Uma maneira de resolver isso é ter várias redes WiFi. Depende do tipo / marca de pontos de acesso que você tem. Os modelos corporativos normalmente podem lidar com 4 redes diferentes. Permita que qualquer um com a CSID e credenciais corretas use a Rede 1 (por exemplo, dê acesso a 10.0.1.0/24). Configure outra rede WiFi 2 com outra CSID conectada a 10.0.2.0/24.
Configure o firewall para bloquear o acesso à Internet a partir da Rede Wi-Fi 2 e permita a Rede Wifi 1.
Agora, essas soluções não usam o portal cativo, mas isso também deve ser possível no portal PFSense Captive pronto para uso. De acordo com o documento do PFSense você pode filtrar endereços MAC e selecionar PASS ou BLOCK de acordo com sua necessidade.
O portal cativo pode filtrar / filtrar endereços IP e endereços MAC.