Genau, könnte man machen. Ist allerdings kein unüberwindbares Hindernis (sobald er den IP Range kennt ist es einfach da eine statische IP zu vergeben und zack ist er wieder drin) und bei den anderen Clients müsstest Du statische IPs vergeben was gerade bei Laptops die auch mal unterwegs genutzt werden ein erheblicher Komfort Einbussen darstellen kann.
Kindersicherung wäre noch eine Idee wo der Komfort für die anderen Clients nicht auf der Strecke bleibt. Dazu müsste der betreffende Herr schon seine Mac / IP Adresse ändern oder Zugang zum Router Admin erhalten um das zu ändern. Nachteil: Wechselt er das Gerät, hat er wieder Zugriff aufs Internet und Du musst "ihm" hinterher rennen was bei der Non-DHCP Variante nicht der Fall wäre. Auch wenn der betreffende Herr z.B. eine virtuelle Maschine aufsetzen würde, könnte er sich höchstwahrscheinlich an der Kindersicherung vorbeimogeln.
Bei teuren Geräten könntest den Zugriff aufs LAN kontrollieren aber das unterstützt m.W. kein Home Router, allenfalls bei einer OpenSource Firmware wärs möglich.
Weitere Möglichkeit: Auf der Router Firewall einfach mal alle Ports ein- und ausgehend sperren ausser 80 (HTTP), 443 (HTTPS) sowie für Mail. Hält aber nicht zwingend den Download von illegalen Inhalten auf wenn diese z.B. über HTTP runtergeladen werden.
Da es keine technisch saubere Lösung gibt im Consumer Bereich, wäre m.M.n. eine Lösung innerhalb der WG die bessere Variante. Du bist ja anscheinend nicht nur alleine mit dem Herr sondern es gibt noch andere Mitbewohner. Macht doch da mal Druck oder werft ihn raus.
Update:
Mit DD-WRT kann man wohl den Zugriff von Clients limitieren
http://www.dd-wrt.com/wiki/index.php/Access_Restrictions
Dazu müsstest aber entweder ein DSL Router finden der die Firmware unterstützt oder Du müsstest einen seperaten Router ohne DSL Modem anschaffen auf dem man DD-WRT aufspielen kann.
Dann könntest restriktiv einfach alle Clients den Zugriffs ins Internet blocken die Du nicht im Router Admin eingetragen hast.
