Sem conhecer nenhum detalhe sobre o DD-WRT, acho que você deve ser capaz de inventar uma regra iptables que DNAT toda a porta 80 (HTTP) tráfego para uma determinada porta em um determinado host, que poderia então responder com uma resposta padrão independentemente do URL solicitado. Você precisaria de um servidor HTTP configurado para enviar suas páginas "Acesso negado", mas seria factível.
Para os jogos DNAT, você precisará de algo assim:
iptables -t nat -I PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:8000
com seus números de sub-rede internos corretos para a origem (-s) e o IP e a porta reais do seu servidor da Web que está retrocedendo as páginas de 'acesso negado'. Naturalmente, pode haver uma interface web útil para criar essa regra; Eu não sei DD-WRT.
Eu coloquei esse valor de destino pensando que você provavelmente poderia configurar o demônio apache no dispositivo para escutar nessa porta (particularmente no loopback 127.0.0.1 somente) e fazer suas páginas de resposta.
Infelizmente, não sou muito útil com o Apache, nem sei como estão os arranjos no DD-WRT, então deixarei essa parte do exercício para alguém com mais conhecimento dos detalhes do DD-WRT. Boa sorte!