Jestli jsem to správně pochopil, tak prvně potřebuješ AP nebo switch, který ti bude veškerý provoz (i v rámci lokální sítě) posílat na router. Konkrétně potřebuješ, aby switch / AP umělo port / klient isolation. Pak můžeš teprve něco na routeru filtrovat. A obávám se, že jenom pomocí iptables to nejspíše nepůjde (leda v promisc. režimu), pravděpodobně budeš muset udělat nad fyzickým rozhraním bridge a filtrovat pomocí ebtables. Ale už jsem dlouho na linuxu nesíťoval, snad mne někdo doplní / opraví.
A nebo chytrý switch s podporou ACL, případně jiným filtrováním a filtrování v rámci lokální sítě nechat na něm.