Desde que os hosts com e sem fio estejam na mesma sub-rede, nenhuma quantidade de iptables no gateway os impedirá de falar entre si.
No entanto, há algumas maneiras de falsificar:
Se todos os hosts com fio tiverem IPs estáticos (ou endereços reservados de DHCP), mas não estiverem usando IPs dinâmicos, você poderá colocar um IP secundário em outra sub-rede na interface da LAN no host iptables. Você vai querer desativar os redirecionamentos (é um sysctl) e codificar / usar diferentes opções de DHCP para os clientes com fio do que para os sem fio. Adicione uma regra iptables para bloquear o tráfego entre as duas sub-redes, mas permita / mascarar ambas para a internet, e você estará pronto. No entanto, qualquer pessoa em rede sem fio que saiba que é apenas um IP secundário pode configurar manualmente um IP de intervalo de rede local e ignorar o bloqueio.
Se o AP sem fio oferecer suporte à marcação de VLAN (os APs empresariais reais fazem isso, e WRT54-likes com OpenWRT / ddwrt / etc também), e se o seu comutador passar por quadros marcados, você poderá criar uma sub-interface vlan no máquina linux (novamente com outra sub-rede, como acima). Os hosts na LAN ocasionalmente receberão um quadro marcado e o descartarão (a menos que estejam executando um sniffer), mas o AP deve (dependendo da configuração) ignorar os quadros não identificados que ele ouve da LAN, portanto você não deve estar vazando Tráfego de LAN de volta para wireless.
Naturalmente, a verdadeira separação é a melhor maneira de usar um switch compatível com VLAN ou apenas uma terceira NIC no host Linux.