Em um nível técnico, sim, é possível. De fato, você teria que usar um proxy de roteamento transparente. Existem algumas maneiras de fazer isso, aqui estão dois deles:
- Invente o endereço MAC do CPE na sua LAN, para que todas as solicitações sejam enviadas ao seu proxy. Em seguida, basta redirecionar o tráfego permitido para o endereço MAC original. Não é fácil trabalhar se não for experiente em rede (você precisaria editar a tabela CAM da estação).
- Coloque o proxy diretamente na frente do CPE e torne-o o novo gateway para toda a LAN. Se houver WiFi, você terá que desativá-lo no CPE, criar um ponto de acesso no proxy e interligar as interfaces WiFi e Ethernet. Não pode ser trabalhado a menos que seja usado um túnel criptografado (mas a troca de negociação ainda passaria clara, portanto, possível bloquear).
Adicionar um nível de autenticação seria usar apenas um portal cativo + autenticação local, também no proxy. Muitas distribuições permitem isso nativamente (como o IPCop e os likes).
Em um nível legal, não posso dizer. Depende do seu país, eu diria, mas na maioria dos casos, como Daniel disse, acho que o consentimento expresso do usuário seria suficiente. Embora você tenha que saber que em certos países você é responsável pela sua conexão, quem quer que a use.