A melhor maneira de configurar isso seria com um firewall ou outro dispositivo do tipo Roteador (seja um velho WatchGuard Firebox ou até mesmo um pequeno PC com várias NICs) executando algo como o PFSense. Este é um sistema de firewall de código aberto e você pode dividir seu sistema em sub-redes e anúncios WAPs para aqueles que você deseja ter sem fio. O PFSense pode ser configurado para permitir ou negar o tráfego entre as sub-redes com relativa facilidade.
O modo mais "gueto" de fazê-lo, mas de longe o mais fácil é simplesmente comprar dois roteadores sem fio e colocar um atrás do outro. Ao fazer isso, a verdadeira Internet voltada para a pessoa se torna sua rede sem fio "aberta" ou "pública". O que está por trás desse roteador torna-se o privado, qualquer máquina conectada ao roteador não seria capaz de "ver" as máquinas conectadas àquelas por trás dele.
Obviamente, a primeira implementação é a maneira mais apropriada para fazer algo assim, mas a segunda maneira é perfeita, e funcionará como você deseja com pouca configuração.