O que você quer aqui são algumas VLANs. Alguns APs podem ter a capacidade de aplicar listas de acesso na mesma rede plana, mas normalmente ter um segmento de AP protegido de outro, as VLANs são o caminho a percorrer. Como seu switch parece ser um switch gerenciado, você deve ter algumas funcionalidades de VLAN.
Agora, quando você introduz VLANs, está transformando sua rede em segmentos e, para ir de um segmento para outro, precisará passar por um roteador.
Você está com sorte, porque o google diz que seu switch também suporta roteamento estático.
Essencialmente o que você quer fazer, é atribuir cada porta do switch AP conectado a uma VLAN diferente, atribuir um IP ao switch em cada VLAN, configurar os dispositivos em cada VLAN para usar o IP do switch como seu gateway padrão e finalmente configurar O gateway padrão do switch é seu firewall ou roteador da Internet. Esse dispositivo também precisará de rotas de volta ao switch para cada sub-rede da VLAN, para saber onde devolver os pacotes.
Depois de fazer tudo isso, deve ser apenas uma questão de aplicar algumas regras de acesso no switch para dizer quais IPs podem ir para quais destinos e Bob é seu tio.