Como você sabe, até mesmo produtos de consumo como a estação base Apple AirPort Express podem fornecer uma rede principal com acesso a tudo, incluindo recursos "internos" como impressoras e NASs e computadores compartilhados, além de uma "rede convidada" que só tem acesso para a Internet.
A única coisa que é realmente única sobre o seu pedido é essa rede "intermediária" que você quer, que tem alguns, acesso limitado a recursos internos. Eu não ficaria surpreso se uma das distribuições de firmware do mercado de reposição baseadas em Linux como DD-WRT, OpenWRT, Tomato, etc. pudesse fazer o que você quiser. Você gostaria de encontrar um que suporte a publicação de vários SSIDs, cada um em uma VLAN separada. Em seguida, você poderia configurar o roteamento entre essas VLANs, moderado por regras de firewall que decidem quais dispositivos e serviços podem ser acessados a partir de qual VLAN.