Existe uma solução? sim, existe.
Você deve fazer dessa forma? Definitivamente não.
Se eu acertei você, você tem essa configuração (para simplificar apenas com um ponto de acesso)
Internet(I)
|
Router(R) ---- AccessPoint(AP) ---- ThePublic(P)
|
Some other LAN devices(L)
E agora, você de alguma forma logicamente garante que P não pode acessar L ou I, mas apenas outros Ps? E como P tem acesso físico ao AP, você quer evitar o que acontece P pressiona o botão de reset.
O problema é que alguém com acesso físico ao AP pode simplesmente puxar o cabo e conectar-se diretamente à sua rede e atacá-lo. Então, fazer alguma configuração inteligente no AP não ajuda.
O que você deseja é uma configuração em que o roteador gerencie quem pode acessar o que está na sua rede. (supondo que P não pode acessar fisicamente R)
Existem várias possibilidades para obter segurança aqui. Um estaria usando VLANs. Assim, definir cada porta de R onde um AP está conectado pertence a uma VLAN específica (porta de acesso). Não funcionaria se o AP fizesse a marcação de VLAN, porque então o invasor poderia tentar marcar seus próprios pacotes para pertencer a outra VLAN. Isso seria chamado porta de troncos.
Você poderia usar este tutorial como um manual sobre VLANs: link