不可上網人數多。因為既然都要管制，應該是有特定權力地位或工作需要才可以上網。那當然是針對少數可上網 IP 綁定 MAC，只有這些 IP 才可以上網。

至於你說的什麼正面表列、怪怪的，這是你自己的胡思亂想。防火牆可以 deny 再 allow，或是先 allow 再 deny ，前者就是你們公司現在的做法，先拒絕不可上網的 IP，其餘則可上網。後者是先允許可上網 IP 通過，其餘則拒絕。要怎麼設都隨便你，沒有什麼正不正面、表不表列、奇怪不奇怪。

看了好久，終於想通您沒有表達出來的問題了。
您的問題是否是
防火牆上設定允許上網的MAC已經不敷使用？
因為既然使用內部IP，自然沒有數量問題，所以有限制問題的是在防火牆。
是否因為早期管理人(或是廠商)在設定上，給了您限制？
其實，各型防火牆，應該都可以調整與放大您的範圍。

直接切一個網段給上網用，無上網需求的用另一個網段，若之間需傳送資料，再使用網路磁碟機 ip 語法連接，也可省了不少網路芳鄰的管理問題，綁定mac的管理上也會較方便

或直接買一台可設定的網路設備，不上網的線路集中在此處，再設定一下即可

我提供我的做法當參考：

做一Linux 的Proxy 做為內部上網用，一率瀏覽器設定此Proxy才能上網
Gateway設定不能直接對外
Proxy裡設定policy 那些ip可以上網，那些ip會被拒絕使用
此做法既免費又實用

1.如上說述採用Proxy的方式
2.不採用DHCP 採用DNS管制的方式

那30台手動輸入ip不要走dhcp
而那30個乾脆不要設定gw
這樣會不會比較簡單一點

我們也有類似的環境
機台的部份因為防毒及一些法令的問題,
是採用封閉環境

但有透過一台報廢的 PC 架設 pfSense
在 pfSense 裡面設定可以存取內部網路的限制

其它 OA 的機台, 就很簡單的採用 DHCP
這樣除非你的 OA 設備 (包括 Server 及網路印表機) 有超過 253 台
否則應該不會有不夠用的問題

1. OA人員全用DHCP派IP 網關為防火長的IP
   機台就用DHCP 派指定網段的IP 網關為其他IP 亦可一樣設防火長的IP~
   但要在防火長的設定,設定機台的網段不能出HTTP或HTTPS
   OA的人員應該是經防火長才能上網吧?