Tem uma maneira muito simples de resolver isso que acho fácil.
Primeiro faz o controle por MAC, depois você cria uma regra de nat para cada cliente, assim os demais ip´s nao vão navegar porque não vao está fazendo nat !

Falouz !