Ripensandoci, credo di non aver interpretato correttamente la tua domanda: Le regole del firewall di cui sopra hanno effettivamente lo scopo di proteggere principalmente il server (che è il firewall stesso), non i client. Forse in qualche punto ho scambiato i due termini rendendo la spiegazione poco chiara perchè nella mia configurazione server/gateway e firewall sono lo stesso dispositivo.
Fermo restando quando scritto prima, implementare una configurazione del genere introduce sicuramente un punto debole perchè espone effettivamente i client al tipo di intromissione che hai prospettato. Per questo tipo di problema si può fare poco senza la gestione delle VLAN da parte dello switch: L'unico modo per mantenere questa separazione con uno switch unmanaged (oltre alla configurazione del tag anche su tutti i client della rete cablata) sarebbe quello di installare l'access point direttamente collegato al server dedicandogli una scheda che non gestisca traffico untagged, separando quindi fisicamente il traffico proveniente dall'AP da quella della rete cablata (in questo modo, per accedere alle reti private si deve necessariamente transitare attraverso il gateway finendo per essere soggetti alle regole che ho impostato nel firewall).
Per la mia configurazione quello esposto nel thread rappresenta un buon compromesso in termini di costi/disponibilità di NIC/sicurezza: Non potendo installare un'altra scheda di rete nel server, il completamento perfetto sarebbe quello di sostituire lo switch con un dispositivo managed, se ne trovano di discreti a partire dai 100€ circa per un 8 porte gigabit.
Ho capito bene questa volta?