Hola Machine80, efectivamente las aplicaciones manejan firewalls y todas esas restricciones a nivel de red antes de llegar a tu webapp, pero tus EJB no tienen que preocuparse de eso.

Vuelvo a mencionar que el EJB no sabe que cliente se conecta al él, ni valida un IP, ni nada.. porque el EJB es un objeto en memoria que recibe llamadas a sus métodos, él los ejecuta y da una respuesta. Por lo tanto la duda que tienes no se da, porque el EJB de session no sabe nada de que cliente los llama, eso tampoco significa que mezcle a los usuarios, ya que cada usuario es un "hilo" diferente.
Si lo que quieres es saber que clientes acceden desde tu EJB, pues tu tendrías que implementar el código y dependerá de la lógica de tu aplicación y como diferencies tú a los usuarios.

Tal vés de lo que tendrías que preocuparte, es por la forma como llamas a tus EJB, si los estas llamando a través de su interfaz remota y estas tú colocando el IP del servidor de aplicaciones en tu código cliente (servlet) para accederlo; pues ahí tienes que tener en cuenta que la máquina donde corre tu cliente pueda "ver" a la máquina donde corre tu EJB (tu servidor de aplicaciones). Si son la misma máquina física (osea el webcontainer y ejbcontainer están en la misma máquina) no tienes que preocuparte por restricciones de red.

Espero te haya aclardo algo más el tema..