Вопросы:
1. Какая версия прошивки?
2. У Вас "товарищ, которому интернет отключаем" сидит в зоне dmz (т.е. в dmz порт воткнут коммутатор/wi-fi AP к которому прицеплено устройство которому будем блокировать)?
3. Интернет какой: IPoE, PPoE, PPTP, L2TP???
Далее. В Вашем случае правило должно выглядеть так:
1 - drop_internet_to_ip -
DROP - src iface (lan / dmz) - src net (тут обьект/группа над которым изголяемся) - dst iface (wan / ppoe/pptp-client/l2tp-client - интерфейс через который получаете интернет) - dst net (all-nets / или обьект/группа если избирательно).
Manual'ы для 260е