A resposta comum para este problema é criar Virtual LAN's (VLAN) para segregar o tráfego. Se o seu roteador suporta esse recurso, é bastante fácil de configurar. No entanto, normalmente você usaria o recurso Wi-Fi do roteador ou um AP Wi-Fi dedicado para fornecer a entrada para a VLAN não segura.
No seu caso, você precisa garantir que todo o tráfego não seguro seja encapsulado e enviado diretamente para fora do roteador. Você pode fazer isso usando o Pi como um roteador interno. Todo o tráfego da interface WiFi será roteado para o roteador DSL e, como você comentou, todas as outras rotas internas serão bloqueadas.
Você pode tornar isso um pouco mais fácil de manter usando um intervalo de endereços não-roteável pela Internet na rede Wi-Fi fora do intervalo 192.168.x.x. 10.x.x.x seria adequado.