Geralmente você bloqueia ou permite o acesso usando regras de firewall (filtragem de pacotes). Se você estiver usando o firmware de um link, não tenho certeza se isso é possível, se você estiver usando o dd-wrt ou algo assim, então você pode fazer isso com as regras do iptables.
Como esta é sua rede sem fio convidada, provavelmente seria muito insensato identificar os sistemas da equipe pelo endereço IP ou endereço MAC atribuído, o que praticamente impede qualquer tipo de controle de acesso com regras de firewall.
O que você provavelmente precisa fazer é considerar a configuração de uma VPN nos clientes sem fio da equipe, o que permitirá que a equipe estabeleça uma VPN na rede confiável.
Outra opção pode ser apenas configurar um SSID / sub-rede adicional apenas para suas contas de equipe e usar um nível diferente de autenticação sem fio. Você pode não ter criptografia / autenticação no seu SSID convidado. Em seu SSID de equipe, você usaria o WPA2 com uma chave pré-compartilhada strong ou, idealmente, uma das autenticações corporativas disponíveis no WPA.